免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

ECS云服務器的安全組概述

2023-06-08    分類: 網站建設

安全組是一種虛擬防火墻,具備狀態檢測和數據包過濾能力,用于在云端劃分安全域。通過配置安全組規則,您可以控制安全組內一臺或多臺ECS實例的入流量和出流量。

安全組特點

安全組具有以下功能特點:

一臺ECS實例至少屬于一個安全組,可以同時加入多個安全組。

一個安全組可以管理同一個地域內的多臺ECS實例,這些實例要求具有相同安全保護需求并相互信任。

在沒有設置允許訪問的安全組規則的情況下,不同安全組內的ECS實例默認內網不通。

同一安全組內的ECS實例之間可以實現內網互通。

(僅普通安全組)可以通過安全組規則授權兩個安全組之間互訪。

安全組支持有狀態應用。一個有狀態的會話連接中,會話的長保持時間是910秒。安全組會默認放行同一會話中的通信。例如,在會話期內,如果連接的數據包在入方向是允許的,則在出方向也是允許的。

安全組類型

安全組分為普通安全組和企業安全組。下表列舉了兩種類型安全組的差異。


安全組類型安全組規則類型安全組規則優先級入方向訪問策略出方向訪問策略適用場景普通安全組默認安全組規則由安全組模板決定*由安全組模板決定*允許所有訪問請求對網絡精細化控制要求較高、希望使用多種ECS實例規格、以及網絡連接數適中的用戶場景手動添加的安全組規則在1~100之間取值,數值越低,優先級越高支持允許和拒絕策略,可按需添加**按需添加**企業安全組默認安全組規則取值范圍:1,該值不支持修改由安全組模板決定*由安全組模板決定*對運維效率、ECS實例規格以及計算節點的規模有更高需求的用戶場景手動添加的安全組規則支持允許策略,可按需添加**按需添加**

* 在ECS控制臺上創建安全組時,您可以選擇Web Server Linux(放行了80、443、22及ICMP協議)、Web Server Windows(放行了80、443、3389及ICMP協議)以及自定義(入方向上拒絕所有訪問請求)的安全組模板。

** 手動添加安全組規則的步驟,請參見添加安全組規則。

本文主要講解普通安全組的相關概念。企業安全組詳情,請參見企業安全組。

默認安全組

通過ECS管理控制臺創建實例時,若您未在該地域創建安全組,則阿里云會在創建實例的同時,創建一個默認安全組。默認安全組為普通安全組,網絡類型和ECS實例一致。

默認安全組的默認安全組規則如下:

入方向:

默認放行:ICMP協議、SSH 22端口、RDP 3389端口,授權對象為0.0.0.0/0。

更多選擇:HTTP 80端口和HTTPS 443端口,需自行勾選。

規則優先級:110。

出方向:允許所有訪問。

使用限制

有關安全組的使用限制及配額,請參見使用限制安全組章節。

使用流程

安全組的使用流程如下圖所示。

管理ECS實例

管理彈性網卡

安全組規則

建立數據通信前,安全組逐條匹配安全組規則查詢是否放行訪問請求。一條安全組規則由下表中的屬性確定。


網絡類型網卡類型規則方向授權策略協議類型端口范圍優先級授權類型授權對象專有網絡VPC不需要設置支持入方向和出方向支持允許、拒絕應用層協議,例如SSH、ICMP、RDP等應用或協議開啟的端口手動添加的規則支持1~100,默認規則為110支持安全組訪問、IP地址段訪問支持設置IP地址段和安全組ID經典網絡支持內網和公網

不同通信場景需要設置的安全組規則屬性不同。更多規則配置示例,請參見安全組應用案例。

例如,您使用Xshell客戶端遠程連接Linux系統ECS實例時,當安全組檢測到從公網或內網有SSH請求,會逐一檢查入方向上安全組規則、發送請求的設備的IP地址是否已存在、優先級是為同類規則首要、授權策略是否為允許、22端口是否開啟等。只有匹配到一條安全組規則允許放行該請求時,方才建立數據通信。下圖為使用Xshell遠程連接Linux系統ECS實例的規則匹配舉例。

規則優先級

同類型規則間依賴優先級決定終執行的規則。尤其是當ECS實例加入了多個安全組時,多個安全組會從高到低依次匹配規則。優先級數值越小,代表優先級越高,取值范圍:

手動添加的安全組規則:1~100。

系統添加的安全組規則:110。僅默認安全組及通過模板創建的安全組規則的優先級為110。

說明企業安全組不支持規則優先級設置。

如果兩條安全組規則的協議類型、端口范圍、授權類型、授權對象都相同,終生效的安全組規則如下:

優先級相同:拒絕策略的規則優先生效,允許策略的規則不生效。

優先級不同:優先級高的規則生效。

網卡類型

普通安全組的網絡類型不同時,安全組規則需要區分網卡類型。

經典網絡:區分內網網卡和公網網卡。

專有網絡VPC:只能為內網網卡,但安全組規則同時對內網和公網生效。專有網絡VPC類型ECS實例的公網訪問通過內網網卡映射轉發。所以,您在ECS實例內部無法看到公網網卡,也只能設置內網安全組規則。

說明企業安全組僅支持專有網絡VPC。

實踐建議

使用安全組時:

僅允許少量請求訪問ECS實例時,可以將安全組作為白名單使用。即先設置安全組為拒絕全部訪問,然后逐一添加允許通信的訪問請求策略。

不建議使用一個安全組管理所有應用,不同的分層一定有不同的隔離需求。

不建議為每臺ECS實例單獨設置一個安全組,您只需將具有相同安全保護需求的ECS實例加入同一安全組即可。

添加安全組規則時:

建議您設置簡潔的安全組規則。例如,如果您給一臺ECS實例分配了多個安全組,該ECS實例很可能會同時遵循數百條安全組規則,任何規則變更都可能引起網絡不通的故障。

如果您需要修改生產環境的安全組規則,建議您提前在克隆的安全組上進行調試,避免影響線上應用。詳情請參見克隆安全組。

為應用添加安全組規則時遵循小授權原則。例如,您可以:

選擇開放具體的端口,如80/80。不要設置為端口范圍,如1/80。

添加安全組規則時,謹慎授權0.0.0.0/0(全網段)訪問源。

網頁題目:ECS云服務器的安全組概述
URL標題:http://m.newbst.com/news6/263806.html

成都網站建設公司_創新互聯,為您提供Google外貿建站響應式網站電子商務動態網站面包屑導航

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

網站托管運營