安全组五元组规则介绍-阿里云开发者社区

开发者社区> 弹性计算> 正文

安全组五元组规则介绍

简介: 四元组规则配置简单但不够灵活,无法满足某些场景的防火墙控制需求,五元组规则完全兼容四元组规则并提供更大的灵活性。

安全组四元组规则的局限

五元组是通信术语。通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。在云计算中通常用五元组来描述一个安全组规则。阿里云的安全组规则在设计之初做了简化,只支持四元组规则:

  (源IP,目的IP,目的端口,传输层协议)

而且在实际规则设置过程中,并不是四元组中的每个属性都是允许用户设置的,具体地:

  • 入规则,目的IP不允许设置,目的IP=规则所属安全组下所有IP
  • 出规则,源IP不允许设置,源IP=规则所属安全组下所有IP

这样的设计在多数场景的确简化了用户设置,但也有不够灵活的问题:

  • 入规则,无法限定源端口范围,所有源端口都放行
  • 入规则,无法限定目的IP,当前安全组下所有IP都放行
  • 出规则,无法限定源IP,当前安全组下所有IP都放行
  • 出规则,无法限定源端口范围,所有源端口都放行

如果用户想精确控制源IP,源端口,目的IP,目的端口以及传输层协议,那就需要使用下面介绍的五元组规则。

五元组规则带来更大灵活性

五元组规则的定义:

  (源IP,源端口,目的IP,目的端口,传输层协议)

五元组出规则举例:

源IP:        172.16.2.0/32
源端口:      22
目的IP:      10.12.9.70/32
目的端口:    不限制
传输层协议:  TCP
授权策略:    Drop

这条出规则禁止172.16.2.0/32通过22端口对10.12.9.70/32发起TCP访问。

已知需要五元组的典型场景

  • 某些平台类网络产品会接入第三方厂商的解决方案为用户提供网络服务,为了防范这些产品对用户ECS发起非法访问就需要5元组规则精确控制出、入流量
  • 一个默认组内不通安全组,如果你想精确控制组内若干ECS之间可以互相访问,则需要在安全组内设置5元组规则

使用OpenAPI设置五元组规则需要注意的几点

  • 在授权、解除授权操作时,参数:SecurityGroupId,SourceGroupId,SourceCidrIp,SourcePortRange,DestGroupId,DestCidrIp,PortRange之间有何约束关系,可能是刚开始容易造成混乱的问题,现说明如下:

入规则:

参数 含义&约束关系
SecurityGroupId 当前入规则所属的安全组ID,也是目的安全组ID
DestCidrIp 目的IP范围,可选参数,如果指定DestCidrIp,则可以更精细地控制入规则生效的目的IP范围;如果不指定则入规则生效的IP范围=SecurityGroupId这个安全组下的所有IP
PortRange 目的端口范围,必选参数
DestGroupId 不允许输入。因为入规则的目的安全组ID一定是SecurityGroupId
SourceGroupId 入规则的源安全组ID,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先
SourceCidrIp 入规则的源IP范围,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先
SourcePortRange 源端口范围,可选参数,不填则不限制源端口

出规则:

参数 含义&约束关系
SecurityGroupId 当前出规则所属的安全组ID,也是源安全组ID
DestCidrIp 出规则目的IP,DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先
PortRange 目的端口范围,必选参数
DestGroupId 出规则的目的安全组ID。DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先
SourceGroupId 不允许输入,因为出规则的源安全组ID一定是SecurityGroupId
SourceCidrIp 出规则的源IP范围,可选参数,如果指定SourceCidrIp则会更精细地限定出规则生效的源IP;如果不指定,则生效的源IP=SecurityGroupId这个安全组下的所有IP
SourcePortRange 源端口范围,可选参数,不填则不限制源端口
  • 安全组的OpenAPI是完全向前兼容的,基于最新的OpenAPI,你既可以授权、解除授权满足五元组的规则,也可以继续授权、解除授权只满足四元组的规则。相关OpenAPI的帮助文档链接:
    AuthorizeSecurityGroup

AuthorizeSecurityGroupEgress
RevokeSecurityGroup
RevokeSecurityGroupEgress

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

做技术领先、性能优异、稳如磐石的弹性计算!

官方博客
官网链接