安全FAQ

安全组问题

什么是安全组？

安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，您可以在云端划分安全域。

每台 ECS 实例至少属于一个安全组，在创建实例的时候必须指定安全组。

为什么要在创建 ECS 实例时选择安全组？

在创建 ECS 实例之前，必须选择安全组来划分应用环境的安全域，授权安全组规则进行合理的网络安全隔离。

如果您在创建 ECS 实例时不选择安全组，创建的 ECS 实例会分配到一个固定的安全组（即，默认安全组），建议您将实例移出默认安全组并加入新的安全组来实现网络安全隔离。

创建 ECS 实例前，未创建安全组怎么办？

如果您在创建 ECS 实例前，未创建安全组，您可以选择默认安全组。默认的安全组放行了常用端口，如 TCP 22 端口、3389 端口等。

为什么 ECS 实例加入安全组时提示规则数量超限？

作用于一台 ECS 实例（主网卡）的安全组规则数量上限 = 该实例允许加入的安全组数量 * 每个安全组最大规则数量。

如果提示加入安全组失败，作用在该实例上的安全组规则数量已达上限，表示当前 ECS 实例上的规则总数已经超过数量上限。建议您重新选择安全组。

专有网络 VPC 类型 ECS 实例的安全组数量上限调整后，只对调整日期后新增的安全组生效吗？

不是。该上限调整对调整日期之前和之后创建的所有专有网络 VPC 类型 ECS 实例的安全组都生效。

安全组在什么情况下会使用默认安全组规则？

在以下情况中会使用默认安全组规则：

• 通过 ECS 管理控制台在一个地域首次创建 ECS 实例时，如果您尚未创建安全组，可以选择系统自动创建的默认安全组，类型为普通安全组。默认安全组采用默认安全规则。入方向放行 ICMP 协议、SSH 22 端口、RDP 3389 端口，授权对象为全网段（0.0.0.0/0），优先级为 100，您还可以勾选放行 HTTP 80 端口和 HTTPS 443 端口。出方向允许所有访问。

您在 ECS 管理控制台上创建安全组时默认的安全组规则，入方向放行 ICMP 协议、SSH 22 端口、RDP 3389 端口、HTTP 80 端口和 HTTPS 443 端口，授权对象为全网段（0.0.0.0/0）。

安全组规则问题

什么场景下我需要添加安全组规则？

在以下场景中，您需要添加安全组规则，保证 ECS 实例能被正常访问：

• ECS 实例所在的安全组没有添加过安全组规则，也没有默认安全组规则。当 ECS 实例需要访问公网，或访问当前地域下其他安全组中的 ECS 实例时，您需要添加安全规则。
• 搭建的应用没有使用默认端口，而是自定义了一个端口或端口范围。此时，您必须在测试应用连通前放行自定义的端口或端口范围。例如，您在 ECS 实例上搭建 Nginx 服务时，通信端口选择监听在 TCP 8000，但您的安全组只放行了 80 端口，则您需要添加安全规则，保证 Nginx 服务能被访问。
• 其他场景，请参见安全组应用案例。
• 
  

为什么无法访问 TCP 25 端口？

TCP 25 端口是默认的邮箱服务端口。基于安全考虑，云服务器 ECS 的 25 端口默认受限。建议您使用 465 端口发送邮件。

为什么安全组里自动添加了很多内网相关的安全组规则？

以下两种情况，可能导致您的安全组里自动添加了很多规则：

• 如果您访问过 DMS，安全组中就会自动添加相关的规则。
• 如果您近期通过阿里云数据传输 DTS 功能迁移过数据，安全组中会自动添加 DTS 的服务 IP 地址相关的规则。
• 
  

安全组规则配置错误会造成什么影响？

安全组配置错误会导致 ECS 实例在私网或公网与其他设备之间的访问失败，例如：

• 无法从本地远程连接（SSH）Linux 实例或者远程桌面连接Windows 实例。
• 无法远程pingECS 实例的公网 IP。
• 无法通过 HTTP 或 HTTPS 协议访问ECS 实例提供的 Web 服务。
• 无法通过内网访问其他 ECS 实例。

安全组的入方向规则和出方向规则区分计数吗？

不区分。每个安全组的入方向规则与出方向规则的总数不能超过 200。

是否可以调整安全组规则的数量上限？

不可以，每个安全组最多可以包含 200 条安全组规则。一台 ECS 实例中的每个弹性网卡默认最多可以加入 5 个安全组，所以一台 ECS 实例的每个弹性网卡最多可以包含 1000 条安全组规则，能够满足绝大多数场景的需求。

如果当前数量上限无法满足您的使用需求，建议您按照以下步骤操作：

• 检查是否存在冗余规则。您也可以提交工单，阿里云技术支持将提供检查服务。
• 如果存在冗余规则，请清除冗余规则。如果不存在冗余规则，您可以创建多个安全组。

如果您已开通了云防火墙服务，也可以通过云防火墙创建VPC 边界访问控制策略（管控两个 VPC 间的流量），减少ECS 安全组规则的数量。

我配置的安全组规则，各规则的优先级排序是怎么样的？

优先级的取值范围为 1~100，数值越小，代表优先级越高。

同类型规则间依赖优先级决定最终执行的规则。当ECS 实例加入了多个安全组时，多个安全组会从高到低依次匹配规则。最终生效的安全组规则如下：

• 如果两条安全组规则只有授权策略不同：拒绝策略的规则生效，允许策略的规则不生效。
• 如果两条安全组规则只有优先级不同：优先级高的规则生效。

主机处罚与解禁问题

收到违法阻断网站整改通知，怎么办？

在互联网有害信息记录中，您可以查看存在有害信息的域名或 URL、处罚动作、处罚原因及处罚时间。您在确认该域名或 URL 中的有害信息已经移除或不存在时，可以申请解除访问封禁。

收到对外攻击需要整改的通知，怎么办？

在处罚记录中，您可以查看详细的处罚结果、处罚原因及处罚时段。如果您不认同处罚结果，可以反馈申诉。收到您的处罚记录反馈后，阿里云将再次核验，确认处罚的正确性和有效性，并判断是否继续维持处罚或立即结束处罚。

>>快来点击免费下载《ECS全知道·下册》了解更多详情！<<