管理安全組規(guī)則
安全組規(guī)則用來控制ECS實例的出入站流量,適用于允許或拒絕特定網(wǎng)絡(luò)流量、封鎖不必要的端口、限制特定協(xié)議的流量和配置應用程序訪問權(quán)限等使用場景。本文介紹安全組規(guī)則的添加、修改、查詢、刪除和導入導出操作。
操作前須知
在添加安全組規(guī)則之前,請了解以下內(nèi)容:
安全組能力概述和使用建議。具體信息,請參見安全組。
除了自定義的安全組規(guī)則,安全組還有一些不可見的默認訪問控制規(guī)則,會影響流量的允許或拒絕。具體信息,請參見普通安全組與企業(yè)級安全組。
安全組規(guī)則有數(shù)量限制,您應盡量保持規(guī)則的精簡。具體信息,請參見安全組規(guī)則。
使用場景
當您的ECS實例需要對外提供服務時,您需要添加入方向、允許訪問的安全組規(guī)則。
當您發(fā)現(xiàn)ECS實例遭受到惡意攻擊行為時,您可以添加入方向、拒絕訪問的安全組規(guī)則。
當您希望ECS實例主動連接外部網(wǎng)絡(luò)時,需根據(jù)安全組類型及組內(nèi)聯(lián)通策略判斷是否需要添加出方向、允許訪問的安全組規(guī)則。
當您不再需要某些出方向、入方向的流量管控時,可以刪除對應方向的安全組規(guī)則。
當您想要將規(guī)則快速復制到其他安全組,可使用導入導出安全組規(guī)則功能。
更多場景,請參見安全組應用案例。
添加安全組規(guī)則
通過控制臺配置的安全組規(guī)則,入方向規(guī)則需要配置授權(quán)對象(即源地址,支持IP地址、安全組、前綴列表)、目的端口、協(xié)議類型;出方向規(guī)則需要配置授權(quán)對象(即目的地址,支持IP地址、安全組、前綴列表)、目的端口、協(xié)議類型。
使用ECS控制臺
登錄ECS管理控制臺。
在左側(cè)導航欄,選擇。
在頁面左側(cè)頂部,選擇目標資源所在的資源組和地域。
到目標安全組,在操作列單擊管理規(guī)則,添加出入方向的安全組規(guī)則。
方式一:快速添加安全組規(guī)則
適用于快速設(shè)置常用的TCP協(xié)議規(guī)則,您單擊快速添加后,只需要設(shè)置授權(quán)策略、授權(quán)對象,并選中一個或多個端口便能完成。
方式二:手動添加安全組規(guī)則
您需要設(shè)置授權(quán)策略、優(yōu)先級、協(xié)議類型、端口范圍、授權(quán)對象等信息。具體操作步驟如下:
單擊手動添加。
在規(guī)則列表中,配置新增的安全組規(guī)則,配置完成后,單擊操作列中的保存。
單條規(guī)則如何設(shè)置,請參見安全組規(guī)則。
使用API
如果您需要更精確地控制ECS實例的出流量和入流量,可以使用安全組五元組規(guī)則。五元組規(guī)則包含:源IP地址、源端口、目的IP地址、目的端口以及協(xié)議類型,并且與原有的安全組規(guī)則完全兼容。您可以通過API的方式配置安全組五元組規(guī)則。更多信息請參見安全組五元組規(guī)則。
調(diào)用AuthorizeSecurityGroup - 增加安全組入方向規(guī)則,添加入方向規(guī)則。
調(diào)用AuthorizeSecurityGroupEgress - 增加安全組出方向規(guī)則,添加入方向規(guī)則。
修改安全組規(guī)則
修改安全組規(guī)則后,新的安全組規(guī)則對安全組中的ECS實例立即生效,您可能需要監(jiān)控網(wǎng)絡(luò)流量和連接情況,以確保修改后的規(guī)則滿足實際業(yè)務需求,并維持網(wǎng)絡(luò)安全。更多信息,請參見什么是云監(jiān)控和網(wǎng)絡(luò)分析與監(jiān)控。
使用ECS控制臺
在頁面,找到需要修改安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
找到需要修改的安全組規(guī)則,單擊操作列中的編輯,進行修改,完成后,單擊保存。
使用API
使用ModifySecurityGroupRule - 修改安全組入方向規(guī)則,修改入方向規(guī)則。
使用ModifySecurityGroupEgressRule - 修改安全組出方向規(guī)則,修改出方向規(guī)則。
查詢安全組規(guī)則
通過健康檢查功能檢測安全組中的冗余規(guī)則,可以幫助您簡化安全組配置,減少管理工作量,提高網(wǎng)絡(luò)管理的方便性和效率,同時降低安全漏洞的風險。
使用ECS控制臺
方式一:查看單個安全組的規(guī)則
在頁面,找到需要修改安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
選擇安全組規(guī)則所屬的方向,可以查詢到各自分類的安全組規(guī)則。
說明在安全組規(guī)則列表上方的搜索框中輸入端口或授權(quán)對象,能夠快速搜索出符合條件的安全組規(guī)則。
方式二:查看ECS實例已加入的所有安全組中的規(guī)則
在頁面,找到待查看安全組規(guī)則的目標實例并單擊實例ID,進入實例詳情頁。
在安全組頁簽下,查看該實例加入的所有安全組。
單擊操作列管理規(guī)則,逐個查詢所有安全組的規(guī)則。
使用API
使用DescribeSecurityGroupAttribute - 查詢安全組和組內(nèi)規(guī)則信息,查詢安全組規(guī)則。
刪除安全組規(guī)則
在刪除安全組規(guī)則之前,請確保您了解此操作可能帶來的影響。避免因誤刪而導致不必要的網(wǎng)絡(luò)安全問題。如果在刪除安全組規(guī)則后發(fā)現(xiàn)仍然需要使用該規(guī)則,您可以重新創(chuàng)建一條新的規(guī)則來取代它。
使用ECS控制臺
在頁面,找到需要修改安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
找到需要刪除的安全組規(guī)則,單擊操作列中的刪除。
在彈出的對話框中閱讀提示信息,確認無誤后,單擊確定。
使用API
使用RevokeSecurityGroup - 刪除安全組入方向規(guī)則,刪除入方向規(guī)則。
使用RevokeSecurityGroupEgress - 刪除出方向安全組規(guī)則,刪除出方向規(guī)則。
檢查安全組是否存在冗余規(guī)則
安全組的健康檢查功能用于檢查單個安全組中是否存在冗余規(guī)則。例如,安全組規(guī)則A的所有條件被規(guī)則B完全包含,并且規(guī)則A的優(yōu)先級小于等于規(guī)則B的優(yōu)先級,則規(guī)則A被認定為冗余規(guī)則。如果存在冗余規(guī)則,請清除冗余規(guī)則,避免出現(xiàn)安全組規(guī)則數(shù)量達到上限影響安全組的使用。
每個安全組以及ECS實例的每張彈性網(wǎng)卡可以包含的安全組規(guī)則數(shù)量有限。有關(guān)安全組規(guī)則的使用限制及配額,請參見安全組使用限制。
使用ECS控制臺
在頁面,找到需要查詢規(guī)則的安全組,單擊操作列中的管理規(guī)則。
在訪問規(guī)則區(qū)域,單擊
。在健康檢查對話框中確認是否存在冗余規(guī)則。
如下圖所示,表示該安全組中存在兩條冗余規(guī)則。
選中冗余規(guī)則,然后單擊確定,可對冗余規(guī)則進行刪除。
導入導出安全組規(guī)則
ECS控制臺支持安全組規(guī)則導出和導入功能。適用于安全組規(guī)則備份、恢復和遷移等使用場景。支持將安全組規(guī)則導出為JSON文件或CSV文件。導入安全組規(guī)則為非覆蓋式導入(導入的新規(guī)則不會覆蓋原有規(guī)則),建議單次導入規(guī)則數(shù)量不超過200條,否則將會有導入失敗的風險。更多信息,請參見安全組使用限制。
使用ECS控制臺
在頁面,找到需要導出安全組規(guī)則的安全組,單擊操作列中的管理規(guī)則。
在訪問規(guī)則區(qū)域,選擇對應操作進行管理。
導入安全組規(guī)則
單擊
,在導入安全組規(guī)則對話框中,單擊選擇文件,然后選擇本地的JSON或CSV文件。然后單擊開始導入。如果存在導入失敗的規(guī)則,您可以將光標移到警告圖標上查看失敗原因。
導出安全組規(guī)則
單擊
,并選擇保存的文件格式,下載并保存到本地。JSON格式
JSON文件命名規(guī)則示例為:
ecs_${region_id}_${groupID}.json假設(shè)
regionID是cn-qingdao,groupID是sg-123,導出的JSON文件名稱則是ecs_cn-qingdao_sg-123.json。CSV格式
CSV文件命名規(guī)則示例為:
ecs_sgRule_${groupID}_${region_id}_${time}.csv假設(shè)
regionID是cn-qingdao,groupID是sg-123,time是2020-01-20,導出的CSV文件名稱則是ecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv。
安全組規(guī)則常見問題和最佳實踐
關(guān)于安全組配置、安全組規(guī)則設(shè)定、主機處罰與解禁流程、資源限額管理等常見問題,請參見安全FAQ。
關(guān)于協(xié)議類型和端口范圍的問題,請參見常用端口、修改服務器默認遠程端口。
將云資源(ECS實例,彈性網(wǎng)卡)加入新的安全組中,請參見安全組與ECS實例關(guān)聯(lián)的管理、安全組與彈性網(wǎng)卡關(guān)聯(lián)的管理。
根據(jù)業(yè)務需要,如果需要修改安全組的組內(nèi)連通策略,請參見修改普通安全組的組內(nèi)連通策略。
安全組規(guī)則配置最佳實踐與應用案例:
如果服務器開啟了防火墻,并設(shè)置了屏蔽外界訪問的規(guī)則,那么在遠程訪問該服務器時,可能會導致訪問失敗。開啟和關(guān)閉系統(tǒng)防火墻的最佳實踐:
其他最佳實踐: