安全组概述
最近更新时间:2024.03.26 11:50:52
首次发布时间:2021.07.09 13:30:52
简介
安全组是一个逻辑意义上的分组,为同一个私有网络内具有相同安全保护需求并相互信任的网卡提供访问策略,是重要的网络安全隔离手段。安全组创建后,您可以通过配置安全组规则,控制组内网卡的出入流量。
安全组分类
根据安全组的创建方式,将安全组分为默认安全组、自定义安全组和托管安全组。
因为安全组内无安全组规则,关联该安全组的网卡出入方向的流量均会被拒绝通行。为了方便用户使用,默认安全组和自定义安全组都会默认添加常用的安全组规则,放通相关的流量,如下表:
| 类别 | 说明 |
|---|---|
默认安全组 | 默认安全组随私有网络创建而自动创建,随私有网络删除而删除,不支持手动删除。同时为方便用户使用,其默认包含了部分安全组规则(支持手动删除):
|
自定义安全组 | 由用户手动创建。 同时为方便用户使用,自定义安全组中默认包含了部分规则(支持手动删除):
|
| 托管安全组 | 创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动为其创建一个放通相关流量的安全组,并关联该服务的网卡。云服务托管该安全组,用户仅支持查看,不支持修改、删除等操作,生命周期跟随该云服务。 |
安全组规则
组成
一条规则由方向、优先级、策略、协议类型、端口范围、源地址/目的地址六个参数组成,说明如下:
| 参数 | 说明 | 示例 |
|---|---|---|
方向 | 分为入方向规则和出方向规则。
| 入方向 |
| 优先级 | 安全组规则的优先级,范围为1-100,默认值为1,即最高优先级。 | 1 |
| 策略 | 允许或拒绝。优先级相同的情况下,拒绝策略优先于允许策略。 | 允许 |
| 协议类型 | 支持ALL、TCP、UDP、ICMP、ICMPv6。 | TCP |
| 端口范围 | 根据不同协议类型对端口范围进行限定。 | 80-81 |
源地址/目的地址 |
| 10.0.1.0/24 |
示例中的入方向规则:允许IP地址在10.0.1.0/24范围内的资源通过80-81端口,以TCP协议访问安全组内的网卡。
说明
安全组有状态。返回数据流会被自动允许,不受规则影响,即网卡主动访问时,只需要出方向规则允许即可,数据不受入方向规则影响;网卡被访问时,只需要入方向规则允许即可,数据不受出方向规则影响。
匹配说明
若流量匹配不到安全组规则,则安全组拒绝该流量通行。例如网卡仅加入一个没有安全组规则的安全组,则该网卡出入方向不能通行任何流量。
当网卡关联一个或多个安全组时,网卡匹配安全组规则的流程如下(下文以网卡入方向流量为例,出方向流量同理):
- 优先级排序:将网卡关联的一个或多个安全组的所有入方向规则按照优先级由高到低排序。
说明
- 优先级数值越小则优先级越高。
- 两条入方向规则优先级相同时,拒绝策略优先于允许策略。
- 匹配:网卡的流量按照协议类型、端口范围、源地址从前到后依次匹配入方向规则。若成功匹配某条规则,则会根据规则指定的策略,对流量执行允许或拒绝通行的动作,结束匹配操作;若所有规则均匹配不上,则拒绝该流量通行。
- 优先级排序:将网卡关联的一个或多个安全组的所有入方向规则按照优先级由高到低排序。
使用限制
- 一张网卡可以关联多个安全组,一个安全组可同时关联多张网卡。
- 安全组中没有任何访问规则时,该安全组中的网卡默认拒绝所有流量,不能与其他安全组中的网卡私网互通。
- 一个安全组最多可关联2000张网卡。
- 一张网卡支持配置的最大规则数量(包括入方向规则与出方向规则)为1000。
更多关于安全组的使用限制,请参见约束限制。
实践建议
- 建议对网卡的用途、私网公网的访问需求分类后,设置对应的安全组。避免一个安全组内的规则过于冗余复杂,管理维护难度大。
- 建议将安全组设置成默认拒绝所有外部访问请求,通过添加允许规则放通流量。例如可以将默认拒绝所有外部请求的流量的优先级设为100,后续允许规则小于100.
- 建议您为应用添加安全组规则时授权精确。例如:
- 选择开放具体的端口,如22。不建议设置为端口范围,如22-30。
- 添加安全组规则时,谨慎放通0.0.0.0/0(全网段)的流量,建议设置成具体的IP地址。
- 建议谨慎放通SSH(22)、Redis(6379)、MemCache(11211)、MySQL(3306)、SMB(445)、RDP(3389)、SQLServer(1433)等业务常用端口。更多云服务器常用端口请参见弹性云服务器常用端口。
应用示例请参见安全组应用示例。