本文介紹系統自動建立的預設安全性群組和您自己建立的安全性群組的預設規則。

说明
安全性群組是有狀態的。如果資料包在出方向(Outbound)被允許,那麼對應的此串連在入方向(Inbound)也被允許。更多安全性群組相關的概念,請參見安全组。

系統自動建立的預設安全性群組

在一個地域建立ECS執行個體時,如果當前帳號在這個地域裡尚未 建立安全性群組,您可以選擇系統自動建立的預設安全性群組,如下圖所示。

預設安全性群組中的預設規則僅設定針對ICMP協義、SSH 22通信埠、RDP 3389通信埠、HTTP 80通信埠和HTTPS 443通信埠的入方向規則。網路類型不同,安全性群組規則不同。

  • VPC:VPC型別安全組規則不區分內網和公網。VPC類型ECS執行個體的公網訪問通過私網網卡映射完成,所以,您在執行個體內部看不到公網網卡,在安全性群組裡也只能設定內網規則。安全性群組規則同時對內網和公網生效。VPC類型預設安全性群組的預設規則如下表所示。
    網卡類型 規則方向 授權策略 協議類型 通信埠範圍 優先順序 授與類型 授權對象
    入方向 允許 自訂TCP(SSH) 22/22 110 地址段訪問 0.0.0.0/0
    自訂TCP(RDP) 3389/3389
    全部ICMP -1/-1
    自訂TCP(HTTP),可選 80/80
    自訂TCP(HTTPS),可選 443
  • 經典網路預設安全性群組的預設規則如下表所示。
    網卡類型 規則方向 授權策略 協議類型 通信埠範圍 優先順序 授與類型 授權對象
    公網 入方向 允許 自訂TCP(SSH) 22/22 110 地址段訪問 0.0.0.0/0
    自訂TCP(RDP) 3389/3389
    全部ICMP -1/-1
    自訂TCP(HTTP),可選 80/80
    自訂TCP(HTTPS),可選 443
    说明
    預設安全性群組規則的優先順序為110,表示預設規則的優先順序永遠比您手動添加的安全性群組規則低,隨時可被覆蓋。手動添加安全性群組規則時,優先順序範圍為[1, 100]。關於安全性群組規則優先順序的資訊,請參見 ECS安全性群組規則優先順序說明

根據業務需要,您可以在預設安全性群組中 添加安全性群組規則

您自己建立的安全性群組

建立安全性群組 後,未添加任何安全性群組規則之前,內網和公網預設規則如下:

  • 出方向: 允許所有訪問。
  • 入方向: 拒絕所有訪問。

如果您的執行個體在這樣一個全新的安全性群組中,您只能 使用管理終端串連 ECS 執行個體,但是不能通過遠端連線軟體登入執行個體,無論是 使用使用者名密碼驗證串連 Linux 執行個體 還是 使用軟體串連Windows執行個體

根據業務需要,您可以在自建的安全性群組中 添加安全性群組規則