安全组按照类型划分为普通安全组和企业级安全组,两者均免费。在安全组容量、能否添加授权安全组的规则以及默认访问控制规则等方面有一定差异,适用于不同的使用场景。本文主要介绍普通安全组与企业级安全组的特点和区别。
当一台ECS实例或一块弹性网卡关联多个安全组时,这些安全组只能是普通安全组或企业级安全组中的一种类型,不能混合关联普通安全组和企业级安全组。
单个安全组能容纳的私网IP地址数量
在您将ECS实例、弹性网卡、ECI实例等资源关联到安全组时,这些资源将会占用安全组的私网IP地址容量。需要注意的是,单个资源的私网IP数量会有一个或多个。
具体的容量对比如下表所示:
网络类型 | 普通安全组 | 企业级安全组 |
VPC网络 | 2,000,支持自助申请提高到6,000 | 65,536 |
经典网络 | 1,000 | 不支持经典网络 |
在VPC网络下,相比于普通安全组,企业级安全组可以容纳更多的私网IP地址数量。如果您集群中的私网IP数量较多,普通安全组无法容纳,阿里云建议您使用企业级安全组。
支持安全组作为授权对象
安全组作为授权对象,是指添加一条安全组规则,规则的授权对象为一个安全组ID。
安全组类型 | 支持安全组作为授权对象 | 说明 |
普通安全组 | 是 | 您可以添加授权对象为其他普通安全组的规则。能够添加的授权安全组的规则有数量限制,最多不能超过20条。更多信息,请参见安全组使用限制。 |
企业级安全组 | 否 | 您不能添加授权对象为安全组的规则,也不能将企业级安全组作为其他安全组规则中的授权对象。 |
支持组内互通功能
普通安全组的组内互通功能,可以理解为一种授权本安全组内ECS实例内网访问的特殊规则。您可以通过修改组内连通策略,来开启或关闭普通安全组的组内互通功能。在企业级安全组中,安全组内的ECS实例默认组内隔离,您不能将企业级安全组的内网连通策略设置为组内互通。
安全组类型 | 支持修改组内连通策略 |
普通安全组 | 是,默认组内互通。 |
企业级安全组 | 否,默认组内隔离。 |
具体操作,请参见修改普通安全组的组内连通策略。
默认访问控制规则
普通安全组和企业级安全组的默认访问控制规则有所不同,普通安全组的组内连通策略,会影响其默认访问控制规则。安全组的默认访问控制规则是不可见的,与您自定义的安全组规则,共同作用如下:
下文中的序号用于表示规则排序后的顺序,决定流量能否通过时,按照序号依次匹配。
普通安全组
组内连通策略为组内互通(默认)
入方向
如下表所示,在普通安全组的组内连通策略为组内互通时,不论安全组自定义规则如何配置,同安全组内其他ECS实例通过内网访问的流量将被放行(序号1)。其他流量,如果与安全组自定义规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号2)。否则,将会被拒绝访问(序号3)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
默认访问控制规则(不可见)
同安全组内其他ECS实例,通过内网访问的流量
允许
2
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
3
默认访问控制规则(不可见)
其他任何流量
拒绝
出方向
如下表所示,普通安全组出方向流量,如果与安全组出方向规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。否则,其他任何出方向流量,将会被允许放行(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
允许
组内连通策略为组内隔离
入方向
如下表所示,在普通安全组的组内连通策略为组内隔离时,同安全组内其他ECS实例流量不再被默认放行。如果入方向流量与安全组自定义规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。其他任何入方向流量,将会被拒绝访问(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
拒绝
出方向:
与组内连通策略为组内互通时相同。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
允许
由上述对比列表可知,对于普通安全组,组内连通策略会影响入方向流量的默认访问控制规则。在组内连通策略被设置为组内互通时,阿里云会默认放行同安全组内其他ECS实例通过内网访问的流量。阿里云建议您遵循最小权限原则,在不需要普通安全组内ECS实例间内网互通时,将普通安全组的组内连通策略设置为组内隔离。更多信息,请参见修改普通安全组的组内连通策略。
企业级安全组
入方向:
如下表所示,在企业级安全组中,如果入方向流量与安全组入方向规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。其他任何入方向流量,将会被拒绝访问(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
拒绝
出方向:
如下表所示,在企业级安全组中,如果出方向流量与安全组出方向规则匹配,将按照规则指定的授权策略,允许或拒绝放行(序号1)。其他任何出方向流量,将会被拒绝访问(序号2)。
序号(优先级顺序)
规则类型
流量类型
处理动作
1
自定义规则
排序后多个安全组自定义规则匹配的流量
允许或拒绝(根据授权策略)
2
默认访问控制规则(不可见)
其他任何流量
拒绝
其他对比
对比项 | 普通安全组 | 企业级安全组 |
支持的网络类型 |
| VPC网络 |
支持添加授权策略为允许或拒绝的安全组规则 | 是 | 是 |
支持设置规则优先级 | 是 | 是 |