安全性群組五元組規則 - 最佳實務

安全性群組用於設定單台或多台ECS執行個體的網路存取控制，它是重要的網路安全隔離手段，用於在雲端劃分安全域。安全性群組五元組規則能精確控制源IP、源連接埠、目的IP、目的連接埠以及傳輸層協議。

背景資訊

在最初涉及安全性群組規則時，

安全性群組入規則只支援：源IP地址、目的連接埠、傳輸層協議。
安全性群組出規則只支援：目的IP地址、目的連接埠、傳輸層協議。

在多數應用情境下，該安全性群組規則簡化了設定，但存在如下弊端：

無法限定入規則的源連接埠範圍，預設允許存取所有源連接埠。
無法限定入規則的目的IP地址，預設允許存取安全性群組下的所有IP地址。
無法限定出規則的源連接埠範圍，預設允許存取所有源連接埠。
無法限定出規則的源IP地址，預設允許存取安全性群組下的所有IP地址。

五元組規則定義

五元組規則包含：源IP地址、源連接埠、目的IP地址、目的連接埠、傳輸層協議。

五元組規則完全相容原有的安全性群組規則，能更精確的控制源IP地址、源連接埠、目的IP地址、目的連接埠以及傳輸層協議。

五元組出規則樣本如下：

源IP地址：172.16.1.0/32
源連接埠：22
目的IP：10.0.0.1/32
目的連接埠：不限制
傳輸層協議：TCP
授權策略：Drop

樣本中的出規則表示禁止172.16.1.0/32通過22連接埠對10.0.0.1/32發起TCP訪問。

應用情境

某些平台類網路產品接入第三方廠商的解決方案為使用者提供網路服務，為了防範這些產品對使用者的ECS執行個體發起非法訪問，則需要在安全性群組內設定五元組規則，更精確的控制出流量和入流量。
設定了組內網路隔離的安全性群組，如果您想精確控制組內若干ECS執行個體之間可以互相訪問，則需要在安全性群組內設定五元組規則。

配置五元組規則

您可以使用OpenAPI設定五元組規則。

增加安全性群組入規則，請參見 AuthorizeSecurityGroup。
增加安全性群組出規則，請參見 AuthorizeSecurityGroupEgress。
刪除安全性群組入規則，請參見 RevokeSecurityGroup。
刪除安全性群組出規則，請參見 RevokeSecurityGroupEgress。

參數說明

在授權或解除授權時，各參數的含義如下表所示。


參數	入規則中各參數含義	出規則中各參數含義
SecurityGroupId	當前入規則所屬的安全性群組ID，即目的安全性群組ID。	當前出規則所屬的安全性群組ID，即源安全性群組ID。
DestCidrIp	目的IP範圍，選擇性參數。如果指定DestCidrIp，則可以更精細地控制入規則生效的目的IP範圍；如果不指定DestCidrIp，則入規則生效的IP範圍就是SecurityGroupId這個安全性群組下的所有IP。	目的IP，DestGroupId與DestCidrIp二者必選其一，如果二者都指定，則DestCidrIp優先順序高。
PortRange	目的連接埠範圍，必選參數	目的連接埠範圍，必選參數。
DestGroupId	不允許輸入。目的安全性群組ID一定是SecurityGroupId。	目的安全性群組ID。DestGroupId與DestCidrIp二者必選其一，如果二者都指定，則DestCidrIp優先順序高。
SourceGroupId	源安全性群組ID，SourceGroupId與SourceCidrIp二者必選其一，如果二者都指定，則SourceCidrIp優先順序高。	不允許輸入，出規則的源安全性群組ID一定是SecurityGroupId。
SourceCidrIp	源IP範圍，SourceGroupId與SourceCidrIp二者必選其一，如果二者都指定，則SourceCidrIp優先順序高。	源IP範圍，選擇性參數。如果指定SourceCidrIp，則會更精細地限定出規則生效的源IP。如果不指定SourceCidrIp，則生效的源IP就是SecurityGroupId這個安全性群組下的所有IP。
SourcePortRange	源連接埠範圍，選擇性參數，不填則不限制源連接埠。	源連接埠範圍，選擇性參數，不填則不限制源連接埠。