操作指南

运维指南

API 文档

安全组问题

最近更新时间:2020-05-21 11:49:17

安全组中为什么会默认有一条拒绝的规则?

安全组规则,是从上至下依次筛选生效的,之前设置的允许规则通过后,其他的规则默认会被拒绝。若是放通全部端口的,最后的这一条拒绝规则是不生效的,出于安全考虑,我们提供该默认设置。

如何调整安全组优先级?

具体操作请参考 调整安全组优先级

选择安全组不正确,会对绑定该安全组的实例有何影响?如何解决?

问题隐患

  • 远程连接(SSH)Linux 实例、远程登录桌面 Windows 实例可能失败。
  • 远程 Ping 该安全组下的 CVM 实例的公网 IP 和内网 IP 可能失败。
  • HTTP 访问该安全组下的实例暴露的 Web 服务可能失败。
  • 该安全组下实例可能无法访问 Internet 服务。

解决方案

  • 若发生以上问题,可以在控制台的安全组管理中重新设置安全组规则。例如,只绑定默认全通安全组。
  • 具体设置安全组规则参考 安全组概述

什么是安全组的方向和策略?

安全组策略方向分为出和入,出方向是指过滤云服务器的出流量,入方向是指过滤云服务器的入流量。
安全组策略分为允许拒绝流量。

安全组策略的生效顺序是怎样的?

从上至下。流量经过安全组时的策略匹配顺序是从上至下,一但匹配成功则策略生效。

为什么安全组未允许的 IP 依然能访问云服务器 ?

可能有以下原因:

  • CVM 可能绑定了多个安全组,特定 IP 在其他安全组中允许。
  • 特定 IP 属于审批过的腾讯云公共服务。

使用了安全组是否意味着不可以使用 iptables?

不是。安全组和 iptables 可以同时使用,您的流量会经过两次过滤,流量的走向如下:

  • 出方向:实例上的进程 > iptables > 安全组。
  • 入方向:安全组 > iptables > 实例上的进程。

云服务器已经全部退还,为何安全组无法删除?

请查看回收站内是否还有云服务器。安全组绑定了回收站内的云服务器同样无法被删除。

安全组克隆时命名能否与目标区域的安全组相同?

不行。命名需保持与目标地域现有安全组名称不同。

安全组是否支持跨用户克隆?

暂不支持。

安全组跨项目跨地域克隆是否有云 API 支持?

目前为了方便使用控制台的客户,提供了 MC 的支持,暂无直接云 API 支持,您可通过原有的批量导入导出的安全组规则的云 API ,间接达到安全组的跨项目跨地域克隆。

安全组跨项目跨地域克隆,会将安全组管理的云服务器一起复制过去吗?

不会,安全组跨地域克隆,只将原安全组出入口规则克隆,云服务器需另行关联。

什么是安全组?

安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。

每台云服务器实例至少属于一个安全组,在创建实例的时候必须指定安全组。同一安全组内的云服务器实例之间网络互通,不同安全组的云服务器实例之间默认内网不通,可以授权两个安全组之间互访。详情请参见 安全组概述

为什么要在创建云服务器实例时选择安全组?

在创建云服务器实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。

创建云服务器实例前,未创建安全组怎么办?

如果您在创建云服务器实例前,未创建安全组,您可以选择新建安全组。
新建安全组提供以下规则,请根据实际需求放通 IP/端口。

  • ICMP:放通 ICMP 协议,允许公网 Ping 服务器。
  • TCP:80:放通80端口,允许通过 HTTP 访问 Web 服务。
  • TCP:22:放通22端口,允许 SSH 远程连接 Linux 云服务器。
  • TCP:443:放通443端口,允许通过 HTTPS 访问 Web 服务。
  • TCP:3389:放通3389端口,允许 RDP 远程连接 Windows 云服务器。
  • 放通内网:放通内网,允许不同云资源间内网互通(IPv4)。

安全组在什么情况下会使用默认安全组规则?

在以下情况中会使用默认安全组规则:

  • 创建云服务器实例时,如果您选择【快速配置】购买云服务器,系统将自动为您创建一个默认安全组。该安全组采用默认安全规则(即入方向放行所有端口,出方向允许所有访问)。
    出于安全考虑,腾讯云建议您重新关联安全组,其新关联的安全组尽量只放通业务需要的端口,避免不必要的安全风险。
  • 您在云服务器控制台上创建安全组时选择了安全组模板。目前提供了 “Windows 登录”模板、“Linux 登录”模板、“Ping” 模板、“HTTP(80)” 模板和 “HTTPS(443)” 模板。
目录