您可以通过添加安全组规则,允许或禁止安全组内的 ECS 实例对公网或私网的访问。

背景信息

如果以下场景的安全组规则不满足您的业务需求,您可以添加安全组规则。

  • 创建实例时选择了默认安全组。

  • 创建安全组时选择了 Web Server Linux 模板。

  • 创建安全组时选择了 Web Server Windows 模板。

  • 自定义模板。

使用须知

  • 专有网络的安全组只需要设置出方向或入方向的规则,不区分内网和公网。专有网络安全组只能设置内网规则。您设置的安全组规则同时对内网和公网生效。

  • 经典网络的安全组需要分别设置公网或内网的出方向或入方向规则。

  • 所有的安全组,在未添加任何安全组规则之前,无论哪种网卡类型,出方向允许所有访问,入方向拒绝所有访问。

  • 安全组规则的变更会自动应用到安全组内的 ECS 实例上。

前提条件

  • 您已经创建了一个安全组,具体操作,请参见创建安全组

  • 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。更多有关安全组规则设置的应用案例,请参见安全组应用案例

操作步骤

  1. 登录云服务器 ECS 管理控制台

  2. 在左侧导航栏中,选择网络和安全 > 安全组

  3. 选择地域。

  4. 找到要配置授权规则的安全组,在操作列中,单击配置规则

  5. 安全组规则页面上,单击添加安全组规则

    如果您不需要设置 ICMP、GRE 协议规则,或者您想使用下表中列出的协议的默认端口,单击快速创建规则

    说明 安全组规则支持 IPv4 安全组规则和 IPv6 安全组规则。


    协议端口
    SSH22
    telnet23
    HTTP80
    HTTPS443
    MS SQL1433
    Oracle1521
    MySQL3306
    RDP3389
    PostgreSQL5432
    Redis6379

    说明 每个安全组的入方向规则与出方向规则的总数不能超过 100 条。

  6. 在弹出的对话框中,设置以下参数:

  • 填写单一 IP 地址或者 CIDR 网段格式,如:12.1.1.1 或 13.1.1.1/25。

  • 支持多组授权对象,用隔开,最多支持 10 组授权对象。

  • 如果填写 0.0.0.0/0 表示允许或拒绝所有 IP 地址的访问,设置时请务必谨慎。

  • 填写单一 IP 地址或者 CIDR 网段格式,如:2001:0db8::1428:xxxx 或 2001:0db8::1428:xxxx/128。

  • 支持多组授权对象,用隔开,最多支持 10 组授权对象。

  • 如果填写 :: / 0 表示允许或拒绝所有 IP 地址的访问,设置时请务必谨慎。

  • 本账号授权:选择同一账号下的其他安全组 ID。如果是专有网络的安全组,必须为同一个专有网络的安全组。

  • 跨账号授权:填写目标安全组 ID,以及对方账号 ID。在账号管理 > 安全设置里查看账号 ID。

  • 出方向:是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。

  • 入方向:是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。

  • 如果是专有网络类型的安全组,不需要选择这个参数。需要注意以下信息:

  • 如果是经典网络的安全组,选择公网内网

  • 如果您的实例能访问公网,可以设置公网和内网的访问规则。

  • 如果您的实例不能访问公网,只能设置内网的访问规则。

  • 网卡类型

  • 规则方向

  • 授权策略:选择允许拒绝说明 这里的 拒绝策略是直接丢弃数据包,不给任何回应信息。如果 2 个安全组规则其他都相同只有授权策略不同,则 拒绝授权生效, 接受授权不生效。

  • 协议类型端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。


    协议类型端口范围应用场景
    全部显示为 -1/-1,表示不限制端口。不能设置。可用于完全互相信任的应用场景。
    全部 ICMP(IPv4)显示为 -1/-1,表示不限制端口。不能设置。使用 ping 程序检测实例之间的通信状况。
    全部 ICMP(IPv6)显示为 -1/-1,表示不限制端口。不能设置。使用 ping6 程序检测实例之间的通信状况。
    全部 GRE显示为 -1/-1,表示不限制端口。不能设置。用于 VPN 服务。
    自定义 TCP自定义端口范围,有效的端口值是 1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80 表示端口 80。可用于允许或拒绝一个或几个连续的端口。
    自定义 UDP
    SSH显示为 22/22。

    连接 ECS 实例后您能修改端口号,具体操作,请参见修改服务器默认远程端口

    		用于 SSH 远程连接到 Linux 实例。
    TELNET显示为 23/23。用于 Telnet 远程登录实例。
    HTTP显示为 80/80。实例作为网站或 Web 应用服务器。
    HTTPS显示为 443/443。实例作为支持 HTTPS 协议的网站或 Web 应用服务器。
    MS SQL显示为 1433/1433。实例作为 MS SQL 服务器。
    Oracle显示为 1521/1521。实例作为 Oracle SQL 服务器。
    MySQL显示为 3306/3306。实例作为 MySQL 服务器。
    RDP显示为 3389/3389。

    连接 ECS 实例后您能修改端口号,具体操作,请参见修改服务器默认远程端口

    		实例是 Windows 实例,需要远程桌面连接实例。
    PostgreSQL显示为 5432/5432。实例作为 PostgreSQL 服务器。
    Redis显示为 6379/6379。实例作为 Redis 服务器。

    说明 公网出方向的 STMP 端口 25 默认受限,无法通过安全组规则打开,但是您可以申请解封端口 25。其他常用端口信息,请参见常用端口的典型应用

  • 授权类型授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。


    授权类型授权对象
    IPv4 地址段访问

    关于 CIDR 格式介绍,请参见ECS 实例子网划分和掩码表示方法

    IPv6 地址段访问
    安全组访问只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。因为安全组访问只对内网有效,所以,对专有网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过地址段访问授权。

    说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个 IP 地址,授权对象的格式只能是 a.b.c.d/32,仅支持 IPv4,子网掩码必须是 /32。

  • 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,请参见安全组优先级

  • 单击确定,即成功地为指定安全组添加了一条安全组规则。

    • 如果没有显示添加的安全组,单击刷新图标。

    相关API

    下一步

    每个实例至少属于一个安全组,您可以根据业务需要,将 ECS 实例加入一个或多个安全组。安全组规则的执行顺序与安全组规则的排序以及优先级有关,详情请参见安全组优先级


    来自  https://help.aliyun.com/document_detail/25471.html