默认安全组

默认安全组是阿里云为您创建的安全组,其包含一些默认的安全组规则。本文主要介绍默认安全组的创建条件、特性以及使用默认安全组的建议。

背景信息

  • 如果您创建ECS实例时未指定安全组,阿里云会将ECS实例加入到默认安全组中。如果默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,阿里云会为您创建一个新的默认安全组,并将新创建的ECS实例加入到其中。

  • 在专有网络下,安全组仅能在所属的VPC下使用,因此每个VPC下都可能被创建默认安全组。如果您在VPC的指定交换机下创建ECS实例却未指定安全组,阿里云会将ECS实例加入该VPC下的默认安全组中。如果该VPC下不存在默认安全组,或者已有默认安全组中不能容纳更多ECS实例,阿里云会在该VPC下创建一个新的默认安全组。

重要

请您注意,默认安全组是为了简化ECS实例初次使用流程而产生的,其默认规则针对TCP协议的22、3389端口以及ICMP(IPv4)协议,对任意源地址(0.0.0.0/0)放通流量,这是不符合安全最佳实践的。从安全最佳实践的角度来看,阿里云建议您在安全组规则中仅放通指定的源地址,而不是任意源地址,建议您尽量不要使用默认安全组,而是根据自己业务需要创建新的安全组。

使用API创建ECS实例时的默认安全组

如果您使用CreateInstance接口创建ECS实例,但未指定安全组时,阿里云会将ECS实例加入到默认安全组中。默认安全组的安全组类型为普通安全组,并包含如下入方向安全组规则:

协议类型

端口范围

授权对象

优先级

授权策略

TCP

22/22

0.0.0.0/0

100

允许

TCP

3389/3389

0.0.0.0/0

100

允许

ICMP(IPv4)

-1/-1

0.0.0.0/0

100

允许

  • 针对TCP协议,允许任意源地址访问22端口(对应SSH协议)和3389端口(对应RDP协议)。

  • 针对ICMP(IPv4)协议,允许任意源地址访问。

如果您使用RunInstances接口创建ECS实例,则必须指定已有的安全组。

说明

2020年05月27日以前系统创建的默认安全组规则的优先级为110。

使用控制台创建ECS实例时的默认安全组

如果您使用控制台创建专有网络类型的ECS实例,在您选择的专有网络VPC下没有安全组时,您可以勾选要开通的IPv4协议和端口,在创建ECS实例的同时,创建一个默认安全组,并将ECS实例加入到这个默认安全组中。

如果您创建经典网络类型的ECS实例且当账号下没有经典网络类型的安全组时,您才可以在控制台使用默认安全组。

更多信息,请参见使用控制台创建ECS实例时的默认安全组