使用前缀列表提高安全组规则管理的效率

应用场景

为了云上资源的安全，您为购买的云上资源划分了多个安全域，每个安全域对应一个安全组。您多个安全域中的资源，需要被另外一个公共资源（例如云下的办公网络）访问，这个公共资源的网络地址段数量众多，且会经常发生变动。

在不使用前缀列表的情况下，您需要在多个安全组中维护仅有授权对象不同的多条安全组规则。在授权公共资源的网络地址发生变动时，您需要对多个安全域的安全组进行规则调整，安全组和网络地址数量越多，管理的工作量越大。

使用前缀列表后，您可以将公共资源的若干网络地址放入前缀列表，并在配置安全组规则时将授权对象设置为该前缀列表。在网络地址发生变动时，您只需要修改前缀列表中的网络地址，即可等效于修改已关联安全组的访问控制规则，无需再关注每个安全组中的规则，降低管理复杂度，提高效率。

当您的云上资源分布在多个阿里云地域时，您可以使用前缀列表克隆功能，来将一个已有的前缀列表克隆到其他地域。

操作步骤

1. 登录ECS管理控制台。
2. 创建前缀列表。
   1. 在左侧导航栏，选择网络与安全 > 前缀列表。
   2. 在顶部菜单栏左上角处，选择地域。
   3. 单击创建前缀列表。
   4. 在创建前缀列表对话框中，设置前缀列表的参数，单击创建。
      本文以包括2个IPv4条目为例，参数示例如下所示：

      • 名称：RemoteLogon
      • 描述：允许该前缀列表中的IP远程连接安全组的实例
      • 地址族：IPv4
      • 最大条目容量：2条
        说明 已关联资源（例如安全组）计算规则配额时，将使用最大条目容量计算，而非实际条目数，请合理设置。
      • 前缀列表条目：单击增加条目，分别添加192.168.1.0/24、192.168.2.0/24。
        由于采用了CIDR地址块的形式，上述条目实际对应了多个IP：

        • 192.168.1.0/24：即192.168.1.0~192.168.1.255。
        • 192.168.2.0/24：即192.168.2.0~192.168.2.255。
3. 在安全组规则中使用前缀列表。
   重复以下步骤为多个安全组添加安全组规则，放行对远程连接端口的访问，并将前缀列表RemoteLogon作为授权对象。
   1. 在左侧导航栏，选择网络与安全 > 安全组。
   2. 找到目标安全组，在操作列单击配置规则。
   3. 在入方向页签中，单击手动添加。
      说明 本文以专有网络安全组的操作为例，如果为经典网络安全组，请根据是否为公网IP选择对应的页签。
   4. 设置安全组规则的参数，然后单击保存。
      本文以允许通过SSH和RDP方式远程连接安全组内实例为例，参数示例如下表所示：

      • 授权策略：允许
      • 优先级：1
      • 协议类型：自定义TCP
      • 端口范围：选择SSH (22)和RDP (3389)
      • 授权对象：选择前缀列表RemoteLogon
      添加该安全组规则后，安全组放行前缀列表中的IP远程连接安全组内实例。
4. 修改前缀列表的条目。
   如果在添加安全组规则后，您需要取消一些IP的远程连接授权，进一步缩小授权范围以降低风险，则无需逐一修改多个安全组的安全组规则，修改前缀列表RemoteLogon的条目即可。例如，您使用私有IP为192.168.1.1、192.168.2.1的实例作为跳板机，需要限制仅允许通过跳板机远程连接安全组内实例，则按以下步骤修改前缀列表的条目。
   1. 在左侧导航栏，选择网络与安全 > 前缀列表。
   2. 找到前缀列表RemoteLogon，在操作列单击详情。
   3. 单击前缀列表条目页签。
   4. 找到前缀列表条目，在操作列单击编辑。
   5. 设置CIDR地址块参数，然后单击保存。
      修改2个已有条目，CIDR地址块参数分别设置为192.168.1.1/32、192.168.2.1/32。
      修改前缀列表的条目后即时生效，使用前缀列表RemoteLogon的安全组规则也随之变化，安全组仅放行192.168.1.1/32、192.168.2.1/32远程连接安全组内实例。

更多操作场景