简介
安全组由一系列安全组规则组成,用于控制网卡的出入流量。
安全组基于白名单原理设计,即安全组默认拒绝网卡出入向流量,您可按需添加安全组规则,放通流量。
说明
- 为保障安全组内资源的安全,请遵循最小范围原则,谨慎放通IP地址和端口。
- 为方便用户使用,系统默认为安全组添加了部分规则放通流量,详情请参见安全组分类。
分类
根据安全组的创建方式进行分类,如下表:
类别 | 说明 |
---|
默认安全组 | 创建私有网络时,系统自动创建。随私有网络删除而删除,不支持手动删除。为方便用户使用,其默认添加了部分规则(支持手动删除)放通流量: - 出方向:放通所有流量。
- 入方向:放通
0.0.0.0/0 的ICMP、TCP的22、3389、80、443端口,放通网卡被本安全组内其他网卡访问的流量。
|
自定义安全组 | 用户手动创建。 为方便用户使用,其默认添加了部分规则(支持手动删除)放通流量: - 出方向:放通所有流量。
- 入方向:放通网卡被本安全组内其他网卡访问的流量。
|
托管安全组 | 创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动创建。云服务托管该安全组,用户仅支持查看,生命周期随该云服务。 |
安全组规则及匹配说明
请参见私有网络安全组概述。
实践建议
- 建议对网卡的用途、私网公网的访问需求分类后,设置对应的安全组。避免一个安全组内的规则过于冗余复杂,管理维护难度大。
- 建议您为应用添加安全组规则时授权精确。例如:
- 选择开放具体的端口,如22。不建议设置为端口范围,如22-30。
- 添加安全组规则时,谨慎放通0.0.0.0/0(全网段)的流量,建议设置成具体的IP地址。
- 建议谨慎放通SSH(22)、Redis(6379)、MemCache(11211)、MySQL(3306)、SMB(445)、RDP(3389)、SQLServer(1433)等业务常用端口。更多云服务器常用端口请参见 弹性云服务器常用端口 。
应用示例请参见安全组应用示例。