云服务器 ECS > 安全 > 安全组 > 添加安全组规则
添加安全组规则
更新时间:2020-07-01 16:03:49
编辑我的收藏
本页目录
- 前提条件
- 背景信息
- 操作步骤
- 执行结果
- 后续步骤
- 相关文档
您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。
前提条件
添加安全组规则之前,请确认以下信息:
- 您已经创建了一个安全组。具体操作,请参见创建安全组。
- 您已经知道ECS实例需要允许或禁止哪些公网或内网的访问。更多有关安全组规则设置的应用案例,请参见安全组应用案例。
背景信息
安全组负责管理是否放行来自公网或者内网的访问请求。为安全起见,安全组入方向大多采取拒绝访问策略。如果您使用的是默认安全组,则系统会给部分通信端口自动添加安全组规则,更多详情,请参见安全组概述。
本文内容适用于以下场景:
- 当您的应用需要与ECS实例所在安全组之外的网络相互通信,但请求发起后进入长时间等待状态,您需要优先设置安全组规则。
- 当您在运营应用的过程中发现部分请求来源有恶意攻击行为,您可以添加拒绝访问的安全组规则实行隔离策略。
添加安全组规则之前,请了解以下内容:
- 普通安全组在未添加任何安全组规则之前,出方向允许所有访问,入方向拒绝所有访问。
- 企业安全组在未添加任何安全组规则之前,出方向和入方向都拒绝所有访问。同时不支持设置优先级、不支持授权给安全组、不支持设置拒绝访问的安全组规则。更多详情,请参见企业安全组。
- 安全组规则支持IPv4安全组规则和IPv6安全组规则。
- 每个安全组的入方向规则与出方向规则的总数不能超过200条。
操作步骤
- 登录ECS管理控制台。
- 在左侧导航栏,单击网络与安全 > 安全组。
- 在顶部菜单栏左上角处,选择地域。
- 找到要配置授权规则的安全组,在操作列中,单击配置规则。
- 选择安全组规则的规则方向。不同网络类型安全组可选规则方向如下:
表 1. 安全组规则方向
网络类型 选择规则方向 专有网络VPC - 入方向:同时控制公网和内网入方向
- 出方向:同时控制公网和内网出方向
经典网络 - 公网入方向
- 公网出方向
- 入方向:内网入方向
- 出方向:内网出方向
- 在安全组规则页面上,您可以选择以下任意一种方式添加安全组规则。
- 方式一:快速添加安全组规则
适用于无需设置ICMP、GRE协议规则,并通过勾选多个端口便能完成操作的场景。快速添加提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的应用端口设置。您可以同时勾选一个或多个端口。
- 单击快速添加。
- 设置授权策略、授权对象和端口范围。
说明 参数设置的详细指导请参见方式二的表 2。
- 单击确定。
- 方式二:手动添加安全组规则
- 单击手动添加。
- 在规则列表中配置新增的安全组规则。
表 2. 安全组规则参数说明
名称 描述 授权策略 - 允许:放行该端口相应的访问请求。
- 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两个安全组规则其他都相同只有授权策略不同,则拒绝授权生效,允许策略不生效。
说明 企业安全组只支持允许授权策略。
优先级 优先级数值越小,优先级越高,取值范围为1~100。更多详情,请参见规则优先级。 说明 企业安全组优先级固定为1,不支持自定义设置。
协议类型 支持协议类型包括: - 全部
- 自定义TCP
- 自定义UDP
- 全部ICMP(IPv4)
- 全部GRE
协议类型和端口范围的关系参见表 3。更多常用端口信息,请参见常用端口。
端口范围 协议类型为自定义TCP或自定义UDP时,可自定义设置。手动输入端口范围,多个端口范围以英文半角逗号分隔,例如 22/23,443/443
。授权对象 支持以下方式设置授权对象。 - IPv4地址段
- 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。
关于CIDR格式介绍,请参见网络FAQ。
- 支持多组授权对象,用英文半角逗号(,)隔开,最多支持10组授权对象。
- 如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。
- 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。
- IPv6地址段
- 填写单一IP地址或者CIDR网段格式,如2408:4321:180:1701:94c7:bc38:3bfa:***或2408:4321:180:1701:94c7:bc38:3bfa:***/128。
- 支持多组授权对象,用英文半角逗号(,)隔开,最多支持10组授权对象。
- 如果填写:: / 0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。
- 安全组
说明 企业安全组不支持授权安全组访问。
安全组访问只对内网有效。授权本账号或其他账号下某个安全组中的ECS实例访问本安全组中的ECS实例,实现内网互通。设置公网访问只能通过CIDR网段方式授权。
- 本账号授权:选择同一账号下的其他安全组ID。如果是专有网络VPC类型的安全组,目的端必须为同一个专有网络VPC中的安全组。
- 跨账号授权:填写目标安全组ID,以及对方账号ID。在账号管理 > 安全设置里查看账号ID。
说明 出于安全性考虑,经典网络的内网入方向规则,授权对象优先使用安全组。如果使用CIDR,则只能授权单个IP地址,授权对象的格式只能是a.b.c.d/32,仅支持IPv4,子网掩码必须是/32。
描述 安全组规则描述信息。 表 3. 协议类型和端口范围关系表
协议类型 端口显示范围 应用场景 全部 -1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部 ICMP(IPv4) -1/-1,表示不限制端口。不能设置。 使用 ping
程序检测ECS实例之间的通信状况。全部 ICMP(IPv6) -1/-1,表示不限制端口。不能设置。 使用 ping6
程序检测ECS实例之间的通信状况。全部 GRE -1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义 TCP 自定义端口范围,有效的端口值是1 ~ 65535。 必须采用<开始端口>/<结束端口>的格式。例如80/80表示端口80,1/22表示1到22端口。
可用于允许或拒绝一个或几个连续的端口。 自定义 UDP SSH 22/22 用于SSH远程连接到Linux实例。连接ECS实例后您能修改端口号,具体操作,请参见修改服务器默认远程端口。 TELNET 23/23 用于Telnet远程登录ECS实例。 HTTP 80/80 ECS实例作为网站或Web应用服务器。 HTTPS 443/443 ECS实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 1433/1433 ECS实例作为MS SQL服务器。 Oracle 1521/1521 ECS实例作为Oracle SQL服务器。 MySQL 3306/3306 ECS实例作为MySQL服务器。 RDP 3389/3389 用于通过远程桌面协议连接到Windows实例。连接ECS实例后您能修改端口号,具体操作,请参见修改服务器默认远程端口。 PostgreSQL 5432/5432 ECS实例作为PostgreSQL服务器。 Redis 6379/6379 ECS实例作为Redis服务器。 说明 公网出方向的SMTP端口25默认受限,无法通过安全组规则打开。如果您需要使用SMTP 25端口,请自行规避安全风险,然后申请解封端口25。具体操作,请参见申请解封端口25。
- 在规则的操作列中,单击保存。
以下示例演示了如何在安全组添加安全组规则。
- 方式一:快速添加安全组规则
执行结果
添加完成后,在安全组规则列表中查看已添加的安全组规则。安全组规则的变更会自动应用到安全组内的ECS实例上,建议您立即测试是否生效。
后续步骤
每台ECS实例至少属于一个安全组,您可以根据业务需要,将ECS实例加入一个或多个安全组。具体操作,请参见ECS实例加入安全组。
相关文档
- AuthorizeSecurityGroup
- AuthorizeSecurityGroupEgress
云服务器 ECS > 安全 > 安全组 > 添加安全组规则相关推荐
- Apsara Clouder云计算专项技能认证:云服务器ECS
介绍 Apsara Clouder云计算专项技能认证:云服务器ECS入门题库,本人得分85分(60分及格),如有错误,欢迎指导,谢谢. 题库 单选1.云服务器ECS产品丰富,以下哪个不是云服务器ECS ...
- 阿里云领取免费2H2G云服务器&证书分享(一):Apsara Clouder云计算专项技能认证:云服务器ECS入门
这个证书是你领服务器一个月内要考的,内容也不难. 新老用户都能领,要求是有学生认证. 当然这个证书是独立的,你也可以不认证直接考. 点击这个链接[阿里云飞天计划]跳转到阿里云飞天计划. 领的服务器如果 ...
- 阿里云服务器ECS入门题库
Apsara Clouder云计算专项技能认证:云服务器ECS入门题库 题库一 多选题 题库二 多选题 题库三 多选题 保证及格,不保证100分!!! 保证及格,不保证100分!!! 保证及格,不保证 ...
- 阿里云领取免费2H2G云服务器&证书分享&个税抵扣:Apsara Clouder云计算专项技能认证:云服务器ECS入门
这个证书是你领服务器一个月内要考的,内容也不难.下面是90分左右的答案(粗体),仅供参考-- 单选 1.云服务器ECS以服务化的方式对客户提供,阿里云产品售后支持的时间段是? A.5*8 B.7*8 ...
- Apsara Clouder云计算专项技能认证:云服务器ECS入门题库
Apsara Clouder云计算专项技能认证:云服务器ECS入门题库备份一下: 以下加粗的部分为正确答案,本人得分90分(60分及格),如有错误,也欢迎指正. 2022-02-6修正:多选18答案( ...
- GPRS/GPS模块组学习——服务器搭建之云服务器 ECS
在学习GPRS中,我们需要连接上一个公网IP,如果你的网络不是公网就需要进行一定的技术进行映射.如花生壳之类的. 下面我们对不是公网的情况,进行租借服务器,进行配置等操作进行学习. 简单了解一下公网I ...
- 大数据:云平台,阿里云VPC创建,创建安全组,云服务器ECS,
大数据:云平台 2022找工作是学历.能力和运气的超强结合体,遇到寒冬,大厂不招人,可能很多算法学生都得去找开发,测开 测开的话,你就得学数据库,sql,oracle,尤其sql要学,当然,像很多金融 ...
- 云服务器ECS安全组
ECS安全组是云服务器ECS的一项安全功能,它可以帮助用户限制对云服务器的访问权限,从而提高云服务器的安全性.通过ECS安全组,用户可以控制外部对云服务器的访问,并可以防止黑客和其他恶意软件对云服务器 ...
- 阿里云服务器ECS配置LNMP
2019独角兽企业重金招聘Python工程师标准>>> 阿里云服务器ECS配置LNMP 刚刚买的阿里云服务器ECS镜像CentOS 6.5 64位. 准备配置个laravel跑,另外 ...
最新文章
- 空间点像素索引(一)
- malloc 结构体_算法与数据结构——结构体变量
- matlab怎么算2乘2矩阵,【Matlab】2.矩阵的运算
- 《知识图谱》赵军 目录
- javascript --- 变量提升的理解
- 聊一聊C# 8.0中的await foreach
- 基于 Springboot 和 Mybatis 的后台管理系统 BootDo
- 瑞幸咖啡首席技术官也离职了:并未参加公司财务造假
- Linux集中日志服务器rsyslog(亲测)
- 贺利坚老师汇编课程53笔记:寄存器冲突问题解决方案定义子程序标准框架
- 苹果被拒的血泪史。。。(update 2015.11)
- pytroch中的Variable()介绍
- 52840LED/KEY
- 判断点是否在点组成的封闭区域内c++
- explain用法和结果的含义
- OSError: exception: access violation writing,
- 自定义UILabel,添加verticalAlignment属性
- android app实现轮播的图片视频播放video,仿淘宝商品详情的视频播放(android)
- php mysql图片存储_PHP-mysql存储照片的两种方式
- golang及beego框架单元测试小结
热门文章
- mysql font连接数据库_MySQL-Front连接数据库的详细操作流程
- 怎样在hdfs上创建多级目录文件夹_【HDFS API编程】第一个应用程序的开发-创建文件夹...
- python购物信息整合教程_python实现简单购物商城
- python智能机器人设计与实现_从AI模型到智能机器人:基于Python与TensorFlow
- 不能右键新建html文件,win10无法新建文件夹怎么办 win10右键新建菜单设置方法图文教程...
- mysql外键实例学生成绩_mysql 外键(foreign key)的详解和实例
- c语言程序设计第一课作业,C语言程序设计第一课答案.doc
- linux系统如何禁用网卡,Linux 中如何启用和禁用网卡?
- 任务驱动在计算机教学中的应用,浅谈任务驱动法在《计算机应用基础》教学中的应用_优秀论文...
- matlab 度表示,在matlab中,单精度类型用关键字()表示,双精度类型用关键字()表示...