更新时间:2025-08-26 GMT+08:00
分享

创建安全组

操作场景

安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的ECS实例提供访问策略,控制流入/流出ECS实例的流量。本文介绍创建安全组的操作。

常见的安全组应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置实例的特定访问权限等。

创建ECS时必须将ECS加入一个安全组,如果此前您还未创建任何安全组,那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组,您还可以参考以下操作创建自定义安全组,并配置安全组规则控制特定流量的访问请求。了解安全组的更多信息,请参见安全组概述

安全组预设规则说明

创建安全组的时候,您可以选择系统预设规则。安全组预设规则中预先配置了入方向规则和出方向规则,您可以根据业务选择所需的预设规则,快速完成安全组的创建。安全组预设规则的详细说明如表1所示。

表1 预设安全组规则说明

预设规则

方向

类型和协议端口

源地址/目的地址

规则说明

适用场景

通用Web服务器

入方向规则

TCP: 22 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。

  • 外部远程登录安全组内实例(如ECS)
  • 外部使用ping命令验证安全组内实例的网络连通性
  • 安全组内实例用作Web服务器对外提供网站访问服务

TCP: 3389 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的RDP(3389)端口,用于远程登录Windows实例。

TCP: 80 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTP(80)端口,用于通过HTTP协议访问网站。

TCP: 443 (IPv4)

0.0.0.0/0

针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的HTTPS(443)端口,用于通过HTTPS协议访问网站。

ICMP: 全部 (IPv4)

0.0.0.0/0

针对ICMP(IPv4)协议,允许外部所有IP访问安全组内实例的所有端口,用于外部使用ping命令验证安全组内实例的网络连通性。

全部 (IPv4)

当前安全组

针对全部协议,允许安全组内实例通过内网网络相互通信。

全部 (IPv6)

出方向规则

全部 (IPv4)

0.0.0.0/0

针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

全部 (IPv6)

::/0

开放全部端口

入方向规则

全部 (IPv4)

0.0.0.0/0

针对全部协议,允许外部所有IP访问安全组内实例的所有端口,即任意流量可流入安全组内实例。

开放全部端口即允许任意流量出入安全组内的实例,此操作存在一定安全风险,请您谨慎选择。

全部 (IPv6)

::/0

全部 (IPv4)

当前安全组

针对全部协议,允许安全组内实例通过内网网络相互通信。

全部 (IPv6)

出方向规则

全部 (IPv4)

0.0.0.0/0

针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

全部 (IPv6)

::/0

自定义

入方向规则

全部 (IPv4)

当前安全组

针对全部协议,允许安全组内实例通过内网网络相互通信。

该预设规则的入方向未放通任何端口,即外部任意流量均无法流入安全组内实例。请您根据业务需求自行添加安全组规则。

全部 (IPv6)

出方向规则

全部 (IPv4)

0.0.0.0/0

针对全部协议,允许所有流量从安全组内实例流出,用于访问外部。

全部 (IPv6)

::/0

操作步骤

  1. 登录管理控制台,进入弹性云服务器的安全组列表页面。
  2. 在安全组列表右上方,单击“创建安全组”。

    进入“创建安全组”页面。

  3. 根据界面提示,配置安全组基本信息。
    图1 配置基本信息
    表2 基本信息参数说明

    参数

    参数说明

    取值样例

    区域

    必选参数。

    不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。

    安全组和实例必须位于同一个区域内,才可以将实例添加到安全组内。

    华东-上海一

    名称

    必选参数。

    安全组的名称。要求如下:
    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
    说明:

    安全组名称创建后可以修改,建议不要重名。

    sg-AB

    企业项目

    必选参数。

    创建安全组时,可以将安全组加入已启用的企业项目。

    企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。

    关于创建和管理企业项目的详情,请参见《企业管理用户指南》

    default

    标签

    可选参数。

    您可以在创建安全组的时候为安全组绑定标签,标签用于标识安全组资源,可通过标签实现对安全组资源的分类和搜索。

    关于标签更详细的说明,请参见标签概述

    “标签键”:test

    “标签值”:01

    描述

    可选参数。

    安全组的描述信息。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  4. 根据界面提示,配置安全组规则。
    1. 选择预设规则
      图2 配置规则
      表3 配置规则参数说明

      参数

      参数说明

      取值样例

      预设规则

      必选参数。

      支持三种预设规则,预先配置了不同的入方向和出方向规则,方便您快速完成安全组的创建。

      • 通用Web服务器:默认配置放通22、3389、80、443端口和ICMP协议。
      • 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。
      • 自定义:未放通任何端口,需要用户自定义安全组规则。

      安全组预设规则的详细说明和适用场景,具体请参见表1

      通用Web服务器

    2. 修改安全组规则
      如果预设规则无法满足业务需要,您可以新增安全组规则或对预设规则进行删除、修改等操作。
      • 入方向规则的参数说明请参见表4,出方向规则的参数说明请参见表5
      • 入方向规则中,源地址为当前安全组的规则不支持修改,如果您删除该规则,将会导致安全组内实例的内网网络无法互通,请谨慎操作。
      • 出方向规则中,目的地址为0.0.0.0/0和::/0的规则不支持修改,如果您删除该规则,将会导致安全组内实例无法访问外部网络,请谨慎操作。
  5. 规则设置完成后,单击“立即创建”,完成创建。
  6. 进入弹性云服务器的安全组列表页面,单击安全组名称,查看安全组详细信息。

相关文档