【ECS常见问题 四】安全FAQ

简介: 什么是安全组?安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,您可以在云端划分安全域。每台 ECS 实例至少属于一个安全组,在创建实例的时候必须指定安全组

安全FAQ



安全组问题

什么是安全组?

安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,您可以在云端划分安全域。

每台 ECS 实例至少属于一个安全组,在创建实例的时候必须指定安全组。


为什么要在创建 ECS 实例时选择安全组?

在创建 ECS 实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。

如果您在创建 ECS 实例时不选择安全组,创建的 ECS 实例会分配到一个固定的安全组(即,默认安全组),建议您将实例移出默认安全组并加入新的安全组来实现网络安全隔离。


创建 ECS 实例前,未创建安全组怎么办?

如果您在创建 ECS 实例前,未创建安全组,您可以选择默认安全组。默认的安全组放行了常用端口,如 TCP 22 端口、3389 端口等。


为什么 ECS 实例加入安全组时提示规则数量超限?

作用于一台 ECS 实例(主网卡)的安全组规则数量上限 = 该实例允许加入的安全组数量 * 每个安全组最大规则数量。

如果提示加入安全组失败,作用在该实例上的安全组规则数量已达上限,表示当前 ECS 实例上的规则总数已经超过数量上限。建议您重新选择安全组。


专有网络 VPC 类型 ECS 实例的安全组数量上限调整后,只对调整日期后新增的安全组生效吗?

不是。该上限调整对调整日期之前和之后创建的所有专有网络 VPC 类型 ECS 实例的安全组都生效。


安全组在什么情况下会使用默认安全组规则?

在以下情况中会使用默认安全组规则:

  • 通过 ECS 管理控制台在一个地域首次创建 ECS 实例时,如果您尚未创建安全组,可以选择系统自动创建的默认安全组,类型为普通安全组。默认安全组采用默认安全规则。入方向放行 ICMP 协议、SSH 22 端口、RDP 3389 端口,授权对象为全网段(0.0.0.0/0),优先级为 100,您还可以勾选放行 HTTP 80 端口和 HTTPS 443 端口。出方向允许所有访问。

您在 ECS 管理控制台上创建安全组时默认的安全组规则,入方向放行 ICMP 协议、SSH 22 端口、RDP 3389 端口、HTTP 80 端口和 HTTPS 443 端口,授权对象为全网段(0.0.0.0/0)。



安全组规则问题

什么场景下我需要添加安全组规则?

在以下场景中,您需要添加安全组规则,保证 ECS 实例能被正常访问:

  • ECS 实例所在的安全组没有添加过安全组规则,也没有默认安全组规则。当 ECS 实例需要访问公网,或访问当前地域下其他安全组中的 ECS 实例时,您需要添加安全规则。
  • 搭建的应用没有使用默认端口,而是自定义了一个端口或端口范围。此时,您必须在测试应用连通前放行自定义的端口或端口范围。例如,您在 ECS 实例上搭建 Nginx 服务时,通信端口选择监听在 TCP 8000,但您的安全组只放行了 80 端口,则您需要添加安全规则,保证 Nginx 服务能被访问。
  • 其他场景,请参见安全组应用案例

为什么无法访问 TCP 25 端口?

TCP 25 端口是默认的邮箱服务端口。基于安全考虑,云服务器 ECS 25 端口默认受限。建议您使用 465 端口发送邮件。


为什么安全组里自动添加了很多内网相关的安全组规则?

以下两种情况,可能导致您的安全组里自动添加了很多规则:

  • 如果您访问过 DMS,安全组中就会自动添加相关的规则。
  • 如果您近期通过阿里云数据传输 DTS 功能迁移过数据,安全组中会自动添加 DTS 的服务 IP 地址相关的规则。

安全组规则配置错误会造成什么影响?

安全组配置错误会导致 ECS 实例在私网或公网与其他设备之间的访问失败,例如:

  • 无法从本地远程连接(SSHLinux 实例或者远程桌面连接Windows 实例。
  • 无法远程pingECS 实例的公网 IP
  • 无法通过 HTTP HTTPS 协议访问ECS 实例提供的 Web 服务。
  • 无法通过内网访问其他 ECS 实例。


安全组的入方向规则和出方向规则区分计数吗?

不区分。每个安全组的入方向规则与出方向规则的总数不能超过 200


是否可以调整安全组规则的数量上限?

不可以,每个安全组最多可以包含 200 条安全组规则。一台 ECS 实例中的每个弹性网卡默认最多可以加入 5 个安全组,所以一台 ECS 实例的每个弹性网卡最多可以包含 1000 条安全组规则,能够满足绝大多数场景的需求。

如果当前数量上限无法满足您的使用需求,建议您按照以下步骤操作:

  • 检查是否存在冗余规则。您也可以提交工单,阿里云技术支持将提供检查服务。
  • 如果存在冗余规则,请清除冗余规则。如果不存在冗余规则,您可以创建多个安全组。

如果您已开通了云防火墙服务,也可以通过云防火墙创建VPC 边界访问控制策略(管控两个 VPC 间的流量),减少ECS 安全组规则的数量。


我配置的安全组规则,各规则的优先级排序是怎么样的?

优先级的取值范围为 1~100,数值越小,代表优先级越高。

同类型规则间依赖优先级决定最终执行的规则。当ECS 实例加入了多个安全组时,多个安全组会从高到低依次匹配规则。最终生效的安全组规则如下:

  • 如果两条安全组规则只有授权策略不同:拒绝策略的规则生效,允许策略的规则不生效。
  • 如果两条安全组规则只有优先级不同:优先级高的规则生效。



主机处罚与解禁问题

收到违法阻断网站整改通知,怎么办?

在互联网有害信息记录中,您可以查看存在有害信息的域名或 URL、处罚动作、处罚原因及处罚时间。您在确认该域名或 URL 中的有害信息已经移除或不存在时,可以申请解除访问封禁。


收到对外攻击需要整改的通知,怎么办?

在处罚记录中,您可以查看详细的处罚结果、处罚原因及处罚时段。如果您不认同处罚结果,可以反馈申诉。收到您的处罚记录反馈后,阿里云将再次核验,确认处罚的正确性和有效性,并判断是否继续维持处罚或立即结束处罚。


>>快来点击免费下载《ECS全知道·下册》了解更多详情!<<


相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情:&nbsp;https://www.aliyun.com/product/ecs
相关文章
|
2月前
|
存储 弹性计算 关系型数据库
阿里云服务器ECS试用攻略及常见问题参考
阿里云服务器可以免费试用,完成实名认证的云服务器ECS新用户,个人用户有8个规格可选,企业用户有12个规格可选,最长可免费试用3个月。为了让您3个月内充分体验云服务器ECS的弹性及灵活性,特地给您准备了试用攻略,可以帮助用户更好地了解试用,提升用户试用体验。
阿里云服务器ECS试用攻略及常见问题参考
|
3月前
|
安全 Ubuntu 应用服务中间件
Web服务器安全最佳实践
【8月更文第28天】随着互联网的发展,Web服务器成为了企业和组织的重要组成部分。然而,这也使得它们成为黑客和恶意软件的目标。为了确保数据的安全性和系统的稳定性,采取适当的安全措施至关重要。本文将探讨一系列保护Web服务器的最佳策略和技术,并提供一些实用的代码示例。
291 1
|
4天前
|
安全 开发工具 Swift
Swift 是苹果公司开发的现代编程语言,具备高效、安全、简洁的特点,支持类型推断、闭包、泛型等特性,广泛应用于苹果各平台及服务器端开发
Swift 是苹果公司开发的现代编程语言,具备高效、安全、简洁的特点,支持类型推断、闭包、泛型等特性,广泛应用于苹果各平台及服务器端开发。基础语法涵盖变量、常量、数据类型、运算符、控制流等,高级特性包括函数、闭包、类、结构体、协议和泛型。
12 2
|
1月前
|
SQL 安全 网络安全
守护数字资产:服务器迁移期间的安全挑战与对策
【10月更文挑战第4天】在数字化转型的浪潮中,服务器迁移成为企业不可避免的任务。然而,迁移过程中的安全挑战不容忽视。本文从安全考量的角度,探讨了服务器迁移期间可能遇到的安全问题,并提供了相应的对策和代码示例。
56 3
|
1月前
|
存储 弹性计算 固态存储
阿里云服务器Entry云盘和ESSD Entry云盘区别、性能参数及使用常见问题参考
在我们选择阿里云服务器的时候,有部分云服务器同时支持ESSD Entry云盘和ESSD云盘,有的初次接触阿里云服务器云盘的用户可能还不是很清楚他们之间的区别,因此不知道选择哪种更好更能满足自己场景的需求,本文为大家介绍一下阿里云服务器Entry云盘和ESSD Entry云盘各自的性能参数区别及使用过程中的一些常见问题,以供选择参考。
|
4月前
|
存储 监控 安全
服务器安全:构建数字时代的坚固堡垒
在数字化时代,服务器安全至关重要,它直接影响企业业务连续性和客户数据保护。服务器遭受攻击或数据泄露将给企业带来巨大损失。服务器面临网络攻击、恶意软件、内部与物理威胁。关键防护措施包括严格访问控制、数据加密与备份、安全审计与监控、部署防火墙和入侵检测系统、及时安全更新及物理安全防护。最佳实践涵盖制定全面安全策略、采用先进技术、员工培训、定期安全评估与测试及建立应急响应团队。通过这些措施,企业能构建坚实的服务器安全防护体系。
245 55
|
3月前
|
云安全 弹性计算 安全
阿里云服务器基础安全防护简介,云服务器基础安全防护及常见安全产品简介
在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题,阿里云服务器不仅提供了一些基础防护,我们也可以选择其他的云安全类产品来确保我们云服务器的安全。本文为大家介绍一下阿里云服务器的基础安全防护有哪些,以及阿里云的一些安全防护类云产品。
阿里云服务器基础安全防护简介,云服务器基础安全防护及常见安全产品简介
|
3月前
|
存储 缓存 数据挖掘
阿里云服务器通用算力型u1与经济型e实例对比与常见问题参考
阿里云的通用算力型u1与经济型e实例均以实惠的价格提供云服务,但各有侧重。经济型e实例采用共享模式,适用于个人开发者、学生及小微企业,适合搭建网站、开发测试等轻量级应用;通用算力型u1实例则提供独享资源,更适合对稳定性和性能有一定要求的企业级应用,如中大型网站、数据分析等场景。e实例基于Intel® Xeon® Platinum处理器,提供ESSD Entry云盘,价格亲民;u1实例同样支持ESSD系列云盘,具备更高性价比和稳定算力保障。选择时,个人用户可优先考虑经济型e实例,追求性价比;企业用户则推荐使用通用算力型u1实例,以获得更佳的性能和服务质量保证。
111 4
阿里云服务器通用算力型u1与经济型e实例对比与常见问题参考
|
3月前
|
Android开发
svn服务器配置常见问题
svn服务器配置常见问题
62 1
|
3月前
阿里云服务器发票开具流程_发票抬头_发票常见问题解答FAQ
在阿里云开具发票,需登录用户中心访问发票管理页面。首次开票时设置发票抬头(个人/企业/事业单位),选择发票类型(增值税普通/专用)。随后选择需开票的订单并按提示操作。个人账号不可直接开企业发票,需变更实名认证。发票税率一般为6%,硬件为13%。发票抬头可修改,纸质发票邮费视情况由阿里云或用户承担,电子发票具同等法律效力且可报销。更多详情见阿里云帮助文档。
489 9
下一篇
无影云桌面