Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Virtual Private Cloud/ Guia de usuário/ Segurança/ Grupo de segurança/ Adição de uma regra de grupo de segurança
Atualizado em 2024-09-18 GMT+08:00

Adição de uma regra de grupo de segurança

Cenários

Um grupo de segurança é uma coleção de regras de controle de acesso para controlar o tráfego que tem permissão para alcançar e sair dos recursos de nuvem aos quais está associado. Os recursos de nuvem podem ser servidores de nuvem, contêineres, bancos de dados e muito mais. Um grupo de segurança consiste em regras de entrada e saída.

Assim como as listas brancas, as regras de grupo de segurança funcionam da seguinte maneira:
  • As regras de entrada controlam o tráfego de entrada para instâncias no grupo de segurança. Se uma solicitação de entrada corresponder à origem em uma regra de grupo de segurança de entrada com Action definida como Allow, a solicitação será permitida.

    A menos que especificado de outra forma, você não precisa configurar regras de negação na direção de entrada porque as solicitações que não correspondem a regras de permissão serão negadas.

  • As regras de saída controlam o tráfego de saída das instâncias da nuvem no grupo de segurança. Se o destino de uma regra de grupo de segurança de saída com Action definida como Allow for 0.0.0.0/0, todas as solicitações de saída serão permitidas.

    0.0.0.0/0 representa todos os endereços IPv4.

    ::/0 representa todos os endereços IPv6.

Se as regras do grupo de segurança associado à sua instância não puderem atender aos seus requisitos, por exemplo, você precisar permitir o tráfego de entrada em uma porta TCP específica, poderá adicionar uma regra de entrada para permitir o tráfego na porta TCP.

Exemplos de configuração de regra de grupo de segurança

  • O sistema fornece um grupo de segurança padrão. Para obter detalhes sobre regras do grupo de segurança padrão, consulte Grupos de segurança padrão e regras de grupo de segurança. Se as regras de grupo de segurança padrão não puderem atender aos seus requisitos, você poderá modificá-las.
  • Antes de configurar regras de grupo de segurança, você precisa planejar regras para comunicações entre instâncias no grupo de segurança. Para obter mais exemplos de configuração de regras de grupo de segurança, consulte Exemplos de configuração de grupo de segurança.

Procedimento

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo e selecione a região e o projeto desejados.
  3. Na página inicial do console, em Rede, clique em Virtual Private Cloud.
  4. No painel de navegação à esquerda, escolha Access Control > Security Groups.

    A lista de grupos de segurança é exibida.

  5. Localize a linha que contém o grupo de segurança de destino, clique em Manage Rule na coluna Operation.

    A página para configurar as regras do grupo de segurança é exibida.

  6. Na guia Inbound Rules, clique em Add Rule.

    A caixa de diálogo Add Inbound Rule é exibida.

  7. Configure os parâmetros necessários.

    Você pode clicar em + para adicionar mais regras de entrada.

    Figura 1 Adicionar regra de entrada
    Tabela 1 Descrição do parâmetro da regra de entrada

    Parâmetro

    Descrição

    Exemplo de valor

    Priority

    A prioridade da regra do grupo de segurança.

    O valor de prioridade varia de 1 a 100. O valor padrão é 1 e tem a prioridade mais alta. A regra de grupo de segurança com um valor menor tem uma prioridade mais alta.

    1

    Action

    Allow ou Deny
    • Se a Action estiver definida como Allow, o acesso da origem será permitido aos ECSs no grupo de segurança nas portas especificadas.
    • Se a Action estiver definida como Deny, o acesso da origem será negado aos ECSs no grupo de segurança nas portas especificadas.

    As regras de negação têm precedência sobre as regras de permissão da mesma prioridade.

    Allow

    Type

    Versão do endereço IP de origem. Você pode selecionar:
    • IPv4
    • IPv6

    IPv4

    Protocol & Port

    Protocol: o protocolo de rede. Atualmente, o valor pode ser All, TCP, UDP, ICMP, GRE ou outros.

    TCP

    Port: a porta ou o intervalo de portas sobre o qual o tráfego pode chegar ao ECS. O valor varia de 1 a 65535.

    Insira portas no seguinte formato:
    • Porta individual: digite uma porta, como 22.
    • Portas consecutivas: insira um intervalo de portas, como 22-30.
    • Portas não consecutivas: insira portas e intervalos de portas, como 22,23-30. Você pode inserir um máximo de 20 portas e intervalos de portas. Cada intervalo de portas deve ser exclusivo.
    • Todas as portas: deixe-o vazio ou digite 1-65535.

    22 ou 22-30

    Source

    A origem em uma regra de entrada é usada para corresponder ao endereço IP ou intervalo de endereços de uma solicitação externa. A origem pode ser:
    • IP address:
      • Endereço IP único: endereço/máscara IP

        Exemplo de endereço IPv4: 192.168.10.10/32

        Exemplo de endereço IPv6: 2002:50::44/128

      • Intervalo de endereços IP na notação CIDR: endereço/máscara IP

        Exemplo de intervalo de endereços IPv4: 192.168.52.0/24

        Exemplo de intervalo de endereços IPv6: 2407:c080:802:469::/64

      • Todos os endereços IP

        0.0.0.0/0 representa todos os endereços IPv4.

        ::/0 representa todos os endereços IPv6.

    • Security group: a origem é de outro grupo de segurança. Você pode selecionar um grupo de segurança na mesma região sob a conta atual na lista suspensa. Há a instância A no grupo de segurança A e a instância B no grupo de segurança B. Se o grupo de segurança A tiver uma regra de entrada com Action definida como Allow e Source definida como grupo de segurança B, o acesso da instância B será permitido à instância A.
    • IP address group: um grupo de endereços IP é uma coleção de um ou mais endereços IP. Você pode selecionar um grupo de endereços IP disponível na lista suspensa. Um grupo de endereços IP pode ajudá-lo a gerenciar intervalos de endereços IP e endereços IP com os mesmos requisitos de segurança de uma maneira mais simples.

    Endereço IP: 0.0.0.0/0

    Description

    Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional.

    A descrição da regra de grupo de segurança pode conter um máximo de 255 caracteres e não pode conter colchetes angulares (< ou >).

    N/A

  8. Clique em OK.

    A lista de regras de entrada é exibida.

  9. Na guia Outbound Rules, clique em Add Rule.

    A caixa de diálogo Add Outbound Rule é exibida.

  10. Configure os parâmetros necessários.

    Você pode clicar em +·para adicionar mais regras de saída.

    Figura 2 Adicionar regra de saída
    Tabela 2 Descrição do parâmetro de regra de saída

    Parâmetro

    Descrição

    Exemplo de valor

    Priority

    A prioridade da regra do grupo de segurança.

    O valor de prioridade varia de 1 a 100. O valor padrão é 1 e tem a prioridade mais alta. A regra de grupo de segurança com um valor menor tem uma prioridade mais alta.

    1

    Action

    Allow ou Deny
    • Se a Action estiver definida como Allow, o acesso de ECSs no grupo de segurança será permitido ao destino pelas portas especificadas.
    • Se a Action estiver definida como Deny, o acesso de ECSs no grupo de segurança será negado ao destino nas portas especificadas.

    As regras de negação têm precedência sobre as regras de permissão da mesma prioridade.

    Allow

    Type

    Versão do endereço IP de destino. Você pode selecionar:
    • IPv4
    • IPv6

    IPv4

    Protocol & Port

    Protocol: o protocolo de rede. Atualmente, o valor pode ser All, TCP, UDP, ICMP, GRE ou outros.

    TCP

    Port: a porta ou o intervalo de portas em que o tráfego pode sair do ECS. O valor varia de 1 a 65535.

    22 ou 22-30

    Destination

    O destino em uma regra de saída é usado para corresponder ao endereço IP ou intervalo de endereços de uma solicitação interna. O destino pode ser:
    • IP address
      • Endereço IP único: endereço/máscara IP

        Exemplo de endereço IPv4: 192.168.10.10/32

        Exemplo de endereço IPv6: 2002:50::44/128

      • Intervalo de endereços IP na notação CIDR: endereço/máscara IP

        Exemplo de intervalo de endereços IPv4: 192.168.52.0/24

        Exemplo de intervalo de endereços IPv6: 2407:c080:802:469::/64

      • Todos os endereços IP

        0.0.0.0/0 representa todos os endereços IPv4.

        ::/0 representa todos os endereços IPv6.

    • Security group: o destino é de outro grupo de segurança. Você pode selecionar um grupo de segurança na mesma região sob a conta atual na lista suspensa. Há a instância A no grupo de segurança A e a instância B no grupo de segurança B. Se o grupo de segurança A tiver uma regra de saída com Action definida como Allow e Destination definido como grupo de segurança B, o acesso da instância A será permitido à instância B.
    • IP address group: um grupo de endereços IP é uma coleção de um ou mais endereços IP. Você pode selecionar um grupo de endereços IP disponível na lista suspensa. Um grupo de endereços IP pode ajudá-lo a gerenciar intervalos de endereços IP e endereços IP com os mesmos requisitos de segurança de uma maneira mais simples.

    Endereço IP: 0.0.0.0/0

    Description

    Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional.

    A descrição da regra de grupo de segurança pode conter um máximo de 255 caracteres e não pode conter colchetes angulares (< ou >).

    N/A

  11. Clique em OK.

    A lista de regras de saída é exibida.

Verificação

Depois que as regras de grupo de segurança necessárias forem adicionadas, você poderá verificar se as regras entram em vigor. Por exemplo, você implementou um site em ECSs. Os usuários precisam acessar seu site através de TCP (porta 80), e você adicionou a regra de grupo de segurança mostrada em Tabela 3.

Tabela 3 Regra de grupo de segurança

Direção

Protocolo

Porta

Origem

Entrada

TCP

80

0.0.0.0/0

ECS do Linux

Para verificar a regra de grupo de segurança em um ECS do Linux:

  1. Efetue logon no ECS.
  2. Execute o seguinte comando para verificar se a porta TCP 80 está sendo escutada:
    netstat -an | grep 80

    Se a saída do comando mostrada em Figura 3 for exibida, a porta TCP 80 está sendo escutada.

    Figura 3 Saída de comando para o ECS do Linux
  3. Digite http://ECS EIP na caixa de endereço do navegador e pressione Enter.

    Se a página solicitada puder ser acessada, a regra do grupo de segurança entrou em vigor.

ECS do Windows

Para verificar a regra de grupo de segurança em um ECS do Windows:

  1. Efetue logon no ECS.
  2. Escolha Start > Accessories > Command Prompt.
  3. Execute o seguinte comando para verificar se a porta TCP 80 está sendo escutada:
    netstat -an | findstr 80

    Se a saída do comando mostrada em Figura 4 for exibida, a porta TCP 80 está sendo escutada.

    Figura 4 Saída de comando para o ECS do Windows
  4. Digite http://ECS EIP na caixa de endereço do navegador e pressione Enter.

    Se a página solicitada puder ser acessada, a regra do grupo de segurança entrou em vigor.