私有网络

产品文档

私有网络

安全组

基本概念

安全组是一种分布式、有状态的包过滤功能的虚拟防火墙,可实现对云主机的网络访问控制,从而控制一台或多台云主机的访问流量。

创建云主机时,可以关联相应的安全组,将同一地域内具有相同网络安全隔离需求的云主机加到同一个安全组内。通过配置安全组策略对云主机的出入流量进行安全过滤。

新建安全组默认对所有出口/入口流量执行All drop规则,出口包含一条缺省配置允许所有流量;您可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有云主机。

您可以在每个区域每个私有网络下创建50个安全组,每个安全组双向最多可添加100条规则,以满足您对网络安全隔离的需求。

每个主机最多可与5个安全组绑定,以实现对云主机访问流量的精确控制。

安全组模板

目前控制台提供三个默认安全组模板:

Linux安全组开放22端口 :仅暴露 SSH 登录的 TCP 22端口到公网,内网端口全通 Windows 安全组开放3389端口:仅暴露 MSTSC 登录的TCP 3389端口到公网,内网端口全通 默认安全组开放全部端口:暴露全部端口到公网和内网,有一定安全风险。

安全组与网络ACL的区别:

网络ACL 安全组
无状态 有状态
在子网级别生效 在云主机实例级别生效
支持允许规则和拒绝规则 支持允许规则
自动应用到子网内的所有云主机 安全组规则应用到已关联的所有云主机实例上

安全组规则

1、安全组规则内容

● 类型:常用应用类型,例如SSH、PING、ICMPv6或HTTP 等,也可选择自定义TCP或UDP。

● 协议:根据应用类型选择,显示所属协议类型。

● 目标端口:安全组作用的云主机端口范围,取值1-65535,可填写单一端口如“22”或端口范围如“20-22”。

● 源/目的IP:允许访问/被访问的IP地址或地址段(CIDR),同时支持IPv4、IPv6地址,如填写0.0.0.0/0表示允许所有IPv4地址,填写::/0表示允许所有IPv6地址访问。

● 策略:允许(默认)。

● 备注:标识规则用途,最多可输入256字符。

2、安全组规则限制

● 用户自行创建的安全组默认具备以下规则

A. 入方向:拒绝所有流量

B. 出方向:由于内部服务需要,开放TCP 80端口及UDP 67、68、161端口,其余流量均拒绝

● 安全组规则策略始终是“允许”;您无法创建“拒绝”访问的规则。

● 安全组是有状态的 — 如果您配置出站规则允许云主机向外部发送一个请求,则无论入站安全组规则如何,都将允许该请求的响应流量流入,反之亦然。

● 您可以随时添加和删除规则。新的安全组策略会自动应用于与安全组相关联的云主机。

3、安全组优先级

当一个云主机关联多个安全组联时,将对每个安全组的规则进行筛选以创建一组新的安全组规则。根据新的规则确定是否允许访问。

4、安全组的限制

安全组适用于任何网络环境下的云主机实例;   

更新时间:2020-10-14 09:54:06