文档首页/ 虚拟私有云 VPC/ 常见问题/ 安全类/ 变更安全组规则和网络ACL规则时,是否对原有流量实时生效?
更新时间:2025-07-11 GMT+08:00

变更安全组规则和网络ACL规则时,是否对原有流量实时生效?

  • 安全组使用连接跟踪来标识进出实例的流量信息,入方向安全组的规则变更,对原有流量立即生效。出方向安全组规则的变更,不影响已建立的长连接,只对新建立的连接生效。
    当您在安全组内增加、删除、更新规则,或者在安全组内添加、移出实例时,详细说明如下:
    • 由入方向流量建立的连接,系统会根据表1中的场景,自动清理已有长连接对应的连接跟踪,即让连接跟踪提前老化,然后重新建立连接并匹配新的安全组入方向规则。
      • 若安全组规则允许该连接对应的流量通过,则连接能够成功建立,网络通信不会受影响。
      • 若安全组规则拒绝该连接对应的流量通过,则连接无法再次建立,网络通信将中断。
      表1 连接跟踪的清理场景及清理策略说明

      操作场景

      连接跟踪的清理策略

      在安全组A内添加实例

      • 对于安全组A内新添加的实例,清理该实例入方向的连接跟踪
      • 当其他安全组(例如安全组B)的入方向中存在拒绝安全组A访问的规则,则清理安全组B内所有实例的入方向连接跟踪

      在安全组A内移除实例

      • 清理安全组A内所有实例的入方向连接跟踪
      • 当其他安全组(例如安全组B)的入方向中存在允许安全组A访问的规则,则清理安全组B内所有实例的入方向连接跟踪

      在安全组A内添加规则

      当在入方向或者出方向添加拒绝访问的规则,则清理安全组A内所有实例的入方向连接跟踪

      在安全组A内删除规则

      当在入方向中删除允许访问的规则,则清理安全组A内所有实例的入方向连接跟踪

      在安全组A内修改规则

      当在入方向中修改规则的优先级、策略、协议端口或者源地址时,则清理安全组A内所有实例的入方向连接跟踪

      在安全组A内启用规则

      当在入方向或者出方向启用拒绝访问的规则,则清理安全组A内所有实例的入方向连接跟踪

      在安全组A内停用规则

      当在入方向中停用允许访问的规则,则清理安全组A内所有实例的入方向连接跟踪

      修改IP地址组内的IP地址条目

      当安全组A内的入方向规则中,存在关联IP地址组的规则,则添加或者删除该IP地址组条目时,会清理安全组A内所有实例的入方向连接跟踪

    • 由出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有安全组规则。出方向流量新建立的连接,将会匹配新的安全组出方向规则。
  • 网络ACL使用连接跟踪来标识进出实例的流量信息,入方向和出方向网络ACL规则配置变更,对原有流量不会立即生效。

    当您在网络ACL内增加、删除、更新规则,或者在网络ACL内添加、移出子网时,由入方向/出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接,将会匹配新的网络ACL出方向规则。

对于已建立的长连接,流量断开后,不会立即建立新的连接,需要超过连接跟踪的老化时间后,才会新建立连接并匹配新的规则。比如,对于已建立的ICMP协议长连接,当流量中断后,需要超过老化时间30s后,将会新建立连接并匹配新的规则,详细说明如下:

  • 不同协议的连接跟踪老化时间不同,比如已建立连接状态的TCP协议连接老化时间是600s,ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了报文,另一个方向没有收到报文,则连接老化时间是30s。
  • TCP协议处于不同状态下的连接老化时间也不相同,比如TCP连接处于ESTABLISHED(连接已建立)状态时,老化时间是600s,处于FIN-WAIT(连接即将关闭)状态时,老化时间是30s。