安全组规则设置不当可能会导致严重的安全问题。安全组检查功能为您检查ECS服务器安全组中存在高危风险的规则,并提供修复建议,帮助您更安全、更高效地使用安全组功能。本文介绍了如何在云防火墙控制台使用安全组检查功能。

背景信息

安全组是一种虚拟防火墙,仅适用于阿里云ECS服务器。安全组检查功能支持对普通安全组和企业级安全组进行安全检查。更多信息,请参见安全组概述

版本支持说明

云防火墙高级版、企业版和旗舰版均支持安全组检查功能。

操作步骤

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 安全组检查
  2. 可选:安全组检查页面,单击获取最新检查结果
    安全组检查预计需要1~5分钟,请您耐心等待。
    说明 安全组检查根据安全规则的静态分析得出最新检查结果,可能无法覆盖全部的端口风险情况。您可以在互联网访问活动页面查看端口相关的全部检查结果,了解端口的实际暴露情况。
  3. 检查结果详情区域,查看检测出的安全组风险详细信息。
    您可以查看安全组风险等级检查项风险安全组/服务器数检查项状态信息。
    说明 您可以根据需要打开或关闭检查项状态。关闭表示不检查该项。
  4. 修复高危安全组检查项。
    1. 定位到指定的检查项,单击其操作列下的修复详情
      您也可以单击风险安全组/服务器数下的数字,跳转至安全组修复详情页面。
    2. 安全组修复详情页面,定位到需要修复的安全组,单击其操作列下的去安全组修复
      您也可以单击风险安全组ID/名称下的安全组ID链接跳转至ECS管理控制台安全组列表页面,对有风险的安全组规则进行修复。
      警告 安全组规则设置不当可能会引起严重的安全事故。安全组修复详情页面针对风险安全组提供了修复建议,建议您根据修复建议尽快修改存在风险的安全组规则。

相关操作

如果您使用的是免费版云防火墙,您可以选择立即升级去安全组手动修复立即升级去安全组手动修复的详细信息如下:
  • 立即升级:购买云防火墙高级版及以上的版本,使用云防火墙提供的安全组检查功能修复安全组高危规则。云防火墙可统一管理安全组和公网IP访问控制策略,及时缩小安全风险暴露面,提高安全管理效率。推荐您使用该方式。
  • 去安全组手动修复:跳转至ECS管理控制台安全组页面,手动修复高危安全组规则。更多信息,请参见修改安全组规则

安全组配置检查项列表

检查项名称 安全风险 修复建议
Linux远程运维端口暴露 22端口允许任意IP访问,关联的Linux服务器可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器22端口的访问。如果业务需要访问服务器22端口,建议您限制可访问该端口的公网IP,或使用堡垒机进行远程运维。更多信息,请参见什么是堡垒机
Windows远程运维端口暴露 3389端口允许任意IP访问,关联的Windows服务器可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器3389端口的访问。如果业务需要访问服务器3389端口,建议您限制可访问该端口的公网IP,或使用堡垒机进行远程运维。更多信息,请参见什么是堡垒机
DB2远程运维端口暴露 50000端口允许任意IP访问,关联的DB2数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器50000端口的访问。
ECS加入的安全组数量过多 ECS实例加入了3个及以上安全组,会增加运维难度,提高错误配置风险。 建议一台ECS实例加入的安全组数量小于等于2个。更多信息,请参见安全组概述
Elasticsearch远程运维端口暴露 9200、9300端口允许任意IP访问,关联的Elasticsearch可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器9200、9300端口的访问。
Hadoop YARN远程运维端口暴露 8088端口允许任意IP访问,关联的Hadoop YRAN可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器8088端口的访问。
Hadoop远程运维端口暴露 50070、50030端口允许任意IP访问,关联的Hadoop可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器50070、50030端口的访问。
MongoDB远程运维端口暴露 27017端口允许任意IP访问,关联的Mongo DB数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器27017端口的访问。
MySQL远程运维端口暴露 3306端口允许任意IP访问,关联的MySQL数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器3306端口的访问。
Oracle远程运维端口暴露 1521端口允许任意IP访问,关联的Oracle数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器1521端口的访问。
PostgreSQL远程运维端口暴露 5432端口允许任意IP访问,关联的PostgreSQL数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器5432端口的访问。
Redis远程运维端口暴露 6379端口允许任意IP访问,关联的Redis数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器6379端口的访问。
SQL Server远程运维端口暴露 1433端口允许任意IP访问,关联的SQL Sever数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器1433端口的访问。
Spark远程运维端口暴露 6066端口允许任意IP访问,关联的Spark可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器6066端口的访问。
Splunk远程运维端口暴露 8089、8090端口允许任意IP访问,关联的Splunk可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器8089、8090端口的访问。
访问源过度开放 检查到安全组配置为入方向允许任意IP访问任意端口,关联服务器被入侵风险极大。 建议仅开放业务所需端口,并限制访问源IP范围。