應用場景

為了云上資源的安全，您為購買的云上資源劃分了多個安全域，每個安全域對應一個安全組。您多個安全域中的資源，需要被另外一個公共資源（例如云下的辦公網絡）訪問，這個公共資源的網絡地址段數量眾多，且會經常發生變動。

在不使用前綴列表的情況下，您需要在多個安全組中維護僅有授權對象不同的多條安全組規則。在授權公共資源的網絡地址發生變動時，您需要對多個安全域的安全組進行規則調整，安全組和網絡地址數量越多，管理的工作量越大。

使用前綴列表后，您可以將公共資源的若干網絡地址放入前綴列表，并在配置安全組規則時將授權對象設置為該前綴列表。在網絡地址發生變動時，您只需要修改前綴列表中的網絡地址，即可等效于修改已關聯安全組的訪問控制規則，無需再關注每個安全組中的規則，降低管理復雜度，提高效率。

當您的云上資源分布在多個阿里云地域時，您可以使用前綴列表克隆功能，來將一個已有的前綴列表克隆到其他地域。

操作步驟

1. 登錄ECS管理控制臺。

2. 創建前綴列表。

   1. 在左側導航欄，選擇網絡與安全 > > 前綴列表。

   2. 在頂部菜單欄左上角處，選擇地域。

   3. 單擊創建前綴列表。

   4. 在創建前綴列表對話框中，設置前綴列表的參數，單擊創建。

      本文以包括2個IPv4條目為例，參數示例如下所示：

      • 名稱：RemoteLogon

      • 描述：允許該前綴列表中的IP遠程連接安全組的實例

      • 地址族：IPv4

      • 最大條目容量：2條

        說明

        已關聯資源（例如安全組）計算規則配額時，將使用最大條目容量計算，而非實際條目數，請合理設置。

      • 前綴列表條目：單擊增加條目，分別添加192.168.1.0/24、192.168.2.0/24。

        由于采用了CIDR地址塊的形式，上述條目實際對應了多個IP：

        • 192.168.1.0/24：即192.168.1.0~192.168.1.255。

        • 192.168.2.0/24：即192.168.2.0~192.168.2.255。

3. 在安全組規則中使用前綴列表。

   重復以下步驟為多個安全組添加安全組規則，放行對遠程連接端口的訪問，并將前綴列表RemoteLogon作為授權對象。

   1. 在左側導航欄，選擇網絡與安全 > 安全組。

   2. 找到目標安全組，在操作列單擊管理規則。

   3. 在入方向頁簽中，單擊手動添加。

      說明

      本文以專有網絡安全組的操作為例，如果為經典網絡安全組，請根據是否為公網IP選擇對應的頁簽。

   4. 設置安全組規則的參數，然后單擊保存。

      本文以允許通過SSH和RDP方式遠程連接安全組內實例為例，參數示例如下表所示：

      • 授權策略：允許

      • 優先級：1

      • 協議類型：自定義TCP

      • 端口范圍：選擇SSH (22)和RDP (3389)

      • 授權對象：選擇前綴列表RemoteLogon

      添加該安全組規則后，安全組放行前綴列表中的IP遠程連接安全組內實例。

4. 修改前綴列表的條目。

   如果在添加安全組規則后，您需要取消一些IP的遠程連接授權，進一步縮小授權范圍以降低風險，則無需逐一修改多個安全組的安全組規則，只需修改前綴列表RemoteLogon的條目即可。例如，您使用私有IP為192.168.1.1、192.168.2.1的實例作為跳板機，需要限制僅允許通過跳板機遠程連接安全組內實例，則按以下步驟修改前綴列表的條目。

   1. 在左側導航欄，選擇網絡與安全 > > 前綴列表。

   2. 找到前綴列表RemoteLogon，在操作列單擊詳情。

   3. 單擊前綴列表條目頁簽。

   4. 找到前綴列表條目，在操作列單擊編輯。

   5. 設置CIDR地址塊參數，然后單擊保存。

      修改2個已有條目，CIDR地址塊參數分別設置為192.168.1.1/32、192.168.2.1/32。

      修改前綴列表的條目后即時生效，使用前綴列表RemoteLogon的安全組規則也隨之變化，安全組僅放行192.168.1.1/32、192.168.2.1/32遠程連接安全組內實例。

更多操作場景