## 简介安全组由一系列安全组规则组成，用于控制网卡的出入流量，每张网卡必须加入安全组。安全组基于白名单原理设计，故网卡的流量必须被安全组允许才会放通。例如，当某云服务器通过80端口对外提供服务时，其网卡关联的安全组必须添加放通80端口入方向流量的规则，从而确保外部能够正常访问该云服务器的相关服务。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_7aee1ec11b15b7a6379f2ac05135196b.png =605x) 安全组分为： * 默认安全组：创建私有网络时，系统自动创建。随私有网络删除而删除，不支持手动删除。 * 自定义安全组：用户手动创建、自行管理。 * 托管安全组：创建需要安全组的云服务（如NAT网关、VPN网关）时，系统自动创建。云服务托管该安全组，用户仅支持查看，生命周期随该云服务。安全组常与网络ACL搭配使用，网络ACL用于控制子网的出入流量。[了解更多](https://www.volcengine.com/docs/6401/104965) ## 安全组规则 * 安全组**有状态**，返回数据（TCP连接的老化时间为900s、ICMP连接的老化时间为30s）自动放通。即网卡主动访问时，仅出方向规则允许即可；网卡被访问时，仅入方向规则允许即可。 * 变更安全组规则将立即生效，已建立的长连接和后续新建的连接均受规则控制。 * 在创建安全组时，系统默认添加以自身安全组为源地址的入方向规则，以此确保组内的网卡能够被组内其他网卡访问。若删除该规则，将会导致组内网卡之间无法私网互通。 * 建议谨慎放通SSH（22）、Redis（6379）、MemCache（11211）、MySQL（3306）、SMB（445）、RDP（3389）、SQLServer（1433）等业务常用端口。[了解更多](https://www.volcengine.com/docs/6401/107784) ### 规则组成 * **参数说明** 为安全组添加规则，放通流量，安全组规则的参数说明如下： |参数 |说明 | |---|---| |入方向/出方向 |流量的方向。|\ | ||\ | |* 入方向：网卡的入方向流量。|\ | |* 出方向：网卡的出方向流量。 | |优先级 |安全组规则的优先级。|\ | ||\ | |* 优先级可以相同。|\ | |* 取值范围为1～100，1为最高优先级。 | |策略 |流量的策略。若优先级相同，则拒绝优先于允许。|\ | ||\ | |* 允许：放通流量。|\ | |* 拒绝：拒绝流量通行。适用于在放通大段CIDR流量时，拒绝其中指定IP的流量通行。 | |协议类型 |支持ALL、TCP、UDP、ICMP、ICMPv6。 | |端口范围 |根据不同协议类型对端口范围进行限定。 | |源地址/目的地址 |* 源地址：仅入方向配置。|\ | |* 目的地址：仅出方向配置。 | * **默认规则** * 默认安全组： |入方向/出方向 |优先级 |策略 |协议 |端口范围 |源地址/目的地址 |描述 | |---|---|---|---|---|---|---| |入方向 |100 |允许 |ALL |ALL |本安全组 |允许安全组内的云服务器彼此通信 | |入方向 |100 |允许 |ICMP |ALL |0.0.0.0/0 |允许ping程序测试云服务器连通性 | |入方向 |100 |允许 |ICMPv6 |ALL |::/0 |允许ping程序测试云服务器连通性 | |入方向 |100 |允许 |TCP |22 |0.0.0.0/0 |允许SSH远程登录Linux服务器 | |入方向 |100 |允许 |TCP |80 |0.0.0.0/0 |允许使用HTTP协议访问网站 | |入方向 |100 |允许 |TCP |443 |0.0.0.0/0 |允许使用HTTPS协议访问网站 | |入方向 |100 |允许 |TCP |3389 |0.0.0.0/0 |允许远程登录Windows云服务器 | |出方向 |100 |允许 |ALL |ALL |0.0.0.0/0 |放通全部IPv6流量 | |出方向 |100 |允许 |ALL |ALL |::/0 |放通全部IPv4流量 | * 自定义安全组： |入方向/出方向 |优先级 |策略 |协议 |端口范围 |源地址/目的地址 |描述 | |---|---|---|---|---|---|---| |入方向 |1 |允许 |ALL |ALL |本安全组 |允许安全组内的云服务器彼此通信 | |出方向 |100 |允许 |ALL |ALL |0.0.0.0/0 |放通全部IPv4流量 | |出方向 |100 |允许 |ALL |ALL |::/0 |放通全部IPv6流量 | :::tip 为私有网络开通IPv6的功能正在邀测中，暂仅支持完成 [企业认证](https://www.volcengine.com/docs/6261/64937) 的账号申请试用，如需试用，请联系客户经理。 ::: ### 匹配说明网卡关联一个或多个安全组： * 若所有安全组内均无规则，则拒绝网卡所有出入方向流量。 * 若存在安全组内有规则，则网卡流量匹配过程如下（以网卡入方向流量为例，出方向流量同理）： 1. **优先级排序**：汇总所有安全组的入方向规则，并按照优先级由高到低排序。 :::tip * 优先级数值越小则优先级越高。 * 两条入方向规则优先级相同时，拒绝策略优先于允许策略。 ::: 2. **匹配**：流量从上到下依次匹配入方向规则，若成功匹配，则根据规则的策略，允许或拒绝流量通行，并结束匹配操作；若所有规则均未成功，则拒绝该流量通行。 ## 使用限制下表中支持调整的配额项，如果默认配额无法满足需要，您可前往火山引擎 [配额中心](https://console.volcengine.com/quota/productList/coParameterList?ProviderCode=VPC) 提升相应配额。 |限制项 |最大值 |是否支持调整 | |---|---|---| |单个安全组可绑定网卡的私网IP数量（包含IPv4和IPv6） |6000个 |否 | |单张网卡支持关联的安全组数量 |5个 |否 | |单个安全组支持添加的规则数量 |* 入方向：IPv4规则200条，IPv6规则200条|是 |\ | |* 出方向：IPv4规则200条，IPv6规则200条 | | |单个安全组可以引用的安全组ID数量 |10个 |否 | |单账号单地域可创建的安全组数量（包括默认安全组） |300个 |是 | |单个安全组可添加的用户标签数量 |50个 |否 | ## 使用流程 1. [创建安全组](https://www.volcengine.com/docs/6401/68894) 2. [关联网卡](https://www.volcengine.com/docs/6401/68902#%E5%85%B3%E8%81%94%E7%BD%91%E5%8D%A1) 3. [添加安全组规则](https://www.volcengine.com/docs/6401/68895#%E6%B7%BB%E5%8A%A0%E5%AE%89%E5%85%A8%E7%BB%84%E8%A7%84%E5%88%99) ## 实践建议 * 安全组规划请参考 [如何规划安全组](https://www.volcengine.com/docs/6396/80228)。 * 应用示例请参见 [安全组应用示例](https://www.volcengine.com/docs/6401/68893) 。 * 安全组放通IP地址和端口后，请确认云服务器实例的防火墙是否放通，若防火墙未放通，则流量依然会被拒绝。详情请参考[如何配置Linux实例防火墙](https://developer.volcengine.com/articles/7270815826700140600)、[如何配置Windows云服务器防火墙？](https://www.volcengine.com/docs/6396/69139#%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AE-windows-%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%9F)。