阿里云服务器安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。
安全组特点
安全组由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。安全组具有以下功能特点:
1.在创建实例时必须指定安全组,每个实例至少属于一个安全组。
2.同一安全组内的实例之间默认内网网络互通,不同安全组的实例之间默认内网不通。
3.可以通过安全组规则授权两个安全组之间互访。
4.安全组具有状态检测能力,支持有状态服务,具体通过会话保持状态。从实例内发起请求时,默认放行同一会话中的响应。请注意,会话保持的最长时间是910秒(s)。
阿里云服务器安全组如何设置?
1.登录云服务器 ECS 管理控制台。
2.在左侧导航栏中,选择网络和安全 > 安全组。
3.选择地域。
4.找到要配置授权规则的安全组,在操作列中,单击配置规则。
5.在安全组规则页面上,单击添加安全组规则。
如果您不需要设置 ICMP、GRE 协议规则,或者您想使用下表中列出的协议的默认端口,单击快速创建规则。
| 协议 | 端口 |
|---|---|
| SSH | 22 |
| telnet | 23 |
| HTTP | 80 |
| HTTPS | 443 |
| MS SQL | 1433 |
| Oracle | 1521 |
| MySQL | 3306 |
| RDP | 3389 |
| PostgreSQL | 5432 |
| Redis | 6379 |
6.在弹出的对话框中,设置以下参数:
网卡类型:
(1).如果是专有网络类型的安全组,不需要选择这个参数。需要注意以下信息:
(2).如果您的实例能访问公网,可以设置公网和内网的访问规则。
(3).如果您的实例不能访问公网,只能设置内网的访问规则。
(4).如果是经典网络的安全组,选择公网或内网。
规则方向:
出方向:是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。
入方向:是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。
授权策略:选择允许或拒绝。
协议类型和端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。
| 协议类型 | 端口范围 | 应用场景 |
|---|---|---|
| 全部 | 显示为 -1/-1,表示不限制端口。不能设置。 | 可用于完全互相信任的应用场景。 |
| 全部 ICMP(IPv4) | 显示为 -1/-1,表示不限制端口。不能设置。 | 使用 ping 程序检测实例之间的通信状况。 |
| 全部 ICMP(IPv6) | 显示为 -1/-1,表示不限制端口。不能设置。 | 使用 ping6 程序检测实例之间的通信状况。 |
| 全部 GRE | 显示为 -1/-1,表示不限制端口。不能设置。 | 用于 VPN 服务。 |
| 自定义 TCP | 自定义端口范围,有效的端口值是 1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80 表示端口 80。 | 可用于允许或拒绝一个或几个连续的端口。 |
| 自定义 UDP | ||
| SSH | 显示为 22/22。 | 用于 SSH 远程连接到 Linux 实例。 |
| 连接 ECS 实例后您能修改端口号。 | ||
| TELNET | 显示为 23/23。 | 用于 Telnet 远程登录实例。 |
| HTTP | 显示为 80/80。 | 实例作为网站或 Web 应用服务器。 |
| HTTPS | 显示为 443/443。 | 实例作为支持 HTTPS 协议的网站或 Web 应用服务器。 |
| MS SQL | 显示为 1433/1433。 | 实例作为 MS SQL 服务器。 |
| Oracle | 显示为 1521/1521。 | 实例作为 Oracle SQL 服务器。 |
| MySQL | 显示为 3306/3306。 | 实例作为 MySQL 服务器。 |
| RDP | 显示为 3389/3389。 | 实例是 Windows 实例,需要远程桌面连接实例。 |
| 连接 ECS 实例后您能修改端口号。 | ||
| PostgreSQL | 显示为 5432/5432。 | 实例作为 PostgreSQL 服务器。 |
| Redis | 显示为 6379/6379。 |
授权类型和授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。
| 授权类型 | 授权对象 |
|---|---|
| IPv4 地址段访问 | 填写单一 IP 地址或者 CIDR 网段格式,如:12.1.1.1 或 13.1.1.1/25。 |
| 支持多组授权对象,用,隔开,最多支持 10 组授权对象。 | |
| 如果填写 0.0.0.0/0 表示允许或拒绝所有 IP 地址的访问,设置时请务必谨慎。 | |
| IPv6 地址段访问 | 填写单一 IP 地址或者 CIDR 网段格式,如:2001:0db8::1428:xxxx 或 2001:0db8::1428:xxxx/128。 |
| 支持多组授权对象,用,隔开,最多支持 10 组授权对象。 | |
| 如果填写 :: / 0 表示允许或拒绝所有 IP 地址的访问,设置时请务必谨慎。 | |
| 安全组访问 | 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 |
| 本账号授权:选择同一账号下的其他安全组 ID。如果是专有网络的安全组,必须为同一个专有网络的安全组。 | |
| 跨账号授权:填写目标安全组 ID,以及对方账号 ID。在账号管理 > 安全设置里查看账号 ID。 | |
| 因为安全组访问只对内网有效,所以,对专有网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过地址段访问授权。 |
优先级:1 ~ 100,数值越小,优先级越高。
7.单击确定,即成功地为指定安全组添加了一条安全组规则。
更多阿里云服务器安全组介绍及设置问题,请参考阿里云官网-添加安全组规则安全组安全_云服务器 ECS-阿里云
网友评论