一、安全组概述
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器的网络访问控制,控制安全组内云服务器的入流量和出流量,是重要的网络安全隔离手段。
安全组具有以下功能特点:
(1)一台云服务器只能关联一个安全组。
(2)一个安全组可以管理同一个区域内的多台云服务器。
(3)同一区域内,不同安全组内的云服务器之间默认内网互通。
(4)可以将有相同防护需求的云服务器加入一个安全组,而无需为每一个云服务器都配置一个单独的安全组。
1、使用限制
(1)安全组是分区域的,一台云服务器只能与相同区域中的安全组进行关联。
(2)每个区域最多可设置50个安全组。
(3)一个安全组的访问策略,最多可设置30条。
(4)一个云服务器只能关联一个安全组,一个安全组可以关联同区的多个云服务器。
(5)安全组在使用中有配额限制,具体如下:
| 功能描述 | 限制 |
| 安全组个数 | 50个/区域 |
| 安全组规则数 | 其它区域:30条/安全组 二区:30条 |
| 每个安全组关联的云服务器数量 | 500台 |
| 每个云服务器可以关联的安全组个数 | 1个 |
2、安全组规则
组成部分
安全组规则包括如下组成部分:
授权策略:允许。
网络类型:网络类型如IPV4、IPV6。
协议类型:协议类型如 TCP、UDP等。
端口范围:端口如80、443、3389等。
授权类型:可以IP网络,也可以是一个安全组下的所有IP。
授权对像:是指网络入流量(入方向)或出流量(出方向)的IP,采用CIDR格式。
来源:源数据(入方向)或目标数据(出方向)的 IP。
规则说明
安全组内规则具有优先级。规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,最先应用;列表底端规则优先级最低。
若有规则冲突,则默认应用位置更前的规则。
当有流量入/出关联某安全组的云服务器时,将从安全组规则列表顶端的规则开始逐条匹配至最后一条。如果匹配某一条规则成功,允许通过,则不再匹配该规则之后的规则。
3、使用流程
安全组的使用流程如下图所示:
4、安全组实践建议
以下为在使用或是添加安全组时的一些实践建议
使用安全组时
不建议使用一个安全组管理所有应用,不同的分层一定有不同的隔离需求。
不建议为每台云服务器单独设置一个安全组,您只需将具有相同安全保护需求的ECS实例加入同一安全组。
添加安全组规则时
建议您设置简洁的安全组规则。如果对规则的优先级有需求,在设置时按自己需要的优先级顺序创建规则。
为应用添加安全组规则时遵循最小授权原则。例如,您可以:
选择开放具体的端口,如80/80。不要设置为端口范围,如1/80。
添加安全组规则时,谨慎授权0.0.0.0/0(全网段)访问源。
每个安全组下添加的规则条数建议不要超过15条。
二、创建安全组
(1)登录 云服务器控制台。
(2)在左侧导航栏,点击【安全】-->【安全组】,进入安全组管理页面。
(3)在安全组管理页面,点击【创建安全组】。
(4)在弹出的“创建安全组”窗口中,完成以下配置:
创建安全组时,您可以选择新网云为您提供的安全组模板:
(5)点击【确定】,完成安全组的创建。
三、添加安全组规则
1、前提条件
您已经创建一个安全组。具体操作请参见创建安全组。
您已经知道云服务器需要允许或禁止哪些公网的访问。
2、操作步骤
(1)登录 云服务器控制台。
(2)在左侧导航栏,点击【安全】-->【安全组】,进入安全组管理页面
(3)在安全组管理页面,找到需要设置规则的安全组。
(4)在需要设置规则的安全组行中,点击【配置规则】。
(5)在安全组规则页面,点击【添加安全组规则】,并根据实际需求进行设置。
(6)在弹出的“添加安全组规则”窗口中,设置规则。
针对常用服务使用的协议及端口,规则的选项中有快速模板,方便您快速设置规则,详见常用端口
如果您没有找到合适的快速模板,可以在规则的选项中选自定义,根据您业务需要进行设置即可。
四、云服务器关联安全组
安全组用于设置单台或多台云服务器的网络访问控制,是重要的网络安全隔离手段。您可以根据业务需要,将云服务器关联到一个安全组。下面将指导您如何在控制台上将云服务器关联安全组。
说明:安全组仅支持关联云服务器。
1、前提条件
您已创建云服务器。
2、操作步骤
(1)登录 云服务器控制台。
(2)在左侧导航栏,点击【云服务器ECS】,进入云服务器管理页面。
(3)在云服务器管理页面,找到需要关联安全组的云服务器,点击云服务器的名称,进入详情页面。
(4)在详情页面,点击【更换安全组】
(5)在弹出的“绑定安全组”窗口中,选择云服务器需要绑定的安全组,点击【确定】。
五、 管理安全组
1、查看安全组
您可以查看已经创建的安全组,下面将指导您如何在控制台上查看安全组。
操作步骤
查看所有安全组
(1)登录 云服务器控制台。
(2)在左侧导航栏,单击【安全组】,进入安全组管理页面,即可查看所有安全组。
查看指定安全组
(1)登录 云服务器控制台。
(2)在左侧导航栏,单击【安全组】,进入安全组管理页面
(3)在安全组管理页面,搜索框内输入安全组ID 或安全组名称,注意要输入全称。
2、更换安全组
您可以根据业务需要,更换云服务器绑定的安全组。
前提条件
云服务器已绑定某个安全组。
操作步骤
(1)登录 云服务器控制台。
(2)在左侧导航栏,点击【云服务器ECS】,进入云服务器管理页面。
(3)在云服务器管理页面,找到需要更换安全组的云服务器,点击云服务器的名称,进入详情页面。
(4)在详情页面,点击【更换安全组】
(5)在弹出的“绑定安全组”窗口中,选择云服务器需要绑定的安全组,点击【确定】。
3、删除安全组
如果您的业务不再某个安全组,您可以删除安全组。
前提条件
请确认待删除的安全组不存在关联的云服务器。若存在关联的云服务器,请先将关联云服务器关联至其它安全组,否则删除安全组操作不可执行。
操作步骤
(1)登录 云服务器控制台。
(2)在左侧导航栏,单击【安全组】,进入安全组管理页面。
(3)在安全组管理页面,找到需要删除的安全组。
(4)在弹出的提示框中,单击【确定】。
六、管理安全组规则
1、查看安全组规则
添加安全组规则后,您可以在控制台上查看安全组规则的详细信息。
前提条件
已创建安全组,并已在该安全组中添加了安全组规则。
如何创建安全组和添加安全组规则,请参见 创建安全组 和 添加安全组规则。
操作步骤
(1)登录 云服务器控制台。
(2)在左侧导航栏,单击【安全组】,进入安全组管理页面。
(3)在安全组管理页面,找到需要查看规则的安全组。
(4)在需要查看规则的安全组行的最右侧,点击【配置规则】,进入安全组规则页面。
(5)在安全组规则页面,单击【入方向/出方向】页签,可以查看到入方向/出方向的安全组规则。
2、修改安全组规则
前提条件
已创建安全组,并已在该安全组中添加了安全组规则。
操作步骤
(1)登录 云服务器控制台;
(2)在左侧导航栏,单击【安全组】,进入安全组管理页面;
(3)在安全组管理页面,找到需要查看规则的安全组;
(4)在需要查看规则的安全组行的最右端,点击【配置规则】,进入安全组规则页面;
(5)在安全组规则页面,找到需要修改的规则行中,点击操作列的【修改】,即可对已有规则进行修改。
3、删除安全组规则
如果您不再需要某个安全组规则,可以删除安全组规则。
前提条件
已创建安全组,并已在该安全组中添加了安全组规则。
已确认云服务器不需要允许哪些公网访问。
操作步骤
(1)登录 云服务器控制台。
(2)在左侧导航栏,单击【安全组】,进入安全组管理页面。
(3)在安全组管理页面,找到需要查看规则的安全组。
(4)在需要查看规则的安全组行的最右侧,点击【配置规则】,进入安全组规则页面。
(5)在安全组规则页面,找到待删除的安全组规则行中,点击操作列的【删除】。
(6)在弹出的提示框中,单击【确定】。
七、常用端口
| 协议类型 | 端口 | 服务 | 说明 |
| TCP | 21 | FTP | 用于上传、下载文件。 |
| TCP | 22 | SSH | 用于远程桌面服务,连接Linux系统的云服务器。 |
| TCP | 25 | SMTP | 用于邮件发送服务。 |
| UDP | 69 | TFTP | 简单文件传输协议 |
| TCP | 80 | HTTP | 用于HTTP服务(Web服务),例如,IIS、Apache、Nginx等服务。 |
| TCP | 110 | POP3 | 用于POP3协议,POP3是电子邮件收发的协议。 |
| TCP | 143 | IMAP | 用于IMAP(Internet Message Access Protocol)协议,IMAP是用于电子邮件的接收的协议。 |
| TCP | 389 | IDAP | LDAP轻型目录访问协议,常用于单点登录服务 |
| TCP | 443 | HTTPS | 用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。 |
| TCP | 1433 | MS SQL | SQL Server的TCP端口,用于供SQL Server对外提供服务。 |
| TCP | 1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。 |
| TCP | 3306 | MYSQL | MySQL数据库对外提供服务的端口。 |
| TCP | 3389 | RDP | 用于远程桌面服务,连接Windows系统的云服务器。 |
| ICMP | | ping服务 | |
京公网安备11030102000056号
京ICP备09061941号-4 
商品已成功加入购物车
