添加安全组规则 - 企业云产品文档

功能概述

用户可以在安全组中添加出方向、入方向规则，从而对实例出入方向的网络流量进行访问控制。

安全组应作为白名单使用，即默认拒绝所有外部访问，用户通过添加允许规则来放行指定的端口范围和地址。同时，添加安全组规则时应遵循最小授权原则。例如，开放 Linux 实例的 22 端口用于远程登录时，建议仅允许特定的 IP 访问，而非所有 IP。

另外，用户需根据不同业务场景的隔离需求，为不同的应用设置不同的安全组及安全组规则。例如，针对 Webservice、数据库、缓存、应用服务器分别设置一个安全组，然后绑定在对应类型的云服务器上。

使用建议

应尽可能保持单个安全组的规则简洁，减少安全组中的规则数量。单个安全组规则数量越少越好，下行规则和上行规则的最大规则数量分别不超过 100 条。原因如下：
当实例绑定多个安全组，且单个安全组规则数量很多，管理将非常复杂，系统要花大量时间聚合所有安全组规则来分析访问是否被允许。
云服务器绑定安全组的时间与安全组规则数量成正比，规则数量越多，绑定云服务器越慢。
安全组应用修改的时间与安全组规则数量成正比，规则数量越多，应用修改越慢。
当大量云服务器需要绑定相同安全组规则时，建议使用规则子集，将规则子集加入到多个安全组中，再将这多个安全组绑定到云服务器上，以分散单个安全组绑定云服务器的数量。
不建议开放 0.0.0.0/0 访问，这表示对公网的所有用户暴露了访问端口，存在安全风险。建议只开放 80、8080 和 443 等常用 TCP 端口的公开访问，其他端口均关闭。

操作步骤

通过 Web 浏览器登录企业云平台的 Console。
在顶部菜单栏中选择产品与服务 > 网络 > 安全组，进入安全组列表页面。
点击目标安全组的 ID，进入安全组详情页面。

在规则标签页面，点击添加规则，弹出安全组规则配置对话框，用户根据页面信息，填写相关参数。参数说明如下表所示。

参数说明

参数	说明
名称	安全组规则的名称。
优先级	取值范围为 0~100，数值越小，优先级越高。安全组规则优先级一致情形下，规则如果有冲突。规则的生效取决于数据库的读取顺序，无法预测，因此建议用户不要为有冲突的规则配置相同的优先级。
方向	`上行规则` 是指从云资源访问外部，默认放行所有端口。 `下行规则` 是指从外部访问云资源，默认拒绝所有端口。
行为	`允许` 是指放行该端口相应的访问请求。 `拒绝` 是直接丢弃数据包，不会返回任何回应信息。一般情况下，用户无需在下行规则中配置策略为 `拒绝` 的规则，也无需在上行规则中配置策略为 `允许` 的规则。
协议	匹配流量的协议类型。支持 ALL、TCP、UDP、ICMP、GRE 等协议。`ALL` 是指全部协议。
端口范围	匹配流量的目标端口。仅当协议选择 `TCP` 或 `UDP` 时，可手动设置起始端口和结束端口。需要指定具体端口时，如指定 `22` 端口，则起始端口填写 `22`，结束端口不填或填写 `22`。需要指定端口范围时，如指定 `80` 至 `90` 的连续端口，则起始端口填写 `80`，结束端口填写 `90`。需要指定端口集合时，可点击起始端口输入框末尾的图标，从弹出的对话框中，选择已创建的 IP 端口集合。需要针对所有端口时，可不填写起始端口与结束端口。
源 IP/目标 IP	配置下行规则中需要填写源 IP，配置上行规则中需要填写目标 IP，支持 IPv4 及 IPv6 地址，填写格式如下。可填写单个 IP 地址，如 `192.168.1.100`。可填写 IP 网段，如 `192.168.1.0/24`。填写 IP 集合时，可点击 IP 输入框末尾的图标，选择已创建的 IP 集合。如需针对所有 IP 地址，则可不填写或填写 `0.0.0.0/0`。

名称

安全组规则的名称。

优先级

取值范围为 0~100，数值越小，优先级越高。

安全组规则优先级一致情形下，规则如果有冲突。规则的生效取决于数据库的读取顺序，无法预测，因此建议用户不要为有冲突的规则配置相同的优先级。

方向

上行规则 是指从云资源访问外部，默认放行所有端口。
下行规则 是指从外部访问云资源，默认拒绝所有端口。

行为

允许 是指放行该端口相应的访问请求。
拒绝 是直接丢弃数据包，不会返回任何回应信息。
一般情况下，用户无需在下行规则中配置策略为 拒绝 的规则，也无需在上行规则中配置策略为 允许 的规则。

协议

匹配流量的协议类型。支持 ALL、TCP、UDP、ICMP、GRE 等协议。ALL 是指全部协议。

端口范围

匹配流量的目标端口。仅当协议选择 TCP 或 UDP 时，可手动设置起始端口和结束端口。

需要指定具体端口时，如指定 22 端口，则起始端口填写 22，结束端口不填或填写 22。
需要指定端口范围时，如指定 80 至 90 的连续端口，则起始端口填写 80，结束端口填写 90。
需要指定端口集合时，可点击起始端口输入框末尾的图标，从弹出的对话框中，选择已创建的 IP 端口集合。
需要针对所有端口时，可不填写起始端口与结束端口。

源 IP/目标 IP

配置下行规则中需要填写源 IP，配置上行规则中需要填写目标 IP，支持 IPv4 及 IPv6 地址，填写格式如下。

可填写单个 IP 地址，如 192.168.1.100。
可填写 IP 网段，如 192.168.1.0/24。
填写 IP 集合时，可点击 IP 输入框末尾的图标，选择已创建的 IP 集合。
如需针对所有 IP 地址，则可不填写或填写 0.0.0.0/0。

点击提交，完成安全组规则添加。
在规则列表页面，点击应用修改，使规则生效。

规则示例

允许外部 IP 访问指定端口

部署业务之后，希望指定的业务端口，例如 3380 可以被外部访问，可添加如下安全组规则。

方向行为协议端口源 IP

方向	行为	协议	端口	源 IP
下行规则	接受	TCP	3380	根据需求，填写全部 IP `0.0.0.0/0` 或输入指定的 IP 或 IP 地址段。

下行规则

接受

TCP

3380

根据需求，填写全部 IP 0.0.0.0/0 或输入指定的 IP 或 IP 地址段。

拒绝外部 IP 访问指定端口

部署业务之后，希望指定的业务端口，例如 3381 不被外部访问，可添加如下安全组规则。

方向行为协议端口源 IP

方向	行为	协议	端口	源 IP
下行规则	拒绝	TCP	3381	根据需求，填写全部 IP `0.0.0.0/0` 或输入指定的 IP 或 IP 地址段。

下行规则

拒绝

TCP

3381

根据需求，填写全部 IP 0.0.0.0/0 或输入指定的 IP 或 IP 地址段。

云服务器提供 Web 服务

若用户搭建了一个 Web 服务网站，希望其他用户可以通过 HTTP 或者 HTTPS 的方式访问相应服务的端口，则需要配置如下安全组规则。

方向	行为	协议	端口	源 IP
下行规则	接受	TCP	80	0.0.0.0/0
下行规则	接受	TCP	443	0.0.0.0/0

方向

行为

协议

端口

源 IP

下行规则

接受

TCP

0.0.0.0/0

下行规则

接受

TCP

443

0.0.0.0/0