最近更新时间:2024.04.11 14:18:05
首次发布时间:2021.07.09 13:30:52
可以。为云服务器更换安全组,本质上是为云服务器绑定的网卡更换安全组,您可以参考更新网卡的安全组策略完成操作。
当前安全组服务不收取费用。
当前安全组规则优先级的取值范围为1 ~ 100,数字越小代表优先级越高。
在添加安全组规则时,默认优先级是1,即最优先。在安全组规则优先级相同的情况下,“拒绝”策略优先级高于“允许”策略。
建议按照以下几个方向检查安全组配置是否有误:
问题现象: 访问公有云特定端口,在部分地区部分运营商无法访问,而其它端口访问正常。
问题分析: 部分运营商判断如下表的端口为高危端口,默认被屏蔽。
| 协议 | 端口 |
|---|---|
| TCP | 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 |
| UDP | 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996 |
解决方案: 建议您修改敏感端口为其它非高危端口来承载业务。
安全组是有状态的。
安全组使用连接来跟踪进出相关网卡的流量信息,在变更安全组规则或使用该安全组创建/删除网卡时,都会自动清除该安全组下所有网卡入方向的跟踪连接。此时,流入或流出网卡的流量会被当做新的连接,需要重新匹配相应的出入方向安全组规则,以保证规则能立即生效,从而保障流入网卡的流量的安全。
否。安全组和iptables可以同时使用,您的流量会经过两次过滤,流量的走向如下:
安全组和网络ACL属于不同维度的安全访问策略,不具有优先级高低的可比性。
安全组作用于ECS实例网卡,网络ACL作用于子网,在访问流量在进入ECS实例前,需要先经过该ECS实例所属子网关联的网络ACL规则的过滤,然后再经过安全组规则的过滤。如网络ACL入方向规则中拒绝了来自某网段的流量,安全组入方向规则中允许该网段的流量,ECS实例上也不会流入该网段的流量。
关于安全组和网络ACL区别的更多介绍,请参见网络ACL与安全组差异。
您可参考如下示例,添加安全组规则。
| 方向 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| 出方向 | 1 | 允许 | TCP | 80 | 10.10.10.10/32 |
| 方向 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| 入方向 | 1 | 拒绝 | TCP | 80 | 10.10.10.10/32 |
导入的文件可能存在如下问题: