2023-06-08 分類: 網(wǎng)站建設(shè)
安全組是一種虛擬防火墻,具備狀態(tài)檢測和數(shù)據(jù)包過濾能力,用于在云端劃分安全域。通過配置安全組規(guī)則,您可以控制安全組內(nèi)一臺或多臺ECS實例的入流量和出流量。
安全組特點
安全組具有以下功能特點:
一臺ECS實例至少屬于一個安全組,可以同時加入多個安全組。
一個安全組可以管理同一個地域內(nèi)的多臺ECS實例,這些實例要求具有相同安全保護需求并相互信任。
在沒有設(shè)置允許訪問的安全組規(guī)則的情況下,不同安全組內(nèi)的ECS實例默認內(nèi)網(wǎng)不通。
同一安全組內(nèi)的ECS實例之間可以實現(xiàn)內(nèi)網(wǎng)互通。
(僅普通安全組)可以通過安全組規(guī)則授權(quán)兩個安全組之間互訪。
安全組支持有狀態(tài)應(yīng)用。一個有狀態(tài)的會話連接中,會話的長保持時間是910秒。安全組會默認放行同一會話中的通信。例如,在會話期內(nèi),如果連接的數(shù)據(jù)包在入方向是允許的,則在出方向也是允許的。
安全組類型安全組分為普通安全組和企業(yè)安全組。下表列舉了兩種類型安全組的差異。
* 在ECS控制臺上創(chuàng)建安全組時,您可以選擇Web Server Linux(放行了80、443、22及ICMP協(xié)議)、Web Server Windows(放行了80、443、3389及ICMP協(xié)議)以及自定義(入方向上拒絕所有訪問請求)的安全組模板。
** 手動添加安全組規(guī)則的步驟,請參見添加安全組規(guī)則。
本文主要講解普通安全組的相關(guān)概念。企業(yè)安全組詳情,請參見企業(yè)安全組。
默認安全組通過ECS管理控制臺創(chuàng)建實例時,若您未在該地域創(chuàng)建安全組,則阿里云會在創(chuàng)建實例的同時,創(chuàng)建一個默認安全組。默認安全組為普通安全組,網(wǎng)絡(luò)類型和ECS實例一致。
默認安全組的默認安全組規(guī)則如下:
入方向:
默認放行:ICMP協(xié)議、SSH 22端口、RDP 3389端口,授權(quán)對象為0.0.0.0/0。
更多選擇:HTTP 80端口和HTTPS 443端口,需自行勾選。
規(guī)則優(yōu)先級:110。
出方向:允許所有訪問。
使用限制有關(guān)安全組的使用限制及配額,請參見使用限制安全組章節(jié)。
使用流程安全組的使用流程如下圖所示。
管理ECS實例
管理彈性網(wǎng)卡
安全組規(guī)則建立數(shù)據(jù)通信前,安全組逐條匹配安全組規(guī)則查詢是否放行訪問請求。一條安全組規(guī)則由下表中的屬性確定。
不同通信場景需要設(shè)置的安全組規(guī)則屬性不同。更多規(guī)則配置示例,請參見安全組應(yīng)用案例。
例如,您使用Xshell客戶端遠程連接Linux系統(tǒng)ECS實例時,當安全組檢測到從公網(wǎng)或內(nèi)網(wǎng)有SSH請求,會逐一檢查入方向上安全組規(guī)則、發(fā)送請求的設(shè)備的IP地址是否已存在、優(yōu)先級是為同類規(guī)則首要、授權(quán)策略是否為允許、22端口是否開啟等。只有匹配到一條安全組規(guī)則允許放行該請求時,方才建立數(shù)據(jù)通信。下圖為使用Xshell遠程連接Linux系統(tǒng)ECS實例的規(guī)則匹配舉例。
規(guī)則優(yōu)先級同類型規(guī)則間依賴優(yōu)先級決定終執(zhí)行的規(guī)則。尤其是當ECS實例加入了多個安全組時,多個安全組會從高到低依次匹配規(guī)則。優(yōu)先級數(shù)值越小,代表優(yōu)先級越高,取值范圍:
手動添加的安全組規(guī)則:1~100。
系統(tǒng)添加的安全組規(guī)則:110。僅默認安全組及通過模板創(chuàng)建的安全組規(guī)則的優(yōu)先級為110。
說明企業(yè)安全組不支持規(guī)則優(yōu)先級設(shè)置。
如果兩條安全組規(guī)則的協(xié)議類型、端口范圍、授權(quán)類型、授權(quán)對象都相同,終生效的安全組規(guī)則如下:
優(yōu)先級相同:拒絕策略的規(guī)則優(yōu)先生效,允許策略的規(guī)則不生效。
優(yōu)先級不同:優(yōu)先級高的規(guī)則生效。
網(wǎng)卡類型普通安全組的網(wǎng)絡(luò)類型不同時,安全組規(guī)則需要區(qū)分網(wǎng)卡類型。
經(jīng)典網(wǎng)絡(luò):區(qū)分內(nèi)網(wǎng)網(wǎng)卡和公網(wǎng)網(wǎng)卡。
專有網(wǎng)絡(luò)VPC:只能為內(nèi)網(wǎng)網(wǎng)卡,但安全組規(guī)則同時對內(nèi)網(wǎng)和公網(wǎng)生效。專有網(wǎng)絡(luò)VPC類型ECS實例的公網(wǎng)訪問通過內(nèi)網(wǎng)網(wǎng)卡映射轉(zhuǎn)發(fā)。所以,您在ECS實例內(nèi)部無法看到公網(wǎng)網(wǎng)卡,也只能設(shè)置內(nèi)網(wǎng)安全組規(guī)則。
說明企業(yè)安全組僅支持專有網(wǎng)絡(luò)VPC。
實踐建議使用安全組時:
僅允許少量請求訪問ECS實例時,可以將安全組作為白名單使用。即先設(shè)置安全組為拒絕全部訪問,然后逐一添加允許通信的訪問請求策略。
不建議使用一個安全組管理所有應(yīng)用,不同的分層一定有不同的隔離需求。
不建議為每臺ECS實例單獨設(shè)置一個安全組,您只需將具有相同安全保護需求的ECS實例加入同一安全組即可。
添加安全組規(guī)則時:
建議您設(shè)置簡潔的安全組規(guī)則。例如,如果您給一臺ECS實例分配了多個安全組,該ECS實例很可能會同時遵循數(shù)百條安全組規(guī)則,任何規(guī)則變更都可能引起網(wǎng)絡(luò)不通的故障。
如果您需要修改生產(chǎn)環(huán)境的安全組規(guī)則,建議您提前在克隆的安全組上進行調(diào)試,避免影響線上應(yīng)用。詳情請參見克隆安全組。
為應(yīng)用添加安全組規(guī)則時遵循小授權(quán)原則。例如,您可以:
選擇開放具體的端口,如80/80。不要設(shè)置為端口范圍,如1/80。
添加安全組規(guī)則時,謹慎授權(quán)0.0.0.0/0(全網(wǎng)段)訪問源。
網(wǎng)頁題目:ECS云服務(wù)器的安全組概述
URL標題:http://www.rwnh.cn/news6/263806.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供Google、外貿(mào)建站、響應(yīng)式網(wǎng)站、電子商務(wù)、動態(tài)網(wǎng)站、面包屑導航
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容