Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Virtual Private Cloud> Guía del usuario> Seguridad> Grupo de seguridad> Adición de una regla de grupo de seguridad
Actualización más reciente 2023-01-11 GMT+08:00

Adición de una regla de grupo de seguridad

Escenarios

Un grupo de seguridad es una colección de reglas de control de acceso para recursos en la nube, como servidores en la nube, contenedores y bases de datos, para controlar el tráfico entrante y saliente. Los recursos de la nube asociados con el mismo grupo de seguridad tienen los mismos requisitos de seguridad y son de confianza mutua dentro de una VPC.

Si las reglas del grupo de seguridad asociado a la instancia no pueden cumplir sus requisitos, por ejemplo, debe permitir el tráfico entrante en un puerto de TCP especificado, puede agregar una regla entrante.

  • Las reglas entrantes controlan el tráfico entrante a los recursos de la nube en el grupo de seguridad.
  • Las reglas salientes controlan el tráfico saliente de los recursos de la nube en el grupo de seguridad.

Para obtener más información sobre las reglas de grupo de seguridad predeterminadas, consulte Grupos de seguridad predeterminados y reglas de grupos de seguridad. Para obtener más información acerca de los ejemplos de configuración de reglas de grupo de seguridad, consulte Ejemplos de configuración de grupo de seguridad..

Prerrequisitos

Procedimiento

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en en la esquina superior izquierda y seleccione la región y el proyecto deseados.
  3. En la página principal de la consola, en Networking, haga clic en Virtual Private Cloud.
  4. En el panel de navegación de la izquierda, elija Access Control > Security Groups.
  5. En la página Security Groups, busque el grupo de seguridad de destino y haga clic en Manage Rule en la columna Operation para cambiar a la página de gestión de reglas entrantes y salientes.
  6. En la ficha Inbound Rules, haga clic en Add Rule. En el cuadro de diálogo que se muestra, establezca los parámetros necesarios para agregar una regla entrante.
    Puede hacer clic en + para agregar más reglas entrantes.
    Figura 1 Agregar regla de entrada
    Tabla 1 Descripción del parámetro de regla entrante

    Parámetro

    Descripción

    Valor de ejemplo

    Priority

    Prioridad de regla de grupo de seguridad.

    El valor de prioridad oscila entre 1 y 100. El valor por defecto es 1 e indica la prioridad principal. La regla de grupo de seguridad con un valor menor tiene mayor prioridad.

    1

    Action

    Las acciones de la regla del grupo de seguridad.

    Las reglas de denegación tienen prioridad sobre las reglas de permiso de la misma prioridad.

    Allow

    Protocol & Port

    Protocol: El protocolo de red. Actualmente, el valor puede ser All, TCP, UDP, ICMP, GRE u otros.

    TCP

    Port: El puerto o rango de puertos sobre el cual el tráfico puede llegar a su ECS. El valor oscila entre 1 y 65535.

    Ingrese los puertos en el siguiente formato:
    • Puerto individual: Ingrese un puerto, como 22.
    • Puertos consecutivos: Ingrese un rango de puertos, como 22-30.
    • Puertos no consecutivos: Ingrese los puertos y rangos de puertos, como 22,23-30. Puede introducir un máximo de 20 puertos y rangos de puertos. Cada rango de puertos debe ser único.
    • All ports: Leave it empty or enter 1-65535.

    22, or 22-30

    Type

    El tipo de dirección IP. Este parámetro sólo está disponible después de activar la función IPv6.
    • IPv4
    • IPv6

    IPv4

    Source

    El origen de la regla de grupo de seguridad. El valor puede ser una única dirección IP, un grupo de direcciones IP o un grupo de seguridad para permitir el acceso desde direcciones IP o instancias en el grupo de seguridad. Por ejemplo:
    • Dirección IP única: 192.168.10.10/32 (IPv4); 2002:50::44/127 (IPv6)
    • Intervalo de direcciones IP: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
    • Todas las direcciones IP: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
    • Grupo de seguridad: sg-abc
    • Grupo de direcciones IP: ipGroup-test

    Si el origen es un grupo de seguridad, esta regla se aplicará a todas las instancias asociadas con el grupo de seguridad seleccionado.

    0.0.0.0/0

    Description

    Información complementaria sobre la regla del grupo de seguridad. Este parámetro es opcional.

    La descripción de la regla del grupo de seguridad puede contener un máximo de 255 caracteres y no puede contener corchetes angulares (< o >).

    N/A

  7. En la ficha Outbound Rules, haga clic en Add Rule. En el cuadro de diálogo que se muestra, establezca los parámetros necesarios para agregar una regla saliente.
    Puede hacer clic en + para agregar más reglas salientes.
    Figura 2 Agregar regla de salida
    Tabla 2 Descripción del parámetro de regla saliente

    Parámetro

    Descripción

    Valor de ejemplo

    Priority

    Prioridad de regla de grupo de seguridad.

    El valor de prioridad oscila entre 1 y 100. El valor por defecto es 1 e indica la prioridad principal. La regla de grupo de seguridad con un valor menor tiene mayor prioridad.

    1

    Action

    Las acciones de la regla del grupo de seguridad.

    • Allow: permite el tráfico saliente de instancias del grupo de seguridad basado en la regla.
    • Deny: deniega el tráfico saliente de las instancias del grupo de seguridad según la regla.

    Las reglas de denegación tienen prioridad sobre las reglas de permiso de la misma prioridad.

    Allow

    Protocol & Port

    Protocol: El protocolo de red. Actualmente, el valor puede ser All, TCP, UDP, ICMP, GRE u otros.

    TCP

    Port: El puerto o rango de puertos sobre el que el tráfico puede salir de su ECS. El valor oscila entre 1 y 65535.

    22, or 22-30

    Type

    El tipo de dirección IP.
    • IPv4
    • IPv6

    IPv4

    Destination

    Destino de la regla de grupo de seguridad. El valor puede ser una única dirección IP, un grupo de direcciones IP o un grupo de seguridad para permitir el acceso a direcciones IP o instancias en el grupo de seguridad. Por ejemplo:
    • Dirección IP única: 192.168.10.10/32 (IPv4); 2002:50::44/127 (IPv6)
    • Intervalo de direcciones IP: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
    • Todas las direcciones IP: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
    • Grupo de seguridad: sg-abc
    • Grupo de direcciones IP: ipGroup-test

    0.0.0.0/0

    Description

    Información complementaria sobre la regla del grupo de seguridad. Este parámetro es opcional.

    La descripción de la regla del grupo de seguridad puede contener un máximo de 255 caracteres y no puede contener corchetes angulares (< o >).

    N/A

  8. Haga clic en OK.

Verificación

Después de agregar las reglas de grupo de seguridad necesarias, puede verificar que las reglas surtan efecto. Por ejemplo, ha implementado un sitio web en ECS. Los usuarios deben acceder a su sitio web a través de TCP (puerto 80), y usted ha agregado la regla de grupo de seguridad que se muestra en Tabla 3.

Tabla 3 Regla del grupo de seguridad

Dirección

Protocolo

Puerto

Fuente

Entrante

TCP

80

0.0.0.0/0

ECS de Linux

Para verificar la regla de grupo de seguridad en un ECS de Linux:

  1. Inicie sesión en el ECS.
  2. Ejecute el siguiente comando para comprobar si se está escuchando el puerto TCP 80:
    netstat -an | grep 80

    Si se muestra la salida del comando en Figura 3, se está escuchando el puerto TCP 80.

    Figura 3 Salida del comando para ECS de Linux
  3. Escriba http://ECS EIP en el cuadro de dirección del navegador y pulse Enter.

    Si se puede acceder a la página solicitada, la regla del grupo de seguridad tiene efecto.

ECS de Windows

Para comprobar la regla del grupo de seguridad en un ECS de Windows:

  1. Inicie sesión en el ECS.
  2. Elija Start > Accessories > Command Prompt.
  3. Ejecute el siguiente comando para comprobar si se está escuchando el puerto TCP 80:
    netstat -an | findstr 80

    Si se muestra la salida del comando en Figura 4, se está escuchando el puerto TCP 80.

    Figura 4 Salida del comando para Windows ECS
  4. Escriba http://ECS EIP en el cuadro de dirección del navegador y pulse Enter.

    Si se puede acceder a la página solicitada, la regla del grupo de seguridad tiene efecto.

Operaciones relacionadas

Allow Common Ports

Puede hacer clic en Allow Common Ports para permitir el tráfico en algunos puertos comunes, como los puertos 21, 22, 3389, 80, 443 y 20.

Figura 5 Permitir los puertos comunes