更新时间:2025-08-01 GMT+08:00

添加安全组规则

操作场景

安全组实际是网络流量访问策略,由入方向规则和出方向规则共同组成,用来控制流入/流出安全组内实例(如ECS)的流量。常见的安全组规则应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置实例的特定访问权限等。

以下是多种添加安全组规则的操作入口,请按需选择:
  • 在安全组内添加安全组规则:使用该功能时,需要根据界面提示,依次配置安全组规则的策略、优先级、类型、协议端口、源地址或目的地址。
  • 快速添加多条安全组规则:使用该功能,您可以快速添加部分常用端口协议对应的规则,包括远程登录和ping测试、常用Web服务和数据库服务所需的端口协议。
  • 在安全组中一键放通常见端口:使用该功能,您可以在安全组中一键放通常见端口,同时满足以下场景:
    • 远程登录云服务器
    • 在云服务器内使用ping命令测试网络连通性
    • 云服务器用作Web服务器对外提供网站访问服务

使用须知

在添加安全组规则之前,请您务必了解以下信息:

  • 安全组中包括入方向规则和出方向规则,用来控制安全组内实例的入方向和出方向的网络流量,规则的组成说明,请参见安全组规则
  • 实例关联多个安全组时,流量按照优先级匹配安全组规则,匹配顺序说明,请参见流量匹配安全组规则的顺序
  • 安全组的规则数量有限制,请您尽量保持安全组内规则的简洁,请参见安全组的使用限制
  • 在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效,具体请参见检查安全组规则是否生效
  • 安全组入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“22、3389、8848”等高危端口暴露到公网,可能导致网络入侵,造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。
  • 通常情况下,同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时,可能情况如下:
    • 当实例属于同一个VPC时,请您检查入方向规则中,是否删除了同一个安全组内实例互通对应的规则,规则详情如表1所示。
      表1 安全组内实例互通规则

      方向

      优先级

      策略

      类型

      协议端口

      源地址/目的地址

      入方向

      1

      允许

      IPv4

      全部

      源地址:当前安全组(Sg-A)

      入方向

      1

      允许

      IPv6

      全部

      源地址:当前安全组(Sg-A)

    • 不同VPC的网络不通,所以当实例属于同一个安全组,但属于不同VPC时,网络不通。

      您可以通过VPC对等连接连通不同的VPC。

配置示例

配置安全组规则前,您需要规划好安全组内实例的访问策略,安全组规则配置原则如下:

  • 如果实例需要对外提供服务,则应添加入方向规则,允许外部请求访问安全组内实例。
  • 如果实例遇到外部网络攻击,则应添加入方向规则,拒绝有安全风险的外部请求访问安全组内实例。
  • 如果实例需要访问外部网络,则应添加出方向规则,允许内部请求访问外部。
  • 如果不再需要管控某些入方向或出方向流量时,可删除对应的安全组规则,以精简规则配置。
  • 如果需要复制其他安全组内的规则,可使用导入/导出安全组规则或者克隆安全组功能,具体请参见跨区域及跨账号迁移安全组

更多安全组规则配置示例请参见安全组配置示例

添加安全组规则

检查安全组规则是否生效

在安全组规则中放开某个端口后,您还需要确保实例内对应的端口也已经放通,安全组规则才会对实例生效。

假设您在某台ECS上部署了网站,希望用户能通过HTTP(80)端口访问到您的网站,则您需要先在ECS所在安全组的入方向中,添加表7中的规则,放通HTTP(80)端口。
表7 安全组规则示例

方向

优先级

策略

类型

协议端口

源地址

入方向

1

允许

IPv4

自定义TCP: 80

IP地址:0.0.0.0/0

安全组规则添加完成后,您需要执行以下操作,检查云服务器内端口开放情况,并验证配置是否生效。
  1. 登录云服务器,检查云服务器端口开放情况。
    • 检查Linux云服务器端口

      执行以下命令,查看TCP 80端口是否被监听。

      netstat -an | grep 80

      若回显类似图5,说明80端口已开通。

      图5 Linux TCP 80端口验证结果
    • 检查Windows云服务器端口
      1. 通过“开始菜单 > 运行 > cmd”,打开命令执行窗口。
      2. 执行以下命令,查看TCP 80端口是否被监听。

        netstat -an | findstr 80

        若回显类似图6,说明TCP 80端口已开通。

        图6 Windows TCP 80端口验证结果
  2. 打开浏览器,在地址栏里输入“http://云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。