安全组规则一篇通-问答-阿里云开发者社区-阿里云

开发者社区> 我的中国> 正文

安全组规则一篇通

2017-07-01 18:18:25 7006 2
安全组在云端提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,它是重要的安全隔离手段。在创建 ECS 实例时,必须选择一个安全组。您还可以添加安全组规则,对该安全组下的所有 ECS 实例的出方向和入方向进行网络控制。


安全组有下面的限制:
每个账户最多可以建立50个安全组,每个安全组最多100个安全组规则
一个实例最多可以加入5个同种网络类型的安全组
同一个安全组之内的资源默认是网络通的,不同安全组之间的资源默认是网络不通
安全组应该是白名单的性质的,所以需要尽量开通最小的权限,默认拒绝所有的访问
单个安全组最大支持1000个实例
当您创建一个安全组的时候,默认规则均为出方向 accept all,入方向 deny all。安全组的出入规则,很多客户在使用的时候并没有按照自己的应用规范划分。使得自己的应用加大了收到攻击的风险。

基础普及:地址段    子网掩码
A类地址:0-127     /8        255.0.0.0
B类地址:128-191    /16   255.255.0.0
C类地址:192-223   /24    255.255.255.0


什么意思尼?
比如我们的内网地址是10.2.2.10 那么我们属于A类地址 /8的网段,但是我们有超网划分也就是(可变长子网掩码)网段划分的大,节省地址特别适合企业。比如我们要某一个IP地址可以访问,那么就往大了划分10.2.2.10/32  也就是子网掩码255.255.255.255 只有一个IP了。当然这里不懂也没关系,个人在划分的时候最多使用24或者32的掩码,企业可以根据机器数量来分配。
在划分上还有一个是CIDR(无类域间路由),要求是划分必须是8  16  24  32,不能为26  28这种超网类型的。


使用:
1.经典网络的网站访问
我们对安全组操作一般是继续使用系统创建的或者自行创建一个安全组


如果是新用户可以点击右下角的配置规则,我们在其中进行规则的添加
对于外网的操作我们看如下几个点即可


对外网规则的添加


或者这样快速添加



2.远程连接不上
我们记住Linux系统使用的SSH端口22
Windows系统远程连接使用的是3389端口
所以根据上面学的添加规则或者添加快速规则中的对应端口号即可。




可以看到我们是设置的入允许,因为是外网访问服务器实例所以入方向,如果我们的IP地址不固定就要设置0.0.0.0/0.
当然固定的就可以设置某IP访问,安全性更高了,比如200.1.1.10/32


3.某端口有漏洞如何关闭


设置授权策略为拒绝,并选择或者设置要拒绝的端口即可。

[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif]注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是 [font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif] a.b.c.d/32 [font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif],其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。





取消 提交回答
全部回答(2)
  • 火星123
    2018-01-25 11:30:04
    的帖子很精彩!希望很快能再分享您的下一帖!
    0 0
  • 洵云
    2017-07-02 04:58:26
    优秀文章-欢迎进行技术分享,感谢你的支持!
    0 0
添加回答
相关问答

162

回答

惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束)

豆妹 2014-10-29 17:52:21 222997浏览量 回答数 162

110

回答

OSS存储服务-客户端工具

newegg11 2012-05-17 15:37:18 292285浏览量 回答数 110

18

回答

阿里云开放端口权限

xcxx 2016-07-20 15:03:33 643130浏览量 回答数 18

33

回答

Win Server 2003-2016 加密勒索事件必打补丁合集

妙正灰 2017-05-15 10:44:38 277533浏览量 回答数 33

38

回答

安全组详解,新手必看教程

我的中国 2017-11-30 15:23:46 256869浏览量 回答数 38

294

回答

Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案)

qilu 2014-09-25 13:26:50 431616浏览量 回答数 294

248

回答

【史上最详细】阿里云ECS安装wordpress教程

爱映疯wp 2014-03-09 23:55:43 251173浏览量 回答数 248

249

回答

阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本

云代维 2014-02-14 15:26:06 302602浏览量 回答数 249

24

回答

【精品问答】python技术1000问(1)

问问小秘 2019-11-15 13:25:00 471408浏览量 回答数 24

13

回答

游戏云精彩帖汇总

nono20011908 2014-08-22 11:00:12 203639浏览量 回答数 13
+关注
我的中国
R&S网络资深工程师 ,阿里云论坛官方版主,阿里云云计算ACP,春考教学网站长,IT技术晋级之路专辑作者
43
文章
3274
问答
推荐问答
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载