为安全区域创建安全组策略
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的产品或服务提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,为安全区域规划产品或服务后,安全区域下的产品或服务受到这些访问规则的保护。
本章节介绍如何为安全区域创建安全组策略。
前提条件
已获取基础运维角色权限,权限申请操作请参见申请权限。
为安全区域创建安全组策略
- 进入运维中心工作台。
- 在顶部导航栏单击“专项角色”,在下拉列表中选择“基础运维角色”。
- 单击,选择 。
- 选择左侧导航栏的 。
- 在安全区域列表中,单击,展开需创建安全组策略的安全区域。
- 单击“安全组策略信息”,切换至“安全组策略信息”页签。
- 单击“创建”。
- 配置安全组策略参数,配置参数如表1所示,配置完成后,单击“确定”。
表1 安全组策略域参数说明 参数名称
参数说明
优先级
安全组规则优先级。
优先级可选范围为1~100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。
策略
支持的安全组策略如下:
- 入方向策略
- 如果“策略”设置为“允许”,表示允许对端IP网段访问该安全区域的指定端口。
- 如果“策略”设置为“拒绝”,表示拒绝对端IP网段访问该安全区域的指定端口。
- 出方向策略
- 如果“策略”设置为“允许”,表示允许安全区域的指定端口访问对端IP网段。
- 如果“策略”设置为“拒绝”,表示拒绝安全区域的指定端口访问对端IP网段。
优先级相同的情况下,拒绝策略优先于允许策略。
方向
选择设置的安全组策略是入方向策略还是出方向策略。
协议
安全组策略中用来匹配流量的网络协议类型。
目前支持“TCP”、“UDP”、“ICMP”协议和“全部”。
端口
安全组策略中用来匹配流量的目的端口,取值范围为:1~65535。
端口填写支持如下格式:- 单端口(例如80)
- 连续端口(例如1-30)
- 不连续端口(例如22,3389,80)
不支持:
连续端口与不连续端口并存(例如1-30,22,80)
对端IP网段
输入单个IP地址、IP网段或者所有IP地址(0.0.0.0/0匹配所有IP地址)。
网络类型
对端IP网段支持的网络类型,当前仅支持IPv4类型。
描述
输入安全组策略描述信息。
- 入方向策略
更多操作
安全组策略创建后,您还可以对安全组策略进行以下操作。
操作名称 |
操作步骤 |
---|---|
编辑安全组策略 |
在安全组策略列表,单击待编辑安全组策略所在行“操作”列的“编辑”。 |
删除安全组策略 |
在安全组策略列表,单击待删除安全组策略所在行“操作”列的“删除”。 |
批量删除安全组策略 |
在安全组策略列表,勾选待删除安全组策略,然后单击列表左上方的“删除”。 |