安全組規則【超詳細】

真香警告：以下主要内容均來自“阿裡雲”，學生、教師、醫藥工作者都能白嫖6個月的ECS！！！【詳情】

安全組是一種虛拟防火牆，具備狀态檢測和包過濾功能。安全組由同一個地域内具有相同安全保護需求并互相信任的執行個體組成。安全組用于設定單台或多台ECS執行個體的網絡通路控制，它是重要的網絡安全隔離手段，用于在雲端劃分安全域。安全組五元組規則能精确控制源IP、源端口、目的IP、目的端口以及傳輸層協定。

五元組規則定義

五元組規則包含：源IP位址、源端口、目的IP位址、目的端口、傳輸層協定。

五元組規則完全相容原有的安全組規則，能更精确的控制源IP位址、源端口、目的IP位址、目的端口以及傳輸層協定。

五元組出規則示例如下：

源IP位址：172.16.1.0/32
源端口：22
目的IP：10.0.0.1/32
目的端口：不限制
傳輸層協定：TCP
授權政策：Drop
           

示例中的出規則表示禁止

172.16.1.0/32

通過22端口對

10.0.0.1/32

發起TCP通路。

應用場景

• 某些平台類網絡産品接入第三方廠商的解決方案為使用者提供網絡服務，為了防範這些産品對使用者的ECS執行個體發起非法通路，則需要在安全組内設定五元組規則，更精确的控制出流量和入流量。
• 設定了組内網絡隔離的安全組，如果您想精确控制組内若幹ECS執行個體之間可以互相通路，則需要在安全組内設定五元組規則。

您可以使用OpenAPI設定五元組規則。

• 增加安全組入規則，請參見AuthorizeSecurityGroup。
• 增加安全組出規則，請參見AuthorizeSecurityGroupEgress。
• 删除安全組入規則，請參見RevokeSecurityGroup。
• 删除安全組出規則，請參見RevokeSecurityGroupEgress。

參數說明

在授權或解除授權時，各參數的含義如下表所示。

參數	入規則中各參數含義	出規則中各參數含義
SecurityGroupId	目前入規則所屬的安全組ID，即目的安全組ID。	目前出規則所屬的安全組ID，即源安全組ID。
DestCidrIp	目的IP範圍，可選參數。 如果指定DestCidrIp，則可以更精細地控制入規則生效的目的IP範圍； 如果不指定DestCidrIp，則入規則生效的IP範圍就是SecurityGroupId這個安全組下的所有IP。	目的IP，DestGroupId與DestCidrIp二者必選其一，如果二者都指定，則DestCidrIp優先級高。
PortRange	目的端口範圍，必選參數	目的端口範圍，必選參數。
DestGroupId	不允許輸入。目的安全組ID一定是SecurityGroupId。	目的安全組ID。DestGroupId與DestCidrIp二者必選其一，如果二者都指定，則DestCidrIp優先級高。
SourceGroupId	源安全組ID，SourceGroupId與SourceCidrIp二者必選其一，如果二者都指定，則SourceCidrIp優先級高。	不允許輸入，出規則的源安全組ID一定是SecurityGroupId。
SourceCidrIp	源IP範圍，SourceGroupId與SourceCidrIp二者必選其一，如果二者都指定，則SourceCidrIp優先級高。	源IP範圍，可選參數。 如果指定SourceCidrIp，則會更精細地限定出規則生效的源IP。 如果不指定SourceCidrIp，則生效的源IP就是SecurityGroupId這個安全組下的所有IP。
SourcePortRange	源端口範圍，可選參數，不填則不限制源端口。	源端口範圍，可選參數，不填則不限制源端口。