安全组五元组规则介绍-阿里云开发者社区

开发者社区> 江枫日晚晴> 正文

安全组五元组规则介绍

简介: 四元组规则配置简单但不够灵活,无法满足某些场景的防火墙控制需求,五元组规则完全兼容四元组规则并提供更大的灵活性。
+关注继续查看

安全组四元组规则的局限

五元组是通信术语。通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。在云计算中通常用五元组来描述一个安全组规则。阿里云的安全组规则在设计之初做了简化,只支持四元组规则:

  (源IP,目的IP,目的端口,传输层协议)

而且在实际规则设置过程中,并不是四元组中的每个属性都是允许用户设置的,具体地:

  • 入规则,目的IP不允许设置,目的IP=规则所属安全组下所有IP
  • 出规则,源IP不允许设置,源IP=规则所属安全组下所有IP

这样的设计在多数场景的确简化了用户设置,但也有不够灵活的问题:

  • 入规则,无法限定源端口范围,所有源端口都放行
  • 入规则,无法限定目的IP,当前安全组下所有IP都放行
  • 出规则,无法限定源IP,当前安全组下所有IP都放行
  • 出规则,无法限定源端口范围,所有源端口都放行

如果用户想精确控制源IP,源端口,目的IP,目的端口以及传输层协议,那就需要使用下面介绍的五元组规则。

五元组规则带来更大灵活性

五元组规则的定义:

  (源IP,源端口,目的IP,目的端口,传输层协议)

五元组出规则举例:

源IP:        172.16.2.0/32
源端口:      22
目的IP:      10.12.9.70/32
目的端口:    不限制
传输层协议:  TCP
授权策略:    Drop

这条出规则禁止172.16.2.0/32通过22端口对10.12.9.70/32发起TCP访问。

已知需要五元组的典型场景

  • 某些平台类网络产品会接入第三方厂商的解决方案为用户提供网络服务,为了防范这些产品对用户ECS发起非法访问就需要5元组规则精确控制出、入流量
  • 一个默认组内不通安全组,如果你想精确控制组内若干ECS之间可以互相访问,则需要在安全组内设置5元组规则

使用OpenAPI设置五元组规则需要注意的几点

  • 在授权、解除授权操作时,参数:SecurityGroupId,SourceGroupId,SourceCidrIp,SourcePortRange,DestGroupId,DestCidrIp,PortRange之间有何约束关系,可能是刚开始容易造成混乱的问题,现说明如下:

入规则:

参数 含义&约束关系
SecurityGroupId 当前入规则所属的安全组ID,也是目的安全组ID
DestCidrIp 目的IP范围,可选参数,如果指定DestCidrIp,则可以更精细地控制入规则生效的目的IP范围;如果不指定则入规则生效的IP范围=SecurityGroupId这个安全组下的所有IP
PortRange 目的端口范围,必选参数
DestGroupId 不允许输入。因为入规则的目的安全组ID一定是SecurityGroupId
SourceGroupId 入规则的源安全组ID,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先
SourceCidrIp 入规则的源IP范围,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先
SourcePortRange 源端口范围,可选参数,不填则不限制源端口

出规则:

参数 含义&约束关系
SecurityGroupId 当前出规则所属的安全组ID,也是源安全组ID
DestCidrIp 出规则目的IP,DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先
PortRange 目的端口范围,必选参数
DestGroupId 出规则的目的安全组ID。DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先
SourceGroupId 不允许输入,因为出规则的源安全组ID一定是SecurityGroupId
SourceCidrIp 出规则的源IP范围,可选参数,如果指定SourceCidrIp则会更精细地限定出规则生效的源IP;如果不指定,则生效的源IP=SecurityGroupId这个安全组下的所有IP
SourcePortRange 源端口范围,可选参数,不填则不限制源端口
  • 安全组的OpenAPI是完全向前兼容的,基于最新的OpenAPI,你既可以授权、解除授权满足五元组的规则,也可以继续授权、解除授权只满足四元组的规则。相关OpenAPI的帮助文档链接:
    AuthorizeSecurityGroup

AuthorizeSecurityGroupEgress
RevokeSecurityGroup
RevokeSecurityGroupEgress

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10077 0
MYSQL的安全模式:sql_safe_updates介绍
在mysql中,如果在update和delete没有加上where条件,数据将会全部修改。不只是初识mysql的开发者会遇到这个问题,工作有一定经验的工程师难免也会忘记写入where条件。为了避免失误造成的数据全部修改和删除,可开启mysql的安全模式。
3844 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10883 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13884 0
JavaScript轻应用UI介绍
本文档在此基础上介绍下轻应用UI是如何开发的。与前者相比,从应用代码的文件结构看,需要增加页面文件,并在全局配置中增加页面路径相关的信息即可。
84 0
3
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载