主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制，限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后，会自动同步到ECS安全组并生效。在云防火墙控制台可实现策略的统一管控安全组策略，并且无需切换ECS实例所在的地域。本文介绍如何配置主机边界防火墙。

安全组概述

安全组是一系列安全规则的集合，具备状态检测和数据包过滤能力，用于在云端划分安全域，是火山引擎提供的重要的网络安全隔离手段。
安全组创建后，您可以为其设置出方向、入方向规则，这些规则会对安全组内部的云服务器出/入网络流量进行控制，对于已允许的入站流量，都将自动允许其流出，反之亦然。当云服务器加入该安全组后，即受到已设置的访问规则的保护。
您可以使用以下方法来控制您的ECS实例的访问权限：

• 创建多个安全组，并给每个安全组指定不同的规则。
• 每个实例分配一个或多个安全组，ECS将按照这些规则确定：哪些流量可访问实例、实例可以访问哪些资源。
• 配置安全组，以便只有特定的 IP 地址或特定的安全组可以访问实例。

更多安全组信息请参见安全组概述。

1. 登录云防火墙控制台。
2. 进入防护配置 > 访问控制> 主机边界防火墙界面， 点击添加安全组按钮， 进入创建安全组页面。
3. 参考下表配置安全组。

安全组关联网卡

当您创建好安全组后，可以将网卡与该安全组进行关联，使这些网卡所在云服务器实例受到安全组的保护。

1. 在主机边界防火墙界面，单击目标安全组列表右侧“详情”按钮。
2. 在“关联网卡”页签，单击“关联网卡”按钮。
3. 勾选需要关联的网卡，单击“确定”按钮，完成操作。