云防火墙支持安全组默认放通的功能,帮助您简化ECS安全组访问控制策略的配置。本文档介绍了如何执行安全组默认放通。
背景信息
防护原理
云防火墙通过给开放公网IP的ECS安全组下发4条优先级最低(优先级为100)的访问控制策略(即ECS安全组规则),实现该ECS的公网IP在互联网方向的默认放通。安全组放通功能无需您手动添加访问控制策略,只需在云防火墙自动新增策略后,确认这4条策略无误,并保存新增策略即可。
注意 安全组放通的功能仅对ECS安全组规则设置为放行的流量生效,对于设置为拒绝的安全组规则无影响。
限制条件
- 企业安全组不支持安全组放通功能,并且您如果在同一个VPC网络中存在企业安全组,则该VPC所属的安全组也不支持默认放通功能。相关信息,请参见企业安全组。
- 目前,安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向(外到内)流量,公网SLB等不支持开启。
- 为更好地保护您的资产安全,对于未开启云防火墙开关的IP,不建议执行默认放通。对于已放通的IP,不建议关闭云防火墙的防护开关,否则会存在公网IP暴露的风险。
配置安全组放通
参考以下步骤配置安全组放通。
警告 请您重点关注以下情况,以免为您的业务带来严重安全风险。
- 对于未开启云防火墙开关的IP,不建议执行默认放通。
- 如果ECS的公网IP不支持开启引流(例如:公网SLB),不建议执行默认放通。
- 云防火墙服务到期后,如果您不再使用云防火墙服务,建议您前往ECS管理控制台的 页面,删除云防火墙之前自动添加的这4条放通策略。
相关操作
查看安全组默认放通策略下发状态
安全组放通配置完成后,您可前往
页面,查看您ECS实例所在安全组默认放通策略的下发状态,确定策略是否已成功下发,及时排查未成功下发的问题。下发状态包含以下几类:
- 已下发:该IP所在的ECS实例关联的所有安全组都成功下发了放通规则(安全组中所有ECS实例在互联网入方向全部都已放通);如果ECS实例对应多个安全组,需要所有关联的安全组状态都为已下发,该安全组放通规则才能生效。
- 未下发:该IP所在的ECS实例关联的安全组中,有部分安全组存仍未成功下发放通规则(这种情况下,互联网入方向的流量仍然受安全组策略的控制)。关联安全组存在配置冲突或未执行一键下发都可能导致安全组放通规则未成功下发。
- 不支持:该资产类型暂不支持一键下发默认放通安全组规则。目前,除了ECS EIP和ECS Public IP,其他资产类型的IP都不支持该功能,例如:SLB IP、ENI EIP、NAT EIP等不支持默认放通安全组规则。