文档首页/ 虚拟私有云 VPC/ 用户指南/ 访问控制/ 安全组/ 管理安全组规则/ 添加安全组规则
更新时间:2025-11-10 GMT+08:00
查看PDF
分享

添加安全组规则

操作场景

安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成,用来控制流入/流出安全组内实例(如ECS)的流量。常见的安全组规则应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置实例的特定访问权限等。

以下是多种添加安全组规则的操作入口,请按需选择:
  • 在安全组内添加安全组规则:使用该功能时,需要根据界面提示,依次配置安全组规则的策略、优先级、类型、协议端口、源地址或目的地址。
  • 快速添加多条安全组规则:使用该功能,您可以快速添加部分常用端口协议对应的规则,包括远程登录和ping测试、常用Web服务和数据库服务所需的端口协议。
  • 在安全组中一键放通常见端口:使用该功能,您可以在安全组中一键放通常见端口,同时满足以下场景:
    • 远程登录云服务器
    • 在云服务器内使用ping命令测试网络连通性
    • 云服务器用作Web服务器对外提供网站访问服务

使用须知

在添加安全组规则之前,请您务必了解以下信息:

  • 安全组中包括入方向规则和出方向规则,用来控制安全组内实例的入方向和出方向的网络流量,规则的组成说明,请参见安全组规则
  • 实例关联多个安全组时,流量按照优先级匹配安全组规则,匹配顺序说明,请参见流量匹配安全组规则的顺序
  • 安全组的规则数量有限制,请您尽量保持安全组内规则的简洁,请参见安全组的使用限制
  • 在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效,具体请参见检查ECS实例内端口是否放通
  • 安全组入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“22、3389、8848”等高危端口暴露到公网,可能导致网络入侵,造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。
  • 通常情况下,同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时,可能情况如下:
    • 当实例属于同一个VPC时,请您检查入方向规则中,是否删除了同一个安全组内实例互通对应的规则,规则详情如表1所示。
      表1 安全组内实例互通规则

      方向

      优先级

      策略

      类型

      协议端口

      源地址/目的地址

      入方向

      1

      允许

      IPv4

      全部

      源地址:当前安全组(Sg-A)

      入方向

      1

      允许

      IPv6

      全部

      源地址:当前安全组(Sg-A)
    • 不同VPC的网络不通,所以当实例属于同一个安全组,但属于不同VPC时,网络不通。

      您可以通过VPC对等连接连通不同的VPC。

配置示例

配置安全组规则前,您需要规划好安全组内实例的访问策略,安全组规则配置原则如下:

  • 如果实例需要对外提供服务,则应添加入方向规则,允许外部请求访问安全组内实例。
  • 如果实例遇到外部网络攻击,则应添加入方向规则,拒绝有安全风险的外部请求访问安全组内实例。
  • 如果实例需要访问外部网络,则应添加出方向规则,允许内部请求访问外部。
  • 如果不再需要管控某些入方向或出方向流量时,可删除对应的安全组规则,以精简规则配置。
  • 如果需要复制其他安全组内的规则,可使用导入/导出安全组规则或者克隆安全组功能,具体请参见跨区域及跨账号迁移安全组

更多安全组规则配置示例请参见安全组配置示例

添加安全组规则

  1. 进入安全组列表页面
  2. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  3. 在“入方向规则”页签,单击“添加规则”。

    弹出“添加入方向规则”对话框。

  4. 根据界面提示,设置入方向规则参数。

    单击,可以依次增加多条入方向规则。

    图1 添加安全组入方向规则
    表2 入方向规则参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略
    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。

    安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序

    允许

    类型
    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在入方向规则中,表示外部访问安全组内实例的指定端口。

    端口填写支持下格式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
    • 全部端口:为空或1-65535

    22或22-30

    源地址
    在入方向规则中,用来匹配外部请求的源地址,支持以下格式:
    • IP地址:表示源地址为某个固定的IP地址。当源地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
    • IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理

      如果没有可用的IP地址组,请您参见创建IP地址组进行创建。

    IP地址:

    192.168.52.0/24,10.0.0.0/24

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  5. 入方向规则设置完成后,单击“确定”。

    返回入方向规则列表,可以查看添加的入方向规则。

  6. 在“出方向规则”页签,单击“添加规则”。

    弹出“添加出方向规则”页签。

  7. 根据界面提示,设置出方向规则参数。

    单击,可以依次增加多条出方向规则。

    图2 添加安全组出方向规则
    表3 出方向规则参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略
    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许安全组内的云服务器访问目的地址的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝安全组内的云服务器访问目的地址的指定端口。

    安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序

    允许

    类型
    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在出方向规则中,表示安全组内实例访问外部地址的指定端口。

    端口填写支持下格式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
    • 全部端口:为空或1-65535

    22或22-30

    目的地址
    在出方向规则中,用来匹配内部请求的目的地址。支持以下格式:
    • IP地址:表示目的地址为某个固定的IP地址。当目的地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示目的地址为另外一个安全组,您可以在下拉列表中,选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的出方向规则放通目的地址为安全组B的流量,则实例a访问实例b的内网请求被允许流出。
    • IP地址组:表示目的地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理

      如果没有可用的IP地址组,请您参见创建IP地址组进行创建。

    IP地址:

    192.168.52.0/24,10.0.0.0/24

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  8. 出方向规则设置完成后,单击“确定”。

    返回出方向规则列表,可以查看添加的出方向规则。

    在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效,具体方法请参见检查ECS实例内端口是否放通

  1. 进入安全组列表页面
  2. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  3. 在“入方向规则”页签,单击“快速添加规则”。

    弹出“快速添加入方向规则”对话框。

  4. 根据界面提示,设置入方向规则参数。
    图3 快速添加安全组入方向规则
    表4 入方向规则参数说明

    参数

    说明

    取值样例

    常见协议端口

    提供常用的协议端口供您快速设置,选择类型如下:

    • 远程登录和ping
    • Web服务
    • 数据库

    SSH (22)

    类型
    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    源地址
    在入方向规则中,用来匹配外部请求的源地址,支持以下格式:
    • IP地址:表示源地址为某个固定的IP地址。当源地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
    • IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理

      如果没有可用的IP地址组,请您参见创建IP地址组进行创建。

    IP地址:

    192.168.52.0/24,10.0.0.0/24

    策略
    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。

    安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序

    允许

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  5. 入方向规则设置完成后,单击“确定”。

    返回入方向规则列表,可以查看添加的入方向规则。

  6. 在“出方向规则”页签,单击“快速添加规则”。

    弹出“快速添加出方向规则”页签。

  7. 根据界面提示,设置出方向规则参数。
    图4 快速添加安全组出方向规则
    表5 出方向规则参数说明

    参数

    说明

    取值样例

    常见协议端口

    提供常用的协议端口供您快速设置,选择类型如下:

    • 远程登录和ping
    • Web服务
    • 数据库

    SSH (22)

    类型
    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    目的地址
    在出方向规则中,用来匹配内部请求的目的地址。支持以下格式:
    • IP地址:表示目的地址为某个固定的IP地址。当目的地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示目的地址为另外一个安全组,您可以在下拉列表中,选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的出方向规则放通目的地址为安全组B的流量,则实例a访问实例b的内网请求被允许流出。
    • IP地址组:表示目的地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理

      如果没有可用的IP地址组,请您参见创建IP地址组进行创建。

    IP地址:

    192.168.52.0/24,10.0.0.0/24

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略
    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许安全组内的云服务器访问目的地址的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝安全组内的云服务器访问目的地址的指定端口。

    安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序

    允许

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  8. 出方向规则设置完成后,单击“确定”。

    返回出方向规则列表,可以查看添加的出方向规则。

    在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效,具体方法请参见检查ECS实例内端口是否放通

  1. 进入安全组列表页面
  2. 在安全组列表中,单击目标安全组的名称超链接。

    进入安全组详情页面。

  3. 根据情况,选择“入方向规则”或者“出方向规则”页签,单击“一键放通常见端口”。

    弹出常见端口列表页面。

    您可以一键放通的常见端口详细说明如表6所示。
    表6 一键放通常见端口说明

    方向

    类型和协议端口

    源地址/目的地址

    规则用途

    入方向

    TCP: 22 (IPv4)

    0.0.0.0/0

    针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的SSH(22)端口,用于远程登录Linux云服务器。

    TCP: 3389 (IPv4)

    0.0.0.0/0

    针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的RDP(3389)端口,用于远程登录Windows云服务器。

    TCP: 80 (IPv4)

    0.0.0.0/0

    针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的HTTP(80)端口,用于通过HTTP协议访问网站。

    TCP: 443 (IPv4)

    0.0.0.0/0

    针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的HTTPS(443)端口,用于通过HTTPS协议访问网站。

    TCP : 20-21 (IPv4)

    0.0.0.0/0

    针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的FTP(20和21)端口,用于远程连接云服务器上传或者下载文件。

    ICMP: 全部 (IPv4)

    0.0.0.0/0

    针对ICMP(IPv4)协议,允许外部所有IP访问安全组内云服务器的所有端口,用于通过ping命令测试云服务器的网络连通性。

    出方向

    全部 (IPv4)

    全部 (IPv6)

    0.0.0.0/0

    ::/0

    针对全部协议,允许安全组内的云服务器可访问外部任意IP和端口。
  4. 根据界面提示,单击“确定”。

    完成操作后,可以在安全组规则列表页面查看添加的安全组规则。

    在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效,具体方法请参见检查ECS实例内端口是否放通

检查ECS实例内端口是否放通

在安全组规则中放开某个端口后,您还需要检查实例内对应的端口也已经放通,安全组规则才会对实例生效。

假设您在某台ECS上部署了网站,希望用户能通过HTTP(80)端口访问到您的网站,则您需要先在ECS所在安全组的入方向中,添加表7中的规则,放通HTTP(80)端口。
表7 安全组规则示例

方向

优先级

策略

类型

协议端口

源地址

入方向

1

允许

IPv4

自定义TCP: 80

IP地址:0.0.0.0/0
安全组规则添加完成后,您需要执行以下操作,检查ECS内端口开放情况,并验证配置是否生效。
  1. 登录ECS,检查云服务器端口是否放通。
    • 检查Linux ECS端口

      执行以下命令,查看TCP 80端口是否被监听。

      netstat -an | grep 80

      若回显类似图5,说明80端口已开通。

      图5 Linux TCP 80端口验证结果
    • 检查Windows ECS端口
      1. 通过“开始菜单 > 运行 > cmd”,打开命令执行窗口。
      2. 执行以下命令,查看TCP 80端口是否被监听。

        netstat -an | findstr 80

        若回显类似图6,说明TCP 80端口已开通。

        图6 Windows TCP 80端口验证结果
  2. 打开浏览器,在地址栏里输入“http://ECS的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。

父主题: 管理安全组规则