文档首页 > > 常见问题> 安全类> 为什么配置的安全组规则不生效?

为什么配置的安全组规则不生效?

分享
更新时间:2020/11/03 GMT+08:00

问题描述

为弹性云服务器配置的安全组规则未生效。

排查思路

以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。

如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。

图1 排查思路
表1 排查思路

可能原因

处理措施

安全组配置错误

解决方法请参考安全组配置错误

网络ACL规则与安全组规则冲突

解决方法请参考网络ACL规则与安全组规则冲突

云服务器防火墙限制

解决方法请参考云服务器防火墙限制

安全组配置错误

当安全组规则配置有误时,无法按照规划的安全组规则对云服务器进行保护。您可以按照以下几点原因对安全组配置进行检查:

  1. 安全组规则方向设置错误,例如将需要在入方向添加的规则添加到出方向规则下。
  2. 安全组规则协议类型未选择正确。
  3. 对应端口为高危端口,在部分地区部分运营商无法访问,建议您修改敏感端口为其它非高危端口来承载业务。常用端口说明及高危端口请参考弹性云服务器常用端口
  4. 对应端口未开通。您可以根据以下步骤检查对应端口在服务器中是否被正常监听。

    假设您在弹性云服务器上部署了网站,希望用户能通过TCP(80端口)访问到您的网站,您添加了一条入方向规则,如表2所示。

    表2 安全组规则

    方向

    协议/应用

    端口

    源地址

    入方向

    TCP

    80

    0.0.0.0/0

    Linux弹性云服务器

    Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

    1. 登录弹性云服务器。
    2. 运行如下命令查看TCP 80端口是否被监听。
      netstat -an | grep 80

      如果返回结果如图2所示,说明TCP 80端口已开通。

      图2 Linux TCP 80端口验证结果
    3. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

      如果访问成功,说明安全组规则已经生效。

    Windows弹性云服务器

    Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

    1. 登录弹性云服务器。
    2. 选择“开始 > 附件 > 命令提示符”。
    3. 运行如下命令查看TCP 80端口是否被监听。
      netstat -an | findstr 80

      如果返回结果如图3所示,说明TCP 80端口已开通。

      图3 Windows TCP 80端口验证结果
    4. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

      如果访问成功,说明安全组规则已经生效。

您可以参考添加安全组规则修改安全组规则选择正确的方向或协议类型、放通需要开放的端口。

网络ACL规则与安全组规则冲突

安全组对弹性云服务器进行防护,网络ACL对子网进行防护。

例如当您设置了安全组入方向规则放通80端口,同时设置的网络ACL规则包含拒绝80端口的规则,那么此安全组规则不生效。

您可以参考添加网络ACL规则修改网络ACL规则放通对应协议端口。

云服务器防火墙限制

查看云服务器的防火墙是否限制了需要开放的端口。

您可以参考Windows云服务器怎样关闭防火墙、添加例外端口?Linux云服务器怎样关闭防火墙、添加例外端口?开放例外端口。

提交工单

如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。

分享:

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问