全部产品
阿里云办公

安全组使用 FAQ

更新时间:2018-03-29 11:20:03

什么是安全组?

安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,您可以在云端划分安全域。

每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权两个安全组之间互访。详情请参阅 安全组

为什么在购买ECS实例的时候选择安全组?

在创建ECS实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。这种情况下,选择特定的安全组来创建ECS实例就非常方便了。否则创建ECS实例都会分配到一个固定的安全组下面,还需要重新通过移出安全组以及加入新的安全组来实现网络安全隔离。

安全组配置错误会造成什么影响?

安全组配置错误会导致ECS实例在私网或公网与其他设备之间的访问失败。比如:

  • 无法从本地远程连接(SSH)Linux实例或者远程桌面连接Windows实例。
  • 无法远程 ping ECS实例的公网IP或私有IP。
  • 无法通过HTTP或HTTPS协议访问ECS实例提供的Web服务。
  • 无法通过内网访问其他ECS实例。关于ECS实例之间的内网互通,请参见 内网

专有网络实例设置安全组规则时为什么不能设置公网规则?

专有网络(VPC)实例的公网访问通过内网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。

创建ECS实例时我还没创建安全组怎么办?

当您在一个地域创建ECS实例,但是还没来得及创建安全组时,有默认安全组供您选择。默认的安全组放行了常用的通信端口,如TCP 22端口、3389端口等。详情请参阅 安全组默认规则

为什么无法访问25端口?

TCP 25端口是默认的邮箱服务端口。基于安全考虑,云服务器ECS的25端口默认受限。建议您使用465端口发送邮件,具体设置,请参见 使用SSL加密465端口发信样例及Demo。如果只能使用TCP 25端口,请提交工单申请解封,具体操作,请参见 TCP 25端口控制台解封申请。更多应用,请参阅 经典网络的应用案例VPC ECS实例公网访问控制

为什么我的安全组里自动添加了很多规则?

如果您访问过DMS,安全组中就会自动添加相关的规则,请参阅 数据管理DMS登录云服务器的IP是什么

如果您近期通过阿里云数据传输DTS功能迁移过数据,安全组中会自动添加DTS的服务IP地址相关的规则,请参阅 ECS安全组被添加内网IP地址

为什么有些安全组规则的优先级是110?

优先级为110的安全组规则是由系统创建的默认安全组规则,表示默认规则的优先级永远比您手动添加的安全组规则低,您可以随意覆盖。手动添加安全组规则时,优先级只能设置为 1 ~ 100。

为什么我在安全组里放行了TCP 80端口,还是无法访问80端口?

请参阅 检查TCP 80端口是否正常工作 排查。