安全组是一种分布式的、有状态的包过滤虚拟防火墙,可实现对实例的网络访问控制,从而控制一台或多台实例的访问流量。有状态是指安全组会默认放行同一会话中的数据包,如果对应连接的数据包在入方向是允许的,则在出方向也是允许的。
组成项 | 说明 |
---|---|
方向 | 入站、出站 |
协议 | 支持TCP、UDP、ICMP |
端口 | 支持配置单个端口,或端口范围 |
源IP/目标IP | 可针对入站规则配置源IP或针对出站规则配置目标IP |
策略 | 允许 |
备注 | 用于对安全组规格备注描述信息 |
目前每一个私有网络将提供三个默认安全组模板:
默认安全组仅作为快速创建主机时的基本访问规则配置,模版中的默认规则不可修改或删除,如默认规则与您希望新增的规则冲突,请新建安全组自行配置规则并将实例与其关联。
属性 | 安全组 | 网络ACL |
---|---|---|
流量状态 | 有状态 | 无状态 |
生效粒度 | 在实例(网卡)级别生效 | 在子网级别生效 |
授权策略 | 仅支持允许规则 | 支持允许规则和拒绝规则 |
生效范围 | 应用到已关联的所有实例上 | 自动应用到子网内的所有实例 |
支持协议 | TCP、UDP、ICMP | TCP、UDP、ICMP |