安全组概述

最近更新时间:2019-11-25 20:31:49

安全组是金山云提供的重要的网络安全隔离手段,是一种有状态的服务器虚拟防火墙,用于设置云服务器KEC、云物理主机、GPU产品、以及云数据库产品的网络访问控制。

安全组作为逻辑上的分组,支持用户将同一地域内具有相同网络安全隔离需求的实例加到同一个安全组内,并可以配合安全组策略对实例的出入流量进行安全过滤。

术语解释

  • 默认安全组: 金山云每个VPC地域均包含一个默认安全组。默认安全组放行所有出VPC的流量,入流量的处理方式则与协议类型相关(详见安全组特性对比)。用户可以根据需要修改默认安全组规则或创建新的安全组。

  • 多安全组: 在VPC环境下,实例的网卡可同时与多个安全组关联。与多安全组关联的同时,可以匹配加入的安全组规则。由于安全组规则都是放行规则,只要有一条规则匹配就会放行,允许流量通过。

  • 安全组规则: 安全组中控制入站流量和出站流量的具体规则和策略,分为入站规则和出站规则。

  • 有状态的安全规则: 有状态是一种记忆功能,即一个数据包允许入站就允许出站,允许出站就允许入站。

注意事项

  • 同一个子网的多台云服务器之间受安全组限制。
  • 同一个子网的多台云物理主机之间不受安全组限制。

安全组特性对比

安全组特性 云服务器 云物理主机
出站流量 默认允许所有流量 默认允许所有流量
入站流量(TCP/ICMP) 默认拒绝所有流量 默认拒绝所有流量
入站流量(IP/UDP) 默认拒绝所有流量 默认允许所有流量
配置白名单(允许流量)
配置黑名单(拒绝流量)
同安全组下的服务器 直接互通 直接互通
不同安全组下的服务器 默认不互通 默认互通
同子网、不同安全组下的服务器 默认不互通 物理机之间直接互通
服务器可关联安全组数量 5个 3个
服务器至少关联安全组数量 1个 1个
有状态的安全组规则 支持 支持
安全组支持协议 IP(全部协议)、TCP、UDP、ICMP IP(全部协议)、TCP、UDP、ICMP

注意: 云物理主机在处理IP和UDP协议时,若安全组规则默认允许所有出站流量时,则入站流量也默认允许所有流量。为了提高云物理机的安全性,其关联的安全组,建议为UDP协议配置访问外部的固定端口,不建议配置为IP协议0.0.0.0/0出网规则。

例如:实例A加入安全组2,无入站规则,出站规则为全部允许;实例B加入安全组1,入站规则为全部允许,出站规则为全部允许。

配置结果如下:

  • 实例A可以Ping通实例B。这是因为安全组2允许实例A出站,而安全规则是有状态的,虽然没有配置入站规则,但出站的响应数据依然可以入站。
  • 实例B无法Ping通实例A。

安全组规则

安全组规则可控制相关联实例的入站流量以及出站流量,且按照从上到下的顺序依次匹配规则。

安全组的每条规则可以指定以下参数:

  • 协议类型:例如 TCP、UDP 或 ICMP 等。
  • 行为:默认为允许。
  • 端口:来源或目标的端口范围。
  • 源IP(入站规则)或目标IP(出站规则):单个 IP 地址或地址范围(使用CIDR表示)。

常见安全组规则类型

  • 安全组配置如下入站规则后,实例可以被任意地址访问任意端口。注意这样配置存在一定的安全风险,建议按需配置安全组规则。

    Alt text

  • 安全组配置指定端口和协议后,KEC或EPC实例可以被任意地址访问指定端口。例如:Linux服务器需要SSH,配置(TCP协议,22端口,0.0.0.0/0)。建议普通用户使用此类规则。

    Alt text

  • 安全组配置指定端口和协议后和源IP后,KEC或EPC实例可以被指定IP(源IP)访问指定端口。下图示例为只有120.1.2.3这个IP可以访问实例的22端口。仅建议高级用户使用此类规则。

    Alt text

金山云,开启您的云计算之旅

注册有礼