全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
云服务器 ECS

应用案例

更新时间:2017-11-17 09:43:25

本文介绍了几个常见的安全组应用案例,同时适用于 专有网络经典网络 ECS 实例。

说明

案例 1:实现内网互通

使用安全组实现相同地域不同账号下或不同安全组内 ECS 实例间的内网互通。有两种情况:

  • 场景 1:实例属于同一个地域、同一个账号
  • 场景 2:实例属于同一个地域、不同账号

场景 1:同一地域、同一账号

同一地域、同一账号的 2 个实例,如果在同一个安全组内,默认内网互通,不需要设置。如果在不同的安全组内,默认内网不通,此时,您可以根据不同的网络类型做不同的设置:

  • 专有网络使用高速通道实现 VPC 互通

  • 经典网络:在实例所在安全组中分别添加一条安全组规则,授权另一个安全组内的实例访问本安全组内的实例,实现内网互通。安全组规则如下表所示。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象
    经典网络 内网 入方向 允许 设置适用的协议类型 设置端口范围 1 安全组访问(本账号授权) 选择允许访问的实例所在的安全组 ID

场景 2:同一地域、不同账号

  • 专有网络
    同一地域、不同账号的专有网络实例,需要通过高速通道实现内网互通,详情请参考 跨账号 VPC 互通

  • 经典网络
    同一个地域内、不同账号下,经典网络实例可以通过安全组授权实现内网互通。比如:

    • UserA 用户在 华东 1 有一台经典网络的 ECS 实例 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA。
    • UserB 用户在 华东 1 有一台经典网络的 ECS 实例 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。
    • 在 GroupA 中添加安全组规则,授权 InstanceB 内网访问 InstanceA,如下表所示。
      网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
      内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupB 的 ID,并在 账号 ID 里添加 UserB 的 ID 1
    • 在 GroupB 中添加安全组规则,授权 InstanceA 内网访问 InstanceB,如下表所示。

      网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
      内网 入方向 允许 选择适用的协议类型 设置端口范围 安全组访问(跨账号授权) GroupA 的 ID,并在 账号 ID 里添加 UserA 的 ID 1

      注意
      出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问;如果选择 地址段访问,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 /32

案例 2:屏蔽、拦截、阻断特定 IP 对实例或实例特定端口的访问

如果需要使用安全组屏蔽、拦截、阻止特定 IP 对您的 ECS 实例的访问,或者屏蔽 IP 访问 ECS 实例的特定端口(如本例中的 TCP 22 端口)。举例:

  • 如果要拒绝特定公网 IP 地址段对 ECS 所有端口的访问,添加如下表所示的安全组规则:

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要设置 入方向 拒绝 全部 -1/-1 地址段访问 待屏蔽的 IP 地址段,采用 CIDR 格式,如 a.b.c.d/27。关于 CIDR 格式介绍,请参考 ECS 实例子网划分和掩码表示方法 1
    经典网络 公网
  • 如果要拒绝特定 IP 地址段对 ECS 特定端口(如 TCP 22 端口)的访问,添加如下安全组规则:

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要设置 入方向 拒绝 SSH(22) 22/22 地址段访问 待屏蔽的 IP 地址段,采用 CIDR 格式,如 a.b.c.d/27。关于 CIDR 格式介绍,请参考 ECS 实例子网划分和掩码表示方法 1
    经典网络 公网

案例 3:只允许特定 IP 远程登录到实例

如果您只想让某些特定 IP 远程登录到实例,您需要在实例所在安全组里添加以下 2 条规则(以 Linux 服务器为例,设置只让特定 IP 访问 TCP 22 端口):

  • 允许特定 IP 访问 TCP 22 端口,优先级为 1,优先级最高,最先执行。安全组规则如下表所示。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要配置 入方向 允许 SSH(22) 22/22 地址段访问 允许远程连接的 IP 地址,如 1.2.3.4。 1
    经典网络 公网
  • 拒绝其他 IP 访问 TCP 22 端口,优先级为 2,低于优先级为 1 的规则。安全组规则如下表所示。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要配置 入方向 拒绝 SSH(22) 22/22 地址段访问 0.0.0.0/0 2
    经典网络 公网

完成设置后:

  • 来自 IP 1.2.3.4 访问 TCP 22 端口优先执行优先级为 1 的规则,允许访问。
  • 来自其他 IP 访问 TCP 22 端口优先执行优先级为 2 的规则,拒绝访问。

案例 4:只允许实例访问外部特定 IP

如果您只想让实例访问特定的 IP,您需要在实例所在安全组里添加以下 2 条规则:

  • 禁止以任何协议访问所有公网 IP,优先级应低于允许访问的规则(如本例中设置优先级为 2)。安全组规则如下表所示。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要配置 出方向 拒绝 全部 -1/-1 地址段访问 0.0.0.0/0 2
    经典网络 公网
  • 允许访问特定公网 IP,优先级应高于拒绝访问的安全组规则的优先级(如本例中设置为 1)

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要配置 出方向 允许 选择适用的协议类型 设置端口范围 地址段访问 允许实例访问的特定公网 IP 地址,如 1.2.3.4。 1
    经典网络 公网

添加了安全组规则后,在实例内部进行 ping、telnet 等测试,除了允许访问的 IP 地址外其他 IP 地址均不通,说明安全组规则已经生效。

案例 5:允许远程登录到实例

允许远程登录到 ECS 实例分为两种情况:

  • 场景 1:允许公网远程登录到指定实例
  • 场景 2:允许内网其他账号下的某个 ECS 实例或所有 ECS 实例远程登录到指定实例

场景 1:允许公网远程登录到实例

如果您需要允许公网远程登录到实例,需要添加安全组规则。

  • 专有网络:添加如下所示所安全组规则。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网 IP 登录,填写 0.0.0.0/0。如果只允许特定 IP 远程登录,填写指定的 IP 地址。 1
    Linux:SSH(22) 22/22
    自定义 TCP 自定义
  • 经典网络:添加如下表所示安全组规则。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    经典网络 公网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 如果允许任意公网 IP 登录,填写 0.0.0.0/0。如果只允许特定 IP 远程登录,填写指定的 IP 地址。 1
    Linux:SSH(22) 22/22
    自定义 TCP 自定义

自定义远程连接端口的操作,参考文档:服务器默认远程端口修改

场景 2:允许内网其他账号下某个安全组内的 ECS 实例远程登录到您的实例

如果您的账号与同地域其他账号内网互通,您要允许内网其他账号的某个安全组内的 ECS 实例远程登录到实例,您需要添加安全组规则。

  • 允许内网其他账号某个实例 IP 登录您的实例

    • 专有网络:应先保证 2 个账号的实例 通过高速通道内网互通,再添加如下表所示的安全组规则。

      网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
      专有网络 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的私有 IP 地址 1
      Linux:SSH(22) 22/22
      自定义 TCP 自定义
    • 经典网络:应添加如下表所示的安全组规则。

      网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
      经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 地址段访问 对方实例的内网 IP 地址。可以只写 IP 地址。也可以以 CIDR 格式填写,此时,只支持单 IP 授权,格式只能是 a.b.c.d/32。 1
      Linux:SSH(22) 22/22
      自定义 TCP 自定义
  • 允许内网其他账号某个安全组里的所有 ECS 实例登录您的实例

    • 专有网络实例,应先保证 2 个账号的实例 通过高速通道内网互通,再添加如下表所示的安全组规则。

      网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
      专有网络 不需要设置 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方 ECS 实例所属的安全组 ID,并填写对方账号 ID 1
      Linux:SSH(22) 22/22
      自定义 TCP 自定义
    • 经典网络实例,添加如下表所示的安全组规则。

      网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
      经典网络 内网 入方向 允许 Windows:RDP(3389) 3389/3389 安全组访问(跨账号授权) 对方 ECS 实例所属的安全组 ID,并填写对方账号 ID 1
      Linux:SSH(22) 22/22
      自定义 TCP 自定义

案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例

如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。

  • 专有网络:假设不限制公网访问您的网站,添加如下表所示的安全组规则。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    专有网络 不需要配置 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1
    HTTPS(443) 443/443
    自定义 TCP 自定义,如 8080/8080
  • 经典网络:假设不限制公网访问您的网站,添加如下表所示的安全组规则。

    网络类型 网卡类型 规则方向 授权策略 协议类型 端口范围 授权类型 授权对象 优先级
    经典网络 公网 入方向 允许 HTTP(80) 80/80 地址段访问 0.0.0.0/0 1
    HTTPS(443) 443/443
    自定义 TCP 自定义,如 8080/8080

说明

本文导读目录