文档首页 > > 用户指南> 安全性> 安全组> 安全组简介

安全组简介

分享
更新时间: 2020/07/24 GMT+08:00

安全组

安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。

系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用,详情请参见默认安全组和规则

您也可以根据需要创建自定义的安全组,请参见创建安全组

安全组基本信息

  • 服务器及扩展网卡等实例可以关联一个或多个安全组。

    您可以更改与服务器、扩展网卡等实例关联的安全组。默认情况下创建实例时,除非您指定了其他安全组,否则实例与VPC的默认安全组关联。

  • 如果您创建了放通同安全组的安全组规则,则允许安全组内实例互相访问。

    对于IPv4类型的地址,安全组只支持加入32位前缀的地址,对于IPv6类型的地址,安全组只支持加入128位前缀的地址。具体如何更改实例安全组,请参见2.1.12 实例加入/移出安全组

  • 安全组是有状态的。如果您从实例发送一个请求,则无论入站安全组规则如何,都将允许该请求的响应流量流入。如果是为响应已允许的入站流量,则该响应可以出站,此时会忽略出站规则。

    安全组使用连接跟踪来跟踪有关进出实例的流量信息,将基于流量的连接状态应用规则以确定允许还是拒绝流量。在安全组规则增加、删除、更新时,或者该安全组下实例创建、删除时,会自动清除该安全组下所有实例入方向的连接跟踪,此时,流入或流出实例的流量会被当做新的连接,需要重新匹配相应入方向或出方向的安全组规则,以保证规则能立即生效,从而保障流入实例的流量的安全。

    除此以外,流入或流出实例的流量如果长时间没有报文,超过连接跟踪老化时间以后也会被当做新的连接需要重新匹配出、入方向规则。不同协议的连接跟踪老化时间不同,已建立连接状态的TCP协议连接老化时间是600s,ICMP协议老化时间是30s。对于其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了一个或多个包,另一个方向没有收到包时,老化时间是30s。对于除 TCP、UDP 或 ICMP 以外的协议,仅跟踪 IP 地址和协议编号。

安全组需在网络互通的情况下生效。若实例属于不同VPC,但同属于一个安全组,则此安全组不生效,您可以使用对等连接等产品建立VPC连接互通。VPC连接请参见应用场景

安全组规则

安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制,当云服务器加入该安全组后,即受到这些访问规则的保护。

每个安全组都自带默认安全组规则,详情请参见表1。您也可以自定义添加安全组规则,请参见添加安全组规则

安全组的限制

  • 默认情况下,一个用户可以创建100个安全组。
  • 默认情况下,一个安全组最多只允许拥有50条安全组规则。
  • 默认情况下,一个云服务器或辅助网卡最多只能被添加到5个安全组中。
  • 安全组添加实例时,一次最多可添加20个实例。
  • 一个安全组最多允许关联1000个实例。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问