ECS云服務(wù)器的安全組概述
發(fā)布時(shí)間:2025-05-18 點(diǎn)擊:26
安全組是一種虛擬防火墻,具備狀態(tài)檢測(cè)和數(shù)據(jù)包過濾能力,用于在云端劃分安全域。通過配置安全組規(guī)則,您可以控制安全組內(nèi)一臺(tái)或多臺(tái)ecs實(shí)例的入流量和出流量。
安全組特點(diǎn)安全組具有以下功能特點(diǎn):
一臺(tái)ecs實(shí)例至少屬于一個(gè)安全組,可以同時(shí)加入多個(gè)安全組。
一個(gè)安全組可以管理同一個(gè)地域內(nèi)的多臺(tái)ecs實(shí)例,這些實(shí)例要求具有相同安全保護(hù)需求并相互信任。
在沒有設(shè)置允許訪問的安全組規(guī)則的情況下,不同安全組內(nèi)的ecs實(shí)例默認(rèn)內(nèi)網(wǎng)不通。
同一安全組內(nèi)的ecs實(shí)例之間可以實(shí)現(xiàn)內(nèi)網(wǎng)互通。
(僅普通安全組)可以通過安全組規(guī)則授權(quán)兩個(gè)安全組之間互訪。
安全組支持有狀態(tài)應(yīng)用。一個(gè)有狀態(tài)的會(huì)話連接中,會(huì)話的長(zhǎng)保持時(shí)間是910秒。安全組會(huì)默認(rèn)放行同一會(huì)話中的通信。例如,在會(huì)話期內(nèi),如果連接的數(shù)據(jù)包在入方向是允許的,則在出方向也是允許的。
安全組類型安全組分為普通安全組和企業(yè)安全組。下表列舉了兩種類型安全組的差異。
安全組類型安全組規(guī)則類型安全組規(guī)則優(yōu)先級(jí)入方向訪問策略出方向訪問策略適用場(chǎng)景普通安全組默認(rèn)安全組規(guī)則由安全組模板決定*由安全組模板決定*允許所有訪問請(qǐng)求對(duì)網(wǎng)絡(luò)精細(xì)化控制要求較高、希望使用多種ecs實(shí)例規(guī)格、以及網(wǎng)絡(luò)連接數(shù)適中的用戶場(chǎng)景手動(dòng)添加的安全組規(guī)則在1~100之間取值,數(shù)值越低,優(yōu)先級(jí)越高支持允許和拒絕策略,可按需添加**按需添加**企業(yè)安全組默認(rèn)安全組規(guī)則取值范圍:1,該值不支持修改由安全組模板決定*由安全組模板決定*對(duì)運(yùn)維效率、ecs實(shí)例規(guī)格以及計(jì)算節(jié)點(diǎn)的規(guī)模有更高需求的用戶場(chǎng)景手動(dòng)添加的安全組規(guī)則支持允許策略,可按需添加**按需添加*** 在ecs控制臺(tái)上創(chuàng)建安全組時(shí),您可以選擇web server linux(放行了80、443、22及icmp協(xié)議)、web server windows(放行了80、443、3389及icmp協(xié)議)以及自定義(入方向上拒絕所有訪問請(qǐng)求)的安全組模板。
** 手動(dòng)添加安全組規(guī)則的步驟,請(qǐng)參見添加安全組規(guī)則。
本文主要講解普通安全組的相關(guān)概念。企業(yè)安全組詳情,請(qǐng)參見企業(yè)安全組。
默認(rèn)安全組通過ecs管理控制臺(tái)創(chuàng)建實(shí)例時(shí),若您未在該地域創(chuàng)建安全組,則阿里云會(huì)在創(chuàng)建實(shí)例的同時(shí),創(chuàng)建一個(gè)默認(rèn)安全組。默認(rèn)安全組為普通安全組,網(wǎng)絡(luò)類型和ecs實(shí)例一致。
默認(rèn)安全組的默認(rèn)安全組規(guī)則如下:
入方向:
默認(rèn)放行:icmp協(xié)議、ssh 22端口、rdp 3389端口,授權(quán)對(duì)象為0.0.0.0/0。
更多選擇:http 80端口和https 443端口,需自行勾選。
規(guī)則優(yōu)先級(jí):110。
出方向:允許所有訪問。
使用限制有關(guān)安全組的使用限制及配額,請(qǐng)參見使用限制安全組章節(jié)。
使用流程安全組的使用流程如下圖所示。
管理ecs實(shí)例
管理彈性網(wǎng)卡
安全組規(guī)則建立數(shù)據(jù)通信前,安全組逐條匹配安全組規(guī)則查詢是否放行訪問請(qǐng)求。一條安全組規(guī)則由下表中的屬性確定。
網(wǎng)絡(luò)類型網(wǎng)卡類型規(guī)則方向授權(quán)策略協(xié)議類型端口范圍優(yōu)先級(jí)授權(quán)類型授權(quán)對(duì)象專有網(wǎng)絡(luò)vpc不需要設(shè)置支持入方向和出方向支持允許、拒絕應(yīng)用層協(xié)議,例如ssh、icmp、rdp等應(yīng)用或協(xié)議開啟的端口手動(dòng)添加的規(guī)則支持1~100,默認(rèn)規(guī)則為110支持安全組訪問、ip地址段訪問支持設(shè)置ip地址段和安全組id經(jīng)典網(wǎng)絡(luò)支持內(nèi)網(wǎng)和公網(wǎng)不同通信場(chǎng)景需要設(shè)置的安全組規(guī)則屬性不同。更多規(guī)則配置示例,請(qǐng)參見安全組應(yīng)用案例。
例如,您使用xshell客戶端遠(yuǎn)程連接linux系統(tǒng)ecs實(shí)例時(shí),當(dāng)安全組檢測(cè)到從公網(wǎng)或內(nèi)網(wǎng)有ssh請(qǐng)求,會(huì)逐一檢查入方向上安全組規(guī)則、發(fā)送請(qǐng)求的設(shè)備的ip地址是否已存在、優(yōu)先級(jí)是為同類規(guī)則首要、授權(quán)策略是否為允許、22端口是否開啟等。只有匹配到一條安全組規(guī)則允許放行該請(qǐng)求時(shí),方才建立數(shù)據(jù)通信。下圖為使用xshell遠(yuǎn)程連接linux系統(tǒng)ecs實(shí)例的規(guī)則匹配舉例。
規(guī)則優(yōu)先級(jí)同類型規(guī)則間依賴優(yōu)先級(jí)決定終執(zhí)行的規(guī)則。尤其是當(dāng)ecs實(shí)例加入了多個(gè)安全組時(shí),多個(gè)安全組會(huì)從高到低依次匹配規(guī)則。優(yōu)先級(jí)數(shù)值越小,代表優(yōu)先級(jí)越高,取值范圍:
手動(dòng)添加的安全組規(guī)則:1~100。
系統(tǒng)添加的安全組規(guī)則:110。僅默認(rèn)安全組及通過模板創(chuàng)建的安全組規(guī)則的優(yōu)先級(jí)為110。
說(shuō)明企業(yè)安全組不支持規(guī)則優(yōu)先級(jí)設(shè)置。
如果兩條安全組規(guī)則的協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對(duì)象都相同,終生效的安全組規(guī)則如下:
優(yōu)先級(jí)相同:拒絕策略的規(guī)則優(yōu)先生效,允許策略的規(guī)則不生效。
優(yōu)先級(jí)不同:優(yōu)先級(jí)高的規(guī)則生效。
網(wǎng)卡類型普通安全組的網(wǎng)絡(luò)類型不同時(shí),安全組規(guī)則需要區(qū)分網(wǎng)卡類型。
經(jīng)典網(wǎng)絡(luò):區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。
專有網(wǎng)絡(luò)vpc:只能為內(nèi)網(wǎng)網(wǎng)卡,但安全組規(guī)則同時(shí)對(duì)內(nèi)網(wǎng)和公網(wǎng)生效。專有網(wǎng)絡(luò)vpc類型ecs實(shí)例的公網(wǎng)訪問通過內(nèi)網(wǎng)網(wǎng)卡映射轉(zhuǎn)發(fā)。所以,您在ecs實(shí)例內(nèi)部無(wú)法看到公網(wǎng)網(wǎng)卡,也只能設(shè)置內(nèi)網(wǎng)安全組規(guī)則。
說(shuō)明企業(yè)安全組僅支持專有網(wǎng)絡(luò)vpc。
實(shí)踐建議使用安全組時(shí):
僅允許少量請(qǐng)求訪問ecs實(shí)例時(shí),可以將安全組作為白名單使用。即先設(shè)置安全組為拒絕全部訪問,然后逐一添加允許通信的訪問請(qǐng)求策略。
不建議使用一個(gè)安全組管理所有應(yīng)用,不同的分層一定有不同的隔離需求。
不建議為每臺(tái)ecs實(shí)例單獨(dú)設(shè)置一個(gè)安全組,您只需將具有相同安全保護(hù)需求的ecs實(shí)例加入同一安全組即可。
添加安全組規(guī)則時(shí):
建議您設(shè)置簡(jiǎn)潔的安全組規(guī)則。例如,如果您給一臺(tái)ecs實(shí)例分配了多個(gè)安全組,該ecs實(shí)例很可能會(huì)同時(shí)遵循數(shù)百條安全組規(guī)則,任何規(guī)則變更都可能引起網(wǎng)絡(luò)不通的故障。
如果您需要修改生產(chǎn)環(huán)境的安全組規(guī)則,建議您提前在克隆的安全組上進(jìn)行調(diào)試,避免影響線上應(yīng)用。詳情請(qǐng)參見克隆安全組。
為應(yīng)用添加安全組規(guī)則時(shí)遵循小授權(quán)原則。例如,您可以:
選擇開放具體的端口,如80/80。不要設(shè)置為端口范圍,如1/80。
添加安全組規(guī)則時(shí),謹(jǐn)慎授權(quán)0.0.0.0/0(全網(wǎng)段)訪問源。
代碼標(biāo)簽與seo關(guān)鍵詞排名有什么關(guān)聯(lián)?
蘭州到德州物流專線
東莞到姜堰物流專線
杭州到太康物流專線
上海網(wǎng)站優(yōu)化對(duì)企業(yè)有什么好處?
為什么程序員要用404表示網(wǎng)頁(yè)不存在?看完絕對(duì)漲知識(shí)
鄭州到西寧物流專線
杭州到昭通物流專線
安全組特點(diǎn)安全組具有以下功能特點(diǎn):
一臺(tái)ecs實(shí)例至少屬于一個(gè)安全組,可以同時(shí)加入多個(gè)安全組。
一個(gè)安全組可以管理同一個(gè)地域內(nèi)的多臺(tái)ecs實(shí)例,這些實(shí)例要求具有相同安全保護(hù)需求并相互信任。
在沒有設(shè)置允許訪問的安全組規(guī)則的情況下,不同安全組內(nèi)的ecs實(shí)例默認(rèn)內(nèi)網(wǎng)不通。
同一安全組內(nèi)的ecs實(shí)例之間可以實(shí)現(xiàn)內(nèi)網(wǎng)互通。
(僅普通安全組)可以通過安全組規(guī)則授權(quán)兩個(gè)安全組之間互訪。
安全組支持有狀態(tài)應(yīng)用。一個(gè)有狀態(tài)的會(huì)話連接中,會(huì)話的長(zhǎng)保持時(shí)間是910秒。安全組會(huì)默認(rèn)放行同一會(huì)話中的通信。例如,在會(huì)話期內(nèi),如果連接的數(shù)據(jù)包在入方向是允許的,則在出方向也是允許的。
安全組類型安全組分為普通安全組和企業(yè)安全組。下表列舉了兩種類型安全組的差異。
安全組類型安全組規(guī)則類型安全組規(guī)則優(yōu)先級(jí)入方向訪問策略出方向訪問策略適用場(chǎng)景普通安全組默認(rèn)安全組規(guī)則由安全組模板決定*由安全組模板決定*允許所有訪問請(qǐng)求對(duì)網(wǎng)絡(luò)精細(xì)化控制要求較高、希望使用多種ecs實(shí)例規(guī)格、以及網(wǎng)絡(luò)連接數(shù)適中的用戶場(chǎng)景手動(dòng)添加的安全組規(guī)則在1~100之間取值,數(shù)值越低,優(yōu)先級(jí)越高支持允許和拒絕策略,可按需添加**按需添加**企業(yè)安全組默認(rèn)安全組規(guī)則取值范圍:1,該值不支持修改由安全組模板決定*由安全組模板決定*對(duì)運(yùn)維效率、ecs實(shí)例規(guī)格以及計(jì)算節(jié)點(diǎn)的規(guī)模有更高需求的用戶場(chǎng)景手動(dòng)添加的安全組規(guī)則支持允許策略,可按需添加**按需添加*** 在ecs控制臺(tái)上創(chuàng)建安全組時(shí),您可以選擇web server linux(放行了80、443、22及icmp協(xié)議)、web server windows(放行了80、443、3389及icmp協(xié)議)以及自定義(入方向上拒絕所有訪問請(qǐng)求)的安全組模板。
** 手動(dòng)添加安全組規(guī)則的步驟,請(qǐng)參見添加安全組規(guī)則。
本文主要講解普通安全組的相關(guān)概念。企業(yè)安全組詳情,請(qǐng)參見企業(yè)安全組。
默認(rèn)安全組通過ecs管理控制臺(tái)創(chuàng)建實(shí)例時(shí),若您未在該地域創(chuàng)建安全組,則阿里云會(huì)在創(chuàng)建實(shí)例的同時(shí),創(chuàng)建一個(gè)默認(rèn)安全組。默認(rèn)安全組為普通安全組,網(wǎng)絡(luò)類型和ecs實(shí)例一致。
默認(rèn)安全組的默認(rèn)安全組規(guī)則如下:
入方向:
默認(rèn)放行:icmp協(xié)議、ssh 22端口、rdp 3389端口,授權(quán)對(duì)象為0.0.0.0/0。
更多選擇:http 80端口和https 443端口,需自行勾選。
規(guī)則優(yōu)先級(jí):110。
出方向:允許所有訪問。
使用限制有關(guān)安全組的使用限制及配額,請(qǐng)參見使用限制安全組章節(jié)。
使用流程安全組的使用流程如下圖所示。
管理ecs實(shí)例
管理彈性網(wǎng)卡
安全組規(guī)則建立數(shù)據(jù)通信前,安全組逐條匹配安全組規(guī)則查詢是否放行訪問請(qǐng)求。一條安全組規(guī)則由下表中的屬性確定。
網(wǎng)絡(luò)類型網(wǎng)卡類型規(guī)則方向授權(quán)策略協(xié)議類型端口范圍優(yōu)先級(jí)授權(quán)類型授權(quán)對(duì)象專有網(wǎng)絡(luò)vpc不需要設(shè)置支持入方向和出方向支持允許、拒絕應(yīng)用層協(xié)議,例如ssh、icmp、rdp等應(yīng)用或協(xié)議開啟的端口手動(dòng)添加的規(guī)則支持1~100,默認(rèn)規(guī)則為110支持安全組訪問、ip地址段訪問支持設(shè)置ip地址段和安全組id經(jīng)典網(wǎng)絡(luò)支持內(nèi)網(wǎng)和公網(wǎng)不同通信場(chǎng)景需要設(shè)置的安全組規(guī)則屬性不同。更多規(guī)則配置示例,請(qǐng)參見安全組應(yīng)用案例。
例如,您使用xshell客戶端遠(yuǎn)程連接linux系統(tǒng)ecs實(shí)例時(shí),當(dāng)安全組檢測(cè)到從公網(wǎng)或內(nèi)網(wǎng)有ssh請(qǐng)求,會(huì)逐一檢查入方向上安全組規(guī)則、發(fā)送請(qǐng)求的設(shè)備的ip地址是否已存在、優(yōu)先級(jí)是為同類規(guī)則首要、授權(quán)策略是否為允許、22端口是否開啟等。只有匹配到一條安全組規(guī)則允許放行該請(qǐng)求時(shí),方才建立數(shù)據(jù)通信。下圖為使用xshell遠(yuǎn)程連接linux系統(tǒng)ecs實(shí)例的規(guī)則匹配舉例。
規(guī)則優(yōu)先級(jí)同類型規(guī)則間依賴優(yōu)先級(jí)決定終執(zhí)行的規(guī)則。尤其是當(dāng)ecs實(shí)例加入了多個(gè)安全組時(shí),多個(gè)安全組會(huì)從高到低依次匹配規(guī)則。優(yōu)先級(jí)數(shù)值越小,代表優(yōu)先級(jí)越高,取值范圍:
手動(dòng)添加的安全組規(guī)則:1~100。
系統(tǒng)添加的安全組規(guī)則:110。僅默認(rèn)安全組及通過模板創(chuàng)建的安全組規(guī)則的優(yōu)先級(jí)為110。
說(shuō)明企業(yè)安全組不支持規(guī)則優(yōu)先級(jí)設(shè)置。
如果兩條安全組規(guī)則的協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對(duì)象都相同,終生效的安全組規(guī)則如下:
優(yōu)先級(jí)相同:拒絕策略的規(guī)則優(yōu)先生效,允許策略的規(guī)則不生效。
優(yōu)先級(jí)不同:優(yōu)先級(jí)高的規(guī)則生效。
網(wǎng)卡類型普通安全組的網(wǎng)絡(luò)類型不同時(shí),安全組規(guī)則需要區(qū)分網(wǎng)卡類型。
經(jīng)典網(wǎng)絡(luò):區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。
專有網(wǎng)絡(luò)vpc:只能為內(nèi)網(wǎng)網(wǎng)卡,但安全組規(guī)則同時(shí)對(duì)內(nèi)網(wǎng)和公網(wǎng)生效。專有網(wǎng)絡(luò)vpc類型ecs實(shí)例的公網(wǎng)訪問通過內(nèi)網(wǎng)網(wǎng)卡映射轉(zhuǎn)發(fā)。所以,您在ecs實(shí)例內(nèi)部無(wú)法看到公網(wǎng)網(wǎng)卡,也只能設(shè)置內(nèi)網(wǎng)安全組規(guī)則。
說(shuō)明企業(yè)安全組僅支持專有網(wǎng)絡(luò)vpc。
實(shí)踐建議使用安全組時(shí):
僅允許少量請(qǐng)求訪問ecs實(shí)例時(shí),可以將安全組作為白名單使用。即先設(shè)置安全組為拒絕全部訪問,然后逐一添加允許通信的訪問請(qǐng)求策略。
不建議使用一個(gè)安全組管理所有應(yīng)用,不同的分層一定有不同的隔離需求。
不建議為每臺(tái)ecs實(shí)例單獨(dú)設(shè)置一個(gè)安全組,您只需將具有相同安全保護(hù)需求的ecs實(shí)例加入同一安全組即可。
添加安全組規(guī)則時(shí):
建議您設(shè)置簡(jiǎn)潔的安全組規(guī)則。例如,如果您給一臺(tái)ecs實(shí)例分配了多個(gè)安全組,該ecs實(shí)例很可能會(huì)同時(shí)遵循數(shù)百條安全組規(guī)則,任何規(guī)則變更都可能引起網(wǎng)絡(luò)不通的故障。
如果您需要修改生產(chǎn)環(huán)境的安全組規(guī)則,建議您提前在克隆的安全組上進(jìn)行調(diào)試,避免影響線上應(yīng)用。詳情請(qǐng)參見克隆安全組。
為應(yīng)用添加安全組規(guī)則時(shí)遵循小授權(quán)原則。例如,您可以:
選擇開放具體的端口,如80/80。不要設(shè)置為端口范圍,如1/80。
添加安全組規(guī)則時(shí),謹(jǐn)慎授權(quán)0.0.0.0/0(全網(wǎng)段)訪問源。
代碼標(biāo)簽與seo關(guān)鍵詞排名有什么關(guān)聯(lián)?
蘭州到德州物流專線
東莞到姜堰物流專線
杭州到太康物流專線
上海網(wǎng)站優(yōu)化對(duì)企業(yè)有什么好處?
為什么程序員要用404表示網(wǎng)頁(yè)不存在?看完絕對(duì)漲知識(shí)
鄭州到西寧物流專線
杭州到昭通物流專線