文档首页/ 虚拟私有云 VPC/ 用户指南(巴黎区域)/ 访问控制/ 安全组/ 管理安全组规则/ 添加安全组规则
更新时间:2024-03-05 GMT+08:00
查看PDF
分享

添加安全组规则

操作场景

安全组实际是网络流量访问策略,通过访问策略可以控制流量入方向规则和出方向规则,通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。

安全组规则遵循白名单规则,具体说明如下:
  • 入方向规则:入方向指外部访问安全组内实例的指定端口。

    当外部请求匹配上安全组中入方向规则的源地址,并且策略为“允许”时,允许该请求进入,其他请求一律拦截。

    因此,默认情况下,您一般不用在入方向配置策略为“拒绝”的规则,因为不匹配“允许”规则的请求均会被拦截。

  • 出方向规则:出方向指安全组内实例访问外部的指定端口。

    在出方向中配置目的地址匹配所有IP地址的规则,并且策略为“允许”时,允许所有的内部请求出去。

    0.0.0.0/0表示匹配所有IPv4地址。

如果实例关联的安全组策略无法满足使用需求,比如需要开放某个TCP端口,您可以参考以下操作,通过在入方向规则添加端口,从而打开指定的TCP端口。

安全组规则配置示例

  • 配置安全组规则前,您需要规划好安全组内实例的访问策略,常见安全组规则配置案例,请您参考安全组配置示例

操作步骤

  1. 登录管理控制台。
  2. 在页面左上角单击图标,打开服务列表,选择“网络 > 虚拟私有云”。

    进入虚拟私有云列表页面。

  3. 在左侧导航栏,选择“访问控制 > 安全组”。

    进入安全组列表页面。

  4. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  5. 在“入方向规则”页签,单击“添加规则”。

    弹出“添加入方向规则”对话框。

  6. 根据界面提示,设置入方向规则参数。

    单击“+”按钮,可以依次增加多条入方向规则。

    表1 入方向规则参数说明

    参数

    说明

    取值样例

    类型
    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型。

    目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在入方向规则中,表示外部访问安全组内实例的指定端口。

    22或22-30

    源地址
    源地址可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。
    • IP地址:
      • 单个IP地址:比如192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
      • IP网段:比如192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)

    若源地址为安全组,则选定安全组内的云服务器都遵从当前所创建的规则。

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  7. 入方向规则设置完成后,单击“确定”。

    返回入方向规则列表,可以查看添加的入方向规则。

  8. 在“出方向规则”页签,单击“添加规则”。

    弹出“添加出方向规则”页签。

  9. 根据界面提示,设置出方向规则参数。

    单击“+”按钮,可以依次增加多条出方向规则。

    表2 出方向规则参数说明

    参数

    说明

    取值样例

    类型
    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型。

    目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在出方向规则中,表示安全组内实例访问外部的指定端口。

    22或22-30

    目的地址

    目的地址可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。

    • IP地址:
      • 单个IP地址:比如192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
      • 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
      • IP网段:比如192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  10. 出方向规则设置完成后,单击“确定”。

    返回出方向规则列表,可以查看添加的出方向规则。

验证安全组规则是否生效

安全组规则配置完成后,您需要添加的规则是否生效。假设您在弹性云服务器上部署了网站,希望用户能通过HTTP(80)访问到您的网站,则您需要在安全组入方向添加对应的规则,放通对应的端口,如表3所示。

表3 安全组规则示例

方向

协议端口

源地址

入方向

自定义TCP: 80

0.0.0.0/0

Linux弹性云服务器

执行以下步骤,在Linux弹性云服务器上验证该安全组规则是否生效。

  1. 登录弹性云服务器。
  2. 执行以下命令,查看TCP 80端口是否被监听。

    netstat -an | grep 80

    若回显类似图1,说明TCP 80端口已开通。

    图1 Linux TCP 80端口验证结果
  3. 打开浏览器,在地址栏里输入“http://弹性云服务器的弹性IP地址”。

    如果访问成功,说明安全组规则已经生效。

Windows弹性云服务器

Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

  1. 登录弹性云服务器。
  2. 通过“开始菜单 > 运行 > cmd”,打开命令执行窗口。
  3. 执行以下命令,查看TCP 80端口是否被监听。

    netstat -an | findstr 80

    若回显类似图2,说明TCP 80端口已开通。

    图2 Windows TCP 80端口验证结果
  4. 打开浏览器,在地址栏里输入“http://弹性云服务器的弹性IP地址”。

    如果访问成功,说明安全组规则已经生效。

父主题: 管理安全组规则