一、安全組概述
安全組是一種虛擬防火墻,具備有狀態的數據包過濾功能,用于設置云服務器的網絡訪問控制,控制安全組內云服務器的入流量和出流量,是重要的網絡安全隔離手段。
安全組具有以下功能特點:
(1)一臺云服務器只能關聯一個安全組。
(2)一個安全組可以管理同一個區域內的多臺云服務器。
(3)同一區域內,不同安全組內的云服務器之間默認內網互通。
(4)可以將有相同防護需求的云服務器加入一個安全組,而無需為每一個云服務器都配置一個單獨的安全組。
1、使用限制
(1)安全組是分區域的,一臺云服務器只能與相同區域中的安全組進行關聯。
(2)每個區域最多可設置50個安全組。
(3)一個安全組的訪問策略,最多可設置30條。
(4)一個云服務器只能關聯一個安全組,一個安全組可以關聯同區的多個云服務器。
(5)安全組在使用中有配額限制,具體如下:
| 功能描述 | 限制 |
| 安全組個數 | 50個/區域 |
| 安全組規則數 | 其它區域:30條/安全組 二區:30條 |
| 每個安全組關聯的云服務器數量 | 500臺 |
| 每個云服務器可以關聯的安全組個數 | 1個 |
2、安全組規則
組成部分
安全組規則包括如下組成部分:
授權策略:允許。
網絡類型:網絡類型如IPV4、IPV6。
協議類型:協議類型如 TCP、UDP等。
端口范圍:端口如80、443、3389等。
授權類型:可以IP網絡,也可以是一個安全組下的所有IP。
授權對像:是指網絡入流量(入方向)或出流量(出方向)的IP,采用CIDR格式。
來源:源數據(入方向)或目標數據(出方向)的 IP。
規則說明
安全組內規則具有優先級。規則優先級通過規則在列表中的位置來表示,列表頂端規則優先級最高,最先應用;列表底端規則優先級最低。
若有規則沖突,則默認應用位置更前的規則。
當有流量入/出關聯某安全組的云服務器時,將從安全組規則列表頂端的規則開始逐條匹配至最后一條。如果匹配某一條規則成功,允許通過,則不再匹配該規則之后的規則。
3、使用流程
安全組的使用流程如下圖所示:
4、安全組實踐建議
以下為在使用或是添加安全組時的一些實踐建議
使用安全組時
不建議使用一個安全組管理所有應用,不同的分層一定有不同的隔離需求。
不建議為每臺云服務器單獨設置一個安全組,您只需將具有相同安全保護需求的ECS實例加入同一安全組。
添加安全組規則時
建議您設置簡潔的安全組規則。如果對規則的優先級有需求,在設置時按自己需要的優先級順序創建規則。
為應用添加安全組規則時遵循最小授權原則。例如,您可以:
選擇開放具體的端口,如80/80。不要設置為端口范圍,如1/80。
添加安全組規則時,謹慎授權0.0.0.0/0(全網段)訪問源。
每個安全組下添加的規則條數建議不要超過15條。
二、創建安全組
(1)登錄 云服務器控制臺。
(2)在左側導航欄,點擊【安全】-->【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,點擊【創建安全組】。
(4)在彈出的“創建安全組”窗口中,完成以下配置:
創建安全組時,您可以選擇新網云為您提供的安全組模板:
(5)點擊【確定】,完成安全組的創建。
三、添加安全組規則
1、前提條件
您已經創建一個安全組。具體操作請參見創建安全組。
您已經知道云服務器需要允許或禁止哪些公網的訪問。
2、操作步驟
(1)登錄 云服務器控制臺。
(2)在左側導航欄,點擊【安全】-->【安全組】,進入安全組管理頁面
(3)在安全組管理頁面,找到需要設置規則的安全組。
(4)在需要設置規則的安全組行中,點擊【配置規則】。
(5)在安全組規則頁面,點擊【添加安全組規則】,并根據實際需求進行設置。
(6)在彈出的“添加安全組規則”窗口中,設置規則。
針對常用服務使用的協議及端口,規則的選項中有快速模板,方便您快速設置規則,詳見常用端口
如果您沒有找到合適的快速模板,可以在規則的選項中選自定義,根據您業務需要進行設置即可。
四、云服務器關聯安全組
安全組用于設置單臺或多臺云服務器的網絡訪問控制,是重要的網絡安全隔離手段。您可以根據業務需要,將云服務器關聯到一個安全組。下面將指導您如何在控制臺上將云服務器關聯安全組。
說明:安全組僅支持關聯云服務器。
1、前提條件
您已創建云服務器。
2、操作步驟
(1)登錄 云服務器控制臺。
(2)在左側導航欄,點擊【云服務器ECS】,進入云服務器管理頁面。
(3)在云服務器管理頁面,找到需要關聯安全組的云服務器,點擊云服務器的名稱,進入詳情頁面。
(4)在詳情頁面,點擊【更換安全組】
(5)在彈出的“綁定安全組”窗口中,選擇云服務器需要綁定的安全組,點擊【確定】。
五、 管理安全組
1、查看安全組
您可以查看已經創建的安全組,下面將指導您如何在控制臺上查看安全組。
操作步驟
查看所有安全組
(1)登錄 云服務器控制臺。
(2)在左側導航欄,單擊【安全組】,進入安全組管理頁面,即可查看所有安全組。
查看指定安全組
(1)登錄 云服務器控制臺。
(2)在左側導航欄,單擊【安全組】,進入安全組管理頁面
(3)在安全組管理頁面,搜索框內輸入安全組ID 或安全組名稱,注意要輸入全稱。
2、更換安全組
您可以根據業務需要,更換云服務器綁定的安全組。
前提條件
云服務器已綁定某個安全組。
操作步驟
(1)登錄 云服務器控制臺。
(2)在左側導航欄,點擊【云服務器ECS】,進入云服務器管理頁面。
(3)在云服務器管理頁面,找到需要更換安全組的云服務器,點擊云服務器的名稱,進入詳情頁面。
(4)在詳情頁面,點擊【更換安全組】
(5)在彈出的“綁定安全組”窗口中,選擇云服務器需要綁定的安全組,點擊【確定】。
3、刪除安全組
如果您的業務不再某個安全組,您可以刪除安全組。
前提條件
請確認待刪除的安全組不存在關聯的云服務器。若存在關聯的云服務器,請先將關聯云服務器關聯至其它安全組,否則刪除安全組操作不可執行。
操作步驟
(1)登錄 云服務器控制臺。
(2)在左側導航欄,單擊【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,找到需要刪除的安全組。
(4)在彈出的提示框中,單擊【確定】。
六、管理安全組規則
1、查看安全組規則
添加安全組規則后,您可以在控制臺上查看安全組規則的詳細信息。
前提條件
已創建安全組,并已在該安全組中添加了安全組規則。
如何創建安全組和添加安全組規則,請參見 創建安全組 和 添加安全組規則。
操作步驟
(1)登錄 云服務器控制臺。
(2)在左側導航欄,單擊【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,找到需要查看規則的安全組。
(4)在需要查看規則的安全組行的最右側,點擊【配置規則】,進入安全組規則頁面。
(5)在安全組規則頁面,單擊【入方向/出方向】頁簽,可以查看到入方向/出方向的安全組規則。
2、修改安全組規則
前提條件
已創建安全組,并已在該安全組中添加了安全組規則。
操作步驟
(1)登錄 云服務器控制臺;
(2)在左側導航欄,單擊【安全組】,進入安全組管理頁面;
(3)在安全組管理頁面,找到需要查看規則的安全組;
(4)在需要查看規則的安全組行的最右端,點擊【配置規則】,進入安全組規則頁面;
(5)在安全組規則頁面,找到需要修改的規則行中,點擊操作列的【修改】,即可對已有規則進行修改。
3、刪除安全組規則
如果您不再需要某個安全組規則,可以刪除安全組規則。
前提條件
已創建安全組,并已在該安全組中添加了安全組規則。
已確認云服務器不需要允許哪些公網訪問。
操作步驟
(1)登錄 云服務器控制臺。
(2)在左側導航欄,單擊【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,找到需要查看規則的安全組。
(4)在需要查看規則的安全組行的最右側,點擊【配置規則】,進入安全組規則頁面。
(5)在安全組規則頁面,找到待刪除的安全組規則行中,點擊操作列的【刪除】。
(6)在彈出的提示框中,單擊【確定】。
七、常用端口
| 協議類型 | 端口 | 服務 | 說明 |
| TCP | 21 | FTP | 用于上傳、下載文件。 |
| TCP | 22 | SSH | 用于遠程桌面服務,連接Linux系統的云服務器。 |
| TCP | 25 | SMTP | 用于郵件發送服務。 |
| UDP | 69 | TFTP | 簡單文件傳輸協議 |
| TCP | 80 | HTTP | 用于HTTP服務(Web服務),例如,IIS、Apache、Nginx等服務。 |
| TCP | 110 | POP3 | 用于POP3協議,POP3是電子郵件收發的協議。 |
| TCP | 143 | IMAP | 用于IMAP(Internet Message Access Protocol)協議,IMAP是用于電子郵件的接收的協議。 |
| TCP | 389 | IDAP | LDAP輕型目錄訪問協議,常用于單點登錄服務 |
| TCP | 443 | HTTPS | 用于HTTPS服務提供訪問功能。HTTPS是一種能提供加密和通過安全端口傳輸的一種協議。 |
| TCP | 1433 | MS SQL | SQL Server的TCP端口,用于供SQL Server對外提供服務。 |
| TCP | 1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪個TCP/IP端口。 |
| TCP | 3306 | MYSQL | MySQL數據庫對外提供服務的端口。 |
| TCP | 3389 | RDP | 用于遠程桌面服務,連接Windows系統的云服務器。 |
| ICMP | | ping服務 | |
京公網安備11030102000056號
京ICP備09061941號-4 
商品已成功加入購物車
