文档中心
VPC安全组
安全组 充当实例的虚拟防火墙以控制入站和出站流量。安全组在实例级别运行,而不是子网级别。因此,在您的 VPC 的子网中的每项实例都可以归属于不同的安全组。如果您在启动时没有指定具体的安全组,实例会自动归属到 VPC 的默认安全组。
对于每个安全组,您可以添加规则以控制到实例的入站数据流,以及另外一套单独规则以控制出站数据流。
安全组基本信息
以下是 VPC 安全组的基本特征:
- 您最多可以为每个 VPC 创建 100 个安全组。您最多可以为每个安全组添加 50 条规则。
- 您可以指定允许规则,但不可指定拒绝规则。
- 您可以为入站和出站流量指定单独规则。
- 在您向安全组中添加入站规则之前,所有入站数据流都默认不被允许。
- 默认情况下,出站规则允许所有出站流量。您可以删除该规则并添加只允许特定出站流量的出站规则。
- 安全组是有状态的 — 无论出站规则如何,针对允许的入站流量的响应都可以流出,而针对允许的出站流量的响应都可以流入,而不管入站规则如何。
- 同安全组的实例默认可以互相访问。
- 安全组与网络接口关联。在您启动实例之后,您可以更改与该实例关联的安全组。
VPC 的默认安全组
VPC 会自动带有默认的安全组。如果您在启动主机实例时未指定其他安全组,则您在 VPC 内启动的实例会自动与默认安全组关联。
默认安全组允许安全组内实例互相通信,并允许所有出站访问。
您可以更改默认安全组的规则。
默认安全组不能删除。
安全组规则
您可以添加或删除安全组规则。分为入站数据流(进入)或出站数据流(离开)的两个方向的规则。您可以授予访问特定 CIDR 范围的权限。
以下是安全组规则的基本组成部分:
出站或者入站规则
协议类型(IP,TCP,UDP,ICMP)
入站源 CIDR(IP/MASK) 和目的端口范围(适用于TCP,UDP),(icmp_type,icmp_code , 适用于 ICMP协议)
出站目的CIDR(IP/MASK) 和目的端口范围(适用于TCP,UDP),(icmp_type,icmp_code , 适用于 ICMP协议)
Note:
如果您的主机(主机 A)发起到主机 B 的流量并使用 TCP、UDP 或 ICMP 之外的协议,则实例的防火墙将仅跟踪 IP 地址和协议编号以便允许来自主机 B 的响应流量。如果在原始请求或响应的 600 秒以内,主机 B 在单独的请求中发起到您的实例的流量,则无论入站安全组规则如何,您的实例都将接受该请求,因为该流量将被视为响应流量。如果您想阻止这些响应的流量,您可以使用您的子网的网络 ACL -网络 ACL 是无状态的,因此不会自动允许响应流量。
当您添加或删除一项规则时,您的修改会自动应用到所有与该安全组相关的实例。
您添加的规则类型可能取决于该实例的用途。下表介绍 Web 服务器的安全组的示例规则。Web 服务器可接收 HTTP 和 HTTPS 流量以及将 SQL 或 MySQL 流量发送到数据库服务器。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port Range | Comments |
| 0.0.0.0/0 | TCP | 80 | 允许来自任何地方的入站 HTTP 访问 |
| 0.0.0.0/0 | TCP | 443 | 允许来自任何地方的入站 HTTPS 访问 |
| 您网络的公有 IP 地址范围 | TCP | 22 | 允许从您的网络对 Linux 实例进行入站 SSH 访问(通过 Internet 网关) |
| 您网络的公有 IP 地址范围 | TCP | 3389 | 允许从您的网络对 Windows 实例进行入站 RDP 访问(通过 Internet 网关) |
| Outbound | |||
| Source | Protocol | Port Range | Comments |
| 数据库服务器的IP地址 | TCP | 1433 | 允许 Microsoft SQL Server 出站访问指定安全组中的实例 |
| MySQL 数据库服务器的IP地址 | TCP | 3306 | 允许 MySQL 出站访问指定安全组中的实例 |
操作指南
创建新的安全组
1)登陆金山云控制台,点击左侧导航条【虚拟私有网络】,进入虚拟私有网络控制台,二级菜单选择【安全组(防火墙)】
2)点击【新建安全组按钮】,在弹出框中输入安全组名称,选择【入站规则】或者【出站规则】Tab页,
3)点击 【创建安全组规则】 按钮后,列表框中会新增一行规则
4)在新增规则上,选择【协议】,填写【起始端口】【结束端口】【源IP】【备注】
4)重复3-4步添加更多规则后,点击【确定】,创建完毕
添加,删除或者更改安全组 入站、出站规则
1)登陆金山云控制台,点击左侧导航条【虚拟私有网络】,进入虚拟私有网络控制台,二级菜单选择【安全组(防火墙)】 2)选中需要更改的安全组,并点击【编辑入站规则】 或者【编辑出站规则】按钮 3)在弹出框中,点击【创建安全组规则】按钮以新增规则,点击已有规则右侧【删除】按钮以删除规则,或者在已有规则上修改【协议】,【起始端口】,【结束端口】,【源IP】,【备注】 4)点击【确定】按钮,修改完毕
复制安全组
1)登陆金山云控制台,点击左侧导航条【虚拟私有网络】,进入虚拟私有网络控制台,二级菜单选择【安全组(防火墙)】 2)选中需要复制的安全组,并点击【复制安全组】按钮 3)在弹出框中可以点击【创建安全组规则】按钮以新增规则,点击已有规则右侧【删除】按钮以删除规则,或者在已有规则上修改【协议】,【起始端口】,【结束端口】,【源IP】,【备注】 4)点击【确定】按钮,复制完毕
删除安全组
1)登陆金山云控制台,点击左侧导航条【虚拟私有网络】,进入虚拟私有网络控制台,二级菜单选择【安全组(防火墙)】 2)选中需要删除的安全组,并点击【删除】按钮,在弹出框中点击【删除】以确认删除 备注:VPC中默认安全组不能删除,安全组中还有关联主机时不能删除
查看安全组关联的主机
1)登陆金山云控制台,点击左侧导航条【虚拟私有网络】,进入虚拟私有网络控制台,二级菜单选择【安全组(防火墙)】
2)选择需查看的安全组,在下方弹出的浮动列表中点击【云服务器】Tab页,查看该安全组关联的云服务器详细信息
