安全组配置

在金融云上，安全组在ECS控制台-安全组进行配置，也可以通过API配置，这里推荐可以使用api封装的aliyuncli工具。安全组的基本限制可以参考安全组使用注意。

安全组配置步骤

1.进入“云服务器ECS”。选择左侧菜单中的“安全组”。

安全组

2.创建安全组

tips:华东1/华北1为经典网络，华南1和华东2为专有网络。创建的时候注意选择网络类型，默认都为经典网络。

3.添加规则

tips1:创建管理VPN用户时，会为其分配新的客户端IP（最多5个），客户端内网IP与创建的VPN用户没有严格的对应关系，即每次登录管理VPN，你的内网IP都是从客户端IP列表中随机选择一个。因此在配置安全组规则时，需要你在将所有的源IP都添加到对应的规则中。

tips2:金融云经典网络ECS公网入方向默认放行UDP，TCP默认DROP。即使在安全组设置公网入方向TCP策略，也不会生效。其他的策略优先级可以参考下授权安全组规则。

tips3:专有网络下只有私网网卡，如需要对安全组授权配置私网策略即可，需要注意的是华东2/华南1的弹性公网IP默认屏蔽了22、3389等敏感端口，安全组即使放行也无法通信。

添加规则

4.添加服务器进安全组

除了在云服务器控制台配置安全组外，还可以使用aliyuncli来进行配置，详细的可以参考。

经典网络中没有网段和网络边界，每个云服务器在网络中都处于同一层次，但可以利用安全组和安全规则来模拟传统网络体系中的各个层次（安全域）。例如可以划分出跳板机区、DMZ区、Web接入区、中间件区、核心数据区等，并能灵活地指定各区之间的ACL规则。

以一个典型的三层架构为例，可分为几个安全域：跳板机（G1）、Web接入（G2）、中间件（G3）和数据区（RDS）。如下图：

通过以上安全组规则，运维路径是：

以上示例的是串行运维路径，通过多级跳板，深入到更敏感的运维区域；此种方式更安全，但登录操作稍复杂。还有一种是星型运维路径，G2/G3/RDS都允许G1（跳板机访问）。此种方式只有G1一级跳板，登录简单，但其它组没有层次，安全性相比串行方式要差一些。

目前跳板机就是普通ECS，金融云用户需要自行配置。专业的堡垒机目前正在产品化过程中，后续会开放，简要介绍请参见：http://help.aliyun.com/knowledge_detail.htm?categoryId=8315059&knowledgeId=5974748&pos=1。

安全组用户来划分ECS的安全域，不适用于其它云产品。例如RDS不适用安全组，RDS有自己的白名单，可以通过控制台来进行设置。不建议把跳板机IP地址加到RDS的白名单中，RDS运维通常在Web控制台进行，否则建议先登录跳板机再通过业务服务器做跳板（多级跳板），来运维RDS。