概述
企业安全组(新)是一种全新的安全组控制平面,对安全组的配置逻辑进行了重新设计,维护了统一的访问控制管理页面,极大优化了安全组的使用体验。提供基于“访问源+访问目的+目的端口+协议”的四元组规则配置界面,通过智能转换算法自动下发安全组策略,大幅简化了安全组的配置操作。
已支持资产类型
已支持资产类型有 VPC、SUBNET、CVM、ENI、CLB、TDSQL、TDSQL-C、MYSQL、MARIADB、SQLSERVER、POSTGRESQL、REDIS、MONGODB。
核心特性
基于访问源与访问目的定义规则,系统自动将策略转换为传统安全组规则,并下发至目标实例,无需手动逐台配置。
默认情况下,一条规则会自动生成双向(入站与出站)的安全组规则。若需单向控制,可在规则描述中添加特定关键字实现。
支持将 IP/CIDR、地域、资产实例、资产分组、资源标签、DNS域名(解析匹配)及参数模板等作为访问源或访问目的,并可进行对称组合。
当访问源或访问目的类型设置为“IP地址”时,若输入的IP地址命中您的云资产,系统会自动关联该资产。例如,输入0.0.0.0/0将同步所有关联的公网IP资产。
配置界面逻辑清晰,符合常见的访问控制列表配置习惯,简化了管理复杂度。
说明:
企业安全组(新)与互联网边界防火墙功能相互独立。即使未开启互联网边界防火墙或带宽不足,企业安全组(新)仍可正常使用。
企业安全组(新)分为IPv4和IPv6两种类型,创建规则前需选择对应类型。本文档以IPv4为例进行说明,IPv6操作流程相同。
对企业安全组(新)规则的任何操作,将在规则保存后的 1-3分钟 内生效。
查看安全组可视化
1. 登录 云防火墙控制台,在左侧导航中,选择访问控制 > 企业安全组(新)。
2. 在企业安全组(新)页面,单击安全组可视化。
3. 在安全组可视化页面,可查看实例所在的地域和各种配额信息,安全组配额可以根据实际情况去扩容。
4. 在安全组可视化页面下方,可查看关联实例、安全组列表、安全组规则。
关联实例:展示当前某个地域所有的实例,包括实例名称、实例类型、所属网络、IP 地址等信息。单击安全组或安全组规则列的“数字”,可以跳转到单个实例所对应的安全组列表或安全组规则详情页面。单击查看详情可以跳转到实例的详情页面。
安全组列表:展示了当前地域的所有安全组列表、每个安全组关联的实例、安全组规则条目数、创建时间等。单击关联实例或安全组规则列的“数字”,可以跳转到单个实例所对应的安全组列表或安全组规则详情页面。单击查看详情,可跳转到私有网络控制台安全组详情页面。
安全组规则:展示当前地域所有安全组的入站规则和出站规则,单击
5. 登录 私有网络控制台,在左侧导航中,选择安全 > 安全组,并选择所需地域和项目。
6. 单击任意一条安全组“ID/名称”,即可查看该安全组所对应的入站规则、出站规则以及关联的实例。
查看日志
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > 企业安全组(新)。
2. 在企业安全组(新)页面,可查看最近操作日志和安全组变更日志:
单击详情,可查看该条操作记录或安全组变更日志详情。
单击操作日志 > 查看操作日志,可查看详细操作记录。
单击安全组变更日志 > 全部变动日志,将会跳转到日志服务 > 操作日志 > 访问控制操作,可在此查看安全组全部变动日志。
说明:
因投递日志需1分钟左右的时间,所以日志更新会有稍许延迟。
添加规则
1. 在 企业安全组(新) 页面,单击 IPv4。
2. 在 IPv4页面,单击添加规则,将弹出“添加规则”的弹窗。
高级设置:
端口协议类型:
手动填写:手动进行目的端口的填写和协议的选择。
端口协议模板:在已有端口模板协议内容中选择所需的地址模板。自定义端口协议模板可参考地址模板 > 新增模板。
规则优先级:
最先:将优先级设置为1。
最后:将优先级设置为最大数。
自定义:自定义规则优先级。仅支持编辑首条规则的优先级,其后的规则会依次递增。
优先级:仅当高级设置 > 规则优先级设置为自定义时可编辑;优先级从数字1开始编号,数字越小表示优先级越高。当用户自定义规则优先级时,其他规则的优先级将自动按顺序顺延调整。
访问源类型:
IP 地址:任意 IPv4 地址或 CIDR 格式地址例如10.10.10.10或10.10.10.10/24。支持多个对象使用逗号分隔。
注意
访问源填写0.0.0.0/0时,后台会自动关联全部公网 IP,填写 CIDR 地址同理,仅对该网段内的公网 IP 生效。
参数模板:为用户自定义设置的参数模板。
资产实例:选择具体实例为访问源。
资产分组:选择用户自定义设置的资产分组为访问源。
资源标签:根据资源的标签来选择访问目的,标签内实例的公网 IP 会匹配企业安全组规则。
资源地域:选择具体地域为访问源。
访问目的类型:
IP 地址:访问目的仅对您的公网 IP 生效,若填写 CIDR 地址,则后台会自动关联为该地址段内包含的您的全部公网 IP。支持多个对象使用逗号分隔。
DNS 解析匹配:动态解析域名对应的 IP 地址,仅验证访问 IP 属于域名当前 DNS 解析结果。
说明:
不支持泛域名解析。
仅支持通过腾讯云 DNS 进行域名解析。
支持 A/AAAA/CNAME 记录解析域名。
每个域名解析将占用一个参数模板 IP 地址对象(ipm)配额。
参数模板:为用户自定义设置的参数模板。
资产实例:选择具体实例为访问目的。
资产分组:选择用户自定义设置的资产分组为访问目的。
资源标签:根据资源的标签来选择访问目的,标签内实例的公网 IP 会匹配企业安全组规则。
资源地域:选择具体地域为访问目的。
目的端口:支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。例如“80”、“80/80”、“-1/-1”或“80,443,3380/3389”
协议:支持 ANY、TCP、UDP、ICMP 协议。
策略:
允许:放通命中规则的流量。
拒绝:拦截命中规则的流量。
生效范围:安全组、轻量应用服务器防火墙。
描述:用于描述规则,最多支持100个字符。
3. 单击保存完成配置。
其他操作
开关操作:单击启用状态列的开关,可切换对应规则的启用状态。新添加的规则完成配置后会自动开启。
基本操作:规则添加完成后,您可通过单击操作列中的编辑、插入或删除,对相应规则进行编辑、插入或删除操作。
复制操作:当您添加或插入规则时,若已编辑完成前方规则,而后方待配置规则与前者相似,可通过使用复制功能快速生成新规则,随后根据实际需求调整细节即可。
说明
在“添加规则”的弹窗中,一行代表一条规则,每次添加规则默认插入到列表的最后位置,即执行顺序最大,优先级最低的位置。
单次最多支持添加10条规则。
单击操作栏的 
单击下方的 
导入规则:单击导入规则,可以从本地选择文件导入,您可以下载导入模板、导出现有规则、指定导入位置、指定规则备份方式和导入后启用方式。
快速排序:规则默认按优先级数值排序(优先级数值越低,规则在列表中的位置越靠前,优先级越高)。
a. 单击快速排序,将鼠标悬停至需调整的规则行任意空白处。
b. 当光标变为可拖动状态时,按住鼠标左键上下拖动至目标位置。
c. 调整完成后,单击保存即可生效。
说明:
列表上方规则的优先级高于下方规则。拖动排序后无需手动设置数值,保存即可自动更新优先级。
更多操作:单击更多操作,您可通过单击更多操作中的全部删除、全部停用、全部启用,对所有规则进行删除、停用、启用操作。
导出规则:单击规则列表上方的 
备份与回滚规则:请参见 规则备份 文档。
