私有网络

产品文档

私有网络

安全组

基本概念

安全组是一种分布式、有状态的包过滤功能的虚拟防火墙,通过配置安全组规则策略对云主机的出入流量进行安全过滤,实现对云主机的网络访问控制。创建云主机时,须关联相应的安全组,将同一地域内具有相同网络安全隔离需求的云资源加到同一个安全组内,从而控制多个资源的访问流量。

安全组规则

安全组云主机之间通信前,会逐一匹配其绑定的安全组下的安全组规则,安全组是有状态的,可根据业务需要配置安全组规则,如安全组有相关规则支持时,则可进行通信。安全组规则包括如下信息:

属性 说明 示例
类型 常用的协议类型,包括自定义TCP、自定义UDP、ICMP 自定义TCP、ICMP等
协议 根据应用类型选择,显示所属协议类型 ssh、TCP
目标端口 安全组作用的云主机端口或端口范围,取值1-65535 如“22”或端口范围如“20-22”
源IP 入站规则独有属性,允许访问的IP地址段(CIDR) 10.0.0.1/32,0.0.0.0/0
目的IP 出站规则独有属性,允许被访问的IP地址(CIDR) 10.0.0.1/32,0.0.0.0/0
策略 允许或拒绝安全组规则,新增规则默认为“允许”,暂不支持新增“拒绝”策略的安全组规则 允许
备注 标识规则用途等 属于A业务
创建时间 创建安全组规则的时间 2021-11-22 12

使用安全组

创建实例资源时可选择默认安全组,或新建安全组,新建安全组时默认对所有出口/入口流量执行All drop规则;您可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有云主机。

京东云提供三种默认安全组,具体规则如下:

  • Linux安全组开放22端口 :仅暴露 SSH 登录的 TCP 22端口到公网,内网端口全通;
  • Windows 安全组开放3389端口:仅暴露 MSTSC 登录的TCP 3389端口到公网,内网端口全通;
  • 默认安全组开放全部端口:暴露全部端口到公网和内网,有一定安全风险,请慎重选择。

相关限制

安全组
  • 您可以在每个区域每个私有网络下创建50个安全组;

  • 每个主机最多可与5个安全组绑定,以实现对云主机访问流量的精确控制;当一个云主机关联多个安全组联时,将对每个安全组的规则进行筛选以创建一组新的安全组规则。根据新的规则确定是否允许访问。

安全组规则
  • 每个安全组双向最多可添加100条规则,以满足您对网络安全隔离的需求;

  • 同VPC下若无相关安全组策略,云主机之间默认不能通信,配置相关安全组策略之后支持通信;

  • 用户自行创建的安全组默认具备以下规则

    A. 入方向:拒绝所有流量

    B. 出方向:由于内部服务需要,开放TCP 80端口及UDP 67、68、161端口,其余流量均拒绝

  • 安全组规则策略始终是“允许”;您无法创建“拒绝”访问的规则。

  • 安全组是有状态的 — 如果您配置出站规则允许云主机向外部发送一个请求,则无论入站安全组规则如何,都将允许该请求的响应流量流入,反之亦然。

  • 您可以随时添加和删除规则。新的安全组策略会自动应用于与安全组相关联的云主机。

安全组与网络ACL

安全组与网络ACL都是为了控制网络访问流量,安全组和ACL仅支持绑定其所属VPC下的资源,两者区别如下:

网络ACL 安全组
无状态 有状态
在子网级别生效 在云主机实例级别生效
支持允许规则和拒绝规则 支持允许规则
自动应用到子网内的所有云主机 安全组规则应用到已关联的所有云主机实例上

相关参考

 

更新时间:2021-08-16 10:01:07
文档反馈 docs feedback