## 简介安全组基于白名单原理设计，由一系列规则构成，用于管控网卡的出入流量，只有符合规则的流量才会被放通，且**每张网卡都必须加入安全组**。例如，云服务器通过80端口对外服务，其网卡关联的安全组需添加放通入方向80端口流量的规则，以确保外部能正常访问服务。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_e3ad2dcf41b2a5c6cf2c6b6603a3f00c.png =533x) 安全组常与网络ACL搭配使用，网络ACL用于控制子网的出入流量。[了解更多](https://www.volcengine.com/docs/6401/104965) ## 分类 * 安全组根据创建方式的不同，分为如下类别： |类别 |说明 | |---|---| |默认安全组 |仅随VPC创建而创建，仅随VPC删除而删除。除此之外，用户可以自行管理。 | |自定义安全组 |用户手动创建、自行管理。 | |托管安全组 |仅随云服务（如NAT网关、VPN网关）创建而创建，仅随云服务删除而删除。用户仅支持查看，不支持修改。 | * 安全组又根据可关联网卡的私网IP数量限制的不同，分为如下类别： |类别 |说明 | |---|---| |普通安全组 |* 安全组最多可关联6000个私网IP（含IPv4地址和IPv6地址）|\ | |* 源地址和目的地址支持输入CIDR、引用前缀列表和安全组 | |CIDR\-Only安全组 |* 安全组关联私网IP的数量不受限制，但单个安全组默认最多可关联15000张网卡。若该默认配额无法满足您的需求，请联系客户经理。|\ | |* 源地址和目的地址仅支持输入CIDR、引用前缀列表 | ## 安全组规则 **使用前须知：** * 安全组**有状态**，返回数据（TCP连接的老化时间为900s、ICMP连接的老化时间为30s）自动放通。换言之，网卡主动访问时，仅出方向规则允许即可；网卡被访问时，仅入方向规则允许即可。 * 安全组规则变更后将立即生效，无论是已建立的长连接，还是后续新建的连接，均受变更后的规则控制。 * 以自身安全组为源地址的入方向规则，是为了确保组内的网卡之间相互访问，若该规则被删除，组内网卡之间将无法私网互通。 * 建议谨慎放通SSH（22）、Redis（6379）、MemCache（11211）、MySQL（3306）、SMB（445）、RDP（3389）、SQLServer（1433）等业务常用端口。[了解更多](https://www.volcengine.com/docs/6396/107784) ### 规则组成 * **参数说明** 为安全组添加规则，放通流量，安全组规则的参数说明如下： |参数 |说明 | |---|---| |入方向/出方向 |流量的方向。|\ | ||\ | |* 入方向：网卡的入方向流量。|\ | |* 出方向：网卡的出方向流量。 | |优先级 |安全组规则的优先级。|\ | ||\ | |* 优先级可以相同。|\ | |* 取值范围为1～100，1为最高优先级。 | |策略 |流量的策略。若优先级相同，则拒绝优先于允许。|\ | ||\ | |* 允许：放通流量。|\ | |* 拒绝：拒绝流量通行。适用于在放通大段CIDR流量时，拒绝其中指定IP的流量通行。 | |协议类型 |支持ALL、TCP、UDP、ICMP、ICMPv6。 | |端口范围 |根据不同协议类型对端口范围进行限定。 | |源地址/目的地址 |* 源地址：仅入方向配置。|\ | |* 目的地址：仅出方向配置。 | * **默认规则** ```mixin-react return ( CIDR\\-Only安全组无此条规则。 | |出方向 |100 |允许 |ALL |ALL |0.0.0.0/0 |放通全部IPv4流量 | |出方向 |100 |允许 |ALL |ALL |::/0 |放通全部IPv6流量 | :::tip 为私有网络开通IPv6的功能正在邀测中，暂仅支持完成 [企业认证](https://www.volcengine.com/docs/6261/64937) 的账号申请试用，如需试用，请联系客户经理。 :::`}>); ``` ### 匹配说明网卡关联一个或多个安全组后，当有流量经过安全组时，匹配安全组规则的过程如下（以网卡入方向流量为例，出方向流量同理）： 1. **优先级排序**：汇总所有安全组的入方向规则，并按照优先级由高到低排序。 :::tip * 优先级数值越小则优先级越高。 * 两条入方向规则优先级相同时，拒绝策略优先于允许策略。 * 若所有安全组内均无规则，则拒绝网卡所有出入方向流量。 ::: 2. **匹配**：流量从上到下依次匹配入方向规则，若成功匹配，则根据规则的策略，允许或拒绝流量通行，并结束匹配操作；若所有规则均未成功，则拒绝该流量通行。 ## 使用限制下表中支持调整的配额项，如果默认配额无法满足需要，您可前往 [配额中心](https://console.volcengine.com/quota/productList/coParameterList?ProviderCode=VPC) 提升相应配额。 |限制项 |最大值 |是否支持调整 | |---|---|---| |单个安全组可关联网卡的私网IP数量（包含IPv4和IPv6） |6000个|否 |\ | |> CIDR\-Only安全组无此限制。 | | |单张网卡支持关联的安全组数量 |5个 |否 | |单个安全组支持添加的规则数量 |* 入方向：IPv4规则200条，IPv6规则200条|是 |\ | |* 出方向：IPv4规则200条，IPv6规则200条 | | |单个安全组可以引用的安全组ID数量 |10个 |否 | |单账号单地域可创建的安全组数量（包括默认安全组） |300个 |是 | |单个安全组可添加的自定义标签数量 |50个 |否 | ## 使用流程 1. [创建安全组](https://www.volcengine.com/docs/6401/68894) 2. [关联网卡](https://www.volcengine.com/docs/6401/68902#.5YWz6IGU572R5Y2h) 3. [添加安全组规则](https://www.volcengine.com/docs/6401/68895) ## 实践建议 * 安全组规划请参考 [如何规划安全组](https://www.volcengine.com/docs/6396/80228)。 * 应用示例请参见 [安全组应用示例](https://www.volcengine.com/docs/6401/68893) 。 * 安全组放通IP地址和端口后，请确认云服务器实例的防火墙是否放通，若防火墙未放通，则流量依然会被拒绝。详情请参考[如何配置Linux实例防火墙](https://developer.volcengine.com/articles/7270815826700140600)、[如何配置Windows云服务器防火墙？](https://www.volcengine.com/docs/6396/69139#%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AE-windows-%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%9F)。