当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,尤其是安全组,因为通过活动购买云服务器,是需要我们在购买之后再根据需求设置安全相关规则的,例如21端口为FTP服务、22端口为SSH端口、80端口用于HTTP服务提供访问功能。很多新手用户由于是初次使用阿里云服务器,因此并不知道设置安全组的一些操作流程,下面给大家介绍下安全组设置的具体操作流程。
一、安全组相关信息介绍
安全组规则是您自定义的访问控制规则,用于控制安全组内ECS实例的出入站流量,可以实现对云资源的访问控制和网络安全防护。安全组在ECS的使用中扮演了云上虚拟防火墙的角色,通过管理安全组和规则,可提供精细化的网络安全隔离与访问控制。下图示例通过配置两条安全组规则,实现仅允许授权IP远程管理实例,并阻止实例访问公网风险站点的场景。
- 入方向规则:允许特定IP(121.XX.XX.XX)通过SSH(22端口)访问实例。
- 出方向规则:拒绝实例访问某个已知的风险IP(XX.XX.XX.XX)。
使用安全组规则时,您应了解以下信息:
在VPC网络下,安全组规则分为入方向和出方向,规则同时控制公网和内网流量。在经典网络下,安全组规则分为公网入方向、公网出方向、(内网)入方向、(内网)出方向,公网入方向和公网出方向规则控制公网流量,入方向和出方向规则控制内网流量。
安全组是有状态的应用。一个有状态的会话连接中,会话的最长保持时长是910秒。允许访问并建立会话后,安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
修改安全组规则,或通过修改网卡关联的安全组,从而改变作用于网卡的安全组规则时,如果修改前和修改后的安全组规则行为未改变,不会影响已经建立的会话。若您依赖普通安全组的组内互通进行流量放行,在修改网卡关联的安全组时,如果不希望影响已经建立的会话,您需要先将ECS实例或网卡加入新的安全组,延迟10s左右,再离开旧的安全组。
TCP 25端口是默认的邮箱服务端口。基于安全考虑,ECS实例的TCP 25端口默认受限,建议您使用465端口发送邮件。
在不添加任何安全组规则时,安全组对流量有默认访问控制规则,这些默认访问控制规则不可见。默认访问控制规则,与您自定义的规则共同作用,控制ECS实例的流量。普通安全组和企业级安全组的默认访问控制规则不同:普通安全组入方向默认仅放行同安全组内其他实例到来的内网流量,出方向放行所有流量;企业级安全组默认出入方向流量均不放行。
普通安全组的组内连通策略,会影响该普通安全组对流量的默认访问控制规则。组内连通策略默认是组内互通,即入方向放行同安全组内其他实例到来的内网流量,出方向放行通往同安全组内其他实例的内网流量。在不需要普通安全组内实例内网互相访问的情况下,建议您遵循最小授权原则,将普通安全组的组内连通策略设置为组内隔离。
在决定ECS实例的流量能否通过时,会将ECS实例多个安全组的规则汇总在一起,按照固定的策略排序,并与安全组对流量的默认访问控制规则一起,作用于ECS实例,决定允许或拒绝流量通过。
安全组的规则数量存在上限。
- 单张弹性网卡最多可关联10个安全组。
- 与该网卡关联的所有安全组,其规则总数(含入方向与出方向)上限为1000条。
为避免超出限制并降低管理复杂度,建议保持单个安全组内规则的简洁。可使用安全组规则的健康检查功能,定期检测并清理冗余规则。
二、安全组规则的构成
单条自定义的安全组规则,由以下信息构成:
- 协议类型:匹配流量的协议类型。支持两类赋值:
- 协议名:TCP、UDP、ICMP(IPv4)、ICMP(IPv6)和GRE。
- 符合IANA规范的IP协议号的取值:0到255的整数,其中上述协议名对应的协议号与指定为协议名等效,即6(TCP)、17(UDP)、1(ICMP(IPv4))、58(ICMP(IPv6))和47(GRE)。
设置协议号支持的地域
| 地域名称 | 地域ID |
|---|---|
| 华北5(呼和浩特) | cn-huhehaote |
| 华北1(青岛) | cn-qingdao |
| 菲律宾(马尼拉) | ap-southeast-6 |
| 英国(伦敦) | eu-west-1 |
| 马来西亚(吉隆坡) | ap-southeast-3 |
| 美国(硅谷) | us-west-1 |
| 新加坡 | ap-southeast-1 |
- 端口范围:匹配流量的目的端口,支持单个端口范围、端口列表两种类型。具体如下:
- 单个端口范围:对于TCP和UDP协议,都可以指定一个斜线(/)分隔的端口范围,比如8000/9000,或22/22。对其他协议,该字段取值-1/-1。
- 端口列表:端口列表是一些端口的集合。端口范围为端口列表时,该条规则占用的安全组规则配额数量,为端口列表最大条目数,与端口列表中已有条目数量无关。使用端口列表时,安全组规则的协议类型必须是TCP或UDP。
- 授权对象:入方向规则中匹配流量的源地址,出方向规则中匹配流量的目的地址。支持CIDR地址块(或IP地址)、安全组、前缀列表三种类型。具体如下:
- IPv4地址:例如192.168.0.100。
- IPv4 CIDR地址块:例如192.168.0.0/24。
- IPv6地址:例如2408:4321:180:1701:94c7:bc38:3bfa:9。接口将会对IPv6地址进行标准化处理,比如,2408:180:0000::1将会被处理为2408:180::1。
- IPv6 CIDR地址块:例如2408:4321:180:1701::/64。接口将会对IPv6 CIDR地址块进行标准化处理,比如,2408:4321:180:0000::/64将会被处理为2408:4321:180::/64。
- 安全组ID:支持授权当前账号下或其他账号下的目标安全组,使用目标安全组中ECS实例的内网IP来进行流量匹配,实现内网访问的控制。例如,安全组A中有ECS实例b,当您授权安全组A访问时,您实际授权的是安全组A中ECS实例b的内网IP的访问权限。
- 前缀列表ID:前缀列表是一些网络前缀(即CIDR地址块)的集合。授权对象为前缀列表时,该条规则占用的安全组规则配额数量,为前缀列表最大条目数,与前缀列表中已有条目数量无关。
- 授权策略:允许或拒绝。在基于流量的协议、端口和授权对象匹配到某条安全组规则后,会对流量执行授权策略指定的动作,来允许或拒绝流量放行。
- 优先级:取值范围为1~100,数值越小,代表优先级越高。安全组规则的排序,首先考虑优先级,其次考虑授权策略,更多信息,请参见安全组自定义规则匹配策略。
- 规则方向:分为入方向和出方向,入方向规则控制入站流量,出方向规则控制出站流量。
- 作用的网卡类型:仅在经典网络下进行区分,可以指定规则作用于经典网络ECS实例的公网或内网网卡,作用于公网网卡的安全组规则控制公网访问,作用于内网网卡的安全组规则控制内网访问。在专有网络VPC下的安全组规则,同时控制公网和内网访问。
- 规则ID:在您添加安全组规则时,系统会为每条安全组规则生成唯一的ID。若您需要修改或删除已有安全组规则,您可以通过安全组规则ID,来指定要进行操作的安全组规则。
安全组规则基于协议类型、端口范围、授权对象来匹配流量,并基于授权策略来允许或拒绝放通流量。对于一般的入方向规则,授权对象匹配流量的来源地址,端口范围匹配流量的目的端口。对于一般的出方向规则,授权对象匹配流量的目的地址,端口范围匹配流量的目的端口。当然,如果您有更精确的访问控制需求,可以使用五元组规则。
三、安全组自定义规则匹配策略
ECS实例可以关联一个或多个安全组,在决定ECS实例的流量(以入站流量为例)能否通过时,规则匹配策略如下:
将多个安全组的入方向规则汇总,并按照以下优先级进行排序。
- 首先,考虑规则的优先级,优先级数值越小的规则优先级越高,高优先级的规则总是排在低优先级的规则之前。
- 其次,考虑授权策略,遵循拒绝(Drop)规则优先原则,授权策略为拒绝(Drop)的规则总是排在授权策略为允许(Accept)的规则之前。
流量按照协议类型、端口范围、授权对象,依次匹配每条自定义规则,如果成功匹配某条规则,将会对流量执行规则授权策略指定的动作,允许或拒绝流量通行。
除了自定义的安全组规则,安全组还有一些不可见的默认访问控制规则,会影响流量的允许或拒绝。
三、安全组特殊规则
为确保ECS实例稳定运行,以及用户对部分云上功能的正常使用,安全组会默认放行某些特殊情况下的特定网络流量,并且您无法通过配置安全组规则来阻止这类默认的允许行为。包括以下特殊场景:
特定条件下的网络连通性检测:
当底层组件发生变更时,阿里云可能会对ECS实例进行按需Ping探测以验证网络连通性。这类探测是非常规性的,为了确保探测的准确性,安全组会识别这种探测流量并默认放行。ICMP(PMTUD差错报文):
如果用户的ECS实例发送的数据包超出了路径MTU(最大传输单元)且设置了DF(禁止分片)标志,ECS实例将会收到一个携带正确路径MTU的ICMP差错报文。该报文会指示ECS减小数据包大小,安全组会识别这种特殊的网络流量并默认放行。SLB流量:
网络流量通过服务器负载均衡(SLB),如ALB、NLB或CLB转发到后端ECS时,安全组会识别这种流量并默认放行。在这种情况下,将由SLB上的安全组或访问控制列表(ACL)来控制ECS实例的出入站流量。MetaServer访问:
MetaServer提供了ECS实例必需的元数据服务,是确保实例正常运行的基础服务。安全组默认允许出站流量访问MetaServer(IP地址为100.100.100.200),您无需配置额外规则。
四、安全组五元组规则
默认在控制台配置安全组规则的情况下,存在如下方面的限制:
- 安全组入方向规则:源IP地址、目的端口、协议类型。
- 安全组出方向规则:目的IP地址、目的端口、协议类型。
当您需要更精确地控制ECS实例的出站流量和入站流量时,可以使用API配置安全组五元组规则,五元组规则与原有的安全组规则完全兼容。安全组出入方向五元组规则需要配置内容为:源IP地址、源端口、目的IP地址、目的端口以及协议类型。
在您配置入方向规则的目的IP地址,或是出方向规则的源IP地址,来控制安全组内指定ECS实例的流量时,您需要指定ECS实例的私网IP地址,而不是公网IP地址(包含固定公网IP和EIP)。 因为固定公网IP和EIP都是NAT IP,它们实际位于阿里云的公网网关上,而安全组作用于实例的弹性网卡,其控制的是NAT IP地址对应的私网IP的流量。
例如,以下五元组出方向规则的代码示例表示172.16.1.0/32通过22端口对10.0.0.1/32发起TCP访问。
源IP地址:172.16.1.0/32
源端口:22
目的IP地址:10.0.0.1/32
目的端口:不限制
协议类型:TCP
五、为云服务器实例配置安全组
1. 前往购买实例:
通过阿里云服务器产品详情页或者当下的活动选购云服务器,在阿里云2026年的活动中,参与活动的云服务器主要有经济型e实例2核2G3M带宽40G ESSD Entry云盘99元1年;通用算力型u1实例2核4G5M带宽80G ESSD云盘企业专享199元1年,轻量云服务器2核2G200M峰值带宽38元一年、2核4G200M峰值带宽9.9元1个月和199元一年,以及通用算力型u2a实例2.5折起,通用算力型u2i实例3折,九代c9i、g9i、r9i等实例1年付6.4折起等其他实例规格的云服务器。更多云产品配置和实时价格可通过阿里云的活动中心:https://t.aliyun.com/U/3vGTeD 查询当前参与活动的云服务器和其他云产品配置的价格信息以及优惠券等信息,如下图所示:
2. 进入安全组页面
- 登录ECS管理控制台。
- 在左侧导航栏,选择网络与安全 > 安全组。
- 在顶部菜单栏左上角处,选择地域。
3. 找到目标安全组,在操作列中,单击配置规则
在安全组规则页面的访问规则区域,根据安全组不同的网络类型选择安全组规则的规则方向。
| 网络类型 | 选择规则方向 |
|---|---|
| 专有网络VPC | 1.入方向:同时控制公网和内网入方向 2.出方向:同时控制公网和内网出方向 |
| 经典网络 | 1.公网入方向 2.公网出方向 3.入方向:内网入方向 4.出方向:内网出方向 |
4. 添加安全组规则
方式一:快速添加安全组规则
适用于快速设置常用的TCP协议规则,您单击快速添加后,只需要设置授权策略、授权对象,并选中一个或多个端口便能完成。
方式二:手动添加安全组规则
支持自定义配置授权策略、优先级、协议类型等信息。具体操作,如下所示。
- 单击手动添加。
- 在规则列表中,配置新增的安全组规则。
在规则的操作列中,单击保存。
下图示例演示了如何在安全组添加安全组规则。
执行结果
添加完成后,在安全组规则列表中查看已添加的安全组规则。安全组规则的变更会自动应用到安全组内的ECS实例上,建议您立即测试是否生效。
常用端口
典型应用的默认端口如下表所示。
| 端口 | 服务 | 说明 |
|---|---|---|
| 21 | FTP | FTP服务所开放的端口,用于上传、下载文件。 |
| 22 | SSH | SSH端口,用于通过命令行模式或远程连接软件(例如PuTTY、Xshell、SecureCRT等)连接Linux实例。 |
| 23 | Telnet | Telnet端口,用于Telnet远程登录ECS实例。 |
| 25 | SMTP | SMTP服务所开放的端口,用于发送邮件。基于安全考虑,ECS实例25端口默认受限,如需解封,请登录云盾安全管控平台管理控制台申请解封。 |
| 53 | DNS | 用于域名解析服务器(Domain Name Server,简称DNS)协议。 如果在安全组出方向实行白名单方式,需要放行53端口(UDP协议)才能实现域名解析。 |
| 80 | HTTP | 用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。 |
| 110 | POP3 | 用于POP3协议,POP3是电子邮件收发的协议。 |
| 143 | IMAP | 用于IMAP(Internet Message Access Protocol)协议,IMAP是用于电子邮件的接收的协议。 |
| 443 | HTTPS | 用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。 |
| 1433 | SQL Server | SQL Server的TCP端口,用于供SQL Server对外提供服务。 |
| 1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。 |
| 1521 | Oracle | Oracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。 |
| 3306 | MySQL | MySQL数据库对外提供服务的端口。 |
| 3389 | Windows Server Remote Desktop Services |
Windows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。 |
| 8080 | 代理端口 | 同80端口一样,8080端口常用于WWW代理服务,实现网页浏览。如果您使用了8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080。安装Apache Tomcat服务后,默认服务端口为8080。 |
| 137、138、139 | NetBIOS协议 | 137、138为UDP端口,通过网上邻居传输文件时使用的端口。 139通过这个端口进入的连接试图获得NetBIOS/SMB服务。 NetBIOS协议常被用于Windows文件、打印机共享和Samba。 |
六、常见问题
1、实例ping不通怎么办?
无法ping通ECS实例,通常是因为安全组中入方向ICMP协议(ping 命令所使用的协议)的默认规则被移除。可以使用安全组规则诊断工具快速定位问题。
- 前往ECS控制台-实例找到目标实例并记录实例ID。
- 单击 一键诊断 进入自助问题排查页面,并切换至目标地域。
- 选择安全组规则诊断,单击发起诊断。
- 选择记录的实例 ID及对应的网卡。单击开始检测。
多数情况下,一台实例只有一张网卡。
- 查看检测结果。如果结果显示ICMP协议未放行,单击开通端口即可快速开通。
除ICMP外,诊断工具还会检测以下常用端口是否放行:80、443、22、3389和8080。
- 如果检测后发现还是ping不通可以根据无法ping通ECS实例公网IP的排查方法更进一步排查。
2、实例连不上、服务访问不通怎么办?
服务无法访问,通常是由于安全组未放行端口。可以使用安全组规则诊断工具快速定位问题。
- 前往ECS控制台-实例找到目标实例并记录实例ID。
- 单击 一键诊断 进入自助问题排查页面,并切换至目标地域。
- 选择安全组规则诊断,单击发起诊断。
- 选择记录的实例 ID及对应的弹性网卡,并根据服务端口,选择诊断方式后,单击开始检测,查看诊断结果。
- 一键检测:适用于
80、443、22、3389或8080端口。 - 自定义检测:适用于所有其他端口。需要填写以下信息:
- 源地址:输入本地或客户端的公网IP地址。
- 目的端口:输入服务使用的端口号。
- 协议类型:选择端口对应的协议。
- 一键检测:适用于
3、安全组与网络ACL(NACL)有何区别?
| 特性 | 安全组 | 网络ACL |
|---|---|---|
| 作用层级 | 弹性网卡 | 子网级 |
| 状态 | 有状态 | 无状态 |
| 用途 | 实例的精细化防火墙 | 子网的边界访问控制 |
4、实例主网卡的安全组如何更换/添加?
安全组实际作用在ECS实例的弹性网卡上。ECS实例详情页面上安全组页签中配置的安全组,即为实例主网卡的安全组。
5、安全组规则设置为全部拒绝后,如何允许阿里云内部服务访问?**
添加入方向安全组规则,允许来自100.64.0.0/10地址段的访问。阿里云使用该保留地址段对实例进行健康检查和可用性监控。
小结:安全组作为云上虚拟防火墙,通过规则控制ECS实例流量。本文详述了安全组规则构成(协议、端口、授权对象等)、匹配策略及特殊规则(如ICMP、SLB流量默认放行)。配置时需注意经典网络与VPC的规则方向差异,支持快速添加或手动配置规则。通过安全组诊断工具可快速定位ping不通、服务访问失败等问题,并对比了安全组与网络ACL的层级与状态差异,助力用户精准实现网络安全防护与访问控制。购买之前可先根据自己账号实名认证情况领取阿里云的各种优惠券,目前阿里云针对学生用户有无门槛优惠券,企业用户则有出海补贴、迁云补贴等优惠券,个人用户也有新客户专享满减券等,详情可通过阿里云权益中心了解:https://www.aliyun.com/benefit,先领券再购买,可在活动价格基础上额外再获得一定金额的减免。
