阿里云ECS服務(wù)器添加安全組規(guī)則

2020-03-01 06:46:11

字體：大中小

來源：轉(zhuǎn)載

供稿：網(wǎng)友

添加安全組規(guī)則

您可以通過添加安全組規(guī)則，允許或禁止安全組內(nèi)的ECS實例對公網(wǎng)或私網(wǎng)的訪問。

前提條件

添加安全組規(guī)則之前，請確認(rèn)以下信息：

1、您已經(jīng)創(chuàng)建了一個安全組。具體操作，請參見創(chuàng)建安全組。

2、您已經(jīng)知道ECS實例需要允許或禁止哪些公網(wǎng)或內(nèi)網(wǎng)的訪問。更多有關(guān)安全組規(guī)則設(shè)置的應(yīng)用案例，請參見安全組應(yīng)用案例。

背景信息

安全組負(fù)責(zé)管理是否放行來自公網(wǎng)或者內(nèi)網(wǎng)的訪問請求。為安全起見，安全組入方向大多采取拒絕訪問策略。如果您使用的是默認(rèn)安全組，或者在創(chuàng)建安全組時選擇了Web Server Linux模板或者Web Server Windows模板，則系統(tǒng)會給部分通信端口自動添加安全組規(guī)則，更多詳情，請參見安全組概述。本文內(nèi)容適用于以下場景：

1、當(dāng)您的應(yīng)用需要與ECS實例所在安全組之外的網(wǎng)絡(luò)相互通信，但請求發(fā)起后進(jìn)入長時間等待狀態(tài)，您需要優(yōu)先設(shè)置安全組規(guī)則。

2、當(dāng)您在運(yùn)營應(yīng)用的過程中發(fā)現(xiàn)部分請求來源有惡意攻擊行為，您可以添加拒絕訪問的安全組規(guī)則實行隔離策略。

添加安全組規(guī)則之前，請了解以下內(nèi)容：

1、安全組規(guī)則在網(wǎng)卡設(shè)置方面會有差異。

#經(jīng)典網(wǎng)絡(luò)類型的安全組規(guī)則區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。

#專有網(wǎng)絡(luò)VPC類型安全組規(guī)則不區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。

專有網(wǎng)絡(luò)VPC類型ECS實例的公網(wǎng)訪問通過內(nèi)網(wǎng)網(wǎng)卡映射轉(zhuǎn)發(fā)。所以，您在ECS實例內(nèi)部無法看到公網(wǎng)網(wǎng)卡，也只能設(shè)置內(nèi)網(wǎng)安全組規(guī)則，但安全組規(guī)則同時對內(nèi)網(wǎng)和公網(wǎng)生效。

2、您自行創(chuàng)建的安全組在未添加任何安全組規(guī)則之前，出方向允許所有訪問，入方向拒絕所有訪問。

3、安全組規(guī)則支持IPv4安全組規(guī)則和IPv6安全組規(guī)則。

4、每個安全組的入方向規(guī)則與出方向規(guī)則的總數(shù)不能超過200條。

5、企業(yè)安全組不支持設(shè)置優(yōu)先級、不支持授權(quán)給安全組、不支持設(shè)置拒絕訪問的安全組規(guī)則。更多詳情，請參見企業(yè)安全組概述。

操作步驟

1、登錄ECS管理控制臺。

2、在左側(cè)導(dǎo)航欄，選擇網(wǎng)絡(luò)與安全 > 安全組。

3、在頂部狀態(tài)欄處，選擇地域。

4、找到要配置授權(quán)規(guī)則的安全組，在操作列中，單擊配置規(guī)則。

5、在安全組規(guī)則頁面上，您可以選擇以下任意一種方式完成操作。

方式一：

快速創(chuàng)建規(guī)則，適用于無需設(shè)置ICMP、GRE協(xié)議規(guī)則，并通過勾選多個端口便能完成操作的場景。快速創(chuàng)建規(guī)則提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、html' target='_blank'>MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的應(yīng)用端口設(shè)置。您可以同時勾選一個或多個端口，或者自定義TCP/UDP端口。

單擊快速創(chuàng)建規(guī)則，快速創(chuàng)建規(guī)則對話框中的網(wǎng)卡類型、規(guī)則方向和端口范圍等參數(shù)設(shè)置的詳細(xì)指導(dǎo)請參見方式二添加安全組規(guī)則。

方式二：

添加安全組規(guī)則，適用于需要設(shè)置多種通信協(xié)議的場景，如ICMP和GRE協(xié)議。

a.單擊添加安全組規(guī)則。

b.（僅經(jīng)典網(wǎng)絡(luò)類型安全組）選擇網(wǎng)卡類型。

內(nèi)網(wǎng)：您的ECS實例不能訪問公網(wǎng)/互聯(lián)網(wǎng)，或者不需要訪問公網(wǎng)。

公網(wǎng)：您的ECS實例可以訪問公網(wǎng)，并提供的是互聯(lián)網(wǎng)訪問應(yīng)用。

c.選擇規(guī)則方向。

出方向：是指ECS實例訪問內(nèi)網(wǎng)中其他ECS實例或者公網(wǎng)上的資源。

入方向：是指內(nèi)網(wǎng)中的其他ECS實例或公網(wǎng)上的資源訪問ECS實例。

d.選擇授權(quán)策略。

允許：放行該端口相應(yīng)的訪問請求。

拒絕：直接丟棄數(shù)據(jù)包，不會返回任何回應(yīng)信息。如果兩個安全組規(guī)則其他都相同只有授權(quán)策略不同，則拒絕授權(quán)生效，允許策略不生效。

e.選擇協(xié)議類型和端口范圍。

端口范圍的設(shè)置受協(xié)議類型影響，下表是創(chuàng)建頁面中涉及的協(xié)議類型與端口范圍的關(guān)系。更多常用端口信息，請參見常用端口的典型應(yīng)用。

說明：公網(wǎng)出方向的STMP端口25默認(rèn)受限，無法通過安全組規(guī)則打開。如果您需要使用STMP 25端口，請自行規(guī)避安全風(fēng)險，然后申請解封端口25。具體操作，請參見申請解封端口25。

f.選擇授權(quán)類型和授權(quán)對象。

授權(quán)對象的設(shè)置受授權(quán)類型影響，以下是兩者之間的關(guān)系。

說明：出于安全性考慮，經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)入方向規(guī)則，授權(quán)類型優(yōu)先選擇安全組訪問。如果選擇地址段訪問，則只能授權(quán)單個IP地址，授權(quán)對象的格式只能是a.b.c.d/32，僅支持IPv4，子網(wǎng)掩碼必須是/32。

g.優(yōu)先級：取值范圍為1~100。

說明：優(yōu)先級數(shù)值越小，優(yōu)先級越高。僅普通安全組可以設(shè)置優(yōu)先級，企業(yè)安全組不支持設(shè)置優(yōu)先級。更多詳情，請參見規(guī)則優(yōu)先級。

h.點(diǎn)擊確定

執(zhí)行結(jié)果

單擊刷新圖標(biāo)查看已添加的安全組規(guī)則，確認(rèn)已經(jīng)完成添加。安全組規(guī)則的變更會自動應(yīng)用到安全組內(nèi)的ECS實例上，建議您立即測試是否生效。