×

幫助中心

常見問題
域名類
?  域名介紹
?  注冊(cè)/續(xù)費(fèi)
?  域名管理
?  域名過戶
?  域名轉(zhuǎn)移
?  增值服務(wù)
?  域名交易
?  通用網(wǎng)址
?  產(chǎn)品更新日志
郵局類
?  產(chǎn)品簡(jiǎn)介
?  產(chǎn)品管理
?  郵件客戶端
?  郵箱用戶操作指南
?  郵箱管理員操作指南
?  產(chǎn)品使用手冊(cè)
?  代理商控制臺(tái)操作指南
?  產(chǎn)品更新日志
云虛機(jī)類
?  購買與升級(jí)
?  FTP
?  主機(jī)管理
?  技術(shù)問題
?  數(shù)據(jù)庫
?  產(chǎn)品更新日志
ECS云主機(jī)類
?  產(chǎn)品更新日志
會(huì)員類
?  會(huì)員注冊(cè)
?  信息修改
?  忘記密碼
?  賬戶實(shí)名認(rèn)證
?  產(chǎn)品更新日志
財(cái)務(wù)類
?  后付費(fèi)計(jì)費(fèi)
?  在線支付
?  線下匯款
?  發(fā)票問題
?  匯款單招領(lǐng)
?  退款問題
?  充值業(yè)務(wù)
?  產(chǎn)品更新日志
ICP備案
?  備案問題快速咨詢通道
?  備案介紹
?  備案賬號(hào)
?  ICP備案前準(zhǔn)備內(nèi)容
?  ICP備案流程
?  ICP備案操作指導(dǎo)
?  ICP備案信息查看
?  備案合規(guī)核查要求
?  資料下載
?  公安聯(lián)網(wǎng)備案與經(jīng)營性備案
?  各地管局備案通知
?  常見問題
服務(wù)類
?  ICP備案
?  小新服務(wù)
?  產(chǎn)品更新日志
網(wǎng)站定制類
?  網(wǎng)站定制問題
?  網(wǎng)站訪問問題
新辦公類
?  常見問題
?  操作手冊(cè)下載
云推送
?  云推送常見問題
速成建站
?  網(wǎng)站訪問問題
?  網(wǎng)站使用問題
?  產(chǎn)品更新日志
SSL證書
?  SSL證書常見問題
?  產(chǎn)品更新日志
新網(wǎng)云產(chǎn)品類
?  新網(wǎng)云WEB應(yīng)用防火墻
?  新網(wǎng)云DDoS防護(hù)
?  云數(shù)據(jù)庫
?  云產(chǎn)品運(yùn)維
?  內(nèi)容分發(fā)網(wǎng)絡(luò)CDN
?  對(duì)象存儲(chǔ) S3
?  網(wǎng)絡(luò)
資料下載
新手上路

安全組用戶使用手冊(cè)

  • 作者:新網(wǎng)
  • 文章來源:新網(wǎng)
  • 點(diǎn)擊數(shù):100
  • 更新時(shí)間:2021-12-06 11:41:37
一、安全組概述
 
       安全組是一種虛擬防火墻,具備有狀態(tài)的數(shù)據(jù)包過濾功能,用于設(shè)置云服務(wù)器的網(wǎng)絡(luò)訪問控制,控制安全組內(nèi)云服務(wù)器的入流量和出流量,是重要的網(wǎng)絡(luò)安全隔離手段。 
        
       安全組具有以下功能特點(diǎn):    
  
     (1)一臺(tái)云服務(wù)器只能關(guān)聯(lián)一個(gè)安全組。 
 
     (2)一個(gè)安全組可以管理同一個(gè)區(qū)域內(nèi)的多臺(tái)云服務(wù)器。 
 
     (3)同一區(qū)域內(nèi),不同安全組內(nèi)的云服務(wù)器之間默認(rèn)內(nèi)網(wǎng)互通。 
    
     (4)可以將有相同防護(hù)需求的云服務(wù)器加入一個(gè)安全組,而無需為每一個(gè)云服務(wù)器都配置一個(gè)單獨(dú)的安全組。   
 
  1、使用限制 
      
     (1)安全組是分區(qū)域的,一臺(tái)云服務(wù)器只能與相同區(qū)域中的安全組進(jìn)行關(guān)聯(lián)。   
     
     (2)每個(gè)區(qū)域最多可設(shè)置50個(gè)安全組。
 
     (3)一個(gè)安全組的訪問策略,最多可設(shè)置30條。  
     
     (4)一個(gè)云服務(wù)器只能關(guān)聯(lián)一個(gè)安全組,一個(gè)安全組可以關(guān)聯(lián)同區(qū)的多個(gè)云服務(wù)器。
 
     (5)安全組在使用中有配額限制,具體如下:                     
  
功能描述 限制
安全組個(gè)數(shù) 50個(gè)/區(qū)域
安全組規(guī)則數(shù)
其它區(qū)域:30條/安全組
二區(qū):30條
每個(gè)安全組關(guān)聯(lián)的云服務(wù)器數(shù)量 500臺(tái)
每個(gè)云服務(wù)器可以關(guān)聯(lián)的安全組個(gè)數(shù) 1個(gè)
             
  2、安全組規(guī)則
 
    組成部分
 
     安全組規(guī)則包括如下組成部分:
 
    授權(quán)策略:允許。
 
    網(wǎng)絡(luò)類型:網(wǎng)絡(luò)類型如IPV4、IPV6。
 
    協(xié)議類型:協(xié)議類型如 TCP、UDP等。
 
    端口范圍:端口如80、443、3389等。
 
    授權(quán)類型:可以IP網(wǎng)絡(luò),也可以是一個(gè)安全組下的所有IP。
 
    授權(quán)對(duì)像:是指網(wǎng)絡(luò)入流量(入方向)或出流量(出方向)的IP,采用CIDR格式。
 
    來源:源數(shù)據(jù)(入方向)或目標(biāo)數(shù)據(jù)(出方向)的 IP。
 
    規(guī)則說明
 
     安全組內(nèi)規(guī)則具有優(yōu)先級(jí)。規(guī)則優(yōu)先級(jí)通過規(guī)則在列表中的位置來表示,列表頂端規(guī)則優(yōu)先級(jí)最高,最先應(yīng)用;列表底端規(guī)則優(yōu)先級(jí)最低。
 
     若有規(guī)則沖突,則默認(rèn)應(yīng)用位置更前的規(guī)則。
 
     當(dāng)有流量入/出關(guān)聯(lián)某安全組的云服務(wù)器時(shí),將從安全組規(guī)則列表頂端的規(guī)則開始逐條匹配至最后一條。如果匹配某一條規(guī)則成功,允許通過,則不再匹配該規(guī)則之后的規(guī)則。
   
  3、使用流程
 
     安全組的使用流程如下圖所示:
 

 
 
  4、安全組實(shí)踐建議
 
     以下為在使用或是添加安全組時(shí)的一些實(shí)踐建議
 
     使用安全組時(shí)  
 
     不建議使用一個(gè)安全組管理所有應(yīng)用,不同的分層一定有不同的隔離需求。
 
     不建議為每臺(tái)云服務(wù)器單獨(dú)設(shè)置一個(gè)安全組,您只需將具有相同安全保護(hù)需求的ECS實(shí)例加入同一安全組。
 
     添加安全組規(guī)則時(shí)
 
     建議您設(shè)置簡(jiǎn)潔的安全組規(guī)則。如果對(duì)規(guī)則的優(yōu)先級(jí)有需求,在設(shè)置時(shí)按自己需要的優(yōu)先級(jí)順序創(chuàng)建規(guī)則。      
 
     為應(yīng)用添加安全組規(guī)則時(shí)遵循最小授權(quán)原則。例如,您可以:    
 
     選擇開放具體的端口,如80/80。不要設(shè)置為端口范圍,如1/80。    
 
     添加安全組規(guī)則時(shí),謹(jǐn)慎授權(quán)0.0.0.0/0(全網(wǎng)段)訪問源。    
 
     每個(gè)安全組下添加的規(guī)則條數(shù)建議不要超過15條。
 
二、創(chuàng)建安全組
 
    (1)登錄 云服務(wù)器控制臺(tái)。  
  
    (2)在左側(cè)導(dǎo)航欄,點(diǎn)擊【安全】-->【安全組】,進(jìn)入安全組管理頁面。  
  
    (3)在安全組管理頁面,點(diǎn)擊【創(chuàng)建安全組】。    
 
    (4)在彈出的“創(chuàng)建安全組”窗口中,完成以下配置:
 

   
創(chuàng)建安全組時(shí),您可以選擇新網(wǎng)云為您提供的安全組模板:
 
   (5)點(diǎn)擊【確定】,完成安全組的創(chuàng)建。    
 

     
三、添加安全組規(guī)則
 
  1、前提條件
 
      您已經(jīng)創(chuàng)建一個(gè)安全組。具體操作請(qǐng)參見創(chuàng)建安全組。
 
      您已經(jīng)知道云服務(wù)器需要允許或禁止哪些公網(wǎng)的訪問。
 
  2、操作步驟
 
     (1)登錄 云服務(wù)器控制臺(tái)。  
 
     (2)在左側(cè)導(dǎo)航欄,點(diǎn)擊【安全】-->【安全組】,進(jìn)入安全組管理頁面  
 
     (3)在安全組管理頁面,找到需要設(shè)置規(guī)則的安全組。  
 
     (4)在需要設(shè)置規(guī)則的安全組行中,點(diǎn)擊【配置規(guī)則】。  
 
     (5)在安全組規(guī)則頁面,點(diǎn)擊【添加安全組規(guī)則】,并根據(jù)實(shí)際需求進(jìn)行設(shè)置。 
 
     (6)在彈出的“添加安全組規(guī)則”窗口中,設(shè)置規(guī)則。
 
 
 
    針對(duì)常用服務(wù)使用的協(xié)議及端口,規(guī)則的選項(xiàng)中有快速模板,方便您快速設(shè)置規(guī)則,詳見常用端口
 
    如果您沒有找到合適的快速模板,可以在規(guī)則的選項(xiàng)中選自定義,根據(jù)您業(yè)務(wù)需要進(jìn)行設(shè)置即可。
 
四、云服務(wù)器關(guān)聯(lián)安全組
 
    安全組用于設(shè)置單臺(tái)或多臺(tái)云服務(wù)器的網(wǎng)絡(luò)訪問控制,是重要的網(wǎng)絡(luò)安全隔離手段。您可以根據(jù)業(yè)務(wù)需要,將云服務(wù)器關(guān)聯(lián)到一個(gè)安全組。下面將指導(dǎo)您如何在控制臺(tái)上將云服務(wù)器關(guān)聯(lián)安全組。    
 
    說明:安全組僅支持關(guān)聯(lián)云服務(wù)器。
 
  1、前提條件
 
     您已創(chuàng)建云服務(wù)器。
 
  2、操作步驟      
  
     (1)登錄 云服務(wù)器控制臺(tái)。
 
     (2)在左側(cè)導(dǎo)航欄,點(diǎn)擊【云服務(wù)器ECS】,進(jìn)入云服務(wù)器管理頁面。 
 
     (3)在云服務(wù)器管理頁面,找到需要關(guān)聯(lián)安全組的云服務(wù)器,點(diǎn)擊云服務(wù)器的名稱,進(jìn)入詳情頁面。
 
     (4)在詳情頁面,點(diǎn)擊【更換安全組】
 
     (5)在彈出的“綁定安全組”窗口中,選擇云服務(wù)器需要綁定的安全組,點(diǎn)擊【確定】。
 

五、 管理安全組
 
  1、查看安全組 
 
      您可以查看已經(jīng)創(chuàng)建的安全組,下面將指導(dǎo)您如何在控制臺(tái)上查看安全組。
 
     操作步驟
 
     查看所有安全組
 
     (1)登錄 云服務(wù)器控制臺(tái)。  
    
     (2)在左側(cè)導(dǎo)航欄,單擊【安全組】,進(jìn)入安全組管理頁面,即可查看所有安全組。
 

 
    查看指定安全組
 
    (1)登錄 云服務(wù)器控制臺(tái)。
 
    (2)在左側(cè)導(dǎo)航欄,單擊【安全組】,進(jìn)入安全組管理頁面
 
    (3)在安全組管理頁面,搜索框內(nèi)輸入安全組ID 或安全組名稱,注意要輸入全稱。 
 
  2、更換安全組
 
      您可以根據(jù)業(yè)務(wù)需要,更換云服務(wù)器綁定的安全組。 
 
      前提條件
 
      云服務(wù)器已綁定某個(gè)安全組。
 
     操作步驟
 
     (1)登錄 云服務(wù)器控制臺(tái)。
 
     (2)在左側(cè)導(dǎo)航欄,點(diǎn)擊【云服務(wù)器ECS】,進(jìn)入云服務(wù)器管理頁面。
 
     (3)在云服務(wù)器管理頁面,找到需要更換安全組的云服務(wù)器,點(diǎn)擊云服務(wù)器的名稱,進(jìn)入詳情頁面。
 
     (4)在詳情頁面,點(diǎn)擊【更換安全組】

 
    (5)在彈出的“綁定安全組”窗口中,選擇云服務(wù)器需要綁定的安全組,點(diǎn)擊【確定】。
 

 
3、刪除安全組
 
   如果您的業(yè)務(wù)不再某個(gè)安全組,您可以刪除安全組。
 
      前提條件
 
      請(qǐng)確認(rèn)待刪除的安全組不存在關(guān)聯(lián)的云服務(wù)器。若存在關(guān)聯(lián)的云服務(wù)器,請(qǐng)先將關(guān)聯(lián)云服務(wù)器關(guān)聯(lián)至其它安全組,否則刪除安全組操作不可執(zhí)行。
 
      操作步驟
 
      (1)登錄 云服務(wù)器控制臺(tái)。
   
      (2)在左側(cè)導(dǎo)航欄,單擊【安全組】,進(jìn)入安全組管理頁面。
 
      (3)在安全組管理頁面,找到需要?jiǎng)h除的安全組。
   
      (4)在彈出的提示框中,單擊【確定】。

六、管理安全組規(guī)則
 
  1、查看安全組規(guī)則
 
      添加安全組規(guī)則后,您可以在控制臺(tái)上查看安全組規(guī)則的詳細(xì)信息。
 
  前提條件
 
  已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
   
  如何創(chuàng)建安全組和添加安全組規(guī)則,請(qǐng)參見 創(chuàng)建安全組 和 添加安全組規(guī)則。
 
     操作步驟
 
     (1)登錄 云服務(wù)器控制臺(tái)。    
  
     (2)在左側(cè)導(dǎo)航欄,單擊【安全組】,進(jìn)入安全組管理頁面。    
  
     (3)在安全組管理頁面,找到需要查看規(guī)則的安全組。 
     
     (4)在需要查看規(guī)則的安全組行的最右側(cè),點(diǎn)擊【配置規(guī)則】,進(jìn)入安全組規(guī)則頁面。      
 
     (5)在安全組規(guī)則頁面,單擊【入方向/出方向】頁簽,可以查看到入方向/出方向的安全組規(guī)則。
 
  2、修改安全組規(guī)則  
 
       前提條件
 
       已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
 
     操作步驟
 
     (1)登錄 云服務(wù)器控制臺(tái);             
 
     (2)在左側(cè)導(dǎo)航欄,單擊【安全組】,進(jìn)入安全組管理頁面;          
 
     (3)在安全組管理頁面,找到需要查看規(guī)則的安全組;          
 
     (4)在需要查看規(guī)則的安全組行的最右端,點(diǎn)擊【配置規(guī)則】,進(jìn)入安全組規(guī)則頁面        
 
     (5)在安全組規(guī)則頁面,找到需要修改的規(guī)則行中,點(diǎn)擊操作列的【修改】,即可對(duì)已有規(guī)則進(jìn)行修改。
   
  3、刪除安全組規(guī)則
 
      如果您不再需要某個(gè)安全組規(guī)則,可以刪除安全組規(guī)則。
 
     前提條件
 
     已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
   
    已確認(rèn)云服務(wù)器不需要允許哪些公網(wǎng)訪問。
 
      操作步驟
 
      (1)登錄 云服務(wù)器控制臺(tái)。                    
 
      (2)在左側(cè)導(dǎo)航欄,單擊【安全組】,進(jìn)入安全組管理頁面。                  
 
      (3)在安全組管理頁面,找到需要查看規(guī)則的安全組。                    
 
      (4)在需要查看規(guī)則的安全組行的最右側(cè),點(diǎn)擊【配置規(guī)則】,進(jìn)入安全組規(guī)則頁面。                    
 
      (5)在安全組規(guī)則頁面,找到待刪除的安全組規(guī)則行中,點(diǎn)擊操作列的【刪除】。                    
 
      (6)在彈出的提示框中,單擊【確定】。  
 
七、常用端口
 

協(xié)議類型

端口

服務(wù)

說明

TCP

21

FTP

用于上傳、下載文件。

TCP

22

SSH

用于遠(yuǎn)程桌面服務(wù),連接Linux系統(tǒng)的云服務(wù)器。

TCP

25

SMTP

用于郵件發(fā)送服務(wù)。

UDP

69

TFTP

簡(jiǎn)單文件傳輸協(xié)議

TCP

80

HTTP

用于HTTP服務(wù)(Web服務(wù)),例如,IIS、Apache、Nginx等服務(wù)。

TCP

110

POP3

用于POP3協(xié)議,POP3是電子郵件收發(fā)的協(xié)議。

TCP

143

IMAP

用于IMAP(Internet Message Access Protocol)協(xié)議,IMAP是用于電子郵件的接收的協(xié)議。

TCP

389

IDAP

LDAP輕型目錄訪問協(xié)議,常用于單點(diǎn)登錄服務(wù)

TCP

443

HTTPS

用于HTTPS服務(wù)提供訪問功能。HTTPS是一種能提供加密和通過安全端口傳輸?shù)囊环N協(xié)議。

TCP

1433

MS SQL

SQL Server的TCP端口,用于供SQL Server對(duì)外提供服務(wù)。

TCP

1434

SQL Server

SQL Server的UDP端口,用于返回SQL Server使用了哪個(gè)TCP/IP端口。

TCP

3306

MYSQL

MySQL數(shù)據(jù)庫對(duì)外提供服務(wù)的端口。

TCP

3389

RDP

用于遠(yuǎn)程桌面服務(wù),連接Windows系統(tǒng)的云服務(wù)器。

ICMP

ping服務(wù)

 
 

主機(jī)管理

免費(fèi)咨詢獲取折扣

Loading