安全组在云端提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,它是重要的安全隔离手段。在创建 ECS 实例时,必须选择一个安全组。您还可以添加安全组规则,对该安全组下的所有 ECS 实例的出方向和入方向进行网络控制。
安全组有下面的限制:
每个账户最多可以建立50个安全组,每个安全组最多100个安全组规则
一个实例最多可以加入5个同种网络类型的安全组
同一个安全组之内的资源默认是网络通的,不同安全组之间的资源默认是网络不通
安全组应该是白名单的性质的,所以需要尽量开通最小的权限,默认拒绝所有的访问
单个安全组最大支持1000个实例
当您创建一个安全组的时候,默认规则均为出方向 accept all,入方向 deny all。安全组的出入规则,很多客户在使用的时候并没有按照自己的应用规范划分。使得自己的应用加大了收到攻击的风险。
基础普及:地址段 子网掩码
A类地址:0-127 /8 255.0.0.0
B类地址:128-191 /16 255.255.0.0
C类地址:192-223 /24 255.255.255.0
什么意思尼?
比如我们的内网地址是10.2.2.10 那么我们属于A类地址 /8的网段,但是我们有超网划分也就是(可变长子网掩码)网段划分的大,节省地址特别适合企业。比如我们要某一个IP地址可以访问,那么就往大了划分10.2.2.10/32 也就是子网掩码255.255.255.255 只有一个IP了。当然这里不懂也没关系,个人在划分的时候最多使用24或者32的掩码,企业可以根据机器数量来分配。
在划分上还有一个是CIDR(无类域间路由),要求是划分必须是8 16 24 32,不能为26 28这种超网类型的。
使用:
1.经典网络的网站访问
我们对安全组操作一般是继续使用系统创建的或者自行创建一个安全组
如果是新用户可以点击右下角的配置规则,我们在其中进行规则的添加
对于外网的操作我们看如下几个点即可
对外网规则的添加
或者这样快速添加
2.远程连接不上
我们记住Linux系统使用的SSH端口22
Windows系统远程连接使用的是3389端口
所以根据上面学的添加规则或者添加快速规则中的对应端口号即可。
可以看到我们是设置的入允许,因为是外网访问服务器实例所以入方向,如果我们的IP地址不固定就要设置0.0.0.0/0.
当然固定的就可以设置某IP访问,安全性更高了,比如200.1.1.10/32
3.某端口有漏洞如何关闭
设置授权策略为拒绝,并选择或者设置要拒绝的端口即可。
[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif]注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是
[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif] a.b.c.d/32
[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif],其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。