更新时间:2025-08-25 GMT+08:00

安全组入站流量限制指定端口

规则详情

表1 规则详情

参数

说明

规则名称

vpc-sg-restricted-common-ports

规则展示名

安全组入站流量限制指定端口

规则描述

当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。

标签

vpc

规则触发方式

配置变更

规则评估的资源类型

vpc.securityGroups

规则参数

blockedPorts:需要限制的端口列表,数组类型,默认值为(20,21,3306,3389)。
  • 20:文件传输协议-数据端口。
  • 21:文件传输协议-控制端口。
  • 3306:mysql端口。
  • 3389:远程桌面协定端口。

应用场景

0.0.0.0/0表示所有IPv4地址,::/0表示所有IPv6地址。如果允许任何IP都可以访问您指定的高危端口,会极大地增加被攻击的风险。

  • 如果数据库服务(如MySQL的3306端口)允许0.0.0.0/0或::/0访问,可能导致未授权用户访问敏感数据。
  • 如果管理端口(如SSH的22端口、RDP的3389端口)允许0.0.0.0/0或::/0访问,可能导致服务器被入侵。

强烈建议您遵循最小权限原则配置安全组规则,避免过度授权。

修复项指导

请根据指导修改安全组规则

检测逻辑

  • 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。
  • 当安全组的入站流量放通参数指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。
  • 当安全组规则的源地址为安全组时,不会透传检查,源地址为安全组的流量为可信流量。
  • 当安全组规则的源地址为IP地址组时,不会检查IP地址组上配置的IP地址条目,因为其不允许配置为全部地址。
  • 安全组内一般包含多个安全组规则,流量匹配时生效机制复杂,见流量匹配安全组规则的顺序。Config进行分析时会忽略策略为“拒绝”的安全组规则,而只关心您可能放通了哪些流量。