文档平台

API 文档

安全组

最近更新时间:2018-07-12 16:27:00

查看pdf

安全组概述

安全组是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。

  • 安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内。
  • 您可以通过安全组策略对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 。
  • 您可以随时修改安全组的规则。新规则立即生效。

安全组模板

安全组支持自定义创建和模板创建,目前提供三个模板:

  • Linux 放通 22 端口 :仅暴露 SSH 登录的 TCP 22 端口到公网,内网端口全通。
  • Windows 放通 3389 端口:仅暴露 MSTSC 登录的 TCP 3389 端口到公网,内网端口全通。
  • 放通全部端口:暴露全部端口到公网和内网,有一定安全风险。

安全组规则

安全组规则可控制允许到达与安全组相关联的实例的入站流量,以及允许离开实例的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组将 All Drop (拒绝)所有流量,云服务器绑定一个无规则的安全组拒绝所有流量。

对于安全组的每条规则,您可以指定以下几项内容:

  • 类型:您可以选择系统规则模板,或者自定义规则。
  • 来源或目标:流量的源(入站规则) 或目标(出站规则),请指定以下选项之一:
    • 用 CIDR 表示法,指定的单个 IP 地址。
    • 用 CIDR 表示法,指定的 IP 地址范围(例如: 203.0.113.0/24 )。
    • 引用安全组 ID ,您可以引用以下安全组的ID之一:
      • 当前安全组。(表示与安全组关联的 CVM 可/不可互访)
      • 其他安全组。同一区域中同一项目下的另一个安全组 ID 。
    • 引用 参数模板 中的 IP 地址对象或 IP 地址组对象。
  • 协议端口:填写协议类型和端口范围,您也可以引用 参数模板 中的协议端口或协议端口组。
  • 策略:允许或拒绝。

注意:

  • 引用安全组 ID 法作为高阶功能,您可选择使用。所引用安全组的规则不会被添加到当前安全组。
  • 在配置安全组规则时,如果在来源/目标中输入安全组 ID ,表示仅将此安全组 ID 所绑定的 CVM、弹性网卡的内网 IP 地址作为来源/目标,不包括外网 IP 地址。

安全组优先级

  • 实例绑定多个安全组时的优先级为:数字越小,优先级越高
  • 安全组内规则的优先级为:位置越上,优先级越高

实例绑定安全组时,如果该安全组内无任何规则,将默认拒绝所有流量。

安全组的限制

  • 安全组区分地域和项目,CVM 只能与相同地域、相同项目中的安全组进行绑定。
  • 安全组适用于任何处在 网络环境 下的 CVM 实例。
  • 每个用户在每个地域每个项目下最多可设置 50 个安全组。
  • 一个安全组入站方向或出站方向的访问策略,各最多可设定 100 条。
  • 一个 CVM 可以加入多个安全组,一个安全组可同时关联多个 CVM ,数量无限制。
  • 基础网络 内云服务器绑定的安全组 无法过滤 来自(或去往)腾讯云上的 CDB 、弹性缓存( Redis 和 Memcached )的数据包。如果您需要过滤这类实例的流量,您可以使用 iptables 实现。
功能描述 数量
安全组 50 个/地域
访问策略 100 条/入站方向,100 条/出站方向
实例关联安全组个数 无限制
安全组内实例的个数 无限制

注意:
如果您有大量实例需要互访,可以将他们分配到多个安全组内,并通过安全组 ID 的规则配置进行互相授权,允许互访。

安全组与网络 ACL 的区别

安全组 网络ACL
在实例级别的操作(第一防御层) 在子网级别的操作(第二防御层)
支持允许规则和拒绝规则 支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响 无状态:返回数据流必须被规则明确允许
只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例 自动应用到关联子网内的所有 CVM 实例

安全组云 API

安全组的开发者工具,您可通过云 API 来完成安全组操作、安全组与 CVM 实例的配置管理等,详见 安全组相关接口

API 文档

安全组

最近更新时间:2018-07-12 16:27:00

查看pdf

安全组概述

安全组是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。

  • 安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内。
  • 您可以通过安全组策略对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 。
  • 您可以随时修改安全组的规则。新规则立即生效。

安全组模板

安全组支持自定义创建和模板创建,目前提供三个模板:

  • Linux 放通 22 端口 :仅暴露 SSH 登录的 TCP 22 端口到公网,内网端口全通。
  • Windows 放通 3389 端口:仅暴露 MSTSC 登录的 TCP 3389 端口到公网,内网端口全通。
  • 放通全部端口:暴露全部端口到公网和内网,有一定安全风险。

安全组规则

安全组规则可控制允许到达与安全组相关联的实例的入站流量,以及允许离开实例的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组将 All Drop (拒绝)所有流量,云服务器绑定一个无规则的安全组拒绝所有流量。

对于安全组的每条规则,您可以指定以下几项内容:

  • 类型:您可以选择系统规则模板,或者自定义规则。
  • 来源或目标:流量的源(入站规则) 或目标(出站规则),请指定以下选项之一:
    • 用 CIDR 表示法,指定的单个 IP 地址。
    • 用 CIDR 表示法,指定的 IP 地址范围(例如: 203.0.113.0/24 )。
    • 引用安全组 ID ,您可以引用以下安全组的ID之一:
      • 当前安全组。(表示与安全组关联的 CVM 可/不可互访)
      • 其他安全组。同一区域中同一项目下的另一个安全组 ID 。
    • 引用 参数模板 中的 IP 地址对象或 IP 地址组对象。
  • 协议端口:填写协议类型和端口范围,您也可以引用 参数模板 中的协议端口或协议端口组。
  • 策略:允许或拒绝。

注意:

  • 引用安全组 ID 法作为高阶功能,您可选择使用。所引用安全组的规则不会被添加到当前安全组。
  • 在配置安全组规则时,如果在来源/目标中输入安全组 ID ,表示仅将此安全组 ID 所绑定的 CVM、弹性网卡的内网 IP 地址作为来源/目标,不包括外网 IP 地址。

安全组优先级

  • 实例绑定多个安全组时的优先级为:数字越小,优先级越高
  • 安全组内规则的优先级为:位置越上,优先级越高

实例绑定安全组时,如果该安全组内无任何规则,将默认拒绝所有流量。

安全组的限制

  • 安全组区分地域和项目,CVM 只能与相同地域、相同项目中的安全组进行绑定。
  • 安全组适用于任何处在 网络环境 下的 CVM 实例。
  • 每个用户在每个地域每个项目下最多可设置 50 个安全组。
  • 一个安全组入站方向或出站方向的访问策略,各最多可设定 100 条。
  • 一个 CVM 可以加入多个安全组,一个安全组可同时关联多个 CVM ,数量无限制。
  • 基础网络 内云服务器绑定的安全组 无法过滤 来自(或去往)腾讯云上的 CDB 、弹性缓存( Redis 和 Memcached )的数据包。如果您需要过滤这类实例的流量,您可以使用 iptables 实现。
功能描述 数量
安全组 50 个/地域
访问策略 100 条/入站方向,100 条/出站方向
实例关联安全组个数 无限制
安全组内实例的个数 无限制

注意:
如果您有大量实例需要互访,可以将他们分配到多个安全组内,并通过安全组 ID 的规则配置进行互相授权,允许互访。

安全组与网络 ACL 的区别

安全组 网络ACL
在实例级别的操作(第一防御层) 在子网级别的操作(第二防御层)
支持允许规则和拒绝规则 支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响 无状态:返回数据流必须被规则明确允许
只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例 自动应用到关联子网内的所有 CVM 实例

安全组云 API

安全组的开发者工具,您可通过云 API 来完成安全组操作、安全组与 CVM 实例的配置管理等,详见 安全组相关接口