以下视频介绍了几种常见的安全组应用案例,及其配置方法:
安全组的设置用来管理云服务器是否可以被访问,您可以通过配置安全组的入站和出站规则,设置您的服务器是否可以被访问以及访问其他网络资源。
默认情况下,安全组的入站规则和出站规则如下:
为了数据安全,安全组的入站规则为拒绝策略,禁止外部网络的远程访问。如果您需要您的云服务器被外部访问,则需要放通相应端口的入站规则。
安全组的出站规则用于设置您的云服务器是否可以访问外部网络资源。如果您选择放通全部端口或放通22,80,443,3389端口和 ICMP 协议,则安全组出站规则为全部放通,入站规则与安全组名称放通的内容一致。如果您选择自定义安全组规则,出站规则默认为全部拒绝,您需要放通相应端口的出站规则来访问外部网络资源。
常见应用场景
本文介绍了几个常见的安全组应用场景,如果以下场景可以满足您的需求,可直接按照场景中的推荐配置进行安全组的设置。
场景一:允许 SSH 远程连接 Linux 云服务器
案例:您创建了一台 Linux 云服务器,并希望可以通过 SSH 远程连接到云服务器。
解决方法:添加安全组规则 时,在类型中选择 Linux 登录,开通来源为 orcaterm 代理 IP 的22号协议端口,放通 Linux SSH 登录。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 SSH 远程连接到云服务器的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | Linux 登录 | 全部 IP:0.0.0.0/0 orcaterm 代理 IP:详情请参见 关于 orcaterm 代理 IP 地址更替的公告 指定 IP:输入您指定的 IP 或 IP 段 | TCP:22 | 允许 |
场景二:允许 RDP 远程连接 Windows 云服务器
案例:您创建了一台 Windows 云服务器,并希望可以通过 RDP 远程连接到云服务器。
解决方法:添加安全组规则 时,在类型中选择 Windows 登录,开通来源为 WebRDP 代理 IP 的3389号协议端口,放通 Windows 远程登录。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 RDP 远程连接到云服务器的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | Windows 登录 | 全部 IP:0.0.0.0/0 WebRDP 代理 IP: 81.69.102.0/24 106.55.203.0/24 101.33.121.0/24 101.32.250.0/24 指定 IP:输入您指定的 IP 或 IP 段 | TCP:3389 | 允许 |
场景三:允许公网 Ping 服务器
案例:您创建了一台云服务器,希望可以测试这台云服务器和其他云服务器之间的通信状态是否正常。
解决方法:使用 ping 程序进行测试。即在 添加安全组规则 时,将 类型 选择为 Ping,开通 ICMP 协议端口,允许其他云服务器通过 ICMP 协议访问该云服务器。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置允许通过 ICMP 协议访问该云服务器的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | Ping | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | ICMP | 允许 |
场景四:Telnet 远程登录
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | TCP:23 | 允许 |
场景五:放通 Web 服务 HTTP 或 HTTPS 访问
案例:您搭建了一个网站,希望用户可以通过 HTTP 或者 HTTPS 的方式访问您搭建的网站。
解决方法:如需通过 HTTP 或者 HTTPS 的方式访问网站,则需在 添加安全组规则 时,根据实际需求配置以下安全组规则:
允许公网上的所有 IP 访问该网站
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | HTTP(80) | 0.0.0.0/0 | TCP:80 | 允许 |
入方向 | HTTPS(443) | 0.0.0.0/0 | TCP:443 | 允许 |
允许公网上的部分 IP 访问该网站
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | HTTP(80) | 允许访问您网站的 IP 或 IP 地址段 | TCP:80 | 允许 |
入方向 | HTTPS(443) | 允许访问您网站的 IP 或 IP 地址段 | TCP:443 | 允许 |
场景六:允许外部 IP 访问指定端口
案例:您部署业务后,希望指定的业务端口(例如:1101)可以被外部访问。
解决方法:添加安全组规则 时,在 类型 中选择 自定义,开通1101号协议端口,允许外部访问指定的业务端口。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),允许访问指定的业务端口的 IP 来源。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | TCP:1101 | 允许 |
场景七:拒绝外部 IP 访问指定端口
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 全部 IP:0.0.0.0/0 指定 IP:输入您指定的 IP 或 IP 地址段 | TCP:1102 | 拒绝 |
场景八:只允许云服务器访问特定外部 IP
案例:您希望您的云服务器只能访问外部特定的 IP 地址。
解决方法:参考如下配置,增加如下两条出方向的安全组规则。
允许实例访问特定公网 IP 地址
禁止实例以任何协议访问所有公网 IP 地址
注意
允许访问的规则优先级应高于拒绝访问的规则优先级。
方向 | 类型 | 来源 | 协议端口 | 策略 |
出方向 | 自定义 | 允许云服务器访问的特定公网 IP 地址 | 需使用的协议类型和端口 | 允许 |
出方向 | 自定义 | 0.0.0.0/0 | ALL | 拒绝 |
场景九:拒绝云服务器访问特定外部 IP
案例:您不希望您的云服务器可以访问外部特定的 IP 地址。
解决方法:参考如下配置,添加安全组规则。
方向 | 类型 | 来源 | 协议端口 | 策略 |
出方向 | 自定义 | 拒绝实例访问的特定公网 IP 地址 | ALL | 拒绝 |
场景十:使用 FTP 上传或下载文件
案例:您需要使用 FTP 软件向云服务器上传或下载文件。
解决方法:参考如下配置,添加安全组规则。
方向 | 类型 | 来源 | 协议端口 | 策略 |
入方向 | 自定义 | 0.0.0.0/0 | TCP:20-21 | 允许 |
多场景组合
在实际的场景中,可能需要根据业务需求配置多个安全组规则。例如,同时配置入站或者出站规则。一台云服务器可以绑定一个或多个安全组,当云服务器绑定多个安全组时,多个安全组将按照从上到下依次匹配执行。您可以随时调整安全组的优先级,安全组规则的优先级说明请参见 规则优先级说明。