阿里云ECS安全组FAQ

黑狼帝王

什么是安全组？

安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，您可以在云端划分安全域。

每台ECS实例至少属于一个安全组，在创建实例的时候必须指定安全组。同一安全组内的ECS实例之间网络互通，不同安全组的ECS实例之间默认内网不通，可以授权两个安全组之间互访。详情请参见安全组概述。

为什么要在创建ECS实例时选择安全组？

在创建ECS实例之前，必须选择安全组来划分应用环境的安全域，授权安全组规则进行合理的网络安全隔离。

如果您在创建ECS实例时不选择安全组，创建的ECS实例会分配到一个固定的安全组（即，默认安全组），建议您将实例移出默认安全组并加入新的安全组来实现网络安全隔离。

创建ECS实例前，未创建安全组怎么办？

如果您在创建ECS实例前，未创建安全组，您可以选择默认安全组。默认的安全组放行了常用端口，如TCP 22端口、3389端口等。详情请参见安全组默认规则。

为什么ECS实例加入安全组时提示规则数量超限？

作用于一台ECS实例（主网卡）的安全组规则数量上限=该实例允许加入的安全组数量x每个安全组最大规则数量。

如果提示加入安全组失败，作用在该实例上的安全组规则数量已达上限，表示当前ECS实例上的规则总数已经超过数量上限。建议您重新选择安全组。

专有网络VPC类型ECS实例的安全组数量上限调整后，只对调整日期后新增的安全组生效吗？

不是。该上限调整对调整日期之前和之后创建的所有专有网络VPC类型ECS实例的安全组都生效。

为什么专有网络VPC类型ECS实例不能设置公网安全组规则？

专有网络VPC类型ECS实例的公网访问通过内网网卡映射完成，您在ECS实例内部看不到公网网卡，在安全组里只能设置内网规则。您设置的安全组规则同时对内网和公网生效。

为什么无法访问TCP 25端口？

TCP 25端口是默认的邮箱服务端口。基于安全考虑，云服务器ECS的25端口默认受限。建议您使用465端口发送邮件。具体设置，请参见使用SSL加密465端口发信样例及Demo。如果您只能使用TCP 25端口，请申请解封。具体操作，请参见TCP 25端口控制台解封申请。更多应用，请参见安全组应用案例。

为什么无法访问80端口？

请参见检查TCP 80端口是否正常工作。

为什么安全组里自动添加了很多内网相关的安全组规则？

以下两种情况，可能导致您的安全组里自动添加了很多规则：

• 如果您访问过DMS，安全组中就会自动添加相关的规则，请参见数据管理DMS登录云服务器的IP是什么。
• 如果您近期通过阿里云数据传输DTS功能迁移过数据，安全组中会自动添加DTS的服务IP地址相关的规则。
  

为什么有的安全组规则的优先级是110？

优先级为110的安全组规则是由系统创建的默认安全组规则，表示默认规则的优先级永远比您手动添加的安全组规则低。手动添加安全组规则时，优先级只能设置为1~100。

安全组规则配置错误会造成什么影响？安全组配置错误会导致ECS实例在私网或公网与其他设备之间的访问失败。比如：

• 无法从本地远程连接（SSH）Linux实例或者远程桌面连接Windows实例。
• 无法远程ping ECS实例的公网IP。
• 无法通过HTTP或HTTPS协议访问ECS实例提供的Web服务。
• 无法通过内网访问其他ECS实例。
  

安全组的入方向规则和出方向规则区分计数吗？

不区分。每个安全组的入方向规则与出方向规则的总数不能超过100。详情请参见使用限制。

是否可以调整安全组规则的数量上限？

不可以，每个安全组最多可以包含100条安全组规则。一台ECS实例中的每个弹性网卡默认最多可以加入5个安全组，所以一台ECS实例的每个弹性网卡最多可以包含500条安全组规则，能够满足绝大多数场景的需求。

如果当前数量上限无法满足您的使用需求，建议您按照以下步骤操作：

• 检查是否存在冗余规则。您也可以提交工单，阿里云技术支持将提供检查服务。
• 如果存在冗余规则，请清除冗余规则。如果不存在冗余规则，您可以创建多个安全组。
  

收到违法阻断网站整改通知，怎么办？

在互联网有害信息记录中，您可以查看存在有害信息的域名或URL、处罚动作、处罚原因及处罚时间。您在确认该域名或URL中的有害信息已经移除或不存在时，可以申请解除访问封禁。详情请参见互联网有害信息。

收到对外攻击需要整改的通知，怎么办？

在处罚记录中，您可以查看详细的处罚结果、处罚原因及处罚时段。如果您不认同处罚结果，可以反馈申诉。收到您的处罚记录反馈后，阿里云将再次核验，确认处罚的正确性和有效性，并判断是否继续维持处罚或立即结束处罚。详情请参见处罚列表。