安全组规则是您自定义的访问控制规则,用于控制安全组内ECS实例的出入站流量,可以实现对云资源的访问控制和网络安全防护。
使用安全组规则时,您应了解以下信息:
在VPC网络下,安全组规则分为入方向和出方向,规则同时控制公网和内网流量。在经典网络下,安全组规则分为公网入方向、公网出方向、(内网)入方向、(内网)出方向,公网入方向和公网出方向规则控制公网流量,入方向和出方向规则控制内网流量。
安全组是有状态的应用。一个有状态的会话连接中,会话的最长保持时长是910秒。允许访问并建立会话后,安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
修改安全组规则,或通过修改网卡关联的安全组,从而改变作用于网卡的安全组规则时,如果修改前和修改后的安全组规则行为未改变,不会影响已经建立的会话。若您依赖普通安全组的组内互通进行流量放行,在修改网卡关联的安全组时,如果不希望影响已经建立的会话,您需要先将ECS实例或网卡加入新的安全组,延迟10s左右,再离开旧的安全组。
TCP 25端口是默认的邮箱服务端口。基于安全考虑,ECS实例的TCP 25端口默认受限,建议您使用465端口发送邮件。具体操作,请参见使用SSL加密465端口发送邮件。
在不添加任何安全组规则时,安全组对流量有默认访问控制规则,这些默认访问控制规则不可见。默认访问控制规则,与您自定义的规则共同作用,控制ECS实例的流量。普通安全组和企业级安全组的默认访问控制规则不同:普通安全组入方向默认仅放行同安全组内其他实例到来的内网流量,出方向放行所有流量;企业级安全组默认出入方向流量均不放行。更多信息,请参见普通安全组与企业级安全组。
普通安全组的组内连通策略,会影响该普通安全组对流量的默认访问控制规则。组内连通策略默认是组内互通,即入方向放行同安全组内其他实例到来的内网流量,出方向放行通往同安全组内其他实例的内网流量。在不需要普通安全组内实例内网互相访问的情况下,建议您遵循最小授权原则,将普通安全组的组内连通策略设置为组内隔离。更多信息,请参见修改普通安全组的组内连通策略。
在决定ECS实例的流量能否通过时,会将ECS实例多个安全组的规则汇总在一起,按照固定的策略排序,并与安全组对流量的默认访问控制规则一起,作用于ECS实例,决定允许或拒绝流量通过。更多信息,请参见安全组规则排序策略。
安全组规则的数量有上限,默认200条,可以调整安全组规则数与ECS实例可关联的安全组数量的档位,请参见安全组使用限制。您应尽量保持单个安全组内规则的简洁,以降低管理复杂度。使用安全组规则的健康检查,可以检测单个安全组中的冗余规则,请参见查看安全组是否存在冗余规则。
