发布:凯铧互联
问题场景:
安全组,云服务器最基本的免费安全防护工具,请详细说明下
凯铧互联小编回复:
在云上,安全组是很常用的功能,有时候云服务器及应用无法正常访问,便是由于安全组没有开放相应端口造成的。另外,安全组配置不当,还会造成安全隐患。因此,凯铧互联建议大家对安全组要正确理解、准确配置。在云上安全体系中,安全组可是免费又好用的安全防护工具哦。
下面就跟着凯铧互联云服务一起来学习一下安全组相关知识吧!
什么是安全组? 安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,您可以在云端划分安全域。 每台ECS实例至少属于一个安全组,在创建实例的时候必须指定安全组。同一安全组内的ECS实例之间网络互通,不同安全组的ECS实例之间默认内网不通,可以授权两个安全组之间互访。
为什么要在创建ECS实例时选择安全组? 在创建ECS实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。 如果您在创建ECS实例时不选择安全组,创建的ECS实例会分配到一个固定的安全组(即,默认安全组),建议您将实例移出默认安全组并加入新的安全组来实现网络安全隔离。
创建ECS实例前,未创建安全组怎么办? 如果您在创建ECS实例前,未创建安全组,您可以选择默认安全组。默认的安全组放行了常用端口,如TCP 22端口、3389端口等。
为什么ECS实例加入安全组时提示规则数量超限? 作用于一台ECS实例(主网卡)的安全组规则数量上限=该实例允许加入的安全组数量x每个安全组最大规则数量。 如果提示加入安全组失败,作用在该实例上的安全组规则数量已达上限,表示当前ECS实例上的规则总数已经超过数量上限。建议您重新选择安全组。 专有网络VPC类型ECS实例的安全组数量上限调整后,只对调整日期后新增的安全组生效吗? 不是。该上限调整对调整日期之前和之后创建的所有专有网络VPC类型ECS实例的安全组都生效。
安全组在什么情况下会使用默认安全组规则? 在以下情况中会使用默认安全组规则: 通过ECS管理控制台在一个地域首次创建ECS实例时,如果您尚未创建安全组,可以选择系统自动创建的默认安全组,类型为普通安全组。默认安全组采用默认安全规则。入方向放行ICMP协议、SSH 22端口、RDP 3389端口,授权对象为全网段(0.0.0.0/0),优先级为100,您还可以勾选放行HTTP 80端口和HTTPS 443端口。出方向允许所有访问。 您在ECS管理控制台上创建安全组时默认的安全组规则,入方向放行ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口,授权对象为全网段(0.0.0.0/0)。
什么场景下我需要添加安全组规则? 在以下场景中,您需要添加安全组规则,保证ECS实例能被正常访问: ECS实例所在的安全组没有添加过安全组规则,也没有默认安全组规则。当ECS实例需要访问公网,或访问当前地域下其他安全组中的ECS实例时,您需要添加安全规则。 搭建的应用没有使用默认端口,而是自定义了一个端口或端口范围。此时,您必须在测试应用连通前放行自定义的端口或端口范围。例如,您在ECS实例上搭建Nginx服务时,通信端口选择监听在TCP 8000,但您的安全组只放行了80端口,则您需要添加安全规则,保证Nginx服务能被访问。
为什么无法访问TCP 25端口? TCP 25端口是默认的邮箱服务端口。基于安全考虑,云服务器ECS的25端口默认受限。建议您使用465端口发送邮件。具体设置,请咨询凯铧互联云服务。如果您只能使用TCP 25端口,请申请解封。具体操作,请咨询凯铧互联云服务。
为什么无法访问80端口? 请联系凯铧互联检查TCP 80端口是否正常工作。
为什么安全组里自动添加了很多内网相关的安全组规则? 以下两种情况,可能导致您的安全组里自动添加了很多规则: 如果您访问过DMS,安全组中就会自动添加相关的规则。 如果您近期通过阿里云数据传输DTS功能迁移过数据,安全组中会自动添加DTS的服务IP地址相关的规则。
安全组规则配置错误会造成什么影响? 安全组配置错误会导致ECS实例在私网或公网与其他设备之间的访问失败。比如: 无法从本地远程连接(SSH)Linux实例或者远程桌面连接Windows实例。 无法远程ping ECS实例的公网IP。 无法通过HTTP或HTTPS协议访问ECS实例提供的Web服务。 无法通过内网访问其他ECS实例。 应用案例概述 ECS实例主要通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。创建安全组和添加安全组规则的详细操作,请参见创建安全组和添加安全组规则。
以下列举了常见的安全组规则配置案例供您参考:
案例一:同一个地域、同一个账号下的实例实现内网互通 场景举例:如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
案例二:同一个地域、不同账号下的实例实现内网互通 场景举例:如果您需要同一个地域、不同账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
案例三:只允许特定IP地址远程登录到实例 场景举例:如果您的ECS实例被黑客远程控制,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
案例四:只允许实例访问外部特定IP地址 场景举例:如果您的ECS实例被黑客远程控制,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
案例五:拒绝实例访问外部特定IP地址 场景举例:如果您不希望您的ECS实例访问某个特定的外部IP地址,您可以通过安全组设置,拒绝实例访问外部特定IP地址。
案例六:允许公网远程连接实例 场景举例:您可以通过公网远程连接到实例上,管理实例。
案例七:允许内网其他账号下某个安全组内的ECS实例远程连接实例 场景举例:您可以通过内网其他账号下某个安全组内的ECS实例远程连接到实例上,管理实例。 案例八:允许公网通过HTTP、HTTPS等服务访问实例 场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
今天的分享就到这里啦,若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面/便捷/专业的7x24技术服务。
为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。
凯铧互联专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,提供7x24一对一技术服务,远程协助等。同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买,让用户能够便捷、更省的上云。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。
阿里云代理商凯铧互联提供阿里云服务器,云服务器解决方案,万网虚拟主机,阿里云邮箱,云数据库RDS,对象存储OSS,负载均衡,CDN、云盾安全,DDOS高防IP等产品的全国代买服务,直属会员+双重售后服务+更多优惠政策。
