• 关于 自动顺序控制无法连接 的搜索结果

回答

9.1 iOS的定位支持 iOS设备支持的定位方式有多种,最早期的iPhone只支持通过运营商的基站信号进行定位,后来iOS系统开始引入WiFi支持,从而允许iOS设备通过周围的WiFi信号进行定位。 从iPhone 3g开始,iPhone手机提供了内置的GPS模块处理芯片,从而允许通过GPS卫星系统进行定位。从iPhone 4开始,iPhone手机更换了精确度更高、耗电量更少、灵敏度更高的芯片,因此可以使用GPS进行精确定位。 下面先简单介绍iOS定位支持的3种模式。 9.1.1 GPS卫星定位 GPS是英文Global Positioning System(全球定位系统)的简称,GPS是20世纪70年代由美国陆海空三军联合研制的新一代空间卫星导航定位系统。从这个介绍不难发现,GPS的作用就是为全球的物体提供定位功能。 GPS定位系统由3部分组成,即由GPS卫星组成的空间部分、若干地面站组成的控制部分和普通用户手中的接收机这3个部分。对于手机用户来说,手机就是GPS定位系统的接收机,也就是说,GPS定位需要手机的硬件支持GPS功能。 GPS定位需要能收到卫星信号才行,卫星信号可能会被建筑物(比如高楼)遮挡,因此一般需要在室外进行接收、定位。虽然iPhone 4采用了高灵敏度的GPS芯片,但仍然需要在窗户旁或者户外才能进行接收、定位,因为只有这些地方才能确保卫星信号的强度和稳定性。 与基站定位、WiFi定位相比,GPS定位耗电量最大,速度最慢,但是精度最高。 需要说明的是,iOS的GPS定位与单纯的GPS定位不同,它是一种所谓辅助GPS(简称A-GPS)。A-GPS首先通过基站定位或WiFi定位获得该设备的大概位置,然后通过将设备的大致位置发到远程服务器,由服务器负责进行查询和计算,从而获取当前位置的卫星信息,并通过网络将这些卫星信息反馈给iOS设备,这样就避免了iOS设备直接通过GPS扫描、分析天上的卫星信息,如哪些卫星可见、具体在什么位置、时钟是多少等。因此,通常来说A-GPS比单纯的GPS更快。当然,这只是一般而论,对于专业级的GPS定位设备,其GPS芯片的灵敏度可能更好,因此这种GPS定位设备肯定更快。 A-GPS的优点是定位快,缺点是需要网络,但也只是在初次定位时需要网络,一旦卫星信息返回,在一段时间和范围内,这些卫星信息无须改变,接下来的GPS定位就无须联网,直接使用已有的卫星参数即可。 在iOS设备上,iOS系统会综合使用上述定位方式。一般来说,iOS系统可能先按照最快的“无网基站定位”返回一个位置,当有网络连接时,再使用“有网基站定位”来更新位置,然后利用A-GPS查询卫星星图,最后在能收到GPS信号的情况下,转为使用GPS定位。 根据当前卫星信号情况和网络环境,iOS系统可能在上述方式之间反复迭代,不一定按照特定步骤或方式,而且随着iOS系统升级,定位顺序和规则可能改变。 9.1.2 基站定位 每个手机基站都有一个标识符,iOS设备可以搜集周围所有收到信号的基站和它们的标识符,通过联网发送到苹果云端服务器,再由服务器根据这些基站的位置信息查询并计算出当前位置,然后把该定位信息返回给手机。因为基站信号的辐射范围大,所以相对来说误差是比较大的,通常在500米到几公里范围内。 基于基站定位的方式具有速度快,耗电量比较少,但误差较大的特征。 在没有网络的情况下,iOS 4对其进行了优化,可以在没有网络连接时采用无网定位,因为Apple已经预先将一些重要基站(几十公里选一个)提前存储在iOS系统中,因此即使不联网,iOS系统也可通过这些本地基站信息定位到设备的位置。这种定位方式的误差更大,通常在10公里到50公里范围内。 无网基站定位的前提是:iOS设备能接收到内置在手机中的那些“重要基站”的信号,不一定是你的手机所属运营商,只要能收到信号就可以了,所以室内、室外一样都可以进行基站定位。 9.1.3 WiFi定位 WiFi定位和基站定位的原理大致相似,iOS设备通过无线网卡搜集周围所有的WiFi热点,获得它们的MAC地址,然后通过Apple的云端服务器查询该WiFi热点是否已经登记,如果已经登记,即可获取该WiFi热点的位置,最后通过对多个WiFi热点折中计算得到当前位置并返回给iOS设备。 只要能收到手机信号的地方都可通过WiFi定位,室内、室外的效果相同。 WiFi定位速度、耗电量和精度都介于基站和GPS之间,精度大概在几十米范围内。 传统的WiFi定位是需要网络的,但是iOS系统对其进行了优化,可以实现无网WiFi定位。无网WiFi定位的原理是:iOS设备在联网状态下,会大致定位出设备的位置,并自动将设备所在地周围所有的WiFi热点信息保存在手机系统中。在接下来的时间内,即使当前iOS设备没有联网,iOS系统也可以利用之前保存的本地的WiFi热点信息定位出设备的位置。 根据无网WiFi定位的原理不难看出,无网WiFi定位的前提是:该iOS设备之前在该区域附近曾经接入过网络,如果初次到一个陌生的地方,无网WiFi是无法定位的。 iOS系统在进行定位时已将底层具体的定位细节进行了屏蔽——也就是说,这些定位细节对开发者而言是透明的,iOS系统会智能地根据设备的情况和周围的环境,采用一套最佳的解决方案。例如能够接收GPS信号,那么优先使用GPS定位;否则采用WiFi或基站定位,在WiFi和基站之间优先使用WiFi,如果无法连接WiFi才使用基站定位。

杨冬芳 2019-12-02 03:00:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

Java学习路线 26门免费课程

排名第一的编程语言,从事云计算、大数据开发工作必备

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:08 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:07 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:03 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:06 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:04 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:08 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 您可以添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问: VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。 经典网络:需要分别设置公网或内网的出方向或入方向规则。 安全组规则的变更会自动应用到安全组内的ECS实例上。 前提条件 您已经创建了一个安全组,具体操作,请参见 创建安全组。 您已经知道自己的实例需要允许或禁止哪些公网或内网的访问。 操作步骤 登录 云服务器ECS管理控制台。 在左侧导航栏中,选择 网络和安全 > 安全组。 选择地域。 找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。 在 安全组规则 页面上,单击 添加安全组规则。 说明 如果您不需要设置ICMP、GRE协议规则,或者您想使用下表中列出的协议的默认端口,单击 快速创建规则。 每个安全组的入方向规则与出方向规则的总数不能超过100条。 协议 SSH telnet HTTP HTTPS MS SQL 端口 22 23 80 443 1433 协议 Oracle MySQL RDP PostgreSQL Redis 端口 1521 3306 3389 5432 6379 说明 各个参数配置说明,请参见第6步描述。 在弹出的对话框中,设置以下参数: 网卡类型: 如果是VPC类型的安全组,不需要选择这个参数。需要注意以下信息: 如果您的实例能访问公网,可以设置公网和内网的访问规则。 如果您的实例不能访问公网,只能设置内网的访问规则。 如果是经典网络的安全组,选择 公网 或 内网。 规则方向: 出方向:是指ECS实例访问内网中其他ECS实例或者公网上的资源。 入方向:是指内网中的其他ECS实例或公网上的资源访问ECS实例。 授权策略:选择 允许 或 拒绝。 说明 这里的 拒绝 策略是直接丢弃数据包,不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同,则 拒绝 授权生效,接受 授权不生效。 协议类型 和 端口范围:端口范围的设置受协议类型影响。下表是协议类型与端口范围的关系。 协议类型 端口范围 应用场景 全部 显示为-1/-1,表示不限制端口。不能设置。 可用于完全互相信任的应用场景。 全部ICMP 显示为-1/-1,表示不限制端口。不能设置。 使用 ping 程序检测实例之间的通信状况。 全部GRE 显示为-1/-1,表示不限制端口。不能设置。 用于VPN服务。 自定义TCP 自定义端口范围,有效的端口值是1 ~ 65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,比如:80/80表示端口80。 可用于允许或拒绝一个或几个连续的端口。 自定义UDP SSH 显示为22/22。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 用于SSH远程连接到Linux实例。 TELNET 显示为23/23。 用于Telnet远程登录实例。 HTTP 显示为80/80。 实例作为网站或Web应用服务器。 HTTPS 显示为443/443。 实例作为支持HTTPS协议的网站或Web应用服务器。 MS SQL 显示为1433/1433。 实例作为MS SQL服务器。 Oracle 显示为1521/1521。 实例作为Oracle SQL服务器。 MySQL 显示为3306/3306。 实例作为MySQL服务器。 RDP 显示为3389/3389。 连接ECS实例后您能修改端口号,具体操作,请参见 服务器默认远程端口修改。 实例是Windows实例,需要远程桌面连接实例。 PostgreSQL 显示为5432/5432。 实例作为PostgreSQL服务器。 Redis 显示为6379/6379。 实例作为Redis服务器。 说明 公网出方向的STMP端口25默认受限,无法通过安全组规则打开,但是您可以 申请解封端口25。其他常用端口信息,请参见 ECS 实例常用端口介绍。 授权类型 和 授权对象:授权对象的设置受授权类型影响,以下是两者之间的关系。 授权类型 授权对象 地址段访问 填写单一IP地址或者CIDR网段格式,如:12.1.1.1或13.1.1.1/25。仅支持IPv4。如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。 安全组访问 只对内网有效。授权本账号或其他账号下某个安全组中的实例访问本安全组中的实例,实现内网互通。 本账号授权:选择同一账号下的其他安全组ID。如果是VPC网络的安全组,必须为同一个VPC的安全组。 跨账号授权:填写目标安全组ID,以及对方账号ID。在 账号管理 > 安全设置 里查看账号ID。 因为安全组访问只对内网有效,所以,对VPC网络实例,安全组访问的规则仅适用于内网访问,不适用于公网访问。公网访问只能通过 地址段访问 授权。 说明 出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则只能授权单个IP地址,授权对象的格式只能是 a.b.c.d/32,仅支持IPv4,子网掩码必须是 /32。 优先级:1 ~ 100,数值越小,优先级越高。更多优先级信息,参见 ECS安全组规则优先级说明。 单击 确定,即成功地为指定安全组添加了一条安全组规则。 安全组规则一般是立即生效,但是也可能有稍许延迟。 查看安全组规则是否生效 假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。 Linux实例 如果是安全组中的一台Linux实例,按以下步骤查看安全组规则是否生效。 使用用户名密码验证连接 Linux 实例。 运行以下命令查看TCP 80是否被监听。netstat -an | grep 80如果返回以下结果,说明TCP 80端口已开通。tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 Windows实例 如果是安全组中的一台Windows实例,按以下步骤查看安全组规则是否生效。 使用软件连接Windows实例。 运行 命令提示符,输入以下命令查看TCP 80是否被监听。netstat -aon | findstr :80如果返回以下结果,说明TCP 80端口已开通。TCP    0.0.0.0:80           0.0.0.0:0              LISTENING       1172 在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。 ECS安全组规则优先级说明 安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。 ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下: 如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。 如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。 相关文档 安全组FAQ 安全组 安全组默认规则 ECS安全组中规则的优先级执行匹配顺序说明 ECS安全组实践(一) ECS安全组实践(二) ECS安全组实践(三)

2019-12-01 22:57:05 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 SQL审核 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站 人工智能 阿里云云栖号