更新时间:2024-01-30 GMT+08:00
分享

默认安全组和规则

如果您未创建任何安全组,那么您在首次使用安全组时,系统会自动为您创建一个默认安全组,默认安全组规则说明如下:
  • 入方向规则:入方向流量受限,只允许安全组内实例互通,拒绝来自安全组外部的所有访问请求。
  • 出方向规则:出方向流量放行,允许所有内部请求出去,并收到该请求对应的响应流量。

图1所示。

图1 默认安全组
  • 默认安全组名称为default,默认安全组和您创建的自定义安全组均不收取费用。
  • 您无法删除默认安全组,可以在默认安全组内修改已有规则或者添加新的规则。
  • 默认安全组是为了简化您初次创建实例的流程,系统为您自动创建的。默认安全组拒绝所有外部请求,如果您需要登录实例,请参见从本地服务器远程登录云服务器添加安全组规则。

默认安全组规则如表1所示:

表1 默认安全组规则

规则方向

策略

类型

协议端口

源地址/目的地址

描述

入方向规则

允许

IPv4

全部

源地址:默认安全组(default)

针对全部IPv4协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

入方向规则

允许

IPv6

全部

源地址:默认安全组(default)

针对全部IPv6协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

出方向规则

允许

IPv4

全部

目的地址:0.0.0.0/0

针对全部IPv4协议,允许安全组内的实例可访问外部IP的所有端口。

出方向规则

允许

IPv6

全部

目的地址:::/0

针对全部IPv6协议,允许安全组内的实例可访问外部IP的所有端口。

首次创建弹性云服务器时,系统会自动新建虚拟私有云vpc-default,同时对安全组进行如下操作:

  • 新增Sys-WebServer安全组
  • 新增Sys-FullAccess安全组
  • 在默认安全组default中新增安全组规则
表2 默认default安全组规则

规则方向

策略

类型

协议端口

源地址/目的地址

描述

入方向规则

允许

IPv4

TCP: 3389

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有IP地址通过默认Windows远程桌面连接到Windows云服务器。

入方向规则

允许

IPv4

TCP: 22

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有IP地址通过SSH远程连接到Linux云服务器。

入方向规则

允许

IPv4

全部

源地址:默认安全组(default)

针对全部IPv4协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

入方向规则

允许

IPv6

全部

源地址:默认安全组(default)

针对全部IPv6协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

出方向规则

允许

IPv4

全部

目的地址:0.0.0.0/0

针对全部IPv4协议,允许安全组内的实例可访问外部IP的所有端口。

出方向规则

允许

IPv6

全部

目的地址:::/0

针对全部IPv6协议,允许安全组内的实例可访问外部IP的所有端口。

表3 Sys-WebServer安全组规则

规则方向

策略

类型

协议端口

目的地址/源地址

描述

入方向规则

允许

IPv4

ICMP: 全部

源地址:0.0.0.0/0

针对全部IPv4协议,允许在云服务器上使用ping命令验证网络的连通性。

入方向规则

允许

IPv4

全部

源地址:当前安全组(Sys-WebServer)

针对全部IPv4协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

入方向规则

允许

IPv4

TCP: 443

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有IP地址通过HTTPS协议访问云服务器上搭建的网站。

入方向规则

允许

IPv4

TCP: 80

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有IP地址通过HTTP协议访问云服务器上搭建的网站。

入方向规则

允许

IPv4

TCP: 22

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有IP地址通过SSH远程连接到Linux云服务器。

入方向规则

允许

IPv4

TCP: 3389

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有IP地址通过默认Windows远程桌面连接到Windows云服务器。

入方向规则

允许

IPv6

全部

源地址:当前安全组(Sys-WebServer)

针对全部IPv6协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

出方向规则

允许

IPv4

全部

目的地址:0.0.0.0/0

针对全部IPv4协议,允许安全组内的实例可访问外部IP的所有端口。

出方向规则

允许

IPv6

全部

目的地址:::/0

针对全部IPv6协议,允许安全组内的实例可访问外部IP的所有端口。

表4 Sys-FullAccess安全组规则

规则方向

策略

类型

协议端口

目的地址/源地址

说明

入方向规则

允许

IPv4

全部

源地址:当前安全组(Sys-FullAccess)

针对全部IPv4协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

入方向规则

允许

IPv6

全部

源地址:当前安全组(Sys-FullAccess)

针对全部IPv6协议,允许本安全组内实例的请求进入,即该条规则确保安全组内的实例网络互通。

入方向规则

允许

IPv4

全部

源地址:0.0.0.0/0

针对全部IPv4协议,允许所有入站流量的数据报文通过。

入方向规则

允许

IPv6

全部

源地址:::/0

针对全部IPv6协议,允许所有入站流量的数据报文通过。

出方向规则

允许

IPv4

全部

目的地址:0.0.0.0/0

针对全部IPv4协议,允许安全组内的实例可访问外部IP的所有端口。

出方向规则

允许

IPv6

全部

目的地址:::/0

针对全部IPv6协议,允许安全组内的实例可访问外部IP的所有端口。

分享:

    相关文档

    相关产品