安全组五元组规则介绍

2017-11-23 7933

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 四元组规则配置简单但不够灵活，无法满足某些场景的防火墙控制需求，五元组规则完全兼容四元组规则并提供更大的灵活性。

安全组四元组规则的局限

五元组是通信术语。通常是指源IP地址，源端口，目的IP地址，目的端口和传输层协议。在云计算中通常用五元组来描述一个安全组规则。阿里云的安全组规则在设计之初做了简化，只支持四元组规则：

  (源IP,目的IP,目的端口,传输层协议)

而且在实际规则设置过程中，并不是四元组中的每个属性都是允许用户设置的，具体地：

这样的设计在多数场景的确简化了用户设置，但也有不够灵活的问题：

如果用户想精确控制源IP,源端口，目的IP,目的端口以及传输层协议，那就需要使用下面介绍的五元组规则。

五元组规则带来更大灵活性

五元组规则的定义：

  (源IP，源端口，目的IP，目的端口,传输层协议)

五元组出规则举例：

源IP：        172.16.2.0/32
源端口：      22
目的IP：      10.12.9.70/32
目的端口：    不限制
传输层协议：  TCP
授权策略：    Drop

这条出规则禁止172.16.2.0/32通过22端口对10.12.9.70/32发起TCP访问。

在授权、解除授权操作时，参数：SecurityGroupId，SourceGroupId，SourceCidrIp，SourcePortRange，DestGroupId，DestCidrIp，PortRange之间有何约束关系，可能是刚开始容易造成混乱的问题，现说明如下：

入规则:

参数	含义&约束关系
SecurityGroupId	当前入规则所属的安全组ID，也是目的安全组ID
DestCidrIp	目的IP范围，可选参数，如果指定DestCidrIp，则可以更精细地控制入规则生效的目的IP范围；如果不指定则入规则生效的IP范围=SecurityGroupId这个安全组下的所有IP
PortRange	目的端口范围，必选参数
DestGroupId	不允许输入。因为入规则的目的安全组ID一定是SecurityGroupId
SourceGroupId	入规则的源安全组ID，SourceGroupId与SourceCidrIp二者必选其一，如果二者都指定，则SourceCidrIp优先
SourceCidrIp	入规则的源IP范围，SourceGroupId与SourceCidrIp二者必选其一，如果二者都指定，则SourceCidrIp优先
SourcePortRange	源端口范围，可选参数，不填则不限制源端口

出规则:

参数	含义&约束关系
SecurityGroupId	当前出规则所属的安全组ID，也是源安全组ID
DestCidrIp	出规则目的IP，DestGroupId与DestCidrIp二者必选其一，如果二者都指定，则DestCidrIp优先
PortRange	目的端口范围，必选参数
DestGroupId	出规则的目的安全组ID。DestGroupId与DestCidrIp二者必选其一，如果二者都指定，则DestCidrIp优先
SourceGroupId	不允许输入，因为出规则的源安全组ID一定是SecurityGroupId
SourceCidrIp	出规则的源IP范围，可选参数，如果指定SourceCidrIp则会更精细地限定出规则生效的源IP；如果不指定，则生效的源IP=SecurityGroupId这个安全组下的所有IP
SourcePortRange	源端口范围，可选参数，不填则不限制源端口

安全组的OpenAPI是完全向前兼容的，基于最新的OpenAPI，你既可以授权、解除授权满足五元组的规则，也可以继续授权、解除授权只满足四元组的规则。相关OpenAPI的帮助文档链接：
AuthorizeSecurityGroup