安全FAQ
本文匯總了云服務(wù)器ECS安全方面的常見(jiàn)問(wèn)題,涵蓋了安全組配置、安全組規(guī)則設(shè)定、主機(jī)處罰與解禁流程、資源限額管理等問(wèn)題。
安全組問(wèn)題
安全組規(guī)則問(wèn)題
主機(jī)處罰與解禁問(wèn)題
限額問(wèn)題
什么是安全組?
安全組是一種虛擬防火墻。用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問(wèn)控制,它是重要的網(wǎng)絡(luò)安全隔離手段,您可以在云端劃分安全域。
每臺(tái)ECS實(shí)例至少屬于一個(gè)安全組,在創(chuàng)建實(shí)例時(shí)必須指定安全組。安全組類(lèi)型分為普通安全組和企業(yè)安全組,更多信息,請(qǐng)參見(jiàn)安全組概述。
為什么要在創(chuàng)建ECS實(shí)例時(shí)選擇安全組?
在創(chuàng)建ECS實(shí)例之前,必須選擇安全組來(lái)劃分應(yīng)用環(huán)境的安全域,授權(quán)安全組規(guī)則進(jìn)行合理的網(wǎng)絡(luò)安全隔離。
如果您在創(chuàng)建ECS實(shí)例時(shí)不選擇安全組,創(chuàng)建的ECS實(shí)例會(huì)分配到一個(gè)固定的安全組(即默認(rèn)安全組),建議您將實(shí)例移出默認(rèn)安全組并加入新的安全組,以實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離。
創(chuàng)建ECS實(shí)例前,未創(chuàng)建安全組怎么辦?
如果您在創(chuàng)建ECS實(shí)例之前未創(chuàng)建安全組,您可以選擇默認(rèn)安全組。默認(rèn)的安全組放行了常用端口,如TCP 22端口、3389端口等。
為什么ECS實(shí)例加入安全組時(shí)提示規(guī)則數(shù)量超限?
作用于一臺(tái)ECS實(shí)例(主網(wǎng)卡)的安全組規(guī)則數(shù)量上限 = 該實(shí)例允許加入的安全組數(shù)量 * 每個(gè)安全組的最大規(guī)則數(shù)量。
如果提示加入安全組失敗,作用在該實(shí)例上的安全組規(guī)則數(shù)量已達(dá)上限,表示當(dāng)前ECS實(shí)例上的規(guī)則總數(shù)已經(jīng)超過(guò)數(shù)量上限。建議您重新選擇其他安全組。
專有網(wǎng)絡(luò)VPC類(lèi)型ECS實(shí)例的安全組數(shù)量上限調(diào)整后,只對(duì)調(diào)整日期后新增的安全組生效嗎?
不是。該上限調(diào)整對(duì)調(diào)整日期之前和之后創(chuàng)建的所有專有網(wǎng)絡(luò)VPC類(lèi)型的ECS實(shí)例的安全組都生效。
安全組在什么情況下會(huì)使用默認(rèn)安全組規(guī)則?
在以下情況中會(huì)使用默認(rèn)安全組規(guī)則:
通過(guò)ECS管理控制臺(tái)在一個(gè)地域首次創(chuàng)建ECS實(shí)例時(shí),如果您尚未創(chuàng)建安全組,可以選擇系統(tǒng)自動(dòng)創(chuàng)建的默認(rèn)安全組,類(lèi)型為普通安全組。默認(rèn)安全組采用默認(rèn)安全規(guī)則。入方向放行ICMP協(xié)議、SSH 22端口、RDP 3389端口,授權(quán)對(duì)象為全網(wǎng)段(0.0.0.0/0),優(yōu)先級(jí)為100,您還可以勾選放行HTTP 80端口和HTTPS 443端口。出方向允許所有訪問(wèn)。
您在ECS管理控制臺(tái)上創(chuàng)建安全組時(shí)默認(rèn)的安全組規(guī)則,入方向放行ICMP協(xié)議、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口,授權(quán)對(duì)象為全網(wǎng)段(0.0.0.0/0)。
不同安全組的ECS實(shí)例如何實(shí)現(xiàn)內(nèi)網(wǎng)互通?
同一賬號(hào)或者不同賬號(hào)下兩個(gè)安全組之間的實(shí)例默認(rèn)內(nèi)網(wǎng)都是隔離的。不同安全組之間實(shí)現(xiàn)內(nèi)網(wǎng)互通的應(yīng)用案例,請(qǐng)參見(jiàn)實(shí)現(xiàn)不同安全組的實(shí)例內(nèi)網(wǎng)互通和不同安全組的經(jīng)典網(wǎng)絡(luò)實(shí)例內(nèi)網(wǎng)互通。
同一安全組的ECS實(shí)例如何實(shí)現(xiàn)內(nèi)網(wǎng)隔離?
加入同一個(gè)普通安全組內(nèi)的實(shí)例之間默認(rèn)允許所有協(xié)議、端口互相訪問(wèn),您可以修改普通安全組內(nèi)的網(wǎng)絡(luò)連通策略,實(shí)現(xiàn)組內(nèi)隔離。具體操作,請(qǐng)參見(jiàn)普通安全組內(nèi)網(wǎng)絡(luò)隔離。
同一個(gè)ECS實(shí)例中的兩塊彈性網(wǎng)卡如何進(jìn)行流量隔離?
ECS實(shí)例綁定了兩塊彈性網(wǎng)卡,如果您嘗試使用安全組將這兩塊網(wǎng)卡進(jìn)行流量隔離,會(huì)發(fā)現(xiàn)無(wú)法使用安全組實(shí)現(xiàn)同一個(gè)ECS實(shí)例中兩塊網(wǎng)卡的流量隔離。原因是,安全組作用于ECS實(shí)例操作系統(tǒng)之外的虛擬網(wǎng)絡(luò)設(shè)備上,默認(rèn)情況下,同一ECS實(shí)例兩塊網(wǎng)卡的流量會(huì)在操作系統(tǒng)內(nèi)部進(jìn)行路由和轉(zhuǎn)發(fā),兩塊彈性網(wǎng)卡間的網(wǎng)絡(luò)流量不會(huì)經(jīng)過(guò)安全組,因此無(wú)法使用安全組進(jìn)行流量隔離。
您可以使用操作系統(tǒng)的命名空間(namespace)機(jī)制,將ECS實(shí)例的兩塊網(wǎng)卡加入到不同的namespace,使得兩塊網(wǎng)卡之間的網(wǎng)絡(luò)流量發(fā)往操作系統(tǒng)之外,這樣網(wǎng)絡(luò)流量才會(huì)經(jīng)過(guò)安全組,才能夠使用安全組進(jìn)行流量隔離。
為什么我配置安全組后還是無(wú)法訪問(wèn)服務(wù)?
控制臺(tái)安全組放行某個(gè)端口,只能說(shuō)明安全組沒(méi)有限制這個(gè)端口的訪問(wèn),不能說(shuō)明這個(gè)端口已經(jīng)開(kāi)啟。如需外網(wǎng)訪問(wèn)ECS服務(wù)器的端口,需要滿足以下三個(gè)必要條件:
安全組規(guī)則放行該端口。
對(duì)應(yīng)端口的程序軟件是啟動(dòng)運(yùn)行狀態(tài),并且監(jiān)聽(tīng)地址為0.0.0.0(您可通過(guò)執(zhí)行netstat -ano |findstr 端口號(hào)命令來(lái)檢測(cè)端口是否處于監(jiān)聽(tīng)狀態(tài))。
已關(guān)閉ECS實(shí)例內(nèi)部防火墻,或者防火墻已放行該端口。
設(shè)置安全組規(guī)則后如果發(fā)現(xiàn)業(yè)務(wù)無(wú)法訪問(wèn),您需要排查業(yè)務(wù)服務(wù)是否啟動(dòng)、服務(wù)端口和安全組規(guī)則是否一致等問(wèn)題。更多信息,請(qǐng)參見(jiàn)安全組常見(jiàn)問(wèn)題處理。
彈性網(wǎng)卡如何加入到安全組?
您可以通過(guò)變更ECS實(shí)例所在的安全組來(lái)更新彈性網(wǎng)卡主網(wǎng)卡的安全組,也可以修改輔助彈性網(wǎng)卡的屬性來(lái)修改彈性網(wǎng)卡所屬的安全組。具體操作,請(qǐng)參見(jiàn)修改彈性網(wǎng)卡屬性。
普通安全組和企業(yè)級(jí)安全組是否支持相互轉(zhuǎn)換?
不支持,普通安全組和企業(yè)級(jí)安全組無(wú)法相互轉(zhuǎn)換。如需更換安全組類(lèi)型,您可通過(guò)新建安全組并克隆安全組規(guī)則以更改安全組類(lèi)型。具體操作,請(qǐng)參見(jiàn)創(chuàng)建安全組、導(dǎo)出和導(dǎo)入安全組規(guī)則、安全組與ECS實(shí)例關(guān)聯(lián)的管理和安全組與彈性網(wǎng)卡關(guān)聯(lián)的管理。
什么場(chǎng)景下我需要添加安全組規(guī)則?
在以下場(chǎng)景中,您需要添加安全組規(guī)則,以確保ECS實(shí)例能夠被正常訪問(wèn):
ECS實(shí)例所在的安全組沒(méi)有添加過(guò)安全組規(guī)則,也沒(méi)有默認(rèn)安全組規(guī)則。當(dāng)ECS實(shí)例需要訪問(wèn)公網(wǎng),或訪問(wèn)當(dāng)前地域下其他安全組中的ECS實(shí)例時(shí),您需要添加安全組規(guī)則。
搭建的應(yīng)用沒(méi)有使用默認(rèn)端口,而是自定義了一個(gè)端口或端口范圍。此時(shí),您必須在測(cè)試應(yīng)用連通前放行自定義的端口或端口范圍。例如,您在ECS實(shí)例上搭建Nginx服務(wù)時(shí),通信端口選擇監(jiān)聽(tīng)在TCP 8000,但您的安全組只放行了80端口,則您需要添加安全規(guī)則,保證Nginx服務(wù)能被訪問(wèn)。
其他場(chǎng)景,請(qǐng)參見(jiàn)安全組應(yīng)用案例。
安全組規(guī)則中協(xié)議和端口之間是什么關(guān)系?
添加安全組規(guī)則時(shí),您必須指定通信端口或端口范圍,然后安全組根據(jù)允許或拒絕策略決定是否轉(zhuǎn)發(fā)數(shù)據(jù)到ECS實(shí)例。
安全組規(guī)則中協(xié)議和端口信息如下表所示。更多端口信息,請(qǐng)參見(jiàn)常用端口。
協(xié)議類(lèi)型 | 端口顯示范圍 | 應(yīng)用場(chǎng)景 |
全部 | -1/-1,表示不限制端口。不支持設(shè)置。 | 可用于完全互相信任的應(yīng)用場(chǎng)景。 |
全部 ICMP(IPv4) | -1/-1,表示不限制端口。不支持設(shè)置。 | 使用 |
全部 ICMP(IPv6) | -1/-1,表示不限制端口。不支持設(shè)置。 | 使用 |
全部 GRE | -1/-1,表示不限制端口。不支持設(shè)置。 | 用于VPN服務(wù)。 |
自定義 TCP | 自定義端口范圍,有效的端口值是1 ~ 65535。 必須采用<開(kāi)始端口>/<結(jié)束端口>的格式。例如80/80表示端口80,1/22表示1到22端口。 | 可用于允許或拒絕一個(gè)或幾個(gè)連續(xù)的端口。 |
自定義 UDP | 自定義端口范圍,有效的端口值是1 ~ 65535。 必須采用<開(kāi)始端口>/<結(jié)束端口>的格式。例如80/80表示端口80,1/22表示1到22端口。 | 可用于允許或拒絕一個(gè)或幾個(gè)連續(xù)的端口。 |
其中,TCP協(xié)議類(lèi)型端口的常用應(yīng)用場(chǎng)景如下表所示。
應(yīng)用場(chǎng)景 | 協(xié)議類(lèi)型 | 端口顯示范圍 | 說(shuō)明 |
連接服務(wù)器 | SSH | 22/22 | 用于SSH遠(yuǎn)程連接到Linux實(shí)例。連接ECS實(shí)例后您可以修改端口號(hào),具體操作,請(qǐng)參見(jiàn)修改服務(wù)器默認(rèn)遠(yuǎn)程端口。 |
TELNET | 23/23 | 用于Telnet遠(yuǎn)程登錄ECS實(shí)例。 | |
RDP | 3389/3389 | 用于通過(guò)遠(yuǎn)程桌面協(xié)議連接到Windows實(shí)例。連接ECS實(shí)例后您可以修改端口號(hào),具體操作,請(qǐng)參見(jiàn)修改服務(wù)器默認(rèn)遠(yuǎn)程端口。 | |
網(wǎng)站服務(wù) | HTTP | 80/80 | ECS實(shí)例作為網(wǎng)站或Web應(yīng)用服務(wù)器。 |
HTTPS | 443/443 | ECS實(shí)例作為支持HTTPS協(xié)議的網(wǎng)站或Web應(yīng)用服務(wù)器。 | |
數(shù)據(jù)庫(kù) | MS SQL | 1433/1433 | ECS實(shí)例作為MS SQL服務(wù)器。 |
Oracle | 1521/1521 | ECS實(shí)例作為Oracle SQL服務(wù)器。 | |
MySQL | 3306/3306 | ECS實(shí)例作為MySQL服務(wù)器。 | |
PostgreSQL | 5432/5432 | ECS實(shí)例作為PostgreSQL服務(wù)器。 | |
Redis | 6379/6379 | ECS實(shí)例作為Redis服務(wù)器。 |
安全組規(guī)則授權(quán)對(duì)象中的IP地址和CIDR地址塊是什么關(guān)系?
IP地址是單一的IP地址,例如192.168.0.100、2408:4321:180:1701:94c7:bc38:3bfa:。CIDR地址塊是IP地址段,例如192.168.0.0/24、2408:4321:180:1701:94c7:bc38:3bfa:***/128。
CIDR(Classless Inter-Domain Routing)是互聯(lián)網(wǎng)中一種新的尋址方式,與傳統(tǒng)的A類(lèi)、B類(lèi)和C類(lèi)尋址模式相比,CIDR在IP地址分配方面更為高效。CIDR采用斜線記法,表示為:IP地址/網(wǎng)絡(luò)ID的位數(shù)。
示例一:CIDR格式換算為IP地址網(wǎng)段
例如10.0.0.0/8,換算為32位二進(jìn)制地址:00001010.00000000.00000000.00000000。其中/8表示8位網(wǎng)絡(luò)ID,即32位二進(jìn)制地址中前8位是固定不變的,對(duì)應(yīng)網(wǎng)段為:00001010.00000000.00000000.00000000~00001010.11111111.11111111.11111111。則換算為十進(jìn)制后,10.0.0.0/8表示:子網(wǎng)掩碼為255.0.0.0,對(duì)應(yīng)網(wǎng)段為10.0.0.0~10.255.255.255。
示例二:IP地址網(wǎng)段換算為CIDR格式
例如192.168.0.0~192.168.31.255,后兩段IP換算為二進(jìn)制地址:00000000.00000000~00011111.11111111,可以得出前19位(8*2+3)是固定不變的,則換算為CIDR格式后,表示為:192.168.0.0/19。
為什么無(wú)法訪問(wèn)TCP 25端口?
TCP 25端口是默認(rèn)的郵箱服務(wù)端口。基于安全考慮,云服務(wù)器ECS的25端口默認(rèn)受限,建議您使用465端口發(fā)送郵件。具體操作,請(qǐng)參見(jiàn)使用SSL加密465端口發(fā)送郵件。更多應(yīng)用,請(qǐng)參見(jiàn)安全組應(yīng)用案例。
為什么無(wú)法訪問(wèn)80端口?
如何排查80端口故障,請(qǐng)參見(jiàn)檢查T(mén)CP 80端口是否正常工作。
為什么安全組里自動(dòng)添加了很多內(nèi)網(wǎng)相關(guān)的安全組規(guī)則?
以下兩種情況可能導(dǎo)致您的安全組里自動(dòng)添加了很多規(guī)則:
如果您訪問(wèn)過(guò)DMS,安全組中就會(huì)自動(dòng)添加相關(guān)的規(guī)則,請(qǐng)參見(jiàn)添加DMS IP地址。
如果您近期通過(guò)阿里云數(shù)據(jù)傳輸DTS功能遷移過(guò)數(shù)據(jù),安全組中會(huì)自動(dòng)添加DTS的服務(wù)IP地址相關(guān)的規(guī)則。
安全組規(guī)則配置錯(cuò)誤會(huì)造成什么影響?
安全組配置錯(cuò)誤會(huì)導(dǎo)致ECS實(shí)例在私網(wǎng)或公網(wǎng)與其他設(shè)備之間的訪問(wèn)失敗,例如:
無(wú)法從本地遠(yuǎn)程連接(SSH)Linux實(shí)例或者遠(yuǎn)程桌面連接Windows實(shí)例。
無(wú)法遠(yuǎn)程
pingECS實(shí)例的公網(wǎng)IP。無(wú)法通過(guò)HTTP或HTTPS協(xié)議訪問(wèn)ECS實(shí)例提供的Web服務(wù)。
無(wú)法通過(guò)內(nèi)網(wǎng)訪問(wèn)其他ECS實(shí)例。
安全組的入方向規(guī)則和出方向規(guī)則區(qū)分計(jì)數(shù)嗎?
不區(qū)分。每個(gè)安全組的入方向規(guī)則與出方向規(guī)則的總數(shù)不能超過(guò)200。更多信息,請(qǐng)參見(jiàn)使用限制。
是否可以調(diào)整安全組規(guī)則的數(shù)量上限?
不可以,每個(gè)安全組最多可以包含200條安全組規(guī)則。一臺(tái)ECS實(shí)例中的每個(gè)彈性網(wǎng)卡默認(rèn)最多可以加入5個(gè)安全組,所以一臺(tái)ECS實(shí)例的每個(gè)彈性網(wǎng)卡最多可以包含1000條安全組規(guī)則,能夠滿足絕大多數(shù)場(chǎng)景的需求。
如果當(dāng)前數(shù)量上限無(wú)法滿足您的使用需求,建議您按照以下步驟操作:
檢查是否存在冗余規(guī)則。您也可以提交工單,阿里云技術(shù)支持將提供檢查服務(wù)。
如果存在冗余規(guī)則,請(qǐng)清除冗余規(guī)則。如果不存在冗余規(guī)則,您可以創(chuàng)建多個(gè)安全組。
如果您已開(kāi)通了云防火墻服務(wù),也可以通過(guò)云防火墻創(chuàng)建VPC邊界訪問(wèn)控制策略(管控兩個(gè)VPC間的流量),減少ECS安全組規(guī)則的數(shù)量。有關(guān)VPC邊界防火墻的詳細(xì)內(nèi)容,請(qǐng)參見(jiàn)VPC邊界。
我配置的安全組規(guī)則,各規(guī)則的優(yōu)先級(jí)排序是怎么樣的?
優(yōu)先級(jí)的取值范圍為1~100,數(shù)值越小,代表優(yōu)先級(jí)越高。
同類(lèi)型安全組規(guī)則間的依賴優(yōu)先級(jí)決定最終執(zhí)行的規(guī)則。當(dāng)ECS實(shí)例加入了多個(gè)安全組時(shí),多個(gè)安全組會(huì)從高到低依次匹配規(guī)則。最終生效的安全組規(guī)則如下:
如果兩條安全組規(guī)則只有授權(quán)策略不同:拒絕策略的規(guī)則生效,允許策略的規(guī)則不生效。
如果兩條安全組規(guī)則只有優(yōu)先級(jí)不同:優(yōu)先級(jí)高的規(guī)則生效。
如何對(duì)安全組規(guī)則的不合規(guī)變更進(jìn)行審計(jì)和預(yù)警?
您可以在配置審計(jì)(Config)中創(chuàng)建審計(jì)規(guī)則,對(duì)安全組規(guī)則的合規(guī)性進(jìn)行審計(jì),并將審計(jì)結(jié)果投遞到日志服務(wù)SLS中。當(dāng)賬號(hào)下的安全組規(guī)則有不符合審計(jì)規(guī)則的變更時(shí),您能夠通過(guò)日志服務(wù)SLS收到告警通知。更多信息,請(qǐng)參見(jiàn)對(duì)安全組規(guī)則的合規(guī)性進(jìn)行審計(jì)和預(yù)警。
如何禁止RAM用戶(子賬號(hào))配置安全組規(guī)則?
如果您需要禁止RAM用戶(子賬號(hào))配置安全組規(guī)則,可以參考如下RAM配置,來(lái)禁用配置安全組規(guī)則的API接口。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress",
"ecs:ModifySecurityGroupRule",
"ecs:ModifySecurityGroupEgressRule",
"ecs:ModifySecurityGroupPolicy",
"ecs:ModifySecurityGroupAttribute",
"ecs:ConfigureSecurityGroupPermissions"
],
"Resource": "*"
}
]
}配置安全組規(guī)則涉及到的API接口,請(qǐng)參見(jiàn)安全組概述。
阿里云賬號(hào)(主賬號(hào))為RAM用戶(子賬號(hào))授權(quán)的具體操作,請(qǐng)參見(jiàn)為RAM用戶授權(quán)。
收到違法阻斷網(wǎng)站整改通知,怎么辦?
在互聯(lián)網(wǎng)有害信息記錄中,您可以查看存在有害信息的域名或URL、處罰動(dòng)作、處罰原因及處罰時(shí)間。您在確認(rèn)該域名或URL中的有害信息已經(jīng)移除或不存在時(shí),可以申請(qǐng)解除訪問(wèn)封禁。更多信息,請(qǐng)參見(jiàn)互聯(lián)網(wǎng)有害信息。
收到對(duì)外攻擊需要整改的通知,怎么辦?
在處罰記錄中,您可以查看詳細(xì)的處罰結(jié)果、處罰原因及處罰時(shí)段。如果您不認(rèn)同處罰結(jié)果,可以反饋申訴。收到您的處罰記錄反饋后,阿里云將再次核驗(yàn),確認(rèn)處罰的正確性和有效性,并判斷是否繼續(xù)維持處罰或立即結(jié)束處罰。更多信息,請(qǐng)參見(jiàn)處罰列表。
如何查看資源的限額?
查看資源的使用限制和限額,請(qǐng)參見(jiàn)使用限制。