配置安全组规则

最近更新时间:2024-05-31 11:22:11

我的收藏

使用场景

用户的 CVM 通过 NAT 网关出公网时,可以在 NAT 网关配置安全组规则,包括进出 NAT 网关的流量,进行访问控制。



注意:
目前仅标准型 NAT 实例支持安全组,传统型 NAT 实例不支持。

操作步骤

1. 登录 公网 NAT 网关控制台,新建标准型 NAT 网关实例。详情可参见 标准型 NAT 网关
2. 创建完成后,单击刚创建的 NAT 网关实例 ID,进入详情页。
3. 选择安全组页签,单击配置
说明:
一个 NAT 实例可以绑定多个安全组,安全组之间的顺序决定了安全组的优先级。


编辑安全组规则

安全组分入站规则出站规则,这里的入站和出站都是相对于 NAT 网关而言,入站就是进入 NAT 网关的数据包,出站就是从 NAT 网关转发出去的数据包。
结合 NAT 网关的 SNAT 和 DNAT 场景,下面分别说明:

安全组规则注意事项

入站规则本质是针对进入 NAT 网关的流量做限制,出站规则本质是针对 NAT 网关发出的流量做限制,回包不受安全组规则的限制。配置的入站规则和出站规则会同时影响 SNAT 场景和 DNAT 场景。所以配置入站规则和出站规则时,需要综合考虑 SNAT/DNAT 场景。
由于 NAT 网关自身会使用 ICMP 流量来探测网络联通性,出站规则需要放通目标为0.0.0.0,协议端口为 ICMP 的包,否则会导致网络探测失败。
NAT 网关绑定的 EIP 全程不参与安全组的规则计算。

SNAT 场景的安全组

SNAT 场景时,安全组仅针对出公网数据包生效,回包会命中会话,不参与安全组规则计算。



入站规则
入站规则:源 IP +协议端口。
可以配置允许哪些内网 IP 出公网,哪些内网 IP 不能出公网。例如仅允许10.1.1.0/24的内网 IP 访问公网:

出站规则
出站规则:目的 IP + 协议端口。
可以配置允许访问哪些公网 IP 或不允许访问哪些公网 IP。例如允许访问任意公网 IP:




DNAT 场景的安全组

DNAT 场景时,安全组仅针对公网进入云上数据包生效,回包因为命中会话,不参与安全组规则计算。



入站规则
入站规则:源 IP + 协议端口。
可以配置允许或者不允许哪些公网 IP 访问 NAT。例如仅允许220.153.1.6通过 NAT 访问云上资源:

出站规则
出站规则:目的 IP + 协议端口。
可以配置允许或者不允许访问哪些内网 IP。例如允许访问任意内网 IP: