最近更新时间:2024-11-19 16:08:01
安全组是金山云提供的重要的网络安全隔离手段,是一种有状态的服务器虚拟防火墙,用于设置云服务器KEC、裸金属服务器、GPU产品、以及云数据库产品的网络访问控制。
安全组作为逻辑上的分组,支持用户将同一地域内具有相同网络安全隔离需求的实例加到同一个安全组内,并可以配合安全组策略对实例的出入流量进行安全过滤。
默认安全组: 金山云每个VPC地域均包含一个默认安全组。默认安全组放行所有出VPC的流量,入流量的处理方式则与协议类型相关(详见安全组特性对比)。用户可以根据需要修改默认安全组规则或创建新的安全组。
多安全组: 在VPC环境下,实例的网卡可同时与多个安全组关联。与多安全组关联的同时,可以匹配加入的安全组规则。由于安全组规则都是放行规则,只要有一条规则匹配就会放行,允许流量通过。
安全组规则: 安全组中控制入站流量和出站流量的具体规则和策略,分为入站规则和出站规则。
有状态的安全规则: 有状态是一种记忆功能,即一个数据包允许入站就允许出站,允许出站就允许入站。
同一个子网的多台云服务器之间受安全组限制。
同一个子网的多台裸金属服务器之间不受安全组限制。
安全组特性 | 云服务器 | 裸金属服务器 |
---|---|---|
出站流量 | 默认拒绝所有流量 | 默认拒绝所有流量 |
入站流量(TCP/ICMP) | 默认拒绝所有流量 | 默认拒绝所有流量 |
入站流量(IP/UDP) | 默认拒绝所有流量 | 默认拒绝所有流量 |
配置白名单(允许流量) | 是 | 是 |
配置黑名单(拒绝流量) | 是 | 否(部分机房支持拒绝流量,详情咨询售后) |
同安全组下的服务器 | 直接互通 | 直接互通 |
不同安全组下的服务器 | 默认不互通 | 默认不互通 |
同子网、不同安全组下的服务器 | 默认不互通 | 裸金属服务器之间直接互通 |
服务器可关联安全组数量 | 5个 | 3个 |
服务器至少关联安全组数量 | 1个 | 1个 |
有状态的安全组规则 | 支持 | 支持 |
安全组支持协议 | IP(全部协议)、TCP、UDP、ICMP | IP(全部协议)、TCP、UDP、ICMP |
注意: 裸金属服务器在处理IP和UDP协议时,若安全组规则默认允许所有出站流量时,则入站流量也默认允许所有流量。为了提高裸金属服务器的安全性,其关联的安全组,建议为UDP协议配置访问外部的固定端口,不建议配置为IP协议0.0.0.0/0出网规则。
例如:实例A加入安全组2,无入站规则,出站规则为全部允许;实例B加入安全组1,入站规则为全部允许,出站规则为全部允许。
配置结果如下:
实例A可以Ping通实例B。这是因为安全组2允许实例A出站,而安全规则是有状态的,虽然没有配置入站规则,但出站的响应数据依然可以入站。
实例B无法Ping通实例A。
安全组规则可控制相关联实例的入站流量以及出站流量,按照该安全组规则列表中的顺序从上到下依次匹配。
安全组的每条规则可以指定以下参数:
协议类型:例如 TCP、UDP 或 ICMP 等。
行为:默认为允许。
端口:来源或目标的端口范围。
源IP(入站规则)或目标IP(出站规则):单个 IP 地址或地址范围(使用CIDR表示)。
纯净模式