Fügen Sie Sicherheitsgruppenregeln zum Alibaba Cloud ECS-Server hinzu

Sicherheitsgruppenregeln hinzufügen

Sie können Sicherheitsgruppen zulassen oder deaktivieren, indem Sie Sicherheitsgruppenregeln ECS hinzufügen Instanzen innerhalb des Systems greifen auf das öffentliche Netzwerk oder das private Netzwerk zu.

Voraussetzungen

Bevor Sie Sicherheitsgruppenregeln hinzufügen, bestätigen Sie bitte die folgenden Informationen:

1. Sie haben eine Sicherheitsgruppe erstellt. Informationen zu bestimmten Vorgängen finden Sie unter Erstellen einer Sicherheitsgruppe.

2. Sie wissen bereits, welcher öffentliche oder Intranet-Zugriff auf die ECS-Instanz erlaubt oder verboten werden muss. Weitere Anwendungsfälle zu Sicherheitsgruppenregeleinstellungen finden Sie unter Anwendungsfälle für Sicherheitsgruppen.

Hintergrundinformationen

Die Sicherheitsgruppe ist dafür verantwortlich, zu verwalten, ob Zugriffsanfragen aus dem öffentlichen Netzwerk oder dem Intranet zugelassen werden. Aus Sicherheitsgründen verwenden die meisten eingehenden Sicherheitsgruppenanweisungen eine Zugriffsverweigerungsrichtlinie. Wenn Sie die Standardsicherheitsgruppe verwenden oder beim Erstellen der Sicherheitsgruppe die Vorlage „Webserver-Linux“ oder „Webserver-Windows“ ausgewählt haben, fügt das System einigen Kommunikationsports automatisch Sicherheitsgruppenregeln hinzu. Weitere Einzelheiten finden Sie unter Übersicht über Sicherheitsgruppen. Der Inhalt dieses Artikels gilt für die folgenden Szenarien:

1. Wenn Ihre Anwendung mit einem Netzwerk außerhalb der Sicherheitsgruppe kommunizieren muss, in der sich die ECS-Instanz befindet, die Anforderung jedoch nach der Initiierung in einen langen Wartezustand gerät , müssen Sie zuerst die Sicherheitsgruppenregeln festlegen.

2. Wenn Sie feststellen, dass einige Anforderungsquellen während des Betriebs Ihrer Anwendung böswillige Angriffe erfahren, können Sie Sicherheitsgruppenregeln hinzufügen, die den Zugriff verweigern, um Isolationsrichtlinien zu implementieren.

Bevor Sie Sicherheitsgruppenregeln hinzufügen, beachten Sie bitte Folgendes:

1. Sicherheitsgruppenregeln unterscheiden sich in den Netzwerkkarteneinstellungen.

#Klassische Sicherheitsgruppenregeln für Netzwerktypen unterscheiden zwischen Intranet-Netzwerkkarten und öffentlichen Netzwerkkarten.

# Sicherheitsgruppenregeln vom Typ VPC für private Netzwerke unterscheiden nicht zwischen Intranet-Netzwerkkarten und öffentlichen Netzwerkkarten.

Der öffentliche Netzwerkzugriff auf ECS-Instanzen vom Typ VPC im privaten Netzwerk wird über die Intranet-Netzwerkkartenzuordnung weitergeleitet. Daher können Sie die öffentliche Netzwerkkarte nicht innerhalb der ECS-Instanz sehen und nur Intranet-Sicherheitsgruppenregeln festlegen. Die Sicherheitsgruppenregeln werden jedoch sowohl im Intranet als auch im öffentlichen Netzwerk wirksam.

2. Bevor Sie Sicherheitsgruppenregeln zu der von Ihnen erstellten Sicherheitsgruppe hinzufügen, wird jeglicher Zugriff in ausgehender Richtung zugelassen und jeglicher Zugriff in eingehender Richtung verweigert.

3. Sicherheitsgruppenregeln unterstützen IPv4-Sicherheitsgruppenregeln und IPv6-Sicherheitsgruppenregeln.

4. Die Gesamtzahl der eingehenden und ausgehenden Regeln für jede Sicherheitsgruppe darf 200 nicht überschreiten.

5. Unternehmenssicherheitsgruppen unterstützen nicht das Festlegen von Prioritäten, die Autorisierung von Sicherheitsgruppen und das Festlegen von Sicherheitsgruppenregeln, die den Zugriff verweigern. Weitere Einzelheiten finden Sie unter Übersicht über Unternehmenssicherheitsgruppen.

Bedienungsschritte

1. Melden Sie sich bei der ECS-Verwaltungskonsole an.

2. Wählen Sie in der linken Navigationsleiste Netzwerk & Sicherheit >

3. Wählen Sie in der oberen Statusleiste eine Region aus.

4. Suchen Sie die Sicherheitsgruppe, für die Sie Autorisierungsregeln konfigurieren möchten, und klicken Sie in der Operationsspalte auf Regeln konfigurieren.

5. Auf der Seite mit den Sicherheitsgruppenregeln können Sie eine der folgenden Methoden auswählen, um den Vorgang abzuschließen.

Methode 1:

Erstellen Sie schnell Regeln, ohne dass das ICMP- und GRE-Protokoll festgelegt werden muss Regeln und das Betriebsszenario kann durch die Überprüfung mehrerer Ports abgeschlossen werden. Die Schnellerstellungsregel stellt Anwendungsporteinstellungen für SSH 22, Telnet 23, HTTP 80, HTTPS 443, MS SQL 1433, Oracle 1521, MySQL 3306, RDP 3389, PostgreSQL 5432 und Redis 6379 bereit. Sie können einen oder mehrere Ports gleichzeitig überprüfen oder den TCP/UDP-Port anpassen.

Klicken Sie auf „Schnell erstellen“-Regel. Ausführliche Anleitungen zum Festlegen von Parametern wie Netzwerkkartentyp, Regelrichtung und Portbereich im Dialogfeld „Schnell erstellen“ finden Sie unter Methode 2 zum Hinzufügen von Sicherheitsgruppenregeln.

Methode 2:

Sicherheitsgruppenregeln hinzufügen, geeignet für Szenarien, die die Einrichtung mehrerer Kommunikationsprotokolle erfordern, wie z. B. ICMP- und GRE-Protokolle.

a. Klicken Sie hier, um eine Sicherheitsgruppenregel hinzuzufügen.

b. (Nur klassische Netzwerktyp-Sicherheitsgruppe) Wählen Sie den Netzwerkkartentyp aus.

Intranet: Ihre ECS-Instanz kann nicht auf das öffentliche Netzwerk/Internet zugreifen oder muss nicht auf das öffentliche Netzwerk zugreifen.

Öffentliches Netzwerk: Ihre ECS-Instanz kann auf das öffentliche Netzwerk zugreifen und stellt Internetzugangsanwendungen bereit.

c. Wählen Sie die Regelrichtung.

Ausgehende Richtung: Bezieht sich auf den Zugriff der ECS-Instanz auf andere ECS-Instanzen im Intranet oder auf Ressourcen im öffentlichen Netzwerk.

Eingehende Richtung: bezieht sich auf andere ECS-Instanzen im Intranet oder Ressourcen im öffentlichen Netzwerk, die auf die ECS-Instanz zugreifen.

d. Wählen Sie die Autorisierungsstrategie aus.

Zulassen: Zugriffsanfragen für diesen Port zulassen.

Ablehnen: Das Paket direkt verwerfen, ohne Antwortinformationen zurückzugeben. Wenn die Regeln der beiden Sicherheitsgruppen mit Ausnahme der Autorisierungsrichtlinie identisch sind, wird die Verweigerung der Autorisierung wirksam und die Zulassungsrichtlinie wird nicht wirksam.

e. Wählen Sie den Protokolltyp und den Portbereich.

Die Einstellung des Portbereichs wird vom Protokolltyp beeinflusst. Die folgende Tabelle zeigt die Beziehung zwischen dem Protokolltyp und dem Portbereich, der auf der Erstellungsseite berücksichtigt wird. Weitere Informationen zu häufig verwendeten Ports finden Sie unter Typische Anwendungen gemeinsamer Ports.

Hinweis: Der STMP-Port 25 in der ausgehenden Richtung des öffentlichen Netzwerks ist standardmäßig eingeschränkt und kann nicht über Sicherheitsgruppenregeln geöffnet werden. Wenn Sie den STMP-Port 25 verwenden müssen, vermeiden Sie bitte selbst Sicherheitsrisiken und beantragen Sie dann die Freigabe von Port 25. Spezifische Vorgänge finden Sie unter „Anwenden auf Entsperren von Port 25“.

f. Wählen Sie den Berechtigungstyp und das Berechtigungsobjekt aus.

Die Einstellung des Autorisierungsobjekts wird durch den Autorisierungstyp beeinflusst. Das Folgende ist die Beziehung zwischen den beiden.

Hinweis: Aus Sicherheitsgründen wird für die Intranet-Eingangsregeln des klassischen Netzwerks der Sicherheitsgruppenzugriff als Autorisierungstyp bevorzugt. Wenn Sie den Adresssegmentzugriff wählen, können Sie nur eine einzelne IP-Adresse autorisieren. Das Format des Autorisierungsobjekts kann nur a.b.c.d/32 sein, nur IPv4 wird unterstützt und die Subnetzmaske muss /32 sein.

g Priorität: Der Wertebereich liegt zwischen 1 und 100.

Erklärung: Je kleiner der Prioritätswert, desto höher die Priorität. Nur gemeinsame Sicherheitsgruppen können Prioritäten festlegen. Unternehmenssicherheitsgruppen unterstützen das Festlegen von Prioritäten nicht. Weitere Einzelheiten finden Sie unter Regelpriorität.

h. Klicken Sie auf OK

Ausführungsergebnis

Klicken Sie auf das Aktualisierungssymbol, um die hinzugefügten Sicherheitsgruppenregeln anzuzeigen , bestätigen Sie, dass die Hinzufügung abgeschlossen wurde. Änderungen an Sicherheitsgruppenregeln werden automatisch auf ECS-Instanzen in der Sicherheitsgruppe angewendet. Es wird empfohlen, zu testen, ob sie sofort wirksam werden.

Nächste Schritte

Jede ECS-Instanz gehört zu mindestens einer Sicherheitsgruppe. Sie können ECS-Instanzen je nach Geschäftsanforderungen einer oder mehreren Sicherheitsgruppen hinzufügen. Informationen zu bestimmten Vorgängen finden Sie unter Hinzufügen einer ECS-Instanz zu einer Sicherheitsgruppe.

Zugehörige Dokumente

# AuthorizeSecurityGroup

# AuthorizeSecurityGroupEgress

Empfohlenes Tutorial: Windows-Tutorial

Das obige ist der detaillierte Inhalt vonFügen Sie Sicherheitsgruppenregeln zum Alibaba Cloud ECS-Server hinzu. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!