您可以通過添加安全組規則,允許或禁止安全組内的ECS執行個體對公網或私網的通路。
前提條件
添加安全組規則之前,您已經規劃好ECS執行個體需要允許或禁止哪些公網或内網的通路。
背景資訊
安全組負責管理是否放行來自公網或者内網的通路請求。為安全起見,安全組入方向大多采取拒絕通路政策。如果您使用的是預設安全組,則系統會給部分通信端口自動添加安全組規則。
本文内容适用于以下場景:
· 當您的應用需要與ECS執行個體所在安全組之外的網絡互相通信,但請求發起後進入長時間等待狀态,您需要優先設定安全組規則。
· 當您在營運應用的過程中發現部分請求來源有惡意攻擊行為,您可以添加拒絕通路的安全組規則實行隔離政策。
添加安全組規則之前,請了解以下内容:
· 普通安全組在未添加任何安全組規則之前,出方向允許所有通路,入方向拒絕所有通路。
· 企業安全組在未添加任何安全組規則之前,出方向和入方向都拒絕所有通路。同時不支援授權給其他安全組。
· 安全組規則支援IPv4安全組規則和IPv6安全組規則。
· 每個安全組的入方向規則與出方向規則的總數不能超過200條。
操作步驟
1. 進入安全組頁面。
i. 登入ECS管理控制台。
ii. 在左側導航欄,選擇網絡與安全 > 安全組。
iii. 在頂部菜單欄左上角處,選擇地域。
2. 找到目标安全組,在操作列中,單擊配置規則。
3. 選擇安全組規則的規則方向。
網絡類型 | 選擇規則方向 |
專有網絡VPC | o 入方向:同時控制公網和内網入方向 o 出方向:同時控制公網和内網出方向 |
經典網絡 | o 公網入方向 o 公網出方向 o 入方向:内網入方向 o 出方向:内網出方向 |
1. 在安全組規則頁面上,添加安全組規則。
o 方式一:快速添加安全組規則
适用于快速設定常用的TCP協定規則,您單擊快速添加後,隻需要設定授權政策、授權對象,并選中一個或多個端口便能完成。
o 方式二:手動添加安全組規則
支援自定義配置授權政策、優先級、協定類型等資訊。具體操作,如下所示。
i. 單擊手動添加。
ii. 在規則清單中,配置新增的安全組規則。
名稱 | 描述 |
授權政策 | o 允許:放行該端口相應的通路請求。 o 拒絕:直接丢棄資料包,不會傳回任何回應資訊。 如果兩個安全組規則其他都相同隻有授權政策不同,則拒絕授權生效,允許政策不生效。 |
優先級 | 優先級數值越小,優先級越高,取值範圍為1~100。 |
協定類型 | 協定類型包括: o 全部:支援全部協定類型。 o 自定義TCP:支援TCP協定。 o 自定義UDP:支援UDP協定。 o 全部ICMP(IPv4):支援ICMP(IPv4)協定。 o 全部ICMP(IPv6):支援ICMP(IPv6)協定。 o 全部GRE:支援GRE協定。 |
協定類型 | 協定類型包括: o 全部:支援全部協定類型。 o 自定義TCP:支援TCP協定。 o 自定義UDP:支援UDP協定。 o 全部ICMP(IPv4):支援ICMP(IPv4)協定。 o 全部ICMP(IPv6):支援ICMP(IPv6)協定。 o 全部GRE:支援GRE協定。 |
端口範圍 | 協定類型為自定義TCP或自定義UDP時,可手動設定端口通路。多個端口範圍以英文半形逗號分隔,例如22/23,443/443 |
授權對象 | 支援以下方式設定授權對象。 o IP位址 設定單一IP位址,例如192.168.0.100、2408:4321:180:1701:94c7:bc38:3bfa:。 o o CIDR位址塊: 設定IP位址段,例如192.168.0.0/24、2408:4321:180:1701:94c7:bc38:3bfa:***/128。 o 安全組 安全組通路隻對内網有效。授權本賬号或其他賬号下某個安全組中的ECS執行個體通路本安全組中的ECS執行個體,實作内網互通。 說明 企業安全組不支援授權安全組通路。 o 本賬号授權:填寫同賬号下的目标安全組ID。如果是專有網絡VPC類型的安全組,目的安全組必須在同一個專有網絡VPC中。 跨賬号授權:填寫目标阿裡雲賬号ID和目标安全組ID(格式為目标阿裡雲賬号ID/目标安全組ID)。在賬号管理 > 安全設定裡檢視阿裡雲賬号ID。 o 字首清單 字首清單是一些網絡字首(CIDR位址塊的簡稱)的集合,僅支援VPC網絡。您選擇字首清單後,這條安全組規則将會對字首清單中的所有CIDR位址塊生效。 o 選擇字首清單後,字首清單的最大條目容量會占用安全組規則額度。例如,某字首清單的最大條目容量設定為100個,如果安全組引用該字首清單,就會占用該安全組100個規則額度,即使該字首清單中已有的條目數未達到100條。 o 設定注意事項如下: o 支援多組授權對象,用英文半形逗號(,)隔開,最多支援10組授權對象。 o 如果填寫0.0.0.0/0(IPv4)或者::/0(IPv6),表示所有IP位址的通路,設定時請務必謹慎。 o 出于安全性考慮,經典網絡的内網入方向規則,授權對象優先使用安全組。如果使用IP位址,則隻能授權單一IP位址,不能使用CIDR位址塊。 |
授權對象 | 支援以下方式設定授權對象。 o IP位址 設定單一IP位址,例如192.168.0.100、2408:4321:180:1701:94c7:bc38:3bfa:。 o o CIDR位址塊: 設定IP位址段,例如192.168.0.0/24、2408:4321:180:1701:94c7:bc38:3bfa:***/128。 o 安全組 安全組通路隻對内網有效。授權本賬号或其他賬号下某個安全組中的ECS執行個體通路本安全組中的ECS執行個體,實作内網互通。 說明 企業安全組不支援授權安全組通路。 o 本賬号授權:填寫同賬号下的目标安全組ID。如果是專有網絡VPC類型的安全組,目的安全組必須在同一個專有網絡VPC中。 跨賬号授權:填寫目标阿裡雲賬号ID和目标安全組ID(格式為目标阿裡雲賬号ID/目标安全組ID)。在賬号管理 > 安全設定裡檢視阿裡雲賬号ID。 o 字首清單 字首清單是一些網絡字首(CIDR位址塊的簡稱)的集合,僅支援VPC網絡。您選擇字首清單後,這條安全組規則将會對字首清單中的所有CIDR位址塊生效。 o 選擇字首清單後,字首清單的最大條目容量會占用安全組規則額度。例如,某字首清單的最大條目容量設定為100個,如果安全組引用該字首清單,就會占用該安全組100個規則額度,即使該字首清單中已有的條目數未達到100條。 o 設定注意事項如下: o 支援多組授權對象,用英文半形逗號(,)隔開,最多支援10組授權對象。 o 如果填寫0.0.0.0/0(IPv4)或者::/0(IPv6),表示所有IP位址的通路,設定時請務必謹慎。 o 出于安全性考慮,經典網絡的内網入方向規則,授權對象優先使用安全組。如果使用IP位址,則隻能授權單一IP位址,不能使用CIDR位址塊。 |
描述 | 安全組規則描述資訊。 |
i. 在規則的操作列中,單擊儲存。
執行結果
添加完成後,在安全組規則清單中檢視已添加的安全組規則。安全組規則的變更會自動應用到安全組内的ECS執行個體上,建議您立即測試是否生效。
執行結果
添加完成後,在安全組規則清單中檢視已添加的安全組規則。安全組規則的變更會自動應用到安全組内的ECS執行個體上,建議您立即測試是否生效。
協定類型 | 端口顯示範圍 | 應用場景 |
全部 | -1/-1,表示不限制端口。不支援設定。 | 可用于完全互相信任的應用場景。 |
全部 ICMP(IPv4) | -1/-1,表示不限制端口。不支援設定。 | 使用ping6程式檢測ECS執行個體之間的通信狀況。 |
全部 ICMP(IPv6) | -1/-1,表示不限制端口。不支援設定。 | 使用ping程式檢測ECS執行個體之間的通信狀況 |
全部 GRE | -1/-1,表示不限制端口。不支援設定。 | 用于VPN服務。 |
自定義 TCP | 自定義端口範圍,有效的端口值是1 ~ 65535。 必須采用<開始端口>/<結束端口>的格式。例如80/80表示端口80,1/22表示1到22端口。 | 可用于允許或拒絕一個或幾個連續的端口。 |
自定義 UDP | 自定義端口範圍,有效的端口值是1 ~ 65535。 必須采用<開始端口>/<結束端口>的格式。例如80/80表示端口80,1/22表示1到22端口。 | 可用于允許或拒絕一個或幾個連續的端口。 |
TCP協定中常用應用和端口如下表所示。
服務場景 | 協定類型 | 端口顯示範圍 | 說明 |
連接配接伺服器 | SSH | 22/22 | 用于SSH遠端連接配接到Linux執行個體。連接配接ECS執行個體後您能修改端口号 |
TELNET | 23/23 | 用于Telnet遠端登入ECS執行個體。 | |
RDP | 3389/3389 | 用于通過遠端桌面協定連接配接到Windows執行個體。連接配接ECS執行個體後您能修改端口号 | |
網站服務 | HTTP | 80/80 | ECS執行個體作為網站或Web應用伺服器 |
HTTPS | 443/443 | ECS執行個體作為支援HTTPS協定的網站或Web應用伺服器 |
資料庫
MS SQL
1433/1433
ECS執行個體作為MS SQL伺服器。
Oracle
1521/1521
ECS執行個體作為Oracle SQL伺服器。
MySQL
3306/3306
ECS執行個體作為MySQL伺服器。
PostgreSQL
5432/5432
ECS執行個體作為PostgreSQL伺服器。
Redis
6379/6379
ECS執行個體作為Redis伺服器。
攜手馳網多多一同探索擁有一台伺服器可以做哪些很酷的事情吧~
感謝您的閱讀,若是想要了解更多伺服器技術幹貨,加個關注再走吧~