安全组概述
最近更新时间: 2024-10-17 17:10:00
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。 您可以通过配置安全组规则,允许或禁止安全组内的实例的出流量和入流量。
特点
- 安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内。
- 关联了同一安全组的实例间默认不会互通,您需要添加相应的允许规则。
- 安全组是有状态的,对于您已允许的入站流量,都将自动允许其流出,反之亦然。
- 您可以随时修改安全组的规则,新规则立即生效。
安全组规则
组成部分
安全组规则包括如下组成部分:
- 来源:源数据(入站)或目标数据(出站)的 IP。
- 协议类型和协议端口:协议类型如 TCP、UDP、HTTP 等。
- 策略:允许或拒绝。
规则优先级
- 安全组内规则具有优先级。规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,最先应用;列表底端规则优先级最低。
- 若有规则冲突,则默认应用位置更前的规则。
- 当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配至最后一条。如果匹配某一条规则成功,允许通过,则不再匹配该规则之后的规则。
多个安全组
一个实例可以绑定一个或多个安全组,当实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行,您可以随时调整安全组的优先级。
安全组模板
新建安全组时,您可以选择腾讯云金融专区为您提供的两种安全组模版:
- 放通全部端口模版:将会放通所有出入站流量。
- 放通常用端口模板:将会放通 TCP 22端口(Linux SSH 登录),80、443端口(Web 服务),3389端口(Windows 远程登录)、 ICMP 协议(Ping)、放通内网。
说明:
- 如果提供的安全组模版不满足您的实际使用,您也可以新建自定义安全组,详情请参见 创建安全组、安全组应用案例。
- 如果您对应用层(HTTP/HTTPS)有安全防护需求,可另行购买 Web 应用防火墙(WAF),WAF 将为您提供应用层 Web 安全防护,抵御 Web 漏洞攻击、恶意爬虫和 CC 攻击等行为,保护网站和 Web 应用安全。
使用限制
有关安全组的使用限制及配额,详情请参见 限制说明 。
使用流程
安全组的使用流程如下图所示。