一、安全組概述
安全組是一種虛擬防火墻,具備有狀態(tài)的數(shù)據(jù)包過濾功能,用于設(shè)置云服務(wù)器的網(wǎng)絡(luò)訪問控制,控制安全組內(nèi)云服務(wù)器的入流量和出流量,是重要的網(wǎng)絡(luò)安全隔離手段。
安全組具有以下功能特點:
(1)一臺云服務(wù)器只能關(guān)聯(lián)一個安全組。
(2)一個安全組可以管理同一個區(qū)域內(nèi)的多臺云服務(wù)器。
(3)同一區(qū)域內(nèi),不同安全組內(nèi)的云服務(wù)器之間默認內(nèi)網(wǎng)互通。
(4)可以將有相同防護需求的云服務(wù)器加入一個安全組,而無需為每一個云服務(wù)器都配置一個單獨的安全組。
1、使用限制
(1)安全組是分區(qū)域的,一臺云服務(wù)器只能與相同區(qū)域中的安全組進行關(guān)聯(lián)。
(2)每個區(qū)域最多可設(shè)置50個安全組。
(3)一個安全組的訪問策略,最多可設(shè)置30條。
(4)一個云服務(wù)器只能關(guān)聯(lián)一個安全組,一個安全組可以關(guān)聯(lián)同區(qū)的多個云服務(wù)器。
(5)安全組在使用中有配額限制,具體如下:
功能描述 | 限制 |
安全組個數(shù) | 50個/區(qū)域 |
安全組規(guī)則數(shù) | 其它區(qū)域:30條/安全組 二區(qū):30條 |
每個安全組關(guān)聯(lián)的云服務(wù)器數(shù)量 | 500臺 |
每個云服務(wù)器可以關(guān)聯(lián)的安全組個數(shù) | 1個 |
2、安全組規(guī)則
組成部分
安全組規(guī)則包括如下組成部分:
授權(quán)策略:允許。
網(wǎng)絡(luò)類型:網(wǎng)絡(luò)類型如IPV4、IPV6。
協(xié)議類型:協(xié)議類型如 TCP、UDP等。
端口范圍:端口如80、443、3389等。
授權(quán)類型:可以IP網(wǎng)絡(luò),也可以是一個安全組下的所有IP。
授權(quán)對像:是指網(wǎng)絡(luò)入流量(入方向)或出流量(出方向)的IP,采用CIDR格式。
來源:源數(shù)據(jù)(入方向)或目標數(shù)據(jù)(出方向)的 IP。
規(guī)則說明
安全組內(nèi)規(guī)則具有優(yōu)先級。規(guī)則優(yōu)先級通過規(guī)則在列表中的位置來表示,列表頂端規(guī)則優(yōu)先級最高,最先應(yīng)用;列表底端規(guī)則優(yōu)先級最低。
若有規(guī)則沖突,則默認應(yīng)用位置更前的規(guī)則。
當有流量入/出關(guān)聯(lián)某安全組的云服務(wù)器時,將從安全組規(guī)則列表頂端的規(guī)則開始逐條匹配至最后一條。如果匹配某一條規(guī)則成功,允許通過,則不再匹配該規(guī)則之后的規(guī)則。
3、使用流程
安全組的使用流程如下圖所示:
4、安全組實踐建議
以下為在使用或是添加安全組時的一些實踐建議
使用安全組時
不建議使用一個安全組管理所有應(yīng)用,不同的分層一定有不同的隔離需求。
不建議為每臺云服務(wù)器單獨設(shè)置一個安全組,您只需將具有相同安全保護需求的ECS實例加入同一安全組。
添加安全組規(guī)則時
建議您設(shè)置簡潔的安全組規(guī)則。如果對規(guī)則的優(yōu)先級有需求,在設(shè)置時按自己需要的優(yōu)先級順序創(chuàng)建規(guī)則。
為應(yīng)用添加安全組規(guī)則時遵循最小授權(quán)原則。例如,您可以:
選擇開放具體的端口,如80/80。不要設(shè)置為端口范圍,如1/80。
添加安全組規(guī)則時,謹慎授權(quán)0.0.0.0/0(全網(wǎng)段)訪問源。
每個安全組下添加的規(guī)則條數(shù)建議不要超過15條。
二、創(chuàng)建安全組
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,點擊【安全】-->【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,點擊【創(chuàng)建安全組】。
(4)在彈出的“創(chuàng)建安全組”窗口中,完成以下配置:
創(chuàng)建安全組時,您可以選擇新網(wǎng)云為您提供的安全組模板:
(5)點擊【確定】,完成安全組的創(chuàng)建。
三、添加安全組規(guī)則
1、前提條件
您已經(jīng)創(chuàng)建一個安全組。具體操作請參見創(chuàng)建安全組。
您已經(jīng)知道云服務(wù)器需要允許或禁止哪些公網(wǎng)的訪問。
2、操作步驟
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,點擊【安全】-->【安全組】,進入安全組管理頁面
(3)在安全組管理頁面,找到需要設(shè)置規(guī)則的安全組。
(4)在需要設(shè)置規(guī)則的安全組行中,點擊【配置規(guī)則】。
(5)在安全組規(guī)則頁面,點擊【添加安全組規(guī)則】,并根據(jù)實際需求進行設(shè)置。
(6)在彈出的“添加安全組規(guī)則”窗口中,設(shè)置規(guī)則。
針對常用服務(wù)使用的協(xié)議及端口,規(guī)則的選項中有快速模板,方便您快速設(shè)置規(guī)則,詳見常用端口
如果您沒有找到合適的快速模板,可以在規(guī)則的選項中選自定義,根據(jù)您業(yè)務(wù)需要進行設(shè)置即可。
四、云服務(wù)器關(guān)聯(lián)安全組
安全組用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制,是重要的網(wǎng)絡(luò)安全隔離手段。您可以根據(jù)業(yè)務(wù)需要,將云服務(wù)器關(guān)聯(lián)到一個安全組。下面將指導您如何在控制臺上將云服務(wù)器關(guān)聯(lián)安全組。
說明:安全組僅支持關(guān)聯(lián)云服務(wù)器。
1、前提條件
您已創(chuàng)建云服務(wù)器。
2、操作步驟
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,點擊【云服務(wù)器ECS】,進入云服務(wù)器管理頁面。
(3)在云服務(wù)器管理頁面,找到需要關(guān)聯(lián)安全組的云服務(wù)器,點擊云服務(wù)器的名稱,進入詳情頁面。
(4)在詳情頁面,點擊【更換安全組】
(5)在彈出的“綁定安全組”窗口中,選擇云服務(wù)器需要綁定的安全組,點擊【確定】。
五、 管理安全組
1、查看安全組
您可以查看已經(jīng)創(chuàng)建的安全組,下面將指導您如何在控制臺上查看安全組。
操作步驟
查看所有安全組
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面,即可查看所有安全組。
查看指定安全組
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面
(3)在安全組管理頁面,搜索框內(nèi)輸入安全組ID 或安全組名稱,注意要輸入全稱。
2、更換安全組
您可以根據(jù)業(yè)務(wù)需要,更換云服務(wù)器綁定的安全組。
前提條件
云服務(wù)器已綁定某個安全組。
操作步驟
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,點擊【云服務(wù)器ECS】,進入云服務(wù)器管理頁面。
(3)在云服務(wù)器管理頁面,找到需要更換安全組的云服務(wù)器,點擊云服務(wù)器的名稱,進入詳情頁面。
(4)在詳情頁面,點擊【更換安全組】
(5)在彈出的“綁定安全組”窗口中,選擇云服務(wù)器需要綁定的安全組,點擊【確定】。
3、刪除安全組
如果您的業(yè)務(wù)不再某個安全組,您可以刪除安全組。
前提條件
請確認待刪除的安全組不存在關(guān)聯(lián)的云服務(wù)器。若存在關(guān)聯(lián)的云服務(wù)器,請先將關(guān)聯(lián)云服務(wù)器關(guān)聯(lián)至其它安全組,否則刪除安全組操作不可執(zhí)行。
操作步驟
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,找到需要刪除的安全組。
(4)在彈出的提示框中,單擊【確定】。
六、管理安全組規(guī)則
1、查看安全組規(guī)則
添加安全組規(guī)則后,您可以在控制臺上查看安全組規(guī)則的詳細信息。
前提條件
已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
如何創(chuàng)建安全組和添加安全組規(guī)則,請參見 創(chuàng)建安全組 和 添加安全組規(guī)則。
操作步驟
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,找到需要查看規(guī)則的安全組。
(4)在需要查看規(guī)則的安全組行的最右側(cè),點擊【配置規(guī)則】,進入安全組規(guī)則頁面。
(5)在安全組規(guī)則頁面,單擊【入方向/出方向】頁簽,可以查看到入方向/出方向的安全組規(guī)則。
2、修改安全組規(guī)則
前提條件
已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
操作步驟
(1)登錄 云服務(wù)器控制臺;
(2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面;
(3)在安全組管理頁面,找到需要查看規(guī)則的安全組;
(4)在需要查看規(guī)則的安全組行的最右端,點擊【配置規(guī)則】,進入安全組規(guī)則頁面;
(5)在安全組規(guī)則頁面,找到需要修改的規(guī)則行中,點擊操作列的【修改】,即可對已有規(guī)則進行修改。
3、刪除安全組規(guī)則
如果您不再需要某個安全組規(guī)則,可以刪除安全組規(guī)則。
前提條件
已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
已確認云服務(wù)器不需要允許哪些公網(wǎng)訪問。
操作步驟
(1)登錄 云服務(wù)器控制臺。
(2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面。
(3)在安全組管理頁面,找到需要查看規(guī)則的安全組。
(4)在需要查看規(guī)則的安全組行的最右側(cè),點擊【配置規(guī)則】,進入安全組規(guī)則頁面。
(5)在安全組規(guī)則頁面,找到待刪除的安全組規(guī)則行中,點擊操作列的【刪除】。
(6)在彈出的提示框中,單擊【確定】。
七、常用端口
協(xié)議類型 | 端口 | 服務(wù) | 說明 |
TCP | 21 | FTP | 用于上傳、下載文件。 |
TCP | 22 | SSH | 用于遠程桌面服務(wù),連接Linux系統(tǒng)的云服務(wù)器。 |
TCP | 25 | SMTP | 用于郵件發(fā)送服務(wù)。 |
UDP | 69 | TFTP | 簡單文件傳輸協(xié)議 |
TCP | 80 | HTTP | 用于HTTP服務(wù)(Web服務(wù)),例如,IIS、Apache、Nginx等服務(wù)。 |
TCP | 110 | POP3 | 用于POP3協(xié)議,POP3是電子郵件收發(fā)的協(xié)議。 |
TCP | 143 | IMAP | 用于IMAP(Internet Message Access Protocol)協(xié)議,IMAP是用于電子郵件的接收的協(xié)議。 |
TCP | 389 | IDAP | LDAP輕型目錄訪問協(xié)議,常用于單點登錄服務(wù) |
TCP | 443 | HTTPS | 用于HTTPS服務(wù)提供訪問功能。HTTPS是一種能提供加密和通過安全端口傳輸?shù)囊环N協(xié)議。 |
TCP | 1433 | MS SQL | SQL Server的TCP端口,用于供SQL Server對外提供服務(wù)。 |
TCP | 1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪個TCP/IP端口。 |
TCP | 3306 | MYSQL | MySQL數(shù)據(jù)庫對外提供服務(wù)的端口。 |
TCP | 3389 | RDP | 用于遠程桌面服務(wù),連接Windows系統(tǒng)的云服務(wù)器。 |
ICMP | | ping服務(wù) | |