管理安全組規(guī)則
安全組規(guī)則用來控制ECS實(shí)例的出入站流量,適用于允許或拒絕特定網(wǎng)絡(luò)流量、封鎖不必要的端口、限制特定協(xié)議的流量和配置應(yīng)用程序訪問權(quán)限等使用場(chǎng)景。本文介紹安全組規(guī)則的添加、修改、查詢、刪除和導(dǎo)入導(dǎo)出操作。
操作前須知
在添加安全組規(guī)則之前,請(qǐng)了解以下內(nèi)容:
安全組能力概述和使用建議。具體信息,請(qǐng)參見安全組。
除了自定義的安全組規(guī)則,安全組還有一些不可見的默認(rèn)訪問控制規(guī)則,會(huì)影響流量的允許或拒絕。具體信息,請(qǐng)參見普通安全組與企業(yè)級(jí)安全組。
安全組規(guī)則有數(shù)量限制,您應(yīng)盡量保持規(guī)則的精簡(jiǎn)。具體信息,請(qǐng)參見安全組規(guī)則。
使用場(chǎng)景
當(dāng)您的ECS實(shí)例需要對(duì)外提供服務(wù)時(shí),您需要添加入方向、允許訪問的安全組規(guī)則。
當(dāng)您發(fā)現(xiàn)ECS實(shí)例遭受到惡意攻擊行為時(shí),您可以添加入方向、拒絕訪問的安全組規(guī)則。
當(dāng)您希望ECS實(shí)例主動(dòng)連接外部網(wǎng)絡(luò)時(shí),需根據(jù)安全組類型及組內(nèi)聯(lián)通策略判斷是否需要添加出方向、允許訪問的安全組規(guī)則。
當(dāng)您不再需要某些出方向、入方向的流量管控時(shí),可以刪除對(duì)應(yīng)方向的安全組規(guī)則。
當(dāng)您想要將規(guī)則快速?gòu)?fù)制到其他安全組,可使用導(dǎo)入導(dǎo)出安全組規(guī)則功能。
更多場(chǎng)景,請(qǐng)參見安全組應(yīng)用案例。
添加安全組規(guī)則
通過控制臺(tái)配置的安全組規(guī)則,入方向規(guī)則需要配置授權(quán)對(duì)象(即源地址,支持IP地址、安全組、前綴列表)、目的端口、協(xié)議類型;出方向規(guī)則需要配置授權(quán)對(duì)象(即目的地址,支持IP地址、安全組、前綴列表)、目的端口、協(xié)議類型。
使用ECS控制臺(tái)
在左側(cè)導(dǎo)航欄,選擇。
在頁(yè)面左側(cè)頂部,選擇目標(biāo)資源所在的資源組和地域。
到目標(biāo)安全組,在操作列單擊管理規(guī)則,添加出入方向的安全組規(guī)則。
方式一:快速添加安全組規(guī)則
適用于快速設(shè)置常用的TCP協(xié)議規(guī)則,您單擊快速添加后,只需要設(shè)置授權(quán)策略、授權(quán)對(duì)象,并選中一個(gè)或多個(gè)端口便能完成。
方式二:手動(dòng)添加安全組規(guī)則
您需要設(shè)置授權(quán)策略、優(yōu)先級(jí)、協(xié)議類型、端口范圍、授權(quán)對(duì)象等信息。具體操作步驟如下:
單擊手動(dòng)添加。
在規(guī)則列表中,配置新增的安全組規(guī)則,配置完成后,單擊操作列中的保存。
單條規(guī)則如何設(shè)置,請(qǐng)參見安全組規(guī)則。
使用API
如果您需要更精確地控制ECS實(shí)例的出流量和入流量,可以使用安全組五元組規(guī)則。五元組規(guī)則包含:源IP地址、源端口、目的IP地址、目的端口以及協(xié)議類型,并且與原有的安全組規(guī)則完全兼容。您可以通過API的方式配置安全組五元組規(guī)則。更多信息請(qǐng)參見安全組五元組規(guī)則。
調(diào)用AuthorizeSecurityGroup - 增加安全組入方向規(guī)則,添加入方向規(guī)則。
調(diào)用AuthorizeSecurityGroupEgress - 增加安全組出方向規(guī)則,添加入方向規(guī)則。
修改安全組規(guī)則
修改安全組規(guī)則后,新的安全組規(guī)則對(duì)安全組中的ECS實(shí)例立即生效,您可能需要監(jiān)控網(wǎng)絡(luò)流量和連接情況,以確保修改后的規(guī)則滿足實(shí)際業(yè)務(wù)需求,并維持網(wǎng)絡(luò)安全。更多信息,請(qǐng)參見什么是云監(jiān)控和網(wǎng)絡(luò)分析與監(jiān)控。
使用ECS控制臺(tái)
在頁(yè)面,找到需要修改安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
找到需要修改的安全組規(guī)則,單擊操作列中的編輯,進(jìn)行修改,完成后,單擊保存。
使用API
使用ModifySecurityGroupRule - 修改安全組入方向規(guī)則,修改入方向規(guī)則。
使用ModifySecurityGroupEgressRule - 修改安全組出方向規(guī)則,修改出方向規(guī)則。
查詢安全組規(guī)則
通過健康檢查功能檢測(cè)安全組中的冗余規(guī)則,可以幫助您簡(jiǎn)化安全組配置,減少管理工作量,提高網(wǎng)絡(luò)管理的方便性和效率,同時(shí)降低安全漏洞的風(fēng)險(xiǎn)。
使用ECS控制臺(tái)
方式一:查看單個(gè)安全組的規(guī)則
在頁(yè)面,找到需要修改安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
選擇安全組規(guī)則所屬的方向,可以查詢到各自分類的安全組規(guī)則。
說明在安全組規(guī)則列表上方的搜索框中輸入端口或授權(quán)對(duì)象,能夠快速搜索出符合條件的安全組規(guī)則。
方式二:查看ECS實(shí)例已加入的所有安全組中的規(guī)則
在頁(yè)面,找到待查看安全組規(guī)則的目標(biāo)實(shí)例并單擊實(shí)例ID,進(jìn)入實(shí)例詳情頁(yè)。
在安全組頁(yè)簽下,查看該實(shí)例加入的所有安全組。
單擊操作列管理規(guī)則,逐個(gè)查詢所有安全組的規(guī)則。
使用API
使用DescribeSecurityGroupAttribute - 查詢安全組和組內(nèi)規(guī)則信息,查詢安全組規(guī)則。
刪除安全組規(guī)則
在刪除安全組規(guī)則之前,請(qǐng)確保您了解此操作可能帶來的影響。避免因誤刪而導(dǎo)致不必要的網(wǎng)絡(luò)安全問題。如果在刪除安全組規(guī)則后發(fā)現(xiàn)仍然需要使用該規(guī)則,您可以重新創(chuàng)建一條新的規(guī)則來取代它。
使用ECS控制臺(tái)
在頁(yè)面,找到需要修改安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
找到需要?jiǎng)h除的安全組規(guī)則,單擊操作列中的刪除。
在彈出的對(duì)話框中閱讀提示信息,確認(rèn)無誤后,單擊確定。
使用API
使用RevokeSecurityGroup - 刪除安全組入方向規(guī)則,刪除入方向規(guī)則。
使用RevokeSecurityGroupEgress - 刪除出方向安全組規(guī)則,刪除出方向規(guī)則。
檢查安全組是否存在冗余規(guī)則
安全組的健康檢查功能用于檢查單個(gè)安全組中是否存在冗余規(guī)則。例如,安全組規(guī)則A的所有條件被規(guī)則B完全包含,并且規(guī)則A的優(yōu)先級(jí)小于等于規(guī)則B的優(yōu)先級(jí),則規(guī)則A被認(rèn)定為冗余規(guī)則。如果存在冗余規(guī)則,請(qǐng)清除冗余規(guī)則,避免出現(xiàn)安全組規(guī)則數(shù)量達(dá)到上限影響安全組的使用。
每個(gè)安全組以及ECS實(shí)例的每張彈性網(wǎng)卡可以包含的安全組規(guī)則數(shù)量有限。有關(guān)安全組規(guī)則的使用限制及配額,請(qǐng)參見安全組使用限制。
使用ECS控制臺(tái)
在頁(yè)面,找到需要查詢規(guī)則的安全組,單擊操作列中的管理規(guī)則。
在訪問規(guī)則區(qū)域,單擊
。在健康檢查對(duì)話框中確認(rèn)是否存在冗余規(guī)則。
如下圖所示,表示該安全組中存在兩條冗余規(guī)則。
選中冗余規(guī)則,然后單擊確定,可對(duì)冗余規(guī)則進(jìn)行刪除。
導(dǎo)入導(dǎo)出安全組規(guī)則
ECS控制臺(tái)支持安全組規(guī)則導(dǎo)出和導(dǎo)入功能。適用于安全組規(guī)則備份、恢復(fù)和遷移等使用場(chǎng)景。支持將安全組規(guī)則導(dǎo)出為JSON文件或CSV文件。導(dǎo)入安全組規(guī)則為非覆蓋式導(dǎo)入(導(dǎo)入的新規(guī)則不會(huì)覆蓋原有規(guī)則),建議單次導(dǎo)入規(guī)則數(shù)量不超過200條,否則將會(huì)有導(dǎo)入失敗的風(fēng)險(xiǎn)。更多信息,請(qǐng)參見安全組使用限制。
使用ECS控制臺(tái)
在頁(yè)面,找到需要導(dǎo)出安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
在訪問規(guī)則區(qū)域,選擇對(duì)應(yīng)操作進(jìn)行管理。
導(dǎo)入安全組規(guī)則
單擊
,在導(dǎo)入安全組規(guī)則對(duì)話框中,單擊選擇文件,然后選擇本地的JSON或CSV文件。然后單擊開始導(dǎo)入。如果存在導(dǎo)入失敗的規(guī)則,您可以將光標(biāo)移到警告圖標(biāo)上查看失敗原因。
導(dǎo)出安全組規(guī)則
單擊
,并選擇保存的文件格式,下載并保存到本地。JSON格式
JSON文件命名規(guī)則示例為:
ecs_${region_id}_${groupID}.json假設(shè)
regionID是cn-qingdao,groupID是sg-123,導(dǎo)出的JSON文件名稱則是ecs_cn-qingdao_sg-123.json。CSV格式
CSV文件命名規(guī)則示例為:
ecs_sgRule_${groupID}_${region_id}_${time}.csv假設(shè)
regionID是cn-qingdao,groupID是sg-123,time是2020-01-20,導(dǎo)出的CSV文件名稱則是ecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv。
安全組規(guī)則常見問題和最佳實(shí)踐
關(guān)于安全組配置、安全組規(guī)則設(shè)定、主機(jī)處罰與解禁流程、資源限額管理等常見問題,請(qǐng)參見安全FAQ。
關(guān)于協(xié)議類型和端口范圍的問題,請(qǐng)參見常用端口、修改服務(wù)器默認(rèn)遠(yuǎn)程端口。
將云資源(ECS實(shí)例,彈性網(wǎng)卡)加入新的安全組中,請(qǐng)參見安全組與ECS實(shí)例關(guān)聯(lián)的管理、安全組與彈性網(wǎng)卡關(guān)聯(lián)的管理。
根據(jù)業(yè)務(wù)需要,如果需要修改安全組的組內(nèi)連通策略,請(qǐng)參見修改普通安全組的組內(nèi)連通策略。
安全組規(guī)則配置最佳實(shí)踐與應(yīng)用案例:
如果服務(wù)器開啟了防火墻,并設(shè)置了屏蔽外界訪問的規(guī)則,那么在遠(yuǎn)程訪問該服務(wù)器時(shí),可能會(huì)導(dǎo)致訪問失敗。開啟和關(guān)閉系統(tǒng)防火墻的最佳實(shí)踐:
其他最佳實(shí)踐: