我要提问
- 关于
tcp/ip协议网络
的搜索结果
回答
详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。
本文档介绍了常用的专有网络内ECS实例的安全组设置。
案例 1:内网互通
同一VPC内的相同安全组下的ECS实例,默认互通。
不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义
案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1
案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1
案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1
回答
详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。
本文档介绍了常用的专有网络内ECS实例的安全组设置。
案例 1:内网互通
同一VPC内的相同安全组下的ECS实例,默认互通。
不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义
案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1
案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1
案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1
回答
详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。
本文档介绍了常用的专有网络内ECS实例的安全组设置。
案例 1:内网互通
同一VPC内的相同安全组下的ECS实例,默认互通。
不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义
案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1
案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1
案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1
回答
详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。
本文档介绍了常用的专有网络内ECS实例的安全组设置。
案例 1:内网互通
同一VPC内的相同安全组下的ECS实例,默认互通。
不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义
案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1
案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1
案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1
回答
详细解答可以参考官方帮助文档当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量,详情参见安全组。
本文档介绍了常用的专有网络内ECS实例的安全组设置。
案例 1:内网互通
同一VPC内的相同安全组下的ECS实例,默认互通。
不同VPC内的ECS实例,无法互通。首先需要使用高速通道或VPN网关打通两个VPC之间的通信,然后确保两个VPC内的ECS实例的安全组规则允许互相访问,如下表所示。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 VPC 1中的ECS实例的安全组配置 入方向 允许 Windows:RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义 VPC 2中的ECS实例的安全组配置 入方向 允许 RDP 3389/3389 地址段访问 输入要登录访问该ECS实例的私网IP。如果允许任意ECS实例登录,填写0.0.0.0/0。 1 Linux:SSH(22) 22/22 自定义TCP 自定义
案例 2:屏蔽、拦截、阻断特定IP或特定端口的访问您可以通过配置安全组屏蔽、拦截、阻断特定IP或特定端口对专有网络ECS实例的访问。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 拒绝特定IP地址段对ECS实例所有端口的入站访问 入方向 拒绝 全部 -1 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 入方向 拒绝 SSH(22) 22/22 地址段访问 屏蔽的IP地址段,采用CIDR格式,如10.0.0.1/32。 1
案例 3:只允许特定IP远程登录到实例如果您为VPC中的ECS实例配置了公网IP如NAT网关,EIP等,您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
安全组规则 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许Windows远程登录 入方向 允许 RDP 3389/3389 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1 允许Linux SSH登录 入方向 允许 SSH 22/22 地址段访问 如果允许任意公网IP登录,填写0.0.0.0/0。如果只允许特定IP远程登录,填写指定的IP地址。 1
案例4:允许从公网访问专有网络ECS实例部署的HTTP/HTTPS服务如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
安全组规则示例 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级 允许来自HTTP 80端口的入站访问 入方向 允许 HTTP 80/80 地址段访问 0.0.0.0/0 1 允许来自HTTPS 443端口的入站访问 入方向 允许 HTTPS 443/443 地址段访问 0.0.0.0/0 1 允许来自TCP 80端口的入站访问 入方向 允许 TCP 80/80 地址段访问 0.0.0.0/0 1
回答
详细解答可以参考官方帮助文档如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见 创建安全组 和 添加安全组规则。
常用端口,请参见 ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见 安全组规则的典型应用。
案例 1:实现内网互通 场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问 场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例 场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。 关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例 同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过http://公网 IP 地址访问您的实例,请参见 检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见 修改nginx/Tomcat等Web服务的端口监听地址 或 ECS Windows Server修改IIS监听的IP地址。
回答
【问题描述】:
IP地址如何设置
【原因分析】:
无
【简易步骤】:
【开始】菜单—【控制面板】—【网络连接】—找到您想改的连接—右键【属性】—找到【TCP/IP协议】—手动设置IP地址。
【解决方案】:
打开【开始】菜单—【控制面板】(如图1)
图1
打开【网络连接】找到您想改的连接,右键【属性】(如图2、3)
图2
图3
找到【TCP/IP协议】,手动设置IP地址。(如图4)
图4
【问题描述】:
IP地址如何设置
【原因分析】:
无
【简易步骤】:
【开始】菜单—【控制面板】—【网络与共享中心】—找到您想改的连接—右键【属性】—找到【TCP/IP协议】—手动设置IP地址。
【解决方案】:
打开【开始】菜单—【控制面板】—【网络和共享中心】 打开【更改适配器设置】. 找到您想改的连接, 右键属性找到【TCP/IP4协议】手动设置IP地址。
回答
Linux netstat命令用于显示网络状态。
利用netstat指令可让你得知整个Linux系统的网络情况。
语法
netstat [-acCeFghilMnNoprstuvVwx][-A<网络类型>][--ip] 1 参数说明:
-a或–all 显示所有连线中的Socket。 -A<网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。 -c或–continuous 持续列出网络状态。 -C或–cache 显示路由器配置的快取信息。 -e或–extend 显示网络其他相关信息。 -F或–fib 显示FIB。 -g或–groups 显示多重广播功能群组组员名单。 -h或–help 在线帮助。 -i或–interfaces 显示网络界面信息表单。 -l或–listening 显示监控中的服务器的Socket。 -M或–masquerade 显示伪装的网络连线。 -n或–numeric 直接使用IP地址,而不通过域名服务器。 -N或–netlink或–symbolic 显示网络硬件外围设备的符号连接名称。 -o或–timers 显示计时器。 -p或–programs 显示正在使用Socket的程序识别码和程序名称。 -r或–route 显示Routing Table。 -s或–statistice 显示网络工作信息统计表。 -t或–tcp 显示TCP传输协议的连线状况。 -u或–udp 显示UDP传输协议的连线状况。 -v或–verbose 显示指令执行过程。 -V或–version 显示版本信息。 -w或–raw 显示RAW传输协议的连线状况。 -x或–unix 此参数的效果和指定"-A unix"参数相同。 –ip或–inet 此参数的效果和指定"-A inet"参数相同。 实例
如何查看系统都开启了哪些端口?
[root@centos6 ~ 13:20 #55]# netstat -lnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1035/sshd tcp 0 0 :::22 :::* LISTEN 1035/sshd udp 0 0 0.0.0.0:68 0.0.0.0:* 931/dhclient Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 6825 1/init @/com/ubuntu/upstart unix 2 [ ACC ] STREAM LISTENING 8429 1003/dbus-daemon /var/run/dbus/system_bus_socket 1 2 3 4 5 6 7 8 9 10 如何查看网络连接状况?
[root@centos6 ~ 13:22 #58]# netstat -an Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 192.168.147.130:22 192.168.147.1:23893 ESTABLISHED tcp 0 0 :::22 :::* LISTEN udp 0 0 0.0.0.0:68 0.0.0.0:* 1 2 3 4 5 6 7 如何统计系统当前进程连接数?
输入命令 netstat -an | grep ESTABLISHED | wc -l 。 输出结果 177 。一共有 177 连接数。 用 netstat 命令配合其他命令,按照源 IP 统计所有到 80 端口的 ESTABLISHED 状态链接的个数?
严格来说,这个题目考验的是对 awk 的使用。
首先,使用 netstat -an|grep ESTABLISHED 命令。结果如下:
tcp 0 0 120.27.146.122:80 113.65.18.33:62721 ESTABLISHED tcp 0 0 120.27.146.122:80 27.43.83.115:47148 ESTABLISHED tcp 0 0 120.27.146.122:58838 106.39.162.96:443 ESTABLISHED tcp 0 0 120.27.146.122:52304 203.208.40.121:443 ESTABLISHED tcp 0 0 120.27.146.122:33194 203.208.40.122:443 ESTABLISHED tcp 0 0 120.27.146.122:53758 101.37.183.144:443 ESTABLISHED tcp 0 0 120.27.146.122:27017 23.105.193.30:50556 ESTABLISHED
回答
详细解答可以参考官方帮助文档
本文介绍了几个常见的安全组应用案例,同时包括专有网络(VPC)和经典网络 的安全组设置说明。
说明
创建安全组和添加安全组规则的详细操作,请参见
创建安全组
和
添加安全组规则。
常用端口,请参见
ECS 实例常用端口介绍。
常用端口的安全组规则配置,请参见
安全组规则的典型应用。
案例 1:实现内网互通
场景举例:经典网络里,如果需要在同一个地域内不同账号或不同安全组的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
场景举例:如果您的ECS实例因为异常的IP地址登录引发安全问题或者造成内存溢出、带宽跑满、CPU跑满等问题,您可以通过安全组设置拦截这些异常IP地址。
案例 3:只允许特定IP地址远程登录到实例
场景举例:如果您的ECS实例被肉鸡,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例 4:只允许实例访问外部特定IP地址
场景举例:如果您的ECS实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例 5:允许远程连接实例
场景举例:您可以通过公网或内网远程连接到实例上,管理实例。
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
案例 1:实现内网互通
使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况:
场景 1:实例属于同一个地域、同一个账号
场景 2:实例属于同一个地域、不同账号
说明
对于VPC网络类型的ECS实例,如果它们在同一个VPC网络内,可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内(无论是否属于同一个账号或在同一个地域里),您可以 使用高速通道实现VPC互通。
场景 1:同一地域、同一账号
VPC:处于同一个VPC内的ECS实例,在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
不需要设置
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
优先级
授权类型
授权对象
经典网络
内网
入方向
允许
设置适用的协议类型
设置端口范围
1
安全组访问(本账号授权)
选择允许访问的实例所在的安全组ID
同一地域、同一账号的2个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,根据网络类型做不同的设置:
场景 2:同一地域、不同账号
这部分的描述仅适用于经典网络类型的ECS实例。
同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:
UserA在华东1有一台经典网络的ECS实例InstanceA(内网IP:A.A.A.A),InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB(内网IP:B.B.B.B),InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则,授权InstanceB内网访问InstanceA,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupB的ID,并在 账号ID 里填写UserB的ID
1
在GroupB中添加安全组规则,授权InstanceA内网访问InstanceB,如下表所示。
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
内网
入方向
允许
选择适用的协议类型
设置端口范围
安全组访问(跨账号授权)
GroupA的ID,并在 账号ID 里填写UserA的ID
1
说明
出于安全性考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单IP授权,授权对象的格式只能是a.b.c.d/32,其中IP地址应根据您的实际需求设置,仅支持IPv4,子网掩码必须是/32。
案例 2:屏蔽、拦截、阻断特定IP地址对实例或实例特定端口的访问
如果需要使用安全组屏蔽、拦截、阻止特定IP地址对您的ECS实例的访问,或者屏蔽特定IP地址访问ECS实例的特定端口(如本例中的TCP 22端口),您可以参考以下示例设置安全组规则:
如果要拒绝特定公网IP地址段对ECS所有端口的访问,添加如下表所示的安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
全部
-1/-1
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
如果要拒绝特定IP地址段对ECS特定端口(如TCP 22端口)的访问,添加如下安全组规则:
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
拒绝
SSH(22)
22/22
地址段访问
待屏蔽的IP地址段,采用CIDR格式,如a.b.c.d/27。关于CIDR格式介绍,请参见 ECS实例子网划分和掩码表示方法。
1
经典网络
公网
案例 3:只允许特定IP地址远程登录到实例
如果您只想让某些特定IP地址远程登录到实例,可以参考以下示例的步骤在实例所在安全组里添加以下2条规则(以Linux实例为例,设置只让特定IP地址访问TCP 22端口):
允许特定IP地址访问TCP 22端口,优先级为1,优先级最高,最先执行。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
SSH(22)
22/22
地址段访问
允许远程连接的IP地址,如1.2.3.4。
1
经典网络
公网
拒绝其他IP地址访问TCP 22端口,优先级为2,低于优先级为1的规则。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
拒绝
SSH(22)
22/22
地址段访问
0.0.0.0/0
2
经典网络
公网
完成设置后:
使用IP地址为 1.2.3.4 的机器远程连接Linux实例时,连接成功。
其他IP地址的机器远程连接Linux实例时,连接失败。
案例 4:只允许实例访问外部特定IP地址
如果您只想让实例访问特定的IP地址,参考以下示例的步骤在实例所在安全组中添加安全组规则:
禁止实例以任何协议访问所有公网IP地址,优先级应低于允许访问的规则(如本例中设置优先级为2)。安全组规则如下表所示。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
拒绝
全部
-1/-1
地址段访问
0.0.0.0/0
2
经典网络
公网
允许实例访问特定公网IP地址,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为1)
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
出方向
允许
选择适用的协议类型
设置端口范围
地址段访问
允许实例访问的特定公网IP地址,如1.2.3.4。
1
经典网络
公网
添加了安全组规则后,在连接实例,执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址,说明安全组规则已经生效。
案例 5:允许远程连接实例
允许远程连接ECS实例分为两种情况:
场景 1:允许公网远程连接指定实例
场景 2:允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例
场景 1:允许公网远程连接实例
如果要允许公网远程连接实例,参考以下示例添加安全组规则。
VPC:添加如下所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定IP地址远程连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:添加如下表所示安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
如果允许任意公网IP地址连接实例,填写0.0.0.0/0。如果只允许特定公网IP地址连接实例,参见 案例 3:只允许特定IP地址远程登录到实例。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
自定义远程连接端口的详细操作,请参见 服务器默认远程端口修改。
场景 2:允许内网其他账号下某个安全组内的ECS实例远程连接您的实例
如果您的账号与同地域其他账号内网互通,而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例,按以下示例添加安全组规则。
允许内网其他账号某个实例内网IP地址连接您的实例
VPC:先保证2个账号的实例
同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的私有IP地址
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络:应添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
地址段访问
对方实例的内网IP地址,出于安全性考虑,仅支持单IP授权,例如:a.b.c.d/32。
1
Linux:SSH(22)
22/22
自定义TCP
自定义
允许内网其他账号某个安全组里的所有ECS实例连接您的实例
VPC类型的实例,先保证2个账号的实例
同账号VPC互连,再添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要设置
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
经典网络实例,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
内网
入方向
允许
Windows:RDP(3389)
3389/3389
安全组访问(跨账号授权)
对方ECS实例所属的安全组ID,并填写对方账号ID
1
Linux:SSH(22)
22/22
自定义TCP
自定义
案例 6:允许公网通过HTTP、HTTPS等服务访问实例
如果您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
VPC:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
VPC
不需要配置
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
经典网络:假设允许公网上所有IP地址访问您的网站,添加如下表所示的安全组规则。
网络类型
网卡类型
规则方向
授权策略
协议类型
端口范围
授权类型
授权对象
优先级
经典网络
公网
入方向
允许
HTTP(80)
80/80
地址段访问
0.0.0.0/0
1
HTTPS(443)
443/443
自定义TCP
自定义,如8080/8080
说明
如果您无法通过
http://公网 IP 地址访问您的实例,请参见
检查TCP 80端口是否正常工作。
80端口是HTTP服务默认端口。如果要使用其他端口,如8080端口,您必须修改Web服务器配置文件中监听端口设置,具体操作,请参见
修改nginx/Tomcat等Web服务的端口监听地址
或
ECS Windows Server修改IIS监听的IP地址。