安全组默认放通

防护原理

云防火墙通过给开放公网IP的ECS安全组下发4条优先级最低（优先级为100）的访问控制策略（即ECS安全组规则），实现该ECS的公网IP在互联网方向的默认放通。安全组放通功能无需您手动添加访问控制策略，只需在云防火墙自动新增策略后，确认这4条策略无误，并保存新增策略即可。

限制条件

• 企业安全组不支持安全组放通功能，并且您如果在同一个VPC网络中存在企业安全组，则该VPC所属的安全组也不支持默认放通功能。
• 目前，安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向（外到内）流量，公网SLB等不支持开启。
• 为更好地保护您的资产安全，对于未开启云防火墙开关的IP，不建议执行默认放通。对于已放通的IP，不建议关闭云防火墙的防护开关，否则会存在公网IP暴露的风险。

配置安全组放通

参考以下步骤配置安全组放通。

1. 登录云防火墙控制台。
2. 在左侧导航栏单击防火墙开关。
3. 在互联网边界防火墙页面，定位到需要放通的安全组，并单击下发。
   
4. 在安全组默认放通策略对话框中，确认需要放通的关联安全组，并执行以下步骤。
   • 关联安全组不存在配置冲突的情况下：可直接单击一键下发，然后执行步骤5。
   • 关联安全组存在配置冲突的情况下：无法直接单击一键下发。

     您可参照以下方法进行处理：

     配置冲突的场景	场景描述	操作方法
     配置冲突可调整	该ECS实例IP所关联的安全组中，存在优先级大于等于100的规则（和待下发的默认规则优先级冲突）。 云防火墙会通过将原有安全组规则的优先级调高，解决冲突。	云防火墙会自动为您调整安全组优先级，无需您手动调整。您只需在安全组默认放通策略页面，单击一键调整，确认后云防火墙自动为您调整安全组优先级，一键下发按钮将会显示在IP关联的安全组列表的操作列中。
     配置冲突不可调整	该ECS实例IP所关联的安全组中，存在优先级大于等于100的规则（和待下发的默认规则优先级冲突），但是无法通过调整冲突规则的优先级来解决。	配置冲突不可调整的情况下，一键调整按钮不可单击。建议您前往ECS管理控制台的安全组页面查看和调整冲突的规则优先级，或联系云防火墙钉钉技术支持。

5. 在安全组默认放通策略 > 一键下发对话框中，可查看到云防火墙自动为您新增的4条放通策略。确认无误后，单击确定 > 提交，默认放通该安全组互联网方向的访问。
   说明 单击提交后，该安全组下所有ECS实例的互联网方向流量将会变为默认放开。建议您梳理一下该安全组ECS对外暴露的公网IP，确认这些公网IP都在云防火墙中配置了相应的访问控制策略。

   关联的安全组都执行了一键下发后，该目标IP地址所属的安全组放通策略状态将变为已下发，策略也将立即生效。单击查看可查看关联安全组的详细信息。

   注意 由于安全组放通后，该安全组将默认放开互联网方向的访问流量，需要您关注以下几点：

   • 安全组放通后，需要确保在云防火墙上开启该IP的防火墙防护开关，并在互联网边界防火墙外对内方向中添加对应的访问控制策略。
   • ECS公网IP所关联的安全组放通后，该安全组下所有ECS实例的互联网方向的访问都会变为默认放通。建议您合理配置安全组的实例，有效控制公网暴露范围和降低您ECS暴露的风险。
   • 如果您的云防火墙服务过期并自动释放，已放通的安全组将不再受云防火墙的保护。建议您在收到云防火墙过期提醒消息时及时续费，或对已放通的安全组进行互联网方向的访问控制加固。放通安全组时，云防火墙为您自动新增的4条放通策略还会保留在ECS安全组中，并处于生效状态。如果您不再使用云防火墙服务，建议您前往ECS管理控制台的网络与安全 > 安全组页面，删除云防火墙之前自动添加的这4条放通策略。