安全组应用案例

最近更新时间:2019-09-09 17:24:30

安全组的设置用来管理云服务器是否可以被访问,您可以通过配置安全组的入站和出站规则,设置您的服务器是否可以被访问以及访问其他网络资源。
默认情况下,安全组的入站规则和出站规则如下:

  • 为了数据安全,安全组的入规则为拒绝策略,禁止外部网络的远程访问。如果您需要您的云服务器被外部访问,则需要放通相应端口的入站规则。
  • 安全组的出站规则用于设置您的云服务器是否可以访问外部网络资源。如果您选择 “放通全部端口” 或 “放通22,80,443,3389端口和 ICMP 协议”,安全组出站规则为全部放通。如果您选择自定义安全组规则,出站规则默认为全部拒绝,您需要放通相应端口的出站规则来访问外部网络资源。

常见应用场景

本文介绍了几个常见的安全组应用场景,如果以下场景可以满足您的需求,可直接按照场景中的推荐配置进行安全组的设置。

场景一:允许 SSH 远程连接 Linux 云服务器

案例:您创建了一台 Linux 云服务器,并希望可以通过 SSH 远程连接到云服务器。
解决方法添加入站规则 时,在 “类型” 中选择 “Linux 登录”,开通22号协议端口,放通 Linux SSH 登录。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 SSH 远程连接到云服务器的 IP 来源。

方向类型来源协议端口策略
入方向Linux 登录
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 段
TCP:22允许

场景二:允许 RDP 远程连接 Windows 云服务器

案例:您创建了一台 Windows 云服务器,并希望可以通过 RDP 远程连接到云服务器。
解决方法添加入站规则 时,在 “类型” 中选择 “Windows 登录”,开通3389号协议端口,放通 Windows 远程登录。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 RDP 远程连接到云服务器的 IP 来源。

方向类型来源协议端口策略
入方向Windows 登录
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 段
TCP:3389允许

场景三:允许公网 Ping 服务器

案例:您创建了一台云服务器,希望可以测试这台云服务器和其他云服务器之间的通信状态是否正常。
解决方法:使用 ping 程序进行测试。即在 添加入站规则 时,将 “类型” 选择为 “Ping”,开通 ICMP 协议端口,允许其他云服务器通过 ICMP 协议访问该云服务器。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置允许通过 ICMP 协议访问该云服务器的 IP 来源。

方向类型来源协议端口策略
入方向Ping
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 地址段
ICMP允许

场景四:Telnet 远程登录

案例:您希望可以通过 Telnet 远程登录云服务器。
解决方法:如需通过 Telnet 远程登录云服务器,则需在 添加入站规则 时,配置以下安全组规则:

方向类型来源协议端口策略
入方向自定义
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 地址段
TCP:23允许

场景五:放通 Web 服务 HTTP 或 HTTPS 访问

案例:您搭建了一个网站,希望用户可以通过 HTTP 或者 HTTPS 的方式访问您搭建的网站。
解决方法:如需通过通过 HTTP 或者 HTTPS 的方式访问网站,则需在 添加入站规则 时,根据实际需求配置以下安全组规则:

  • 允许公网上的所有 IP 访问该网站
    方向类型来源协议端口策略
    入方向HTTP(80)0.0.0.0/0TCP:80允许
    入方向HTTPS(443)0.0.0.0/0TCP:443允许
  • 允许公网上的部分 IP 访问该网站
    方向类型来源协议端口策略
    入方向HTTP(80)允许访问您网站的 IP 或 IP 地址段TCP:80允许
    入方向HTTPS(443)允许访问您网站的 IP 或 IP 地址段TCP:443允许

场景六:允许外部 IP 访问指定端口

案例:您部署业务后,希望指定的业务端口(例如:1101)可以被外部访问。
解决方法添加入站规则 时,在 “类型” 中选择 “自定义”,开通1101号协议端口,允许外部访问指定的业务端口。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),允许访问指定的业务端口的 IP 来源。

方向类型来源协议端口策略
入方向自定义
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 地址段
TCP:1101允许

场景七:拒绝外部 IP 访问指定端口

案例:您部署业务后,希望指定的业务端口(例如:1102)不被外部访问。
解决方法添加入站规则 时,在 “类型” 中选择 “自定义”,配置1102号协议端口,将 “策略” 设置为 “拒绝”,拒绝外部访问指定的业务端口。

方向类型来源协议端口策略
入方向自定义
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 地址段
TCP:1102拒绝

场景八:只允许云服务器访问特定外部 IP

案例:您希望您的云服务器只能访问外部特定的 IP 地址。
解决方法:参考如下配置,增加如下两条出方向的安全组规则。

  • 允许实例访问特定公网 IP 地址
  • 禁止实例以任何协议访问所有公网 IP 地址
注意:

允许访问的规则优先级应高于拒绝访问的规则优先级。

方向类型来源协议端口策略
出方向自定义允许云服务器访问的特定公网 IP 地址需使用的协议类型和端口允许
出方向自定义0.0.0.0/0ALL拒绝

场景九:拒绝云服务器访问特定外部 IP

案例:您不希望您的云服务器可以访问外部特定的 IP 地址。
解决方法:参考如下配置,添加安全组规则。

方向类型来源协议端口策略
出方向自定义拒绝实例访问的特定公网 IP 地址ALL拒绝

场景十:使用 FTP 上传或下载文件

案例:您需要使用 FTP 软件向云服务器上传或下载文件
解决方法:参考如下配置,添加安全组规则。

方向类型来源协议端口策略
入方向自定义0.0.0.0/0TCP:20-21允许

多场景组合

在实际的场景中,可能需要根据业务需求配置多个安全组规则。例如,同时配置入站或者出站规则。一台云服务器可以绑定一个或多个安全组,当云服务器绑定多个安全组时,多个安全组将按照从上到下依次匹配执行。您可以随时调整安全组的优先级,安全组规则的优先级说明请参考 规则优先级说明