为什么配置的安全组规则不生效？

问题描述

为弹性云服务器配置的安全组规则未生效。

排查思路

以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。

如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。

图1 排查思路

安全组配置错误

当安全组规则配置有误时，无法按照规划的安全组规则对云服务器进行保护。您可以按照以下几点原因对安全组配置进行检查：

1. 安全组规则方向设置错误，例如将需要在入方向添加的规则添加到出方向规则下。
2. 安全组规则协议类型未选择正确。
3. 对应端口为高危端口，在部分地区部分运营商无法访问，建议您修改敏感端口为其他非高危端口来承载业务。常用端口说明及高危端口请参考弹性云服务器常用端口。
4. 对应端口未开通。您可以根据以下步骤检查对应端口在服务器中是否被正常监听。
   假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加表2中的规则，放通HTTP(80)端口。

   表2 安全组规则示例

   方向	优先级	策略	类型	协议端口	源地址
   入方向	1	允许	IPv4	自定义TCP: 80	IP地址：0.0.0.0/0

5. 云服务器属于不同的VPC。安全组需在网络互通的情况下生效。若云服务器属于不同VPC，但同属于一个安全组，此时云服务器不能互通。您可以使用对等连接等产品建立VPC连接互通，安全组才能对不同VPC内云服务器的流量进行访问控制。VPC连接请参见应用场景。

您可以参考添加安全组规则或修改安全组规则选择正确的方向或协议类型、放通需要开放的端口。

网络ACL规则与安全组规则冲突

安全组对弹性云服务器进行防护，网络ACL对子网进行防护。

例如当您设置了安全组入方向规则放通80端口，同时设置的网络ACL规则包含拒绝80端口的规则，那么此安全组规则不生效。

您可以参考添加网络ACL规则或修改网络ACL规则放通对应协议端口。

云服务器防火墙限制

查看云服务器的防火墙是否限制了需要开放的端口。

您可以参考Windows云服务器怎样关闭防火墙、添加例外端口？或Linux云服务器怎样关闭防火墙、添加例外端口？开放例外端口。

提交工单

如果上述方法均不能解决您的疑问，请提交工单寻求更多帮助。