kec-用户指南-网络与安全test

最近更新时间:2020-08-12 00:47:45

安全组概述

安全组是金山云提供的重要的网络安全隔离手段,是一种有状态的服务器虚拟防火墙,用于设置云服务器KEC、云物理主机、GPU产品、以及云数据库产品的网络访问控制。

安全组作为逻辑上的分组,支持用户将同一地域内具有相同网络安全隔离需求的实例加到同一个安全组内,并可以配合安全组策略对实例的出入流量进行安全过滤。

术语解释

  • 默认安全组: 金山云每个VPC地域均包含一个默认安全组。默认安全组放行所有出VPC的流量,入流量的处理方式则与协议类型相关(详见安全组特性对比)。用户可以根据需要修改默认安全组规则或创建新的安全组。

  • 多安全组: 在VPC环境下,实例的网卡可同时与多个安全组关联。与多安全组关联的同时,可以匹配加入的安全组规则。由于安全组规则都是放行规则,只要有一条规则匹配就会放行,允许流量通过。

  • 安全组规则: 安全组中控制入站流量和出站流量的具体规则和策略,分为入站规则和出站规则。

  • 有状态的安全规则: 有状态是一种记忆功能,即一个数据包允许入站就允许出站,允许出站就允许入站。

注意事项

  • 同一个子网的多台云服务器之间受安全组限制。
  • 同一个子网的多台云物理主机之间不受安全组限制。

安全组特性对比

安全组特性 云服务器 云物理主机
出站流量 默认允许所有流量 默认允许所有流量
入站流量(TCP/ICMP) 默认拒绝所有流量 默认拒绝所有流量
入站流量(IP/UDP) 默认拒绝所有流量 默认允许所有流量
配置白名单(允许流量)
配置黑名单(拒绝流量)
同安全组下的服务器 直接互通 直接互通
不同安全组下的服务器 默认不互通 默认互通
同子网、不同安全组下的服务器 默认不互通 物理机之间直接互通
服务器可关联安全组数量 5个 3个
服务器至少关联安全组数量 1个 1个
有状态的安全组规则 支持 支持
安全组支持协议 IP(全部协议)、TCP、UDP、ICMP IP(全部协议)、TCP、UDP、ICMP

注意: 云物理主机在处理IP和UDP协议时,若安全组规则默认允许所有出站流量时,则入站流量也默认允许所有流量。为了提高云物理机的安全性,其关联的安全组,建议为UDP协议配置访问外部的固定端口,不建议配置为IP协议0.0.0.0/0出网规则。

例如:实例A加入安全组2,无入站规则,出站规则为全部允许;实例B加入安全组1,入站规则为全部允许,出站规则为全部允许。

配置结果如下:

  • 实例A可以Ping通实例B。这是因为安全组2允许实例A出站,而安全规则是有状态的,虽然没有配置入站规则,但出站的响应数据依然可以入站。
  • 实例B无法Ping通实例A。

安全组规则

安全组规则可控制相关联实例的入站流量以及出站流量,且按照从上到下的顺序依次匹配规则。

安全组的每条规则可以指定以下参数:

  • 协议类型:例如 TCP、UDP 或 ICMP 等。
  • 行为:默认为允许。
  • 端口:来源或目标的端口范围。
  • 源IP(入站规则)或目标IP(出站规则):单个 IP 地址或地址范围(使用CIDR表示)。

常见安全组规则类型

  • 安全组配置如下入站规则后,实例可以被任意地址访问任意端口。注意这样配置存在一定的安全风险,建议按需配置安全组规则。

    kec-用户指南-网络与安全test

  • 安全组配置指定端口和协议后,KEC或EPC实例可以被任意地址访问指定端口。例如:Linux服务器需要SSH,配置(TCP协议,22端口,0.0.0.0/0)。建议普通用户使用此类规则。

    kec-用户指南-网络与安全test

  • 安全组配置指定端口和协议后和源IP后,KEC或EPC实例可以被指定IP(源IP)访问指定端口。下图示例为只有120.1.2.3这个IP可以访问实例的22端口。仅建议高级用户使用此类规则。

    kec-用户指南-网络与安全test

设置安全组

创建安全组

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。

  2. 在左侧导航栏中,选择“安全组(防火墙)”。

  3. 单击“新建安全组”。

    kec-用户指南-网络与安全test

  4. 在新建安全组页面,输入安全组名称,选择虚拟私有网络,并配置规则:

    1. 在“入站规则”或“出站规则”页签上,单击“新增一行”。
    2. 选择“协议”,输入“起始端口”、“结束端口”、“源IP”和“备注”。
    3. 重复上述步骤添加更多入站或者出站规则。

    kec-用户指南-网络与安全test 注意: 安全组中必须包含至少一条入站规则或出站规则。

  5. 单击“确定”。

    系统开始创建安全组并弹出“创建成功”提示。

编辑安全组入站规则/出站规则

编辑出站规则与入站规则步骤基本一致,本节以入站规则的编辑作为示例进行介绍。

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。

  2. 在目标实例对应的“操作”列中,选择“更多 > 编辑防火墙”。

  3. 单击列表上方或安全组详情中的“编辑入站规则”。

    kec-用户指南-网络与安全test

  4. 在规则列表中编辑已有入站规则,并使用页面其他功能辅助规则的编辑:

    • 新增一行:单击“新增一行”为列表增加新的规则。
    • 导出规则:单击“导出规则”将现有入站规则列表另存为.xlsx文件,并在本地编辑保存。
    • 批量导入:单击“批量导入”并选择文件,将当前入站规则列表替换为所选文件中的规则列表。

    kec-用户指南-网络与安全test

    批量导入的详细步骤为:

    a. 准备一个.xlsx格式的文件,内容的具体格式参考下图。

    kec-用户指南-网络与安全test

    b. 在入站规则页面,单击“批量导入”。

    c. 如果想备份原有规则列表,在弹出页面中单击“导出现有规则”。

    d. 单击“浏览”或“选择文件”,并选择已准备的文件。

    kec-用户指南-网络与安全test

    e. 检查系统自动解析的规则正确无误后,单击“开始导入”。

    操作成功后,可以在入站规则页面查看新导入的条目。

    kec-用户指南-网络与安全test

  5. 单击“确定”。

复制安全组

用户可以将已有安全组快速地复制到其它地域或VPC。

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。

  2. 在左侧导航栏中,选择“安全组(防火墙)”。

  3. 选择需要复制的安全组,单击“复制安全组”。

    kec-用户指南-网络与安全test

  4. 在“复制安全组”页面,完成下列配置:

    • 选择目标地域和目标VPC。
    • 输入新的安全组名称。
    • 编辑入站规则和出站规则。
  5. 单击“确定”。

    kec-用户指南-网络与安全test

    当出现“复制成功”的提示时,表示安全组复制成功,用户可以在安全组页面查看复制的安全组信息。

删除安全组

用户可以删除不再使用的安全组,但是VPC中的默认安全组不能删除。

操作前提

安全组中不包含任何云服务器,否则安全组不能删除。

操作步骤

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。

  2. 在左侧导航栏中,选择“安全组(防火墙)”。

  3. 选择一个或多个需要删除的安全组,并单击“删除”。

    kec-用户指南-网络与安全test

  4. 在删除确认页面,单击“删除”。

    kec-用户指南-网络与安全test

    当出现“删除成功”的提示时,表示安全组成功删除。

更改安全组

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。

  2. 在目标实例对应的“操作”列中,选择“更多 > 更改网络配置”。

    kec-用户指南-网络与安全test

  3. 完成第一步“更改网络配置”后,在“安全组设置”中,选择想要更改的安全组。

    kec-用户指南-网络与安全test

  4. 单击“确定”完成更改。

管理云服务器成员

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。

  2. 在左侧导航栏中,选择“安全组(防火墙)”。

  3. 选择想要管理的安全组,单击“管理云服务器”。

    kec-用户指南-网络与安全test

  4. 在管理云服务器页面,单击“添加”或“移除”来管理此安全组下的云物理主机。 左侧列表展示未加入此安全组的网卡,右侧列表展示已加入此安全组的网卡。

    kec-用户指南-网络与安全test

  5. 单击“确定”。

变更辅网卡

云服务器可同时配置多张网卡以同时连接不同子网,以实现数据安全隔离和高可靠应用部署的目的。网卡类型包括:

  • 主网卡:云服务器在创建时自动关联的网卡,不可变更。
  • 辅网卡:用户为云服务器挂载的网卡,支持挂载和卸载操作。

本节介绍如何变更辅网卡。

操作前提

若要变更辅网卡,必须先关闭云服务器。

挂载辅网卡

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。
  2. 在目标实例对应的“操作”列中,选择“更多 > 挂载辅网卡”。

    kec-用户指南-网络与安全test

  3. 选择辅网卡的关联VPC、子网以及安全组。 注意,辅网卡不可与主网卡在同一子网。

    kec-用户指南-网络与安全test

  4. 在确认页面中,单击“确定”。

卸载辅网卡

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。
  2. 在目标实例对应的“操作”列中,选择“更多 > 卸载辅网卡”。

    kec-用户指南-网络与安全test

  3. 在确认页面中,单击“确定”。

    kec-用户指南-网络与安全test


修改内网 IP

用户可以为主网卡和辅网卡修改对应的内网IP地址。

注意事项

云服务器如果已经设置了弹性IP,必须先解绑弹性IP,否则无法修改内网IP地址。

操作步骤

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。
  2. 选择下列一种方法打开“更改网络配置”页面:

    • 在目标实例对应的“操作”列中,选择“更多 > 更改网络配置”。

      kec-用户指南-网络与安全test

    • 单击实例名称/ID,进入“实例详情“”页面,再选择“更多 > 更改网络配置”。

      kec-用户指南-网络与安全test

  3. 配置如下参数:

    • 选择网卡:选择新的内网IP地址所对应的的网卡,选项包括“主网卡”和“辅网卡”。
    • 关联VPC和关联子网:分别选择新的内网IP地址所属的VPC和子网
    • 内网IP:输入或者选择新的内网IP地址。
    • DNS1和DNS2:配置DNS地址

    kec-用户指南-网络与安全test

  4. 单击“下一步”。

  5. 设置安全组,并单击“确定”。

    kec-用户指南-网络与安全test

后续操作

完成内网IP地址变更之后,需要在实例上输入命令更新IP地址。

对于Linux实例,执行以下操作:

  1. 输入dhclient -r释放之前的IP地址。
  2. 输入dhclient获取新的IP地址。
  3. 输入ifconfig -a查看系统IP地址。

对于Windows实例,执行以下操作:

  1. 同时按“Windows”键和“r”键盘,打开“运行”窗口。
  2. 输入cmd并单击“确定”,进入命令行窗口。
  3. 输入ipconfig/release释放以前的IP地址。
  4. 输入ipconfig/renew更新当前IP地址。
  5. 输入ipconfig查看系统IP地址。

设置弹性 IP

  1. 登录云服务器KEC控制台,默认进入“云服务器 > 实例”页面。
  2. 选择下列一种方法打开“设置弹性IP”页面:

    • 在目标实例对应的“操作”列中,选择“更多 > 设置弹性IP”。

      kec-用户指南-网络与安全test

    • 单击实例名称/ID,进入“实例详情“”页面,再选择“更多 > 设置弹性IP”。

      kec-用户指南-网络与安全test

  3. 在弹性IP列表中,选择想要绑定的弹性IP。如果想调整弹性IP,单击已绑定的弹性IP旁边的删除图标“ X ”。

    kec-用户指南-网络与安全test

  4. 单击“确定”。

升级带宽

在云服务器已绑定弹性IP的情况下,可升级对应公网IP地址的带宽。

注意事项

已经加入共享带宽的弹性IP,不支持调整带宽。

操作步骤

  1. 登录金山云控制台
  2. 单击“网络”下的“弹性IP”。

  3. 在列表中选择先要调整带宽的弹性IP,并单击“调整带宽”。

    kec-用户指南-网络与安全test

  4. 设定调整后的带宽值,单击“立即支付”并提交订单。

    kec-用户指南-网络与安全test

金山云,开启您的云计算之旅

免费注册