安全组概述
安全组概述
1. 简介
安全组是控制台提供的主机防火墙功能,通过将安全组规则的设置并绑定到云服务器,实现对单台或多台云服务器进行网络访问控制,是云服务器层面的重要网络安全隔离手段。一台云服务器可以针对不同的网卡设置不同的安全组策略。
主要功能:
- 安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云服务器实例加到同一个安全组内。
- 您可以通过安全组策略对实例的出入流量进行安全过滤。
- 您可以随时修改安全组的规则,新规则立即生效。
- 安全组使用“白名单”规则,即仅对配置的规则允许,对未配置的规则禁止。
2. 安全组与云服务器内部防火墙
控制台提供的安全组服务与主机内部的防火墙设置,是两个不同层面的安全防护手段,且会共同作用控制云服务器的访问策略。例如:云服务器绑定的安全组,未添加任何入站规则,但内部防火墙开启全部端口入站规则,云服务器依然无法访问任何端口。即当两侧规则设置一致时,该端口方可访问。
3. 安全组规则
安全组规则可以控制允许到达与安全组相关联的云服务器的入站流量,以及允许离开云服务器实例的出站流量。
注意:默认情况下,新建安全组后将有一条允许所有流量的出站规则,而没有任何入站规则。这意味着,云服务器绑定一个无规则的新安全组将拒绝所有入站流量,而放行所有出站流量。
对于安全组的每条规则,您可以指定以下几项内容:
- 协议类型:例如 TCP、UDP 或 ICMP 等。
- 端口:来源或目标的端口范围。
- 授权类型:地址段( CIDR/IP )访问,或安全组访问。
- 授权对象:流量的源(入站规则) 或目标(出站规则),可指定以下选项之一:
- 用 CIDR 表示法,指定的单个 IP 地址或 IP 地址范围。如设置为0.0.0.0/0代表允许所有IP的访问,设置时请务必谨慎。
- 引用安全组ID ,表示与该安全组关联的云服务器均为授权对象。
- 策略:允许,即放行流量。
- 优先级:规则校验级别,可选范围为1-100,默认值为1,即最高优先级。 注意事项:
- 您可以随时授权和取消安全组规则。您的变更安全组规则会自动应用于与安全组相关联的实例上。
- 在设置安全组规则的时候,安全组的规则务必简洁。如果您给一个实例分配多个安全组,则该实例可能会应用多达数百条规则。访问该实例时,可能会出现网络不通的问题。
4. 默认安全组
安全组是云服务器访问控制的必要条件,云控制台提供默认安全组模版供用户使用:
- 入站:放通 22、3389 端口和 ICMP,放通默认的登录端口,内网端口全通。
- 出站:放通全部端口。 您可以根据需要自行修改规则项,也可创建或复制新的安全组。
5. 使用须知
- 新建立的安全组默认无任何规则,将拦截所有入站流量和释放所有出站流量。
- 安全组只能与相同地域、项目中的实例进行绑定;
- 一个安全组可以应用到多个云服务器实例,一个云服务器实例也可以绑定多个安全组,当一个实例同时绑定多个安全组时,取多个安全组规则的并集;
- 云服务器在进行任何网络访问之前,需要绑定安全组/安全组规则。