安全组是一种虚拟防火墙,用户可以在安全组中定义各种访问规则,这些访问规则称为 安全组规则,安全组便是一系列安全组规则的集合。安全组可以绑定的实例类型有云服务器、网卡、负载均衡器、VPC 网络、NAT 网关、AppCenter 应用集群等。当上述实例绑定安全组后,便可受到安全组规则的保护,以提高内部网络或云服务器的安全。

基本概念

  • 默认安全组

    默认安全组也叫缺省安全组,系统会为每个用户创建一个默认安全组,默认安全组可直接使用。

  • 自定义安全组

    用户可以根据需求创建自定义的安全组。自定义的安全组,初始状态下,均不包含任何安全组规则,即,任何端口都是封闭的,用户需要建立规则以打开相应的端口。

  • 安全组规则

    安全组规则是在安全组中定义的访问控制规则,用于控制安全组所关联实例的出入站流量。

    安全组规则由源/目的 IP、协议类型、端口范围、方向(出/入)、行为(拒绝/接受)、优先级等信息组成,当实例加入安全组后,安全组会使用连接跟踪来跟踪有关进出实例的流量信息,基于流量的连接状态匹配到相应规则,以确定是允许还是拒绝流量。

  • 规则子集

    规则子集是一组安全规则的集合,用户可以将创建好的规则子集绑定到安全组,绑定后该安全组将会应用该子集内所有规则。每个安全组最多可同时绑定 10 个规则子集。

  • IP/端口集合

    用户可以将具有相同特征的一组 IP 或者一组端口设置成为 IP/端口集合,并在安全组规则中进行添加,实现批量管理功能。单个 IP 地址集合最多允许添加 65535 个地址;如需配置超过 65535 个 IP 地址,用户可创建多个 IP 集合。

默认规则

默认安全组以及自定义安全组均有一些默认的规则,默认访问控制规则与用户自定义的规则共同作用,来控制实例的流量。

  • 默认下行规则

    自定义安全组 默认拒绝所有协议和端口的下行流量,即,从外部访问云资源默认 拒绝 所有访问。默认安全组 则默认配置了以下下行规则。

    是否可见 行为 协议 端口 源/目标地址 说明

    可见

    接受

    ICMP

    Echo/Echo request

    ALL

    允许所有 IP 地址通过 ping 程序测试实例连通性。

    可见

    接受

    TCP

    3389

    ALL

    允许所有 IP 地址通过 RDP 远程连接到 Windows 云服务器。

    可见

    接受

    TCP

    22

    ALL

    允许所有 IP 地址通过 SSH 远程连接到 Linux 云服务器。

  • 默认上行规则

    默认安全组与自定义安全组的默认上行规则相同。除下表所示的针对 Windows 云服务器的上行规则限制外,其他未配置的上行规则和端口均默认放行,即从云资源访问外部,默认 允许 所有访问。

    是否可见 行为 协议 端口 源/目标地址 说明

    不可见

    拒绝

    TCP

    3389,1433,445,135,139

    ALL

    拒绝通过 Windows 云服务器向外发起远程桌面连接、SQL Server 连接、打印机连接等其他高危端口的 TCP 连接。

    不可见

    拒绝

    UDP

    1434,445,135,137,138

    ALL

    拒绝通过 Windows 云服务器向外发起 SQL Server 连接、打印机连接等其他高危端口的 UDP 连接。

    因此,Windows 云服务器如需向外发起远程桌面连接,需要在安全组中放行 TCP 协议的上行 3389 端口;如需向外发起 SQL Server 连接,则需要在安全组中放行 TCP 协议的上行 1433 端口。