最近更新时间:2023.11.07 08:09:00
首次发布时间:2021.07.09 13:30:52
安全组是一个逻辑意义上的分组,为同一个私有网络内具有相同安全保护需求并相互信任的网卡提供访问策略,是重要的网络安全隔离手段。安全组创建后,您可以通过配置安全组规则,控制组内网卡的出入流量。
根据安全组的创建方式,将安全组分为默认安全组、自定义安全组和托管安全组。
因为安全组内无安全组规则,关联该安全组的网卡出入方向的流量均会被拒绝通行。为了方便用户使用,默认安全组和自定义安全组都会默认添加常用的安全组规则,放通相关的流量,如下表:
类别 | 说明 |
---|---|
默认安全组 | 随私有网络创建而自动创建,随私有网络删除而删除,不支持手动删除默认安全组。默认安全组中默认包含的安全组规则:
|
自定义安全组 | 由用户手动创建。 自定义安全组中默认包含的规则:
|
托管安全组 | 创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动为其创建一个放通相关流量的安全组,并关联该服务的网卡。云服务托管该安全组,用户仅支持查看,不支持修改、删除等操作,生命周期跟随该云服务。 |
一条规则由方向、优先级、策略、协议类型、端口范围、源地址/目的地址六个参数组成,说明如下:
参数 | 说明 | 示例 |
---|---|---|
方向 | 分为入方向规则和出方向规则。
| 入方向 |
优先级 | 安全组规则的优先级,范围为1-100,默认值为1,即最高优先级。 | 1 |
策略 | 允许或拒绝。优先级相同的情况下,拒绝策略优先于允许策略。 | 允许 |
协议类型 | 支持ALL、TCP、UDP、ICMP、ICMPv6。 | TCP |
端口范围 | 根据不同协议类型对端口范围进行限定。 | 80-81 |
源地址/目的地址 |
| 10.0.1.0/24 |
示例中的入方向规则:允许IP地址在10.0.1.0/24范围内的资源通过80-81端口,以TCP协议访问安全组内的网卡。
说明
安全组有状态。返回数据流会被自动允许,不受规则影响,即网卡主动访问时,只需要出方向规则允许即可,数据不受入方向规则影响;网卡被访问时,只需要入方向规则允许即可,数据不受出方向规则影响。
若流量匹配不到安全组规则,则安全组拒绝该流量通行。例如网卡仅加入一个没有安全组规则的安全组,则该网卡出入方向不能通行任何流量。
当网卡关联一个或多个安全组时,以网卡入方向流量为例(出方向流量同理),为您介绍系统如何为网卡匹配安全组规则。具体流程如下:
说明
更多关于安全组的使用限制,请参见约束限制。
应用示例请参见安全组应用示例。