最近更新时间:2024-09-06 09:48:52
安全组是一种有状态的服务器虚拟防火墙,它用于设置单台或多台云服务器的网络访问控制,是金山云提供的重要的网络安全隔离手段。
安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的云服务器实例加到同一个安全组内。您可以通过安全组策略对云服务器的出入流量进行安全过滤。
在您创建 KEC 实例时,可以将一个或多个安全组与该实例相关联。为安全组添加规则,规定流入或流出其关联的 KEC 实例的流量。
您可以随时修改安全组的规则;新规则立即生效,应用于与该安全组相关联的所有 KEC实例。
金山云在每个 VPC 地域均添加了一个默认安全组,默认安全组放行所有出 VPC 的流量,入流量默认拒绝。您可以根据需要修改安全组规则或创建新的安全组。
多安全组是指一台云服务器的网卡在 VPC 环境下最多可以同时加入5个安全组,一台云物理主机的网卡在 VPC 环境下最多可以同时加入3个安全组,同时可以匹配加入的安全组规则,根据安全组中规则进行放行(允许)或者拒绝(否认)。
安全组特性 | 云服务器 | 裸金属服务器 |
---|---|---|
出站流量 | 默认拒绝所有流量 | 默认拒绝所有流量 |
入站流量(TCP/ICMP) | 默认拒绝所有流量 | 默认拒绝所有流量 |
入站流量(IP/UDP) | 默认拒绝所有流量 | 默认拒绝所有流量 |
配置白名单(允许流量) | 是 | 是 |
配置黑名单(拒绝流量) | 是 | 否(部分机房支持拒绝流量,详情咨询售后) |
同安全组下的服务器 | 直接互通(配置了deny规则依然互通) | 直接互通(配置了deny规则依然互通) |
不同安全组下的服务器 | 默认不互通 | 默认不互通 |
同子网、不同安全组下的服务器 | 默认不互通 | 裸金属服务器之间直接互通 |
服务器可关联安全组数量 | 5个 | 3个 |
服务器至少关联安全组数量 | 1个 | 1个 |
安全组规则是否是有状态的 | 是 | 是 |
安全组支持协议 | IP(全部协议)、TCP、UDP、ICMP | IP(全部协议)、TCP、UDP、ICMP |
裸金属服务器的安全组特殊限制
只对对南北向(裸金属服务器到其他服务)流量生效
东西向(裸金属服务器到裸金属服务器)同VPC且可用区内安全组不生效
注意:出站放行ip的时候,入站会放行udp。出站放行udp的时候,入站会放行udp。为了提高裸金属服务器的安全性,在创建关联云物理主机的安全组时,对于UDP协议建议用户配置访问外部的固定端口,对于IP协议,也不建议配置0.0.0.0/0出网规则。
入站:从服务器外到服务器内。出站:从服务器内到服务器外
有状态的安全规则,有状态是一种记忆功能,即一个包允许入站就允许出站,允许出站就允许入站
例如:云服务器A在安全组2里,规则(没入站规则,出站全部允许),云服务器B在安全组1里,规则(入站全部允许,出站全部允许)
结果:
云服务器A可以PING通云服务器B,因为A出站允许,所以可以出,因为安全组是有状态的,虽然没有入站规则,作为A出站的响应数据依然可以入
云服务器B无法PING通云服务器A
安全组规则可控制允许到达与安全组相关联的 KEC 实例的入站流量以及允许离开 KEC 实例的出站流量(从上到下依次筛选规则)。系统默认安全组放行所有出 VPC 流量,拒绝所有入 VPC 流量。
对于安全组的每条规则,您可以指定以下几项内容:
协议类型:例如 TCP、UDP 或 ICMP 等。
行为:默认为允许
端口:来源或目标的端口范围。
源IP(入站规则)或目标IP(出站规则):单个 IP 地址或地址范围(用 CIDR 表示法)
同一个安全组内,安全组规则排序优先级如下:
1.首先,比较规则优先级,数值越小的优先级越高;
2.其次,优先级相同,比较访问权限,拒绝规则优先级高于允许规则。
云主机如果关联多个安全组,安全组之间无优先级,将所有安全组规则汇总一起排序,优先级如下:
1.首先,比较规则优先级,数值越小的优先级越高;
2.其次,优先级相同,比较访问权限,拒绝规则优先级高于允许规则。
云服务器不受任何限制,可以被任意地址访问,配置如下入站规则和出站规则即可,但有一定的安全风险,建议按需配置安全组规则
云服务器指定端口可以被访问,配置指定端口和协议即可。例如:Linux服务器需要SSH,配置(TCP协议,22端口,0.0.0.0/0),建议普通用户使用此类规则
仅指定IP可以访问云服务器指定端口,配置指定端口和协议及源IP。例如:下图代表只有120.1.2.3这个IP可以访问云服务器的22端口,仅建议高级用户使用此类规则
云物理主机的安全组和云服务器的安全组功能基本一致
在同一个子网的多台云物理主机之间不受安全组限制
在同一个子网的多台云服务器之间受安全组限制
1)登录 金山云控制台,依次点击【网络】–【虚拟私有网络】–【安全组(防火墙)】,进入安全组信息页面
2)点击【新建安全组】,输入安全组名称,选择虚拟私有网络信息,默认情况选中【入站规则】,点击下方的【新增一行】
3)在新增的规则上,选择【协议】,填写【起始端口】【结束端口】【源IP】【备注】信息
4)重复步骤3)可以创建多条入站规则或出站规则,创建完成后,点击【确定】
5)提示“创建成功”的提示框,代表安全组创建成功
1)登录 金山云控制台,依次点击【网络】–【虚拟私有网络】–【安全组(防火墙)】
2)选中需要编辑的安全组,点击上方的【编辑入站规则】 或者在下方选项卡选择【入站规则】–【编辑入站规则】,进入入站规则编辑页面
3)在入站规则编辑页面,可以对已有入站规则修改和删除,也可以新增入站规则。入站规则页面支持【批量导入】和【导出规则】
4)点击【批量导入】,跳转到批量导入页面,点击【选择文件】按钮,导入入站规则
导入文件格式如下所示:
5)批量导入入站规则后,在页面下方查看全部入站规则,点击【开始导入】,然后可以在入站规则页面查看批量导入的入站规则信息。
注:1、批量导入将以覆盖方式导入规则,请注意提前导出现有规则;
2、支持CSV格式的导入,为了保证导入文件格式符合要求,目前建议先导出规则,然后用记事本打开编辑所需的规则信息,若采用其他方式打开或编辑文件会导致文件格式不符合要求。
6)点击【导出规则】,将批量导出现有的所有入站规则信息,导出格式为CSV,如需编辑,请用记事本方式打开编辑并保存。
注:编辑出站规则与入站规则操作类似,不再赘述
1)登录 金山云控制台,依次点击【网络】–【虚拟私有网络】–【安全组(防火墙)】
2)选中需要复制的安全组,点击【复制安全组】按钮
3)在弹出的复制安全组页面,输入新的安全组名称,下方默认展示复制安全组的入站/出站规则信息,可以编辑(增加、修改、删除)现有的规则信息,编辑完成后,点击【确定】
4)跳出“复制成功”的提示框,代表安全组复制成功,可以在安全组页面查看复制的安全组信息
1)登录 金山云控制台,依次点击【网络】–【虚拟私有网络】–【安全组(防火墙)】
2)选中需要删除的安全组,并点击【删除】按钮
3)在删除确认页面,点击【删除】
4)跳出“删除成功”的提示框,代表安全组成功删除
注:VPC中默认安全组不能删除,安全组中还有关联云服务器或者裸金属服务器时不能删除。
1)登录 金山云控制台,依次点击【网络】–【虚拟私有网络】–【安全组(防火墙)】
2)选择需管理云服务器的安全组,点击上方的【管理云服务器】,或点击下方【云服务器信息】–【管理云服务器】,进入管理云服务器页面。
3)在管理云服务器页面,左下方展示未加入此安全组的网卡,右下方展示已加入此安全组的网卡,点击【添加】或【移动】来管理此安全组下的云服务器,然后点击【确定】
4)跳出“操作成功”的提示框,代表操作成功
1)登录 金山云控制台,依次点击【网络】–【虚拟私有网络】–【安全组(防火墙)】
2)选择需管理云物理主机的安全组,点击上方的【管理云物理主机】,或点击下方【裸金属服务器信息】–【管理裸金属服务器】,进入管理裸金属服务器页面。
3)在管理裸金属服务器页面,左下方展示未加入此安全组的网卡,右下方展示已加入此安全组的网卡,点击【添加】或【移动】来管理此安全组下的云物理主机,然后点击【确定】
4)跳出“操作成功”的提示框,代表操作成功
纯净模式
鼠标选中内容,快速反馈问题