功能简介
企业安全组(新)提供统一的访问控制管理页面,规则按访问源 + 访问目的 + 目的端口 + 协议的四元组配置,由系统转换为传统安全组规则并下发至目标实例所绑定的安全组。
核心特性
与互联网边界防火墙相互独立,未启用互联网边界防火墙或带宽不足时仍可正常使用。
按访问源与访问目的定义规则,由系统转换后下发到目标实例,无需逐台配置。
一条规则默认同时生成入站与出站两个方向的安全组规则;如需单向控制,可在规则描述中添加特定关键字。
访问源与访问目的支持 IP/CIDR、地域、资产实例、资产分组、资源标签、DNS 域名、参数模板等多种类型,并可对称组合。
访问源或访问目的类型为 IP 地址时,若填写的 IP 命中云资产,系统会自动关联。例如填写
0.0.0.0/0 时,将关联全部公网 IP 资产。配置界面贴近常见的访问控制列表使用习惯。
支持资产
企业安全组(新)支持纳管以下资产类型:
资产类型 | 说明 |
云服务器(CVM) | 云服务器实例 |
弹性网卡(ENI) | 弹性网卡实例 |
负载均衡(CLB) | 负载均衡实例 |
云数据库与中间件 | 包含云数据库 TDSQL、TDSQL-C、MySQL、MariaDB、SQL Server、PostgreSQL、Redis、MongoDB,Elasticsearch Service(ES),消息队列 CKafka |
容器服务(TKE) | 支持普通节点、原生节点、超级节点 |
轻量应用服务器防火墙(Lighthouse) | 轻量应用服务器防火墙实例 |
说明:
添加规则时,访问源或访问目的还可选择私有网络(VPC)、子网(Subnet),命中后将作用于子网或 VPC 内符合条件的资产。
查看安全组
1. 登录 云防火墙控制台,在左侧导航中,选择访问控制 > 企业安全组(新)。
2. 在企业安全组(新)页面,单击安全组可视化。
3. 在安全组可视化页面,可查看各地域实例的配额信息,当配额达到限制时,单击管理配额前往配额管理工具进行调整。
4. 在安全组可视化页面下方,可查看关联实例、安全组列表、安全组规则。
关联实例:展示当前地域所有的实例信息。单击安全组或安全组规则列的数字,可以跳转到实例所对应的安全组列表或安全组规则详情页面。
单击查看详情,可以跳转到实例的详情页面。
安全组列表:展示当前地域的所有安全组列表信息。单击关联实例或安全组规则列的数字,可以跳转到实例所对应的安全组列表或安全组规则详情页面。
单击查看详情,可跳转到私有网络控制台安全组详情页面。
安全组规则:展示当前地域所有安全组的入站规则和出站规则,单击
5. 登录 私有网络控制台,在左侧导航中,选择安全 > 安全组,并选择目标地域和项目。
6. 单击任意一条安全组 ID/名称,即可查看该安全组所对应的入站规则、出站规则以及关联的实例。
查看日志
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > 企业安全组(新)。
2. 在企业安全组(新)页面,可查看最近操作日志和安全组变更日志:
单击详情,可查看该条操作记录或安全组变更日志详情。
单击操作日志 > 查看操作日志,可查看详细操作记录。
单击安全组变更日志 > 全部变动日志,将会跳转到日志服务 > 操作日志 > 访问控制操作,可在此查看安全组全部变动日志。
说明:
因投递日志需1分钟左右的时间,所以日志更新会有稍许延迟。
添加规则
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > 企业安全组(新)。
2. 在 企业安全组(新) 页面,根据需要选择 IPv4 或 IPv6 类型。
3. 单击添加规则,配置下列参数。
高级设置:
端口协议类型:
手动填写:手动填写目的端口并选择协议。
端口协议模板:在已有模板中选择所需模板;自定义模板详情请参见 地址模板 > 新增模板。
规则优先级:
最先:将优先级设为 1。
最后:将优先级设为当前最大值。
自定义:自定义规则优先级。仅支持编辑首条规则的优先级,后续规则会依次递增。
优先级:仅当高级设置 >规则优先级设为自定义时可编辑。优先级从 1 开始编号,数值越小优先级越高;调整后,其他规则的优先级会按顺序顺延。
访问源类型:
IP 地址:填写任意 IPv4 地址或 CIDR,例如
10.10.10.10 或 10.10.10.10/24;多个对象用英文逗号分隔。注意:
填写
0.0.0.0/0 时将关联全部公网 IP;填写 CIDR 时,仅对该网段内的公网 IP 生效。参数模板:选择自定义的参数模板。
资产实例:选择具体实例作为访问源。
资产分组:选择自定义的资产分组作为访问源。
资源标签:按资源标签匹配,标签下实例的公网 IP 将匹配规则。
资源地域:选择具体地域作为访问源。
访问目的类型:
IP 地址:仅对云上公网 IP 生效;填写 CIDR 时将关联该网段内全部公网 IP,多个对象用英文逗号分隔。
DNS 解析匹配:按域名当前的 DNS 解析结果动态匹配 IP。
说明:
不支持泛域名解析,仅支持通过腾讯云 DNS 进行域名解析;支持 A/AAAA/CNAME 记录解析域名。每个域名解析将占用一个参数模板 IP 地址对象(ipm)配额。
参数模板:选择自定义的参数模板。
资产实例:选择具体实例作为访问目的。
资产分组:选择自定义的资产分组作为访问目的。
资源标签:按资源标签匹配,标签下实例的公网 IP 将匹配规则。
资源地域:选择具体地域作为访问目的。
目的端口:支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。
目的端口实例 | 说明 |
-1/-1 | 表示全部端口。 |
80 | 表示 80 端口。 |
80,443,3389 | 表示对 80、443、3389 三个端口生效。 |
80/443 | 表示对 80 到 443 之间的全部端口生效。 |
80/443,3389 | 表示对 80 到 443 之间全部端口与 3389 端口生效。 |
协议:支持 ANY、TCP、UDP、ICMP。
策略:
允许:放通命中规则的流量。
拒绝:拦截命中规则的流量。
生效范围:安全组、轻量应用服务器防火墙。
描述:用于描述规则,最多 100 个字符。
4. 完成单条规则配置后,可通过以下方式快捷添加其他规则:
单击操作栏的
单击下方的
5. 单击保存完成配置。规则保存后是否下发到目标资产,取决于自动下发开关:
开关开启时:每次规则操作会自动触发下发流程,将规则实际绑定到目标安全组。
开关关闭时:规则操作仅写入规则列表,不会自动下发;需在确认后单击开始下发手动触发下发流程。
说明:
规则下发完成后,将在 1~3 分钟内于目标资产生效。
开关状态对存量规则没有影响,仅作用于切换之后的规则操作。
开关关闭时,规则改动保存后可单击预览变动,在弹窗中查看本次改动对各类资产的影响。
管理规则
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > 企业安全组(新)。
2. 在 企业安全组(新) 页面,根据需要选择 IPv4 或 IPv6 类型。可对已有规则执行以下操作:
开关操作:单击启用状态列的开关可切换规则启用状态。新增规则保存后会自动启用。
基本操作:在操作列单击编辑、插入或删除,对规则进行相应操作。
快速排序:规则默认按优先级数值升序排列(数值越小越靠前,优先级越高)。
a. 单击快速排序,将鼠标悬停至需调整的规则行任意空白处。
b. 当光标变为可拖动状态时,按住鼠标左键上下拖动至目标位置。
c. 调整完成后单击保存生效。
说明:
列表上方规则的优先级高于下方规则。拖动排序后无需手动设置数值,保存即可自动更新优先级。
全部操作:单击更多操作,可对所有规则执行全部删除、全部停用、全部启用。
批量操作:勾选需要进行批量操作的规则,单击更多操作,可对所选规则执行批量删除、批量停用、批量启用和添加自动化任务。添加自动化任务操作详情参见 自动化助手 > 添加自动化任务。
导入规则:单击导入规则从本地选择文件导入;支持下载导入模板、导出现有规则、指定导入位置、规则备份方式与导入后的启用方式。
导出规则:单击规则列表上方的 
备份与回滚:详情请参见 规则备份 文档。
