安全组
2022-7-18 大约 2 分钟
# 安全组
# 基本概念
安全组是一种分布式、有状态的包过滤功能的虚拟防火墙,通过配置安全组规则策略对云主机的出入流量进行安全过滤,实现对云主机的网络访问控制。创建云主机时,须关联相应的安全组,将同一地域内具有相同网络安全隔离需求的云资源加到同一个安全组内,从而控制多个资源的访问流量。
# 安全组规则
安全组云主机之间通信前,会逐一匹配其绑定的安全组下的安全组规则,安全组是有状态的,可根据业务需要配置安全组规则,如安全组有相关规则支持时,则可进行通信。安全组规则包括如下信息:
| 属性 | 说明 | 示例 |
|---|---|---|
| 类型 | 常用的协议类型,包括自定义TCP、自定义UDP、ICMP | 自定义TCP、ICMP等 |
| 协议 | 根据应用类型选择,显示所属协议类型 | ssh、TCP |
| 目标端口 | 安全组作用的云主机端口或端口范围,取值1-65535 | 如“22”或端口范围如“20-22” |
| 源IP | 入站规则独有属性,允许访问的IP地址段(CIDR) | 10.0.0.1/32,0.0.0.0/0 |
| 目的IP | 出站规则独有属性,允许被访问的IP地址(CIDR) | 10.0.0.1/32,0.0.0.0/0 |
| 策略 | 允许或拒绝安全组规则,新增规则默认为“允许”,暂不支持新增“拒绝”策略的安全组规则 | 允许 |
| 备注 | 标识规则用途等 | 属于A业务 |
| 创建时间 | 创建安全组规则的时间 | 2022-0622 12:00:00 |
# 使用安全组
创建实例资源时可选择默认安全组,或新建安全组,新建安全组时默认对所有出口/入口流量执行All drop规则;您可以随时添加或删除安全组的规则,新规则会自动应用于与该安全组相关联的所有云主机。
CSDN 开发云提供三种默认安全组,具体规则如下:
- Linux安全组开放22端口 :仅暴露 SSH 登录的 TCP 22端口到公网,内网端口全通;
- Windows 安全组开放3389端口:仅暴露 MSTSC 登录的TCP 3389端口到公网,内网端口全通;
- 默认安全组开放全部端口:暴露全部端口到公网和内网,有一定安全风险,请慎重选择。