安全组概述
云计算 2024-09-24 23:45 543

  安全组是一种虚拟防火墙,用于在云端划分安全区域。通过配置安全组规则,您可以允许或禁止安全组内的多台云服务器的流量出/入。安全组具备状态检测和数据包过滤能力,可以阻止所有未在规则内明确允许的流量。

  特征和限制

  ● 艾奇云为新创建的云服务器默认分配一个安全组。您也可以在创建云服务器时,将其加入已有的安全组。

  ● 一台云服务器暂时只可加入一个安全组。

  ● 只有相同数据中心区域的云服务器才能加入同一个安全组。

  ● 一台云服务器至少属于一个安全组。

  ● 安全组的默认规则是在出方向上的数据报文全部放行,入方向访问受限。

  ● 同一个安全组内的云服务器无需添加规则即可相互访问。

  ● 在未设置允许访问的安全组规则的情况下,不同安全组内的云服务器之间默认内网不通。

  安全组规则

  一条安全组规则由规则方向、协议类型、端口范围、授权 IP 等属性确定, 详见下表。

 

属性 说明
规则方向

入方向:指从外部访问安全组内的云服务器。

出方向:指安全组内的云服务器访问安全组外的对象。

协议类型 TCP、UDP、ICMP(IPv4)、GRE 等网络协议。
端口范围 应用或协议开启的端口。详情可参见 。
授权 IP

指允许访问的授权对象,包括来源 IP 地址(段)或其他安全组内的实例。

例如:

xxx.xxx.xxx.xxx/32(IPv4地址),xxx.xxx.xxx.0/24(子网),0.0.0.0/0(任意地址)


  与您的云服务器建立数据通信之前,安全组会逐条匹配安全组规则,查询是否放行访问请求。

  例如:您使用 VNC 远程登录云服务器时,安全组会逐一检查:

  ① 入方向的安全组规则;

  ② 发送请求的设备的 IP 地址是否在授权 IP 范围内;

  ③ 端口是否已经开启等。

  只有当安全组规则允许放行后,才能建立数据通信。

  默认安全组

  创建云服务器时,如果您未创建过安全组(或您未指定加入已有的安全组),则衡天云会为您创建一个默认安全组。

  默认安全组已为您配置如下默认规则:

 

方向

协议

端口范围

授权 IP

说明

出方向

全部

全部

0.0.0.0/0

允许所有出站流量的数据报文通过

入方向

UDP

3389

0.0.0.0/0

允许 RDP 通过 UDP 远程连接 Windows云服务器

入方向

UDP

22

0.0.0.0/0

允许 SSH 通过 UDP 远程连接 Linux 云服务器

入方向

RDP

3389

0.0.0.0/0

允许所有 IP 地址通过 RDP 远程连接 Windows 云服务器

入方向

SSH

22

0.0.0.0/0

允许所有 IP 地址通过 SSH 远程连接 Linux 云服务器

入方向

HTTPS

443

0.0.0.0/0

允许所有 IP 地址通过 HTTPS 的方式访问网站

入方向

HTTP

80

0.0.0.0/0

允许所有 IP 地址通过 HTTP 的方式访问网站

入方向

ICMP

全部

0.0.0.0/0

允许公网 ping 云服务器

 

 

  您可以根据业务需要,自行 添加安全组规则。例如,登录宝塔面板时,需要 安全组放行 8888 端口。更多安全组规则配置示例,请参见 安全组应用案例。

  实践建议

  ● 仅允许少量请求访问云服务器时,可将安全组作为白名单使用。先设置安全组为拒绝全部访问,然后逐一添加允许通信的访问请求策略。

  ● 建议设置简洁的安全组规则。如果您设置过多规则,任何规则变更都可能引起网络不通的故障。

  ● 添加安全组规则时请遵循最小授权原则。例如,选择开放具体的端口,如80/80。不要设置为端口范围,如1/80。

  ● 添加安全组规则时,谨慎授权 0.0.0.0/0(全网段)访问源。

 

 

Powered by ©IDCSMART