配置安全组规则

操作场景

安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。

• 入方向规则：放通入方向网络流量，指从外部访问安全组规则下的云服务器。
• 出方向规则：放通出方向网络流量。指安全组规则下的云服务器访问安全组外的实例。

默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 单击“”，选择“计算 > 弹性云服务器”。
4. 在待配置安全组规则的弹性云服务器的“操作”列，单击“网络/安全组 > 安全组规则配置”。
5. 在“安全组规则配置”页面的安全组列表中，单击待配置安全组规则的安全组“操作”列的“配置规则”。
   图1 配置规则
   
6. 根据界面提示，设置入方向规则参数。

   单击“+”按钮，可以依次增加多条入方向规则。

   图2 添加安全组入方向规则
   

   表1 入方向规则参数说明

   参数	说明	取值样例
   优先级	安全组规则优先级。 优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。	1
   策略	安全组规则策略，支持的策略如下： 如果“策略”设置为允许，表示允许源地址访问安全组内云服务器的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云服务器的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略，更多信息请参见流量匹配安全组规则的顺序。	允许
   类型	源地址支持的IP地址类型，如下： IPv4 IPv6	IPv4
   协议端口	安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。	TCP
   	安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在入方向规则中，表示外部访问安全组内实例的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如22-30 多个端口：例如22,23-30，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或1-65535	22或22-30或20,22-30
   源地址	在入方向规则中，用来匹配外部请求的源地址，支持以下格式： IP地址：表示源地址为某个固定的IP地址。当源地址选择IP地址时，您可以在一个IP地址框内同时输入多个IP地址，一个IP地址对应一条安全组规则。 单个IP地址：IP地址/掩码。 单个IPv4地址示例为192.168.10.10/32。 单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。 IPv4网段示例为192.168.52.0/24。 IPv6网段示例为2407:c080:802:469::/64。 所有IP地址： 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 安全组：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。	IP地址：0.0.0.0/0
   描述	安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-

7. 根据界面提示，设置出方向规则参数。

   单击“+”按钮，可以依次增加多条出方向规则。

   图3 添加安全组出方向规则
   

   表2 出方向规则参数说明

   参数	说明	取值样例
   优先级	安全组规则优先级。 优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。	1
   策略	安全组规则策略，支持的策略如下： 如果“策略”设置为允许，表示允许安全组内的云服务器访问目的地址的指定端口。 如果“策略”设置为拒绝，表示拒绝安全组内的云服务器访问目的地址的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略，更多信息请参见流量匹配安全组规则的顺序。	允许
   类型	目的地址支持的IP地址类型，如下： IPv4 IPv6	IPv4
   协议端口	安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。	TCP
   	安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在出方向规则中，表示安全组内实例访问外部地址的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如22-30 多个端口：例如22,23-30，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或1-65535	22或22-30或20,22-30
   目的地址	在出方向规则中，用来匹配内部请求的目的地址。支持以下格式： IP地址：表示目的地址为某个固定的IP地址。当目的地址选择IP地址时，您可以在一个IP地址框内同时输入多个IP地址，一个IP地址对应一条安全组规则。 单个IP地址：IP地址/掩码。 单个IPv4地址示例为192.168.10.10/32。 单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。 IPv4网段示例为192.168.52.0/24。 IPv6网段示例为2407:c080:802:469::/64。 所有IP地址： 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 安全组：表示目的地址为另外一个安全组，您可以在下拉列表中，选择当前账号下，同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的出方向规则放通目的地址为安全组B的流量，则实例a访问实例b的内网请求被允许流出。 IP地址组：表示目的地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。	IP地址：0.0.0.0/0
   描述	安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-

8. 单击“确定”，完成安全组规则配置。

检查安全组规则是否生效

在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。