ECS云服務(wù)器的安全組概述

安全組是一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾能力，用于在云端劃分安全域。通過配置安全組規(guī)則，您可以控制安全組內(nèi)一臺(tái)或多臺(tái)ECS實(shí)例的入流量和出流量。

安全組特點(diǎn)

安全組具有以下功能特點(diǎn)：

一臺(tái)ECS實(shí)例至少屬于一個(gè)安全組，可以同時(shí)加入多個(gè)安全組。

一個(gè)安全組可以管理同一個(gè)地域內(nèi)的多臺(tái)ECS實(shí)例，這些實(shí)例要求具有相同安全保護(hù)需求并相互信任。

在沒有設(shè)置允許訪問的安全組規(guī)則的情況下，不同安全組內(nèi)的ECS實(shí)例默認(rèn)內(nèi)網(wǎng)不通。

同一安全組內(nèi)的ECS實(shí)例之間可以實(shí)現(xiàn)內(nèi)網(wǎng)互通。

（僅普通安全組）可以通過安全組規(guī)則授權(quán)兩個(gè)安全組之間互訪。

安全組支持有狀態(tài)應(yīng)用。一個(gè)有狀態(tài)的會(huì)話連接中，會(huì)話的長保持時(shí)間是910秒。安全組會(huì)默認(rèn)放行同一會(huì)話中的通信。例如，在會(huì)話期內(nèi)，如果連接的數(shù)據(jù)包在入方向是允許的，則在出方向也是允許的。

安全組類型

安全組分為普通安全組和企業(yè)安全組。下表列舉了兩種類型安全組的差異。

安全組類型安全組規(guī)則類型安全組規(guī)則優(yōu)先級(jí)入方向訪問策略出方向訪問策略適用場景普通安全組默認(rèn)安全組規(guī)則由安全組模板決定*由安全組模板決定*允許所有訪問請求對(duì)網(wǎng)絡(luò)精細(xì)化控制要求較高、希望使用多種ECS實(shí)例規(guī)格、以及網(wǎng)絡(luò)連接數(shù)適中的用戶場景手動(dòng)添加的安全組規(guī)則在1~100之間取值，數(shù)值越低，優(yōu)先級(jí)越高支持允許和拒絕策略，可按需添加**按需添加**企業(yè)安全組默認(rèn)安全組規(guī)則取值范圍：1，該值不支持修改由安全組模板決定*由安全組模板決定*對(duì)運(yùn)維效率、ECS實(shí)例規(guī)格以及計(jì)算節(jié)點(diǎn)的規(guī)模有更高需求的用戶場景手動(dòng)添加的安全組規(guī)則支持允許策略，可按需添加**按需添加**

* 在ECS控制臺(tái)上創(chuàng)建安全組時(shí)，您可以選擇Web Server Linux（放行了80、443、22及ICMP協(xié)議）、Web Server Windows（放行了80、443、3389及ICMP協(xié)議）以及自定義（入方向上拒絕所有訪問請求）的安全組模板。

** 手動(dòng)添加安全組規(guī)則的步驟，請參見添加安全組規(guī)則。

本文主要講解普通安全組的相關(guān)概念。企業(yè)安全組詳情，請參見企業(yè)安全組。

默認(rèn)安全組

通過ECS管理控制臺(tái)創(chuàng)建實(shí)例時(shí)，若您未在該地域創(chuàng)建安全組，則阿里云會(huì)在創(chuàng)建實(shí)例的同時(shí)，創(chuàng)建一個(gè)默認(rèn)安全組。默認(rèn)安全組為普通安全組，網(wǎng)絡(luò)類型和ECS實(shí)例一致。

默認(rèn)安全組的默認(rèn)安全組規(guī)則如下：

入方向：

默認(rèn)放行：ICMP協(xié)議、SSH 22端口、RDP 3389端口，授權(quán)對(duì)象為0.0.0.0/0。

更多選擇：HTTP 80端口和HTTPS 443端口，需自行勾選。

規(guī)則優(yōu)先級(jí)：110。

出方向：允許所有訪問。

使用限制

有關(guān)安全組的使用限制及配額，請參見使用限制安全組章節(jié)。

使用流程

安全組的使用流程如下圖所示。

管理ECS實(shí)例

管理彈性網(wǎng)卡

安全組規(guī)則

建立數(shù)據(jù)通信前，安全組逐條匹配安全組規(guī)則查詢是否放行訪問請求。一條安全組規(guī)則由下表中的屬性確定。

網(wǎng)絡(luò)類型網(wǎng)卡類型規(guī)則方向授權(quán)策略協(xié)議類型端口范圍優(yōu)先級(jí)授權(quán)類型授權(quán)對(duì)象專有網(wǎng)絡(luò)VPC不需要設(shè)置支持入方向和出方向支持允許、拒絕應(yīng)用層協(xié)議，例如SSH、ICMP、RDP等應(yīng)用或協(xié)議開啟的端口手動(dòng)添加的規(guī)則支持1~100，默認(rèn)規(guī)則為110支持安全組訪問、IP地址段訪問支持設(shè)置IP地址段和安全組ID經(jīng)典網(wǎng)絡(luò)支持內(nèi)網(wǎng)和公網(wǎng)

不同通信場景需要設(shè)置的安全組規(guī)則屬性不同。更多規(guī)則配置示例，請參見安全組應(yīng)用案例。

例如，您使用Xshell客戶端遠(yuǎn)程連接Linux系統(tǒng)ECS實(shí)例時(shí)，當(dāng)安全組檢測到從公網(wǎng)或內(nèi)網(wǎng)有SSH請求，會(huì)逐一檢查入方向上安全組規(guī)則、發(fā)送請求的設(shè)備的IP地址是否已存在、優(yōu)先級(jí)是為同類規(guī)則首要、授權(quán)策略是否為允許、22端口是否開啟等。只有匹配到一條安全組規(guī)則允許放行該請求時(shí)，方才建立數(shù)據(jù)通信。下圖為使用Xshell遠(yuǎn)程連接Linux系統(tǒng)ECS實(shí)例的規(guī)則匹配舉例。

規(guī)則優(yōu)先級(jí)

同類型規(guī)則間依賴優(yōu)先級(jí)決定終執(zhí)行的規(guī)則。尤其是當(dāng)ECS實(shí)例加入了多個(gè)安全組時(shí)，多個(gè)安全組會(huì)從高到低依次匹配規(guī)則。優(yōu)先級(jí)數(shù)值越小，代表優(yōu)先級(jí)越高，取值范圍：

手動(dòng)添加的安全組規(guī)則：1~100。

系統(tǒng)添加的安全組規(guī)則：110。僅默認(rèn)安全組及通過模板創(chuàng)建的安全組規(guī)則的優(yōu)先級(jí)為110。

說明企業(yè)安全組不支持規(guī)則優(yōu)先級(jí)設(shè)置。

如果兩條安全組規(guī)則的協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對(duì)象都相同，終生效的安全組規(guī)則如下：

優(yōu)先級(jí)相同：拒絕策略的規(guī)則優(yōu)先生效，允許策略的規(guī)則不生效。

優(yōu)先級(jí)不同：優(yōu)先級(jí)高的規(guī)則生效。

網(wǎng)卡類型

普通安全組的網(wǎng)絡(luò)類型不同時(shí)，安全組規(guī)則需要區(qū)分網(wǎng)卡類型。

經(jīng)典網(wǎng)絡(luò)：區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。

專有網(wǎng)絡(luò)VPC：只能為內(nèi)網(wǎng)網(wǎng)卡，但安全組規(guī)則同時(shí)對(duì)內(nèi)網(wǎng)和公網(wǎng)生效。專有網(wǎng)絡(luò)VPC類型ECS實(shí)例的公網(wǎng)訪問通過內(nèi)網(wǎng)網(wǎng)卡映射轉(zhuǎn)發(fā)。所以，您在ECS實(shí)例內(nèi)部無法看到公網(wǎng)網(wǎng)卡，也只能設(shè)置內(nèi)網(wǎng)安全組規(guī)則。

說明企業(yè)安全組僅支持專有網(wǎng)絡(luò)VPC。

實(shí)踐建議

使用安全組時(shí)：

僅允許少量請求訪問ECS實(shí)例時(shí)，可以將安全組作為白名單使用。即先設(shè)置安全組為拒絕全部訪問，然后逐一添加允許通信的訪問請求策略。

不建議使用一個(gè)安全組管理所有應(yīng)用，不同的分層一定有不同的隔離需求。

不建議為每臺(tái)ECS實(shí)例單獨(dú)設(shè)置一個(gè)安全組，您只需將具有相同安全保護(hù)需求的ECS實(shí)例加入同一安全組即可。

添加安全組規(guī)則時(shí)：

建議您設(shè)置簡潔的安全組規(guī)則。例如，如果您給一臺(tái)ECS實(shí)例分配了多個(gè)安全組，該ECS實(shí)例很可能會(huì)同時(shí)遵循數(shù)百條安全組規(guī)則，任何規(guī)則變更都可能引起網(wǎng)絡(luò)不通的故障。

如果您需要修改生產(chǎn)環(huán)境的安全組規(guī)則，建議您提前在克隆的安全組上進(jìn)行調(diào)試，避免影響線上應(yīng)用。詳情請參見克隆安全組。

為應(yīng)用添加安全組規(guī)則時(shí)遵循小授權(quán)原則。例如，您可以：

選擇開放具體的端口，如80/80。不要設(shè)置為端口范圍，如1/80。

添加安全組規(guī)則時(shí)，謹(jǐn)慎授權(quán)0.0.0.0/0（全網(wǎng)段）訪問源。

網(wǎng)頁題目：ECS云服務(wù)器的安全組概述
URL標(biāo)題：http://www.muchs.cn/news6/263806.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、外貿(mào)建站、響應(yīng)式網(wǎng)站、電子商務(wù)、動(dòng)態(tài)網(wǎng)站、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)