安全组四元组规则的局限

五元组是通信术语。通常是指源IP地址，源端口，目的IP地址，目的端口和传输层协议。在云计算中通常用五元组来描述一个安全组规则。阿里云的安全组规则在设计之初做了简化，只支持四元组规则：

  (源IP,目的IP,目的端口,传输层协议)

而且在实际规则设置过程中，并不是四元组中的每个属性都是允许用户设置的，具体地：

• 入规则，目的IP不允许设置，目的IP=规则所属安全组下所有IP
• 出规则，源IP不允许设置，源IP=规则所属安全组下所有IP

这样的设计在多数场景的确简化了用户设置，但也有不够灵活的问题：

• 入规则，无法限定源端口范围，所有源端口都放行
• 入规则，无法限定目的IP，当前安全组下所有IP都放行
• 出规则，无法限定源IP，当前安全组下所有IP都放行
• 出规则，无法限定源端口范围，所有源端口都放行

如果用户想精确控制源IP,源端口，目的IP,目的端口以及传输层协议，那就需要使用下面介绍的五元组规则。

五元组规则带来更大灵活性

五元组规则的定义：

  (源IP，源端口，目的IP，目的端口,传输层协议)

五元组出规则举例：

源IP：        172.16.2.0/32
源端口：      22
目的IP：      10.12.9.70/32
目的端口：    不限制
传输层协议：  TCP
授权策略：    Drop

这条出规则禁止172.16.2.0/32通过22端口对10.12.9.70/32发起TCP访问。

已知需要五元组的典型场景

• 某些平台类网络产品会接入第三方厂商的解决方案为用户提供网络服务，为了防范这些产品对用户ECS发起非法访问就需要5元组规则精确控制出、入流量
• 一个默认组内不通安全组，如果你想精确控制组内若干ECS之间可以互相访问，则需要在安全组内设置5元组规则

使用OpenAPI设置五元组规则需要注意的几点

• 在授权、解除授权操作时，参数：SecurityGroupId，SourceGroupId，SourceCidrIp，SourcePortRange，DestGroupId，DestCidrIp，PortRange之间有何约束关系，可能是刚开始容易造成混乱的问题，现说明如下：

入规则:

出规则:

• 安全组的OpenAPI是完全向前兼容的，基于最新的OpenAPI，你既可以授权、解除授权满足五元组的规则，也可以继续授权、解除授权只满足四元组的规则。相关OpenAPI的帮助文档链接：
  AuthorizeSecurityGroup

AuthorizeSecurityGroupEgress
RevokeSecurityGroup
RevokeSecurityGroupEgress