更新时间:2025-07-11 GMT+08:00
变更安全组规则和网络ACL规则时,是否对原有流量实时生效?
- 安全组使用连接跟踪来标识进出实例的流量信息,入方向安全组的规则变更,对原有流量立即生效。出方向安全组规则的变更,不影响已建立的长连接,只对新建立的连接生效。
当您在安全组内增加、删除、更新规则,或者在安全组内添加、移出实例时,详细说明如下:
- 由入方向流量建立的连接,系统会根据表1中的场景,自动清理已有长连接对应的连接跟踪,即让连接跟踪提前老化,然后重新建立连接并匹配新的安全组入方向规则。
- 若安全组规则允许该连接对应的流量通过,则连接能够成功建立,网络通信不会受影响。
- 若安全组规则拒绝该连接对应的流量通过,则连接无法再次建立,网络通信将中断。
表1 连接跟踪的清理场景及清理策略说明 操作场景
连接跟踪的清理策略
在安全组A内添加实例
- 对于安全组A内新添加的实例,清理该实例入方向的连接跟踪
- 当其他安全组(例如安全组B)的入方向中存在拒绝安全组A访问的规则,则清理安全组B内所有实例的入方向连接跟踪
在安全组A内移除实例
- 清理安全组A内所有实例的入方向连接跟踪
- 当其他安全组(例如安全组B)的入方向中存在允许安全组A访问的规则,则清理安全组B内所有实例的入方向连接跟踪
在安全组A内添加规则
当在入方向或者出方向中添加拒绝访问的规则,则清理安全组A内所有实例的入方向连接跟踪
在安全组A内删除规则
当在入方向中删除允许访问的规则,则清理安全组A内所有实例的入方向连接跟踪
在安全组A内修改规则
当在入方向中修改规则的优先级、策略、协议端口或者源地址时,则清理安全组A内所有实例的入方向连接跟踪
在安全组A内启用规则
当在入方向或者出方向中启用拒绝访问的规则,则清理安全组A内所有实例的入方向连接跟踪
在安全组A内停用规则
当在入方向中停用允许访问的规则,则清理安全组A内所有实例的入方向连接跟踪
修改IP地址组内的IP地址条目
当安全组A内的入方向规则中,存在关联IP地址组的规则,则添加或者删除该IP地址组条目时,会清理安全组A内所有实例的入方向连接跟踪
- 由出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有安全组规则。出方向流量新建立的连接,将会匹配新的安全组出方向规则。
- 由入方向流量建立的连接,系统会根据表1中的场景,自动清理已有长连接对应的连接跟踪,即让连接跟踪提前老化,然后重新建立连接并匹配新的安全组入方向规则。
- 网络ACL使用连接跟踪来标识进出实例的流量信息,入方向和出方向网络ACL规则配置变更,对原有流量不会立即生效。
当您在网络ACL内增加、删除、更新规则,或者在网络ACL内添加、移出子网时,由入方向/出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接,将会匹配新的网络ACL出方向规则。
对于已建立的长连接,流量断开后,不会立即建立新的连接,需要超过连接跟踪的老化时间后,才会新建立连接并匹配新的规则。比如,对于已建立的ICMP协议长连接,当流量中断后,需要超过老化时间30s后,将会新建立连接并匹配新的规则,详细说明如下:
- 不同协议的连接跟踪老化时间不同,比如已建立连接状态的TCP协议连接老化时间是600s,ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了报文,另一个方向没有收到报文,则连接老化时间是30s。
- TCP协议处于不同状态下的连接老化时间也不相同,比如TCP连接处于ESTABLISHED(连接已建立)状态时,老化时间是600s,处于FIN-WAIT(连接即将关闭)状态时,老化时间是30s。
父主题: 安全类
