×

幫助中心

常見問題
域名類
?  域名介紹
?  注冊/續(xù)費
?  域名管理
?  域名過戶
?  域名轉(zhuǎn)移
?  增值服務
?  域名交易
?  通用網(wǎng)址
?  產(chǎn)品更新日志
郵局類
?  產(chǎn)品簡介
?  產(chǎn)品管理
?  郵件客戶端
?  郵箱用戶操作指南
?  郵箱管理員操作指南
?  產(chǎn)品使用手冊
?  代理商控制臺操作指南
?  產(chǎn)品更新日志
云虛機類
?  購買與升級
?  FTP
?  主機管理
?  技術問題
?  數(shù)據(jù)庫
?  產(chǎn)品更新日志
ECS云主機類
?  產(chǎn)品更新日志
會員類
?  會員注冊
?  信息修改
?  忘記密碼
?  賬戶實名認證
?  產(chǎn)品更新日志
財務類
?  后付費計費
?  在線支付
?  線下匯款
?  發(fā)票問題
?  匯款單招領
?  退款問題
?  充值業(yè)務
?  產(chǎn)品更新日志
ICP備案
?  備案問題快速咨詢通道
?  備案介紹
?  備案賬號
?  ICP備案前準備內(nèi)容
?  ICP備案流程
?  ICP備案操作指導
?  ICP備案信息查看
?  備案合規(guī)核查要求
?  資料下載
?  公安聯(lián)網(wǎng)備案與經(jīng)營性備案
?  各地管局備案通知
?  常見問題
服務類
?  ICP備案
?  小新服務
?  產(chǎn)品更新日志
網(wǎng)站定制類
?  網(wǎng)站定制問題
?  網(wǎng)站訪問問題
新辦公類
?  常見問題
?  操作手冊下載
云推送
?  云推送常見問題
速成建站
?  網(wǎng)站訪問問題
?  網(wǎng)站使用問題
?  產(chǎn)品更新日志
SSL證書
?  SSL證書常見問題
?  產(chǎn)品更新日志
新網(wǎng)云產(chǎn)品類
?  新網(wǎng)云WEB應用防火墻
?  新網(wǎng)云DDoS防護
?  云數(shù)據(jù)庫
?  云產(chǎn)品運維
?  內(nèi)容分發(fā)網(wǎng)絡CDN
?  對象存儲 S3
?  網(wǎng)絡
資料下載
新手上路

安全組用戶使用手冊

  • 作者:新網(wǎng)
  • 文章來源:新網(wǎng)
  • 點擊數(shù):100
  • 更新時間:2021-12-06 11:41:37
一、安全組概述
 
       安全組是一種虛擬防火墻,具備有狀態(tài)的數(shù)據(jù)包過濾功能,用于設置云服務器的網(wǎng)絡訪問控制,控制安全組內(nèi)云服務器的入流量和出流量,是重要的網(wǎng)絡安全隔離手段。 
        
       安全組具有以下功能特點:    
  
     (1)一臺云服務器只能關聯(lián)一個安全組。 
 
     (2)一個安全組可以管理同一個區(qū)域內(nèi)的多臺云服務器。 
 
     (3)同一區(qū)域內(nèi),不同安全組內(nèi)的云服務器之間默認內(nèi)網(wǎng)互通。 
    
     (4)可以將有相同防護需求的云服務器加入一個安全組,而無需為每一個云服務器都配置一個單獨的安全組。   
 
  1、使用限制 
      
     (1)安全組是分區(qū)域的,一臺云服務器只能與相同區(qū)域中的安全組進行關聯(lián)。   
     
     (2)每個區(qū)域最多可設置50個安全組。
 
     (3)一個安全組的訪問策略,最多可設置30條。  
     
     (4)一個云服務器只能關聯(lián)一個安全組,一個安全組可以關聯(lián)同區(qū)的多個云服務器。
 
     (5)安全組在使用中有配額限制,具體如下:                     
  
功能描述 限制
安全組個數(shù) 50個/區(qū)域
安全組規(guī)則數(shù)
其它區(qū)域:30條/安全組
二區(qū):30條
每個安全組關聯(lián)的云服務器數(shù)量 500臺
每個云服務器可以關聯(lián)的安全組個數(shù) 1個
             
  2、安全組規(guī)則
 
    組成部分
 
     安全組規(guī)則包括如下組成部分:
 
    授權(quán)策略:允許。
 
    網(wǎng)絡類型:網(wǎng)絡類型如IPV4、IPV6。
 
    協(xié)議類型:協(xié)議類型如 TCP、UDP等。
 
    端口范圍:端口如80、443、3389等。
 
    授權(quán)類型:可以IP網(wǎng)絡,也可以是一個安全組下的所有IP。
 
    授權(quán)對像:是指網(wǎng)絡入流量(入方向)或出流量(出方向)的IP,采用CIDR格式。
 
    來源:源數(shù)據(jù)(入方向)或目標數(shù)據(jù)(出方向)的 IP。
 
    規(guī)則說明
 
     安全組內(nèi)規(guī)則具有優(yōu)先級。規(guī)則優(yōu)先級通過規(guī)則在列表中的位置來表示,列表頂端規(guī)則優(yōu)先級最高,最先應用;列表底端規(guī)則優(yōu)先級最低。
 
     若有規(guī)則沖突,則默認應用位置更前的規(guī)則。
 
     當有流量入/出關聯(lián)某安全組的云服務器時,將從安全組規(guī)則列表頂端的規(guī)則開始逐條匹配至最后一條。如果匹配某一條規(guī)則成功,允許通過,則不再匹配該規(guī)則之后的規(guī)則。
   
  3、使用流程
 
     安全組的使用流程如下圖所示:
 

 
 
  4、安全組實踐建議
 
     以下為在使用或是添加安全組時的一些實踐建議
 
     使用安全組時  
 
     不建議使用一個安全組管理所有應用,不同的分層一定有不同的隔離需求。
 
     不建議為每臺云服務器單獨設置一個安全組,您只需將具有相同安全保護需求的ECS實例加入同一安全組。
 
     添加安全組規(guī)則時
 
     建議您設置簡潔的安全組規(guī)則。如果對規(guī)則的優(yōu)先級有需求,在設置時按自己需要的優(yōu)先級順序創(chuàng)建規(guī)則。      
 
     為應用添加安全組規(guī)則時遵循最小授權(quán)原則。例如,您可以:    
 
     選擇開放具體的端口,如80/80。不要設置為端口范圍,如1/80。    
 
     添加安全組規(guī)則時,謹慎授權(quán)0.0.0.0/0(全網(wǎng)段)訪問源。    
 
     每個安全組下添加的規(guī)則條數(shù)建議不要超過15條。
 
二、創(chuàng)建安全組
 
    (1)登錄 云服務器控制臺。  
  
    (2)在左側(cè)導航欄,點擊【安全】-->【安全組】,進入安全組管理頁面。  
  
    (3)在安全組管理頁面,點擊【創(chuàng)建安全組】。    
 
    (4)在彈出的“創(chuàng)建安全組”窗口中,完成以下配置:
 

   
創(chuàng)建安全組時,您可以選擇新網(wǎng)云為您提供的安全組模板:
 
   (5)點擊【確定】,完成安全組的創(chuàng)建。    
 

     
三、添加安全組規(guī)則
 
  1、前提條件
 
      您已經(jīng)創(chuàng)建一個安全組。具體操作請參見創(chuàng)建安全組。
 
      您已經(jīng)知道云服務器需要允許或禁止哪些公網(wǎng)的訪問。
 
  2、操作步驟
 
     (1)登錄 云服務器控制臺。  
 
     (2)在左側(cè)導航欄,點擊【安全】-->【安全組】,進入安全組管理頁面  
 
     (3)在安全組管理頁面,找到需要設置規(guī)則的安全組。  
 
     (4)在需要設置規(guī)則的安全組行中,點擊【配置規(guī)則】。  
 
     (5)在安全組規(guī)則頁面,點擊【添加安全組規(guī)則】,并根據(jù)實際需求進行設置。 
 
     (6)在彈出的“添加安全組規(guī)則”窗口中,設置規(guī)則。
 
 
 
    針對常用服務使用的協(xié)議及端口,規(guī)則的選項中有快速模板,方便您快速設置規(guī)則,詳見常用端口
 
    如果您沒有找到合適的快速模板,可以在規(guī)則的選項中選自定義,根據(jù)您業(yè)務需要進行設置即可。
 
四、云服務器關聯(lián)安全組
 
    安全組用于設置單臺或多臺云服務器的網(wǎng)絡訪問控制,是重要的網(wǎng)絡安全隔離手段。您可以根據(jù)業(yè)務需要,將云服務器關聯(lián)到一個安全組。下面將指導您如何在控制臺上將云服務器關聯(lián)安全組。    
 
    說明:安全組僅支持關聯(lián)云服務器。
 
  1、前提條件
 
     您已創(chuàng)建云服務器。
 
  2、操作步驟      
  
     (1)登錄 云服務器控制臺。
 
     (2)在左側(cè)導航欄,點擊【云服務器ECS】,進入云服務器管理頁面。 
 
     (3)在云服務器管理頁面,找到需要關聯(lián)安全組的云服務器,點擊云服務器的名稱,進入詳情頁面。
 
     (4)在詳情頁面,點擊【更換安全組】
 
     (5)在彈出的“綁定安全組”窗口中,選擇云服務器需要綁定的安全組,點擊【確定】。
 

五、 管理安全組
 
  1、查看安全組 
 
      您可以查看已經(jīng)創(chuàng)建的安全組,下面將指導您如何在控制臺上查看安全組。
 
     操作步驟
 
     查看所有安全組
 
     (1)登錄 云服務器控制臺。  
    
     (2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面,即可查看所有安全組。
 

 
    查看指定安全組
 
    (1)登錄 云服務器控制臺。
 
    (2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面
 
    (3)在安全組管理頁面,搜索框內(nèi)輸入安全組ID 或安全組名稱,注意要輸入全稱。 
 
  2、更換安全組
 
      您可以根據(jù)業(yè)務需要,更換云服務器綁定的安全組。 
 
      前提條件
 
      云服務器已綁定某個安全組。
 
     操作步驟
 
     (1)登錄 云服務器控制臺。
 
     (2)在左側(cè)導航欄,點擊【云服務器ECS】,進入云服務器管理頁面。
 
     (3)在云服務器管理頁面,找到需要更換安全組的云服務器,點擊云服務器的名稱,進入詳情頁面。
 
     (4)在詳情頁面,點擊【更換安全組】

 
    (5)在彈出的“綁定安全組”窗口中,選擇云服務器需要綁定的安全組,點擊【確定】。
 

 
3、刪除安全組
 
   如果您的業(yè)務不再某個安全組,您可以刪除安全組。
 
      前提條件
 
      請確認待刪除的安全組不存在關聯(lián)的云服務器。若存在關聯(lián)的云服務器,請先將關聯(lián)云服務器關聯(lián)至其它安全組,否則刪除安全組操作不可執(zhí)行。
 
      操作步驟
 
      (1)登錄 云服務器控制臺。
   
      (2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面。
 
      (3)在安全組管理頁面,找到需要刪除的安全組。
   
      (4)在彈出的提示框中,單擊【確定】。

六、管理安全組規(guī)則
 
  1、查看安全組規(guī)則
 
      添加安全組規(guī)則后,您可以在控制臺上查看安全組規(guī)則的詳細信息。
 
  前提條件
 
  已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
   
  如何創(chuàng)建安全組和添加安全組規(guī)則,請參見 創(chuàng)建安全組 和 添加安全組規(guī)則。
 
     操作步驟
 
     (1)登錄 云服務器控制臺。    
  
     (2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面。    
  
     (3)在安全組管理頁面,找到需要查看規(guī)則的安全組。 
     
     (4)在需要查看規(guī)則的安全組行的最右側(cè),點擊【配置規(guī)則】,進入安全組規(guī)則頁面。      
 
     (5)在安全組規(guī)則頁面,單擊【入方向/出方向】頁簽,可以查看到入方向/出方向的安全組規(guī)則。
 
  2、修改安全組規(guī)則  
 
       前提條件
 
       已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
 
     操作步驟
 
     (1)登錄 云服務器控制臺;             
 
     (2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面;          
 
     (3)在安全組管理頁面,找到需要查看規(guī)則的安全組          
 
     (4)在需要查看規(guī)則的安全組行的最右端,點擊【配置規(guī)則】,進入安全組規(guī)則頁面        
 
     (5)在安全組規(guī)則頁面,找到需要修改的規(guī)則行中,點擊操作列的【修改】,即可對已有規(guī)則進行修改。
   
  3、刪除安全組規(guī)則
 
      如果您不再需要某個安全組規(guī)則,可以刪除安全組規(guī)則。
 
     前提條件
 
     已創(chuàng)建安全組,并已在該安全組中添加了安全組規(guī)則。
   
    已確認云服務器不需要允許哪些公網(wǎng)訪問。
 
      操作步驟
 
      (1)登錄 云服務器控制臺。                    
 
      (2)在左側(cè)導航欄,單擊【安全組】,進入安全組管理頁面。                  
 
      (3)在安全組管理頁面,找到需要查看規(guī)則的安全組。                    
 
      (4)在需要查看規(guī)則的安全組行的最右側(cè),點擊【配置規(guī)則】,進入安全組規(guī)則頁面。                    
 
      (5)在安全組規(guī)則頁面,找到待刪除的安全組規(guī)則行中,點擊操作列的【刪除】                    
 
      (6)在彈出的提示框中,單擊【確定】。  
 
七、常用端口
 

協(xié)議類型

端口

服務

說明

TCP

21

FTP

用于上傳、下載文件。

TCP

22

SSH

用于遠程桌面服務,連接Linux系統(tǒng)的云服務器。

TCP

25

SMTP

用于郵件發(fā)送服務。

UDP

69

TFTP

簡單文件傳輸協(xié)議

TCP

80

HTTP

用于HTTP服務(Web服務),例如,IIS、Apache、Nginx等服務。

TCP

110

POP3

用于POP3協(xié)議,POP3是電子郵件收發(fā)的協(xié)議。

TCP

143

IMAP

用于IMAP(Internet Message Access Protocol)協(xié)議,IMAP是用于電子郵件的接收的協(xié)議。

TCP

389

IDAP

LDAP輕型目錄訪問協(xié)議,常用于單點登錄服務

TCP

443

HTTPS

用于HTTPS服務提供訪問功能。HTTPS是一種能提供加密和通過安全端口傳輸?shù)囊环N協(xié)議。

TCP

1433

MS SQL

SQL Server的TCP端口,用于供SQL Server對外提供服務。

TCP

1434

SQL Server

SQL Server的UDP端口,用于返回SQL Server使用了哪個TCP/IP端口。

TCP

3306

MYSQL

MySQL數(shù)據(jù)庫對外提供服務的端口。

TCP

3389

RDP

用于遠程桌面服務,連接Windows系統(tǒng)的云服務器。

ICMP

ping服務

 
 

主機管理

免費咨詢獲取折扣

Loading