👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>
简介
为保障云服务器的安全,对其网卡关联的安全组,请遵循最小范围原则,谨慎放通IP地址和端口。
为方便用户使用,系统默认为安全组添加了部分规则放通流量,详情请参见 安全组分类 。
分类
类别 | 说明 |
默认安全组 | 创建私有网络时,系统自动创建。随私有网络删除而删除,不支持手动删除。为方便用户使用,其默认添加了部分规则(支持手动修改 )放通流量:
|
自定义安全组 | 用户手动创建。 为方便用户使用,其默认添加了部分规则(支持手动修改)放通流量:
|
托管安全组 | 创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动创建。云服务托管该安全组,用户仅支持查看,生命周期随该云服务。 |
安全组规则
安全组有状态,返回数据(TCP连接的老化时间为900s、ICMP连接的老化时间为30s)自动放通。即网卡主动访问时,仅出方向规则允许即可;网卡被访问时,仅入方向规则允许即可。
变更安全组规则将立即生效,已建立的长连接和后续新建的连接均受规则控制。
源地址为自身安全组(如default)的规则,表示网卡允许被本安全组内其他网卡访问,若删除,则将导致安全组内的网卡无法私网互通。
组成
参数 | 说明 |
入方向/出方向 | 流量的方向。
|
优先级 | 安全组规则的优先级。流量匹配安全组规则时,先对比优先级,若相同再对比规则策略。
|
策略 | 流量的策略。若优先级相同,则拒绝优先于允许。
|
协议类型 | 支持ALL、TCP、UDP、ICMP、ICMPv6。 |
端口范围 | 根据不同协议类型对端口范围进行限定。 说明 端口25、135、139、444、445、5800、5900被部分运营商标记为高危端口,即使安全组放通该端口,受限用户依然无法访问,故建议您请使用其他非高危端口。 |
源地址/目的地址 |
|
入方向/出方向 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 |
入方向 | 1 | 允许 | 80 | TCP | 12.156.XX.XX/28 |
匹配说明
若所有安全组内均无规则,则拒绝网卡所有出入方向流量。
若存在安全组内有规则,则网卡流量匹配过程如下(以网卡入方向流量为例,出方向流量同理):
优先级排序:汇总所有安全组的入方向规则,并按照优先级由高到低排序。
优先级数值越小则优先级越高。
两条入方向规则优先级相同时,拒绝策略优先于允许策略。
匹配:流量从上到下依次匹配入方向规则,若成功匹配,则根据规则的策略,允许或拒绝流量通行,并结束匹配操作;若所有规则均未成功,则拒绝该流量通行。
使用限制
使用流程
创建安全组
关联网卡
添加安全组规则
实践建议
安全组规划请参考 如何规划安全组。
应用示例请参见 安全组应用示例 。
安全组放通IP地址和端口后,请确认云服务器实例的防火墙是否放通,若防火墙未放通,则流量依然会被拒绝。详情请参考如何配置Linux实例防火墙、如何配置Windows云服务器防火墙?
建议谨慎放通SSH(22)、Redis(6379)、MemCache(11211)、MySQL(3306)、SMB(445)、RDP(3389)、SQLServer(1433)等业务常用端口。更多云服务器常用端口请参见 云服务器常用端口 。
