安全组是一种安全机制。安全组管控用于控制云桌面的入流量和出流量,从而提高云桌面的安全性。您可以通过添加安全组规则管控云桌面的访问。

功能介绍

重要

云桌面默认允许所有出方向的访问,针对入方向的访问,遵循以下原则:

  • 互联网环境下,云桌面不支持所有入方向的访问,此时即使您将安全组规则的入方向设置为允许,该安全组入方向规则仍然不生效。
  • 企业专网环境下,云桌面默认拒绝所有入方向的访问,但是您可以通过设置安全组入方向规则为允许,此时如果访问请求匹配上规则后,则将放行入方向的访问请求。
一条安全组规则由规则方向、优先级、IP地址段、协议类型、端口范围、授权策略等属性确定。与云桌面建立数据通信前,系统将逐条匹配云桌面关联策略中的安全组管控规则,确认是否放行访问请求。对于不同授权策略的规则,采取的措施如下:
  • 对于允许策略的规则,如果访问请求匹配上规则,则将放行访问请求。
  • 对于拒绝策略的规则,如果访问请求匹配上规则,则将拦截访问请求并直接丢弃数据包。
您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云桌面的出入流量。常见的安全组管控规则配置示例如下:
  • 示例一:只允许云桌面访问特定的IP地址。
    默认情况下,云桌面允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云桌面访问特定的IP地址:
    • 规则1:拒绝所有出方向访问。示例如下:
      规则方向优先级IP地址段协议类型端口范围授权策略
      出方向20.0.0.0/0全部-1/-1拒绝
    • 规则2:允许访问特定IP地址,优先级必须高于规则1。示例如下:
      规则方向优先级IP地址段协议类型端口范围授权策略
      出方向1允许访问的IP地址,例如:192.168.1.1/32。选择适用的协议类型。设置合适的端口范围。允许
  • 示例二:允许特定的IP地址能够访问云桌面(企业专网环境)。
    在企业专网环境下,您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云桌面。示例如下:
    规则方向优先级IP地址段协议类型端口范围授权策略
    入方向1允许访问的IP地址,例如:192.168.1.1/32。选择适用的协议类型。设置合适的端口范围。允许
  • 示例三:关联不同策略的云桌面之间实现网络互通(企业专网环境)。
    假设云桌面A关联了策略A,云桌面B关联了策略B。在企业专网环境下,由于云桌面默认拒绝所有入方向的访问,云桌面A和云桌面B之间无法互相访问。您可以在策略A和策略B中添加以下入方向规则,实现云桌面A和云桌面B的网络互通:
    • 在策略A中添加允许云桌面B访问的入方向规则。示例如下:
      规则方向优先级IP地址段协议类型端口范围授权策略
      入方向1云桌面B的IP地址。选择适用的协议类型。设置合适的端口范围。允许
    • 在策略B中添加允许云桌面A访问的入方向规则。示例如下:
      规则方向优先级IP地址段协议类型端口范围授权策略
      入方向1云桌面A的IP地址。选择适用的协议类型。设置合适的端口范围。允许

使用限制

如果您添加了出方向的安全组管控规则,且使用的是旧版目录升级而成的工作区,您需要手动调整默认规则的优先级。具体操作请查看后续步骤。

操作步骤

创建策略时您可以根据业务需求,添加入方向或者出方向的规则来管理云桌面的访问。以下为您介绍如何配置安全组管控。

  1. 登录无影云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,选择运维 > 策略
  4. 策略管理页面,单击创建策略,然后根据提示填写策略名称
  5. 创建策略面板,单击安全组管控页签。
  6. 安全组管控页签,选择以下一种方式配置云桌面的安全组管控方式。
    说明
    • 一个策略内最多可以添加200条安全管控规则。添加安全管控规则时,请遵循最小授权原则,尽可能授权到具体的IP地址和具体的端口,谨慎授权IP地址全网段(如:0.0.0.0/0)和大量端口范围(如:1/65535)。
    • 导入安全组规则为非覆盖式导入,超出数量的规则将无法导入成功。
    • 手动录入
      1. 单击添加安全组规则
      2. 设置规则的相关属性。
        参数描述
        规则方向分为入方向和出方向:
        • 入方向:控制是否放行访问云桌面的请求。
        • 出方向:控制是否放行云桌面访问其他应用的请求。
        授权策略设置允许或者拒绝:
        • 允许:放行访问请求。
        • 拒绝:拦截访问请求并直接丢弃数据包,不会返回任何回应信息。
        优先级优先级的取值范围为1~60,数值越小,代表优先级越高。同类型规则之间由优先级决定最终生效的规则。
        协议类型支持TCP、UDP、ICMP(IPv4)和GRE,请根据需要选择。
        端口范围应用或协议开启的端口。协议类型选择自定义TCP或者自定义UDP时,您可以自定义设置端口。设置端口时,支持输入具体的端口(如:80)或者端口范围(如:1/80)。

        更多信息,请参见常用端口

        授权对象CIDR格式的IPv4地址网段。请根据需要设置。
        描述规则描述信息。
        操作在相应安全组规则的操作列,您可以根据需要编辑、复制或删除该规则。
    • 批量录入
      1. 选择以下一种方式准备安全组规则信息文件。
        • 单击导出安全组规则,然后根据需要修改安全组规则信息并保存。
        • 使用Excel录入安全组规则信息,然后另存为CSV文件。
      2. 单击导入安全组规则
      3. 导入安全组规则面板,单击选择文件,选择已录入安全组规则信息的CSV文件。

        系统将自动导入文件中的安全组规则信息。导入完成后,可以查看各条安全组规则的导入情况。如果导入失败,请检查文件安全组规则信息是否符合格式要求。

      4. 单击创建

        创建完成后 ,您可以在策略管理页面查看到相应的策略信息,且策略的状态为可用。

        导入为非覆盖式导入,超出数量的规则将不会导入成功。

后续步骤

如果您需要修改安全组管控规则,可以修改单条规则也可以修改安全组规则文件并选择批量导入。

默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问,即默认已有一条允许所有访问的出方向规则。此时,您添加的出方向规则,将与默认规则产生冲突。根据云桌面所属的工作区情况,您可能需要调整默认规则的优先级,以便您添加的规则能够生效:
  • 如果您使用的是新版工作区(ID格式为:地域ID+dir+10位数字),由于默认规则优先级最低,系统将直接生效您添加的规则,无需您做额外操作。
  • 如果您使用的是旧版目录升级而成的工作区(ID格式为:地域ID+dir+17位字母和数字),由于默认规则优先级最高,您需要手动调整默认规则的优先级。操作步骤如下:
    1. 找到云桌面所属的工作区,单击工作区ID。
    2. 在工作区详情页面,单击安全组ID。
    3. 安全组列表页面,单击安全组ID。
    4. 安全组规则页面,单击出方向页签。
    5. 修改对应规则的优先级。

      建议您设置优先级为60,以便后续您手动添加的出方向规则均可以直接生效。