Adición de una regla de grupo de seguridad
Escenarios
Un grupo de seguridad es una colección de reglas de control de acceso para recursos en la nube, como servidores en la nube, contenedores y bases de datos, para controlar el tráfico entrante y saliente. Los recursos de la nube asociados con el mismo grupo de seguridad tienen los mismos requisitos de seguridad y son de confianza mutua dentro de una VPC.
Si las reglas del grupo de seguridad asociado a la instancia no pueden cumplir sus requisitos, por ejemplo, debe permitir el tráfico entrante en un puerto de TCP especificado, puede agregar una regla entrante.
- Las reglas entrantes controlan el tráfico entrante a los recursos de la nube en el grupo de seguridad.
- Las reglas salientes controlan el tráfico saliente de los recursos de la nube en el grupo de seguridad.
Para obtener más información sobre las reglas de grupo de seguridad predeterminadas, consulte Grupos de seguridad predeterminados y reglas de grupos de seguridad. Para obtener más información acerca de los ejemplos de configuración de reglas de grupo de seguridad, consulte Ejemplos de configuración de grupo de seguridad.
Prerrequisitos
- Se ha creado un grupo de seguridad. Para obtener más información sobre cómo crear un grupo de seguridad, consulte Creación de un grupo de seguridad.
- Ha planificado las redes públicas o las privadas que pueden o no pueden acceder a instancias, como los ECS. Para obtener más ejemplos de reglas de grupo de seguridad, consulte Ejemplos de configuración de grupo de seguridad.
Procedimiento
- Inicie sesión en la consola de gestión.
- Haga clic en
en la esquina superior izquierda y seleccione la región y el proyecto deseados. - En la página principal de la consola, en Networking, haga clic en Virtual Private Cloud.
- En el panel de navegación de la izquierda, elija Access Control > Security Groups.
- En la página Security Groups, busque el grupo de seguridad de destino y haga clic en Manage Rule en la columna Operation para cambiar a la página de gestión de reglas entrantes y salientes.
- En la ficha Inbound Rules, haga clic en Add Rule. En el cuadro de diálogo que se muestra, establezca los parámetros necesarios para agregar una regla entrante.
Puede hacer clic en + para agregar más reglas entrantes.Figura 1 Agregar regla de entrada
Tabla 1 Descripción del parámetro de regla entrante Parámetro
Descripción
Valor de ejemplo
Priority
Prioridad de regla de grupo de seguridad.
El valor de prioridad oscila entre 1 y 100. El valor por defecto es 1 e indica la prioridad principal. La regla de grupo de seguridad con un valor menor tiene mayor prioridad.
1
Action
Las acciones de la regla del grupo de seguridad.
Las reglas de denegación tienen prioridad sobre las reglas de permiso de la misma prioridad.
Allow
Protocol & Port
Protocol: El protocolo de red. Actualmente, el valor puede ser All, TCP, UDP, ICMP, GRE u otros.
TCP
Port: El puerto o rango de puertos sobre el cual el tráfico puede llegar a su ECS. El valor oscila entre 1 y 65535.
Ingrese los puertos en el siguiente formato:- Puerto individual: Ingrese un puerto, como 22.
- Puertos consecutivos: Ingrese un rango de puertos, como 22-30.
- Puertos no consecutivos: Ingrese los puertos y rangos de puertos, como 22,23-30. Puede introducir un máximo de 20 puertos y rangos de puertos. Cada rango de puertos debe ser único.
- All ports: Leave it empty or enter 1-65535.
22, or 22-30
Type
El tipo de dirección IP. Este parámetro sólo está disponible después de activar la función IPv6.- IPv4
- IPv6
IPv4
Source
El origen de la regla de grupo de seguridad. El valor puede ser una única dirección IP, un grupo de direcciones IP o un grupo de seguridad para permitir el acceso desde direcciones IP o instancias en el grupo de seguridad. Por ejemplo:- Dirección IP única: 192.168.10.10/32 (IPv4); 2002:50::44/127 (IPv6)
- Intervalo de direcciones IP: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
- Todas las direcciones IP: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
- Grupo de seguridad: sg-abc
- Grupo de direcciones IP: ipGroup-test
Si el origen es un grupo de seguridad, esta regla se aplicará a todas las instancias asociadas con el grupo de seguridad seleccionado.
0.0.0.0/0
Description
Información complementaria sobre la regla del grupo de seguridad. Este parámetro es opcional.
La descripción de la regla del grupo de seguridad puede contener un máximo de 255 caracteres y no puede contener corchetes angulares (< o >).
N/A
- En la ficha Outbound Rules, haga clic en Add Rule. En el cuadro de diálogo que se muestra, establezca los parámetros necesarios para agregar una regla saliente.
Puede hacer clic en + para agregar más reglas salientes.Figura 2 Agregar regla de salida
Tabla 2 Descripción del parámetro de regla saliente Parámetro
Descripción
Valor de ejemplo
Priority
Prioridad de regla de grupo de seguridad.
El valor de prioridad oscila entre 1 y 100. El valor por defecto es 1 e indica la prioridad principal. La regla de grupo de seguridad con un valor menor tiene mayor prioridad.
1
Action
Las acciones de la regla del grupo de seguridad.
- Allow: permite el tráfico saliente de instancias del grupo de seguridad basado en la regla.
- Deny: deniega el tráfico saliente de las instancias del grupo de seguridad según la regla.
Las reglas de denegación tienen prioridad sobre las reglas de permiso de la misma prioridad.
Allow
Protocol & Port
Protocol: El protocolo de red. Actualmente, el valor puede ser All, TCP, UDP, ICMP, GRE u otros.
TCP
Port: El puerto o rango de puertos sobre el que el tráfico puede salir de su ECS. El valor oscila entre 1 y 65535.
22, or 22-30
Type
El tipo de dirección IP.- IPv4
- IPv6
IPv4
Destination
Destino de la regla de grupo de seguridad. El valor puede ser una única dirección IP, un grupo de direcciones IP o un grupo de seguridad para permitir el acceso a direcciones IP o instancias en el grupo de seguridad. Por ejemplo:- Dirección IP única: 192.168.10.10/32 (IPv4); 2002:50::44/127 (IPv6)
- Intervalo de direcciones IP: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
- Todas las direcciones IP: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
- Grupo de seguridad: sg-abc
- Grupo de direcciones IP: ipGroup-test
0.0.0.0/0
Description
Información complementaria sobre la regla del grupo de seguridad. Este parámetro es opcional.
La descripción de la regla del grupo de seguridad puede contener un máximo de 255 caracteres y no puede contener corchetes angulares (< o >).
N/A
- Haga clic en OK.
Verificación
Después de agregar las reglas de grupo de seguridad necesarias, puede verificar que las reglas surtan efecto. Por ejemplo, ha implementado un sitio web en ECS. Los usuarios deben acceder a su sitio web a través de TCP (puerto 80), y usted ha agregado la regla de grupo de seguridad que se muestra en Tabla 3.
ECS de Linux
Para verificar la regla de grupo de seguridad en un ECS de Linux:
- Inicie sesión en el ECS.
- Ejecute el siguiente comando para comprobar si se está escuchando el puerto TCP 80:
netstat -an | grep 80
Si se muestra la salida del comando en Figura 3, se está escuchando el puerto TCP 80.
- Escriba http://ECS EIP en el cuadro de dirección del navegador y pulse Enter.
Si se puede acceder a la página solicitada, la regla del grupo de seguridad tiene efecto.
ECS de Windows
Para comprobar la regla del grupo de seguridad en un ECS de Windows:
- Inicie sesión en el ECS.
- Elija Start > Accessories > Command Prompt.
- Ejecute el siguiente comando para comprobar si se está escuchando el puerto TCP 80:
netstat -an | findstr 80
Si se muestra la salida del comando en Figura 4, se está escuchando el puerto TCP 80.
- Escriba http://ECS EIP en el cuadro de dirección del navegador y pulse Enter.
Si se puede acceder a la página solicitada, la regla del grupo de seguridad tiene efecto.
Operaciones relacionadas
Allow Common Ports
Puede hacer clic en Allow Common Ports para permitir el tráfico en algunos puertos comunes, como los puertos 21, 22, 3389, 80, 443 y 20.
