新增安全性群組規則
#您可以透過新增安全性群組規則,允許或禁止安全性群組內的ECS實例對公網或私網的存取。
前提條件
#在新增安全性群組規則之前,請先確認下列資訊:
1、您已經建立了一個安全群組。具體操作,請參閱建立安全性群組。
2、您已經知道ECS實例需要允許或禁止哪些公網或內部網路的存取。更多有關安全群組規則設定的應用案例,請參閱安全群組應用案例。
背景資訊
安全群組負責管理是否放行來自公網或內部網路的存取請求。為安全起見,安全群組入方向大多採取拒絕存取原則。如果您使用的是預設安全性群組,或在建立安全性群組時選擇了Web Server Linux模板或Web Server Windows模板,則系統會為部分通訊連接埠自動新增安全性群組規則,更多詳情,請參閱安全性群組概述。本文內容適用於以下場景:1、當您的應用程式需要與ECS實例所在安全群組以外的網路相互通信,但請求發起後進入長時間等待狀態,您需要優先設定安全群組規則。
2、當您在營運應用程式的過程中發現部分請求來源有惡意攻擊行為,您可以新增拒絕存取的安全群組規則實施隔離策略。
在新增安全性群組規則之前,請先了解以下內容:
1、安全性群組規則在網路卡設定上會有差異。 #經典網路類型的安全群組規則區分內網卡和公網卡。 #專有網路VPC類型安全群組規則不區分內網卡和公網卡。 專有網路VPC類型ECS實例的公網存取透過內部網路卡對映轉送。所以,您在ECS實例內部無法看到公網網卡,也只能設定內網安全群組規則,但安全群組規則同時對內網和公網生效。 2、您自行建立的安全群組在未新增任何安全群組規則之前,出方向允許所有訪問,入方向拒絕所有存取。 3、安全群組規則支援IPv4安全群組規則和IPv6安全群組規則。 4、每個安全群組的入方向規則與出方向規則的總數不能超過200條。5、企業安全群組不支援設定優先順序、不支援授權給安全群組、不支援設定拒絕存取的安全群組規則。更多詳情,請參閱企業安全群組概述。
操作步驟
1、登入ECS管理控制台。
2、在左側導覽欄,選擇網路與安全 > 安全群組。
3、在頂部狀態列處,選擇地域。
4、找到要設定授權規則的安全性群組,在操作列中,按一下設定規則。
方式一:
#快速建立規則,適用於無須設定ICMP、GRE協定規則,並透過勾選多個連接埠便能完成操作的場景。快速建立規則提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的應用連接埠設定。您可以同時勾選一個或多個端口,或自訂TCP/UDP端口。
點選快速建立規則,快速建立規則對話方塊中的網路卡類型、規則方向和連接埠範圍等參數設定的詳細指示請參閱方式二新增安全性群組規則。
方式二:
新增安全性群組規則,適用於需要設定多種通訊協定的場景,如ICMP和GRE協定。 a.點選新增安全性群組規則。 b.(僅經典網路類型安全群組)選擇網路卡類型。 內網:您的ECS實例不能存取公網/互聯網,或不需要存取公網。 公網:您的ECS實例可以存取公網,並提供的是網路存取應用程式。 c.選擇規則方向。 出方向:是指ECS實例存取內網路中其他ECS實例或是公網上的資源。 入方向:是指內網中的其他ECS實例或公網上的資源存取ECS實例。 d.選擇授權策略。 ######允許:放行該連接埠對應的存取請求。 ###拒絕:直接丟棄資料包,不會回傳任何回應訊息。如果兩個安全群組規則其他都相同只有授權原則不同,則拒絕授權生效,允許策略不生效。
e.選擇協定類型和連接埠範圍。
連接埠範圍的設定受協定類型影響,下表是建立頁面中涉及的協定類型與連接埠範圍的關係。更多常用連接埠信息,請參閱常用連接埠的典型應用。
說明:公網出方向的STMP連接埠25預設受限,無法透過安全群組規則開啟。如果您需要使用STMP 25端口,請自行規避安全風險,然後申請解封端口25。具體操作,請參閱申請解封埠25。
f.選擇授權類型和授權物件。
授權物件的設定受授權類型影響,以下是兩者之間的關係。
說明:出於安全性考慮,經典網路的內網入方向規則,授權類型優先選擇安全群組存取。如果選擇位址段訪問,則只能授權單一IP位址,授權物件的格式只能是a.b.c.d/32,僅支援IPv4,子網路遮罩必須是/32。
g.優先權:取值範圍為1~100。
說明:優先權數值越小,優先權越高。僅普通安全群組可以設定優先級,企業安全群組不支援設定優先級。更多詳情,請參閱規則優先順序。
h.點選確定
執行結果
點選刷新圖示以查看已新增的安全性群組規則,確認已經完成新增。安全群組規則的變更會自動套用到安全性群組內的ECS實例上,建議您立即測試是否生效。
#後續步驟
每台ECS實例至少屬於一個安全群組,您可以根據業務需要,將ECS實例加入一個或多個安全群組。具體操作,請參閱ECS實例加入安全群組。
相關文件
# # AuthorizeSecurityGroup
# AuthorizeSecurityGroupEgress
#推薦教學:windows教學
#以上是阿里雲ECS伺服器新增安全群組規則的詳細內容。更多資訊請關注PHP中文網其他相關文章!