安全組五元組規則
安全組用于配置單臺或多臺ECS實例的網絡訪問控制,是云端重要的網絡安全隔離手段。它能精確控制源IP、源端口、目的IP、目的端口以及協議類型,以實現對網絡流量的精細化管理。本文主要介紹五元組規則的定義、應用場景、配置方法以及相關參數說明。
背景信息
在最初設計安全組規則時:
安全組入規則只支持:源IP地址、目的端口、協議類型。
安全組出規則只支持:目的IP地址、目的端口、協議類型。
在多數應用場景下,該安全組規則簡化了設置,但存在如下弊端:
無法限定入規則的源端口范圍,默認放行所有源端口。
無法限定入規則的目的IP地址,默認放行安全組下的所有IP地址。
無法限定出規則的源端口范圍,默認放行所有源端口。
無法限定出規則的源IP地址,默認放行安全組下的所有IP地址。
五元組規則定義
五元組規則包含:源IP地址、源端口、目的IP地址、目的端口、協議類型。
五元組規則完全兼容原有的安全組規則,能更精確地控制源IP地址、源端口、目的IP地址、目的端口以及協議類型。
五元組出規則示例如下:
源IP地址:172.16.1.0/32
源端口:22
目的IP地址:10.0.0.1/32
目的端口:不限制
協議類型:TCP
授權策略:Drop示例中的出規則表示禁止172.16.1.0/32通過22端口對10.0.0.1/32發起TCP訪問。
應用場景
某些平臺類網絡產品接入第三方廠商的解決方案是為用戶提供網絡服務。為了防范這些產品對用戶的ECS實例發起非法訪問,需要在安全組內設置五元組規則,以更精確地控制出流量和入流量。
設置了組內網絡隔離的安全組,如果您想精確控制組內若干ECS實例之間可以互相訪問,則需要在安全組內設置五元組規則。
配置五元組規則
您可以調用以下API接口配置五元組規則。
參數說明
在授權或解除授權時,各參數的含義如下表所示。
參數 | 入規則中各參數含義 | 出規則中各參數含義 |
SecurityGroupId | 當前入規則所屬的安全組ID,即目的安全組ID。 | 當前出規則所屬的安全組ID,即源安全組ID。 |
DestCidrIp | 目的IP范圍,可選參數。
| 目的IP,DestGroupId與DestCidrIp二者必選其一,如果二者都指定,則DestCidrIp優先級高。 |
PortRange | 目的端口范圍,必選參數 | 目的端口范圍,必選參數。 |
DestGroupId | 不允許輸入。目的安全組ID一定是SecurityGroupId。 | 目的安全組ID。DestGroupId與DestCidrIp二者必選其一,如果二者都指定,則DestCidrIp優先級高。 |
SourceGroupId | 源安全組ID,SourceGroupId與SourceCidrIp二者必選其一,如果二者都指定,則SourceCidrIp優先級高。 | 不允許輸入,出規則的源安全組ID一定是SecurityGroupId。 |
SourceCidrIp | 源IP范圍,SourceGroupId與SourceCidrIp二者必選其一,如果二者都指定,則SourceCidrIp優先級高。 | 源IP范圍,可選參數。
|
SourcePortRange | 源端口范圍,可選參數,不填則不限制源端口。 | 源端口范圍,可選參數,不填則不限制源端口。 |