安全组规则是您自定义的访问规则,用于控制安全组内实例的入方向访问和出方向访问。
安全组规则属性
在添加或修改一条安全组规则时,需要设置的属性如下表所示。
| 属性 | 说明 |
|---|---|
| 规则方向 | 网络类型影响规则方向的分类:
规则方向影响匹配要素:
说明 在控制台创建的安全组规则默认为三元组规则。如果您需要更精确地控制访问,可以通过OpenAPI创建五元组规则,基于源IP地址、源端口、目的IP地址、目的端口及传输层协议控制访问。更多信息,请参见安全组五元组规则。
|
| 授权策略 | 支持允许和拒绝策略。如果两条安全组规则只有授权策略不同,则拒绝策略的安全组规则生效。 |
| 优先级 | 优先级的取值范围为1~100,数值越小,代表优先级越高。 |
| 协议类型 | 传输层协议的类型,支持TCP、UDP、ICMP(IPv4)、ICMP(IPv6)和GRE。 |
| 端口范围 | 入方向访问和出方向访问的目的端口,可以设置一个或多个。关于典型应用的默认端口,请参见常用端口。 |
| 授权对象 | 支持针对以下对象授权:
|
安全组规则过滤访问请求流程
如果一台实例加入了多个安全组,则所有安全组的安全组规则均应用于该实例。检测到访问请求时,系统会逐一尝试匹配安全组规则。如果基于协议、端口、授权对象匹配到了多条安全组规则,则继续通过优先级和授权策略来判定最终生效的安全组规则,最终结果为允许访问时才建立会话。
如果访问出现异常,您可以按需添加或修改安全组规则,新的安全组规则会自动应用于安全组内所有实例。
安全组规则示例
如果您需要使用SSH密钥对远程连接Linux实例,以在专有网络安全组中添加安全组规则为例,如下表所示。
| 规则方向 | 授权策略 | 优先级 | 协议类型 | 端口范围 | 授权对象 |
|---|---|---|---|---|---|
| 入方向 | 允许 | 1 | 自定义TCP | 目的:22/22 | 源:0.0.0.0/0 |
说明
0.0.0.0/0为允许所有IP远程连接实例。为安全起见,建议您在实际业务中将授权对象设置为特定的IP访问,遵循最小授权原则。
在未添加安全组规则时,普通安全组允许出方向访问。如果您希望将安全组作为白名单使用,可以设置默认拒绝所有出方向访问。以在专有网络安全组中添加安全组规则为例,如下表所示。
| 规则方向 | 授权策略 | 优先级 | 协议类型 | 端口范围 | 授权对象 |
|---|---|---|---|---|---|
| 出方向 | 拒绝 | 100 | 全部 | 目的:-1/-1 | 目的:0.0.0.0/0 |
更多安全组规则示例,请参见安全组应用案例。