ECS云服務(wù)器的安全組概述

安全組是一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾能力，用于在云端劃分安全域。通過配置安全組規(guī)則，您可以控制安全組內(nèi)一臺或多臺ECS實例的入流量和出流量。

安全組特點

安全組具有以下功能特點：

一臺ECS實例至少屬于一個安全組，可以同時加入多個安全組。

一個安全組可以管理同一個地域內(nèi)的多臺ECS實例，這些實例要求具有相同安全保護需求并相互信任。

在沒有設(shè)置允許訪問的安全組規(guī)則的情況下，不同安全組內(nèi)的ECS實例默認內(nèi)網(wǎng)不通。

同一安全組內(nèi)的ECS實例之間可以實現(xiàn)內(nèi)網(wǎng)互通。

（僅普通安全組）可以通過安全組規(guī)則授權(quán)兩個安全組之間互訪。

安全組支持有狀態(tài)應(yīng)用。一個有狀態(tài)的會話連接中，會話的長保持時間是910秒。安全組會默認放行同一會話中的通信。例如，在會話期內(nèi)，如果連接的數(shù)據(jù)包在入方向是允許的，則在出方向也是允許的。

安全組類型

安全組分為普通安全組和企業(yè)安全組。下表列舉了兩種類型安全組的差異。

安全組類型安全組規(guī)則類型安全組規(guī)則優(yōu)先級入方向訪問策略出方向訪問策略適用場景普通安全組默認安全組規(guī)則由安全組模板決定*由安全組模板決定*允許所有訪問請求對網(wǎng)絡(luò)精細化控制要求較高、希望使用多種ECS實例規(guī)格、以及網(wǎng)絡(luò)連接數(shù)適中的用戶場景手動添加的安全組規(guī)則在1~100之間取值，數(shù)值越低，優(yōu)先級越高支持允許和拒絕策略，可按需添加**按需添加**企業(yè)安全組默認安全組規(guī)則取值范圍：1，該值不支持修改由安全組模板決定*由安全組模板決定*對運維效率、ECS實例規(guī)格以及計算節(jié)點的規(guī)模有更高需求的用戶場景手動添加的安全組規(guī)則支持允許策略，可按需添加**按需添加**

* 在ECS控制臺上創(chuàng)建安全組時，您可以選擇Web Server Linux（放行了80、443、22及ICMP協(xié)議）、Web Server Windows（放行了80、443、3389及ICMP協(xié)議）以及自定義（入方向上拒絕所有訪問請求）的安全組模板。

** 手動添加安全組規(guī)則的步驟，請參見添加安全組規(guī)則。

本文主要講解普通安全組的相關(guān)概念。企業(yè)安全組詳情，請參見企業(yè)安全組。

默認安全組

通過ECS管理控制臺創(chuàng)建實例時，若您未在該地域創(chuàng)建安全組，則阿里云會在創(chuàng)建實例的同時，創(chuàng)建一個默認安全組。默認安全組為普通安全組，網(wǎng)絡(luò)類型和ECS實例一致。

默認安全組的默認安全組規(guī)則如下：

入方向：

默認放行：ICMP協(xié)議、SSH 22端口、RDP 3389端口，授權(quán)對象為0.0.0.0/0。

更多選擇：HTTP 80端口和HTTPS 443端口，需自行勾選。

規(guī)則優(yōu)先級：110。

出方向：允許所有訪問。

使用限制

有關(guān)安全組的使用限制及配額，請參見使用限制安全組章節(jié)。

使用流程

安全組的使用流程如下圖所示。

管理ECS實例

管理彈性網(wǎng)卡

安全組規(guī)則

建立數(shù)據(jù)通信前，安全組逐條匹配安全組規(guī)則查詢是否放行訪問請求。一條安全組規(guī)則由下表中的屬性確定。

網(wǎng)絡(luò)類型網(wǎng)卡類型規(guī)則方向授權(quán)策略協(xié)議類型端口范圍優(yōu)先級授權(quán)類型授權(quán)對象專有網(wǎng)絡(luò)VPC不需要設(shè)置支持入方向和出方向支持允許、拒絕應(yīng)用層協(xié)議，例如SSH、ICMP、RDP等應(yīng)用或協(xié)議開啟的端口手動添加的規(guī)則支持1~100，默認規(guī)則為110支持安全組訪問、IP地址段訪問支持設(shè)置IP地址段和安全組ID經(jīng)典網(wǎng)絡(luò)支持內(nèi)網(wǎng)和公網(wǎng)

不同通信場景需要設(shè)置的安全組規(guī)則屬性不同。更多規(guī)則配置示例，請參見安全組應(yīng)用案例。

例如，您使用Xshell客戶端遠程連接Linux系統(tǒng)ECS實例時，當(dāng)安全組檢測到從公網(wǎng)或內(nèi)網(wǎng)有SSH請求，會逐一檢查入方向上安全組規(guī)則、發(fā)送請求的設(shè)備的IP地址是否已存在、優(yōu)先級是為同類規(guī)則首要、授權(quán)策略是否為允許、22端口是否開啟等。只有匹配到一條安全組規(guī)則允許放行該請求時，方才建立數(shù)據(jù)通信。下圖為使用Xshell遠程連接Linux系統(tǒng)ECS實例的規(guī)則匹配舉例。

規(guī)則優(yōu)先級

同類型規(guī)則間依賴優(yōu)先級決定終執(zhí)行的規(guī)則。尤其是當(dāng)ECS實例加入了多個安全組時，多個安全組會從高到低依次匹配規(guī)則。優(yōu)先級數(shù)值越小，代表優(yōu)先級越高，取值范圍：

手動添加的安全組規(guī)則：1~100。

系統(tǒng)添加的安全組規(guī)則：110。僅默認安全組及通過模板創(chuàng)建的安全組規(guī)則的優(yōu)先級為110。

說明企業(yè)安全組不支持規(guī)則優(yōu)先級設(shè)置。

如果兩條安全組規(guī)則的協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對象都相同，終生效的安全組規(guī)則如下：

優(yōu)先級相同：拒絕策略的規(guī)則優(yōu)先生效，允許策略的規(guī)則不生效。

優(yōu)先級不同：優(yōu)先級高的規(guī)則生效。

網(wǎng)卡類型

普通安全組的網(wǎng)絡(luò)類型不同時，安全組規(guī)則需要區(qū)分網(wǎng)卡類型。

經(jīng)典網(wǎng)絡(luò)：區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。

專有網(wǎng)絡(luò)VPC：只能為內(nèi)網(wǎng)網(wǎng)卡，但安全組規(guī)則同時對內(nèi)網(wǎng)和公網(wǎng)生效。專有網(wǎng)絡(luò)VPC類型ECS實例的公網(wǎng)訪問通過內(nèi)網(wǎng)網(wǎng)卡映射轉(zhuǎn)發(fā)。所以，您在ECS實例內(nèi)部無法看到公網(wǎng)網(wǎng)卡，也只能設(shè)置內(nèi)網(wǎng)安全組規(guī)則。

說明企業(yè)安全組僅支持專有網(wǎng)絡(luò)VPC。

實踐建議

使用安全組時：

僅允許少量請求訪問ECS實例時，可以將安全組作為白名單使用。即先設(shè)置安全組為拒絕全部訪問，然后逐一添加允許通信的訪問請求策略。

不建議使用一個安全組管理所有應(yīng)用，不同的分層一定有不同的隔離需求。

不建議為每臺ECS實例單獨設(shè)置一個安全組，您只需將具有相同安全保護需求的ECS實例加入同一安全組即可。

添加安全組規(guī)則時：

建議您設(shè)置簡潔的安全組規(guī)則。例如，如果您給一臺ECS實例分配了多個安全組，該ECS實例很可能會同時遵循數(shù)百條安全組規(guī)則，任何規(guī)則變更都可能引起網(wǎng)絡(luò)不通的故障。

如果您需要修改生產(chǎn)環(huán)境的安全組規(guī)則，建議您提前在克隆的安全組上進行調(diào)試，避免影響線上應(yīng)用。詳情請參見克隆安全組。

為應(yīng)用添加安全組規(guī)則時遵循小授權(quán)原則。例如，您可以：

選擇開放具體的端口，如80/80。不要設(shè)置為端口范圍，如1/80。

添加安全組規(guī)則時，謹慎授權(quán)0.0.0.0/0（全網(wǎng)段）訪問源。

網(wǎng)頁題目：ECS云服務(wù)器的安全組概述
URL標題：http://www.bm7419.com/news6/263806.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、外貿(mào)建站、響應(yīng)式網(wǎng)站、電子商務(wù)、動態(tài)網(wǎng)站、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)