安全组是一种虚拟防火墙,用于在云端划分安全区域。通过配置安全组规则,您可以允许或禁止安全组内的多台云服务器的流量出/入。安全组具备状态检测和数据包过滤能力,可以阻止所有未在规则内明确允许的流量。
特征和限制
● 艾奇云为新创建的云服务器默认分配一个安全组。您也可以在创建云服务器时,将其加入已有的安全组。
● 一台云服务器暂时只可加入一个安全组。
● 只有相同数据中心区域的云服务器才能加入同一个安全组。
● 一台云服务器至少属于一个安全组。
● 安全组的默认规则是在出方向上的数据报文全部放行,入方向访问受限。
● 同一个安全组内的云服务器无需添加规则即可相互访问。
● 在未设置允许访问的安全组规则的情况下,不同安全组内的云服务器之间默认内网不通。
安全组规则
一条安全组规则由规则方向、协议类型、端口范围、授权 IP 等属性确定, 详见下表。
| 属性 | 说明 |
| 规则方向 |
入方向:指从外部访问安全组内的云服务器。 出方向:指安全组内的云服务器访问安全组外的对象。 |
| 协议类型 | TCP、UDP、ICMP(IPv4)、GRE 等网络协议。 |
| 端口范围 | 应用或协议开启的端口。详情可参见 。 |
| 授权 IP |
指允许访问的授权对象,包括来源 IP 地址(段)或其他安全组内的实例。 例如: xxx.xxx.xxx.xxx/32(IPv4地址),xxx.xxx.xxx.0/24(子网),0.0.0.0/0(任意地址) |
与您的云服务器建立数据通信之前,安全组会逐条匹配安全组规则,查询是否放行访问请求。
例如:您使用 VNC 远程登录云服务器时,安全组会逐一检查:
① 入方向的安全组规则;
② 发送请求的设备的 IP 地址是否在授权 IP 范围内;
③ 端口是否已经开启等。
只有当安全组规则允许放行后,才能建立数据通信。
默认安全组
创建云服务器时,如果您未创建过安全组(或您未指定加入已有的安全组),则衡天云会为您创建一个默认安全组。
默认安全组已为您配置如下默认规则:
|
方向 |
协议 |
端口范围 |
授权 IP |
说明 |
|
出方向 |
全部 |
全部 |
0.0.0.0/0 |
允许所有出站流量的数据报文通过 |
|
入方向 |
UDP |
3389 |
0.0.0.0/0 |
允许 RDP 通过 UDP 远程连接 Windows云服务器 |
|
入方向 |
UDP |
22 |
0.0.0.0/0 |
允许 SSH 通过 UDP 远程连接 Linux 云服务器 |
|
入方向 |
RDP |
3389 |
0.0.0.0/0 |
允许所有 IP 地址通过 RDP 远程连接 Windows 云服务器 |
|
入方向 |
SSH |
22 |
0.0.0.0/0 |
允许所有 IP 地址通过 SSH 远程连接 Linux 云服务器 |
|
入方向 |
HTTPS |
443 |
0.0.0.0/0 |
允许所有 IP 地址通过 HTTPS 的方式访问网站 |
|
入方向 |
HTTP |
80 |
0.0.0.0/0 |
允许所有 IP 地址通过 HTTP 的方式访问网站 |
|
入方向 |
ICMP |
全部 |
0.0.0.0/0 |
允许公网 ping 云服务器 |
您可以根据业务需要,自行 添加安全组规则。例如,登录宝塔面板时,需要 安全组放行 8888 端口。更多安全组规则配置示例,请参见 安全组应用案例。
实践建议
● 仅允许少量请求访问云服务器时,可将安全组作为白名单使用。先设置安全组为拒绝全部访问,然后逐一添加允许通信的访问请求策略。
● 建议设置简洁的安全组规则。如果您设置过多规则,任何规则变更都可能引起网络不通的故障。
● 添加安全组规则时请遵循最小授权原则。例如,选择开放具体的端口,如80/80。不要设置为端口范围,如1/80。
● 添加安全组规则时,谨慎授权 0.0.0.0/0(全网段)访问源。