云主机

产品文档

云主机

安全组概述

安全组是一种分布式的、有状态的包过滤虚拟防火墙,可实现对实例的网络访问控制,从而控制一台或多台实例的访问流量。有状态是指安全组会默认放行同一会话中的数据包,如果对应连接的数据包在入方向是允许的,则在出方向也是允许的。

使用限制

  • 创建实例时,可以关联相应的安全组,将同一地域内具有相同网络安全隔离需求的实例加到同一个安全组内。通过配置安全组策略对实例的出入流量进行安全过滤。
  • 新建安全组默认对所有出口/入口流量执行All drop(拒绝)规则;您可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有实例。
  • 您可以在每个区域每个私有网络下创建50个安全组,每个安全组双向最多可添加100条规则,以满足您对网络安全隔离的需求。
  • 每个实例对应的每块网卡必须绑定至少一个安全组,每块网卡最多可与5个安全组绑定,以实现对实例访问流量的精确控制。
  • 多个实例可以关联至同一个安全组。关联至同一安全组的实例间默认不会互通,您需要添加相应的允许规则。

安全组组成

组成项 说明
方向 入站、出站
协议 支持TCP、UDP、ICMP
端口 支持配置单个端口,或端口范围
源IP/目标IP 可针对入站规则配置源IP或针对出站规则配置目标IP
策略 允许
备注 用于对安全组规格备注描述信息

默认安全组

目前每一个私有网络将提供三个默认安全组模板:

  • Linux安全组开放22端口 :入站规则仅开放 SSH 登录的 TCP 22端口,出站规则默认全开;
  • Windows 安全组开放3389端口:入站规则仅开放 MSTSC 登录的TCP 3389端口,出站规则默认全开;
  • 默认安全组开放全部端口:入站/出站规则默认全开,有一定安全风险。

默认安全组仅作为快速创建主机时的基本访问规则配置,模版中的默认规则不可修改或删除,如默认规则与您希望新增的规则冲突,请新建安全组自行配置规则并将实例与其关联。

安全组与网络ACL的区别

属性 安全组 网络ACL
流量状态 有状态 无状态
生效粒度 在实例(网卡)级别生效 在子网级别生效
授权策略 仅支持允许规则 支持允许规则和拒绝规则
生效范围 应用到已关联的所有实例上 自动应用到子网内的所有实例
支持协议 TCP、UDP、ICMP TCP、UDP、ICMP
更新时间:2021-08-17 11:32:07
文档反馈 docs feedback