阿里云ECS安全组规则配置详细方法

[复制链接]
查看: 8855|回复: 0

26

主题

26

帖子

86

积分

注册会员

Rank: 2

积分
86
发表于 2019-12-31 15:33:05 | 显示全部楼层 |阅读模式
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内ECS实例的入流量和出流量。
不知道安全组的用户在新购服务器上部署网站,常常会发现不能正常访问。这是因为在购买阿里云ECS服务器的时候,阿里云默认安全组只放行了ICMP协议、SSH 22端口、RDP 3389端口三个端口,其它端口并没有默认放行,需要你手动添加安全组规则。

安全组特点安全组由同一个地域内具有相同安全保护需求并相互信任的ECS实例组成。安全组具有以下功能特点:
  • 每台ECS实例至少属于一个安全组,可以同时加入多个安全组。
  • 一个安全组可以管理多台ECS实例。
  • 同一安全组内的ECS实例之间默认内网互通。
  • 在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例默认内网不通。
  • (仅普通安全组)可以通过安全组规则授权两个安全组之间互访。
  • 安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。

安全组类型

安全组分为普通安全组和企业安全组。下表列举了两种类型安全组的差异。

安全组类型
安全组规则类型
安全组规则优先级
入方向访问策略
出方向访问策略
适用场景
普通安全组
默认安全组规则
由安全组模板决定 *
由安全组模板决定 *
允许所有访问请求
对网络精细化控制要求较高、希望使用多种ECS实例规格、以及网络连接数适中的用户场景
自定义安全组规则
在1~100之间自定义一个数值
支持允许和拒绝策略,可按需添加 **
按需添加 **
企业安全组
默认安全组规则
取值范围:1,该值不支持修改
由安全组模板决定 *
由安全组模板决定 *
对运维效率、ECS实例规格以及计算节点的规模有更高需求的用户场景
自定义安全组规则
支持允许策略,可按需添加 **
按需添加 **
添加安全组规则之前,请了解以下内容:
  • 安全组规则在网卡设置方面会有差异。
    • 经典网络类型的安全组规则区分内网网卡和公网网卡。
    • 专有网络VPC类型安全组规则不区分内网网卡和公网网卡。

      专有网络VPC类型ECS实例的公网访问通过内网网卡映射转发。所以,您在ECS实例内部无法看到公网网卡,也只能设置内网安全组规则,但安全组规则同时对内网和公网生效。


  • 您自行创建的安全组在未添加任何安全组规则之前,出方向允许所有访问,入方向拒绝所有访问。
  • 安全组规则支持IPv4安全组规则和IPv6安全组规则。
  • 每个安全组的入方向规则与出方向规则的总数不能超过200条。
  • 企业安全组不支持设置优先级、不支持授权给安全组、不支持设置拒绝访问的安全组规则。
操作步骤
  • 登录ECS管理控制台
  • 在左侧导航栏,选择网络与安全 > 安全组。
  • 在顶部状态栏处,选择地域。
  • 找到要配置授权规则的安全组,在操作列中,单击配置规则。
  • 在安全组规则页面上,您可以选择以下任意一种方式完成操作。
    • 方式一:快速创建规则,适用于无需设置ICMP、GRE协议规则,并通过勾选多个端口便能完成操作的场景。快速创建规则提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的应用端口设置。您可以同时勾选一个或多个端口,或者自定义TCP/UDP端口。

      单击快速创建规则,快速创建规则对话框中的网卡类型、规则方向和端口范围等参数设置的详细指导请参见方式二添加安全组规则。

    • 方式二:添加安全组规则,适用于需要设置多种通信协议的场景,如ICMP和GRE协议。
      • 单击添加安全组规则。
      • (仅经典网络类型安全组)选择网卡类型。
        • 内网:您的ECS实例不能访问公网/互联网,或者不需要访问公网。
        • 公网:您的ECS实例可以访问公网,并提供的是互联网访问应用。
      • 选择规则方向。
        • 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。
        • 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。
      • 选择授权策略。
        • 允许:放行该端口相应的访问请求。
        • 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两个安全组规则其他都相同只有授权策略不同,则拒绝授权生效,允许策略不生效。
      • 选择协议类型和端口范围。端口范围的设置受协议类型影响,下表是创建页面中涉及的协议类型与端口范围的关系。
协议类型
端口显示范围
应用场景
全部
-1/-1,表示不限制端口。不能设置。
可用于完全互相信任的应用场景。
全部 ICMP(IPv4)
-1/-1,表示不限制端口。不能设置。
使用ping程序检测ECS实例之间的通信状况。
全部 ICMP(IPv6)
-1/-1,表示不限制端口。不能设置。
使用ping6程序检测ECS实例之间的通信状况。
全部 GRE
-1/-1,表示不限制端口。不能设置。
用于VPN服务。
自定义 TCP
自定义端口范围,有效的端口值是1 ~ 65535。
必须采用<开始端口>/<结束端口>的格式。例如80/80表示端口80,1/22表示1到22端口。
可用于允许或拒绝一个或几个连续的端口。
自定义 UDP
SSH
22/22
用于SSH远程连接到Linux实例。连接ECS实例后您能修改端口号,具体操作,请参见修改服务器默认远程端口。
TELNET
23/23
用于Telnet远程登录ECS实例。
HTTP
80/80
ECS实例作为网站或Web应用服务器。
HTTPS
443/443
ECS实例作为支持HTTPS协议的网站或Web应用服务器。
MS SQL
1433/1433
ECS实例作为MS SQL服务器。
Oracle
1521/1521
ECS实例作为Oracle SQL服务器。
MySQL
3306/3306
ECS实例作为MySQL服务器。
RDP
3389/3389
用于通过远程桌面协议连接到Windows实例。连接ECS实例后您能修改端口号,具体操作,请参见修改服务器默认远程端口。
PostgreSQL
5432/5432
ECS实例作为PostgreSQL服务器。
Redis
6379/6379
ECS实例作为Redis服务器。

选择授权类型授权对象

授权对象的设置受授权类型影响,以下是两者之间的关系。

授权类型
授权对象
IPv4 地址段访问
  • 填写单一IP地址或者CIDR网段格式,如:12.1.1.1 或 13.1.1.1/25。
  • 支持多组授权对象,用,隔开,最多支持10组授权对象。
  • 如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。

IPv6 地址段访问
  • 填写单一IP地址或者CIDR网段格式,如2001:0db8::1428:****或2001:0db8::1428:****/128。
  • 支持多组授权对象,用,隔开,最多支持10组授权对象。
  • 如果填写:: / 0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。
安全组访问
安全组访问只对内网有效。授权本账号或其他账号下某个安全组中的ECS实例访问本安全组中的ECS实例,实现内网互通。设置公网访问只能通过地址段访问授权。
  • 本账号授权:选择同一账号下的其他安全组ID。如果是专有网络VPC类型的安全组,目的端必须为同一个专有网络VPC中的安全组。
  • 跨账号授权:填写目标安全组ID,以及对方账号ID。在账号管理>安全设置里查看账号ID。

说明 企业安全组不支持授权安全组访问。


腾讯云
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩图文



在线客服(工作时间:9:00-22:00)
400-600-6565

内容导航

微信客服

Copyright   ©2015-2019  云服务器社区  Powered by©Discuz!  技术支持:尊托网络     ( 湘ICP备15009499号-1 )