阿里云云服务器ECS添加安全组规则操作步骤
发布时间:2017-07-27 15:11
您可以添加安全组规则,允许或禁止安全组内的 ECS 实例对公网、内网或私网的访问:
-
VPC 网络:只需要设置出方向和入方向的规则,不区分私网和公网。
-
经典网络:需要分别设置公网和内网的出方向和入方向规则。
安全组规则的变更会自动应用到安全组内的 ECS 实例上。
前提条件
您已经知道自己的服务器需要允许或禁止哪些公网、内网或私网的访问。
操作步骤
-
登录 云服务器 ECS 管理控制台。
-
在左侧导航栏中,选择 网络和安全 > 安全组。
-
选择目标地域。
-
找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。
-
在 安全组规则 页面上,单击 添加安全组规则。
如果您不需要允许或拒绝任意协议的任何端口、ICMP 任何端口或 GRE 任何端口,您可以选择 快速创建规则。
-
在弹出的对话框中,设置以下参数:
-
如果您的实例能访问公网,那么设置的安全组规则同时适用于公网和私网的访问。
-
如果您的实例不能访问公网,那么设置的安全组规则适用于私网的访问。
-
如果是经典网络的安全组,可以选择 公网 或 内网。
-
出方向:是指 ECS 实例访问内网或私网中其他 ECS 实例或者公网上的资源。
-
入方向:是指内网或私网中的其他 ECS 实例或公网上的资源访问 ECS 实例。
这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果 2 个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。
-
协议类型 和 端口范围:端口范围的设置受选择的协议类型影响。下表是协议类型与端口范围的关系。
协议类型
|
端口范围
|
应用场景
|
全部
|
显示为 -1/-1,表示不限制端口。
|
可用于完全互相信任的应用场景。
|
全部 ICMP
|
显示为 -1/-1,表示不限制端口。
|
可用于检测实例所处的网络连接状况。
|
全部 GRE
|
显示为 -1/-1,表示不限制端口。
|
用于 VPN 服务。
|
自定义 TCP
|
自定义端口范围,有效的端口值是 1−65536,端口范围的合法格式是 开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80 表示端口 80。
|
可用于允许或拒绝一个或几个连续的端口。
|
自定义 UDP
|
SSH
|
显示为 22/22。默认为 22 端口。您可以在登录 ECS 实例后修改端口号,参考文档:服务器默认远程端口修改。
|
用于 SSH 远程连接到 SSH 实例。
|
TELNET
|
显示为 23/23。
|
用于 Telnet 远程登录实例。
|
HTTP
|
显示为 80/80。
|
实例作为网站或 Web 应用的服务器。
|
HTTPS
|
显示为 443/443。
|
实例作为网站或 Web 应用的服务器,而且需要支持 HTTPS 协议。
|
MS SQL
|
显示为 1433/1433。
|
实例作为 MS SQL 服务器。
|
Oracle
|
显示为 1521/1521。
|
实例作为 Oracle SQL 服务器。
|
MySQL
|
显示为 3306/3306。
|
实例作为 MySQL 服务器。
|
RDP
|
显示为 3389/3389。默认为 3389 端口。您可以在登录 ECS 实例后修改端口号,参考文档:服务器默认远程端口修改。
|
实例是 Windows 实例,需要远程桌面连接实例。
|
PostgreSQL
|
显示为 5432/5432。
|
实例作为 PostgreSQL 服务器。
|
Redis
|
显示为 6379/6379。
|
实例作为 Redis 服务器。
|
端口 25 默认受限,并且无法通过安全组规则打开。
-
授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。
授权类型
|
授权对象
|
地址段访问
|
应填写 IP 或者 CIDR 网段格式,如:10.0.0.0 或者 192.168.0.0/24。仅支持 IPv4。
|
安全组访问
|
应通过 本账号授权 或 跨账号授权 选择一个安全组。本账号授权:选择同一账号下的其他安全组。
跨账号授权:填写目标安全组 ID,以及对方账号 ID。在 账号管理 > 安全设置 里可以查看账号 ID。
如果是 VPC 网络实例,安全组访问仅适用于私网 IP 地址的授权,公网 IP 地址的授权仍需要采用 地址段访问 授权。
|
注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问 。如果选择 地址段访问,则只能授权单个 IP 地址,授权对象的格式只能是 a.b.c.d/32,仅支持 IPv4,子网掩码必须是 /32。
-
优先级:1−100,数值越小,优先级越高。更多优先级信息,参考 ECS 安全组规则优先级说明。
-
单击 确定,即成功地为指定安全组添加了一条安全组规则。
查看安全组规则是否生效
假设您在实例里安装了 Web 服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有 IP 地址访问实例的 TCP 80 端口。
Linux 系统
如果是安全组中的一台 Linux 实例,按以下步骤查看安全组规则是否生效。
-
远程连接 ECS 实例。
-
运行以下命令查看 TCP 22 是否被监听。
如果返回以下结果,说明 TCP 80 端口的 Web 服务启动。
-
tcp 000.0.0.0:800.0.0.0:* LISTEN
-
在浏览器地址栏里输入 http://IP 地址:80。如果访问成功,说明规则已经生效。
Windows 系统
如果是安全组中的一台 Windows 实例,按以下步骤查看安全组规则是否生效。
-
远程连接 ECS 实例。
-
运行 命令提示符,输入以下命令查看 TCP 3389 是否被监听。
-
netstat -aon | findstr :80
如果返回以下结果,说明 TCP 3389 端口已开通。
-
TCP 0.0.0.0:800.0.0.0:0 LISTENING 1172
-
在浏览器地址栏里输入 http://IP 地址:80。如果访问成功,说明规则已经生效。
安全组规则一般是立即生效,但是也可能有稍许延迟。
ECS 安全组规则优先级说明
ECS 实例可能可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,只有以下表格中列出的信息不同。最终生效的安全组规则见 结果 列。
对比组
|
安全组规则
|
优先级
|
授权策略
|
结果
|
i
|
A
|
相同
|
允许
|
B 生效
|
B
|
拒绝
|
ii
|
C
|
1
|
允许
|
C 生效
|
D
|
2
|
拒绝
|