添加安全组规则,修改安全组规则,删除安全组规则,查询安全组规则,导入导出安全组规则,检查安全组是否存在冗余规则

安全组规则用来控制ECS实例的出入站流量，适用于允许或拒绝特定网络流量、封锁不必要的端口、限制特定协议的流量和配置应用程序访问权限等使用场景。本文介绍安全组规则的添加、修改、查询、删除和导入导出操作。

操作前须知

在添加安全组规则之前，请了解以下内容：

安全组能力概述和使用建议。具体信息，请参见安全组。
除了自定义的安全组规则，安全组还有一些不可见的默认访问控制规则，会影响流量的允许或拒绝。具体信息，请参见普通安全组与企业级安全组。
安全组规则有数量限制，您应尽量保持规则的精简。具体信息，请参见安全组规则。

使用场景

当您的ECS实例需要对外提供服务时，您需要添加入方向、允许访问的安全组规则。
当您发现ECS实例遭受到恶意攻击行为时，您可以添加入方向、拒绝访问的安全组规则。
当您希望ECS实例主动连接外部网络时，需根据安全组类型及组内联通策略判断是否需要添加出方向、允许访问的安全组规则。
当您不再需要某些出方向、入方向的流量管控时，可以删除对应方向的安全组规则。
当您想要将规则快速复制到其他安全组，可使用导入导出安全组规则功能。
更多场景，请参见安全组应用案例。

添加安全组规则

通过控制台配置的安全组规则，入方向规则需要配置授权对象（即源地址，支持IP地址、安全组、前缀列表）、目的端口、协议类型；出方向规则需要配置授权对象（即目的地址，支持IP地址、安全组、前缀列表）、目的端口、协议类型。

使用ECS控制台

登录ECS管理控制台。
在左侧导航栏，选择网络与安全 > 安全组。
在页面左侧顶部，选择目标资源所在的资源组和地域。
到目标安全组，在操作列单击管理规则，添加出入方向的安全组规则。
- 方式一：快速添加安全组规则
  适用于快速设置常用的TCP协议规则，您单击快速添加后，只需要设置授权策略、授权对象，并选中一个或多个端口便能完成。
- 方式二：手动添加安全组规则
  您需要设置授权策略、优先级、协议类型、端口范围、授权对象等信息。具体操作步骤如下：
  1. 单击手动添加。
  2. 在规则列表中，配置新增的安全组规则，配置完成后，单击操作列中的保存。
    单条规则如何设置，请参见安全组规则。

使用API

如果您需要更精确地控制ECS实例的出流量和入流量，可以使用安全组五元组规则。五元组规则包含：源IP地址、源端口、目的IP地址、目的端口以及协议类型，并且与原有的安全组规则完全兼容。您可以通过API的方式配置安全组五元组规则。更多信息请参见安全组五元组规则。

调用AuthorizeSecurityGroup - 增加安全组入方向规则，添加入方向规则。
调用AuthorizeSecurityGroupEgress - 增加安全组出方向规则，添加入方向规则。

修改安全组规则

修改安全组规则后，新的安全组规则对安全组中的ECS实例立即生效，您可能需要监控网络流量和连接情况，以确保修改后的规则满足实际业务需求，并维持网络安全。更多信息，请参见什么是云监控和网络分析与监控。

使用ECS控制台

在网络与安全 > 安全组页面，找到需要修改安全组规则的安全组，单击操作列中的管理规则。
找到需要修改的安全组规则，单击操作列中的编辑，进行修改，完成后，单击保存。

使用API

使用ModifySecurityGroupRule - 修改安全组入方向规则，修改入方向规则。
使用ModifySecurityGroupEgressRule - 修改安全组出方向规则，修改出方向规则。

查询安全组规则

通过健康检查功能检测安全组中的冗余规则，可以帮助您简化安全组配置，减少管理工作量，提高网络管理的方便性和效率，同时降低安全漏洞的风险。

使用ECS控制台

方式一：查看单个安全组的规则

在网络与安全 > 安全组页面，找到需要修改安全组规则的安全组，单击操作列中的管理规则。
选择安全组规则所属的方向，可以查询到各自分类的安全组规则。
说明
在安全组规则列表上方的搜索框中输入端口或授权对象，能够快速搜索出符合条件的安全组规则。

方式二：查看ECS实例已加入的所有安全组中的规则

在实例与镜像 > 实例页面，找到待查看安全组规则的目标实例并单击实例ID，进入实例详情页。
在安全组页签下，查看该实例加入的所有安全组。
单击操作列管理规则，逐个查询所有安全组的规则。

使用API

使用DescribeSecurityGroupAttribute - 查询安全组和组内规则信息，查询安全组规则。

删除安全组规则

在删除安全组规则之前，请确保您了解此操作可能带来的影响。避免因误删而导致不必要的网络安全问题。如果在删除安全组规则后发现仍然需要使用该规则，您可以重新创建一条新的规则来取代它。

使用ECS控制台

在网络与安全 > 安全组页面，找到需要修改安全组规则的安全组，单击操作列中的管理规则。
找到需要删除的安全组规则，单击操作列中的删除。
在弹出的对话框中阅读提示信息，确认无误后，单击确定。

使用API

使用RevokeSecurityGroup - 删除安全组入方向规则，删除入方向规则。
使用RevokeSecurityGroupEgress - 删除出方向安全组规则，删除出方向规则。

检查安全组是否存在冗余规则

安全组的健康检查功能用于检查单个安全组中是否存在冗余规则。例如，安全组规则A的所有条件被规则B完全包含，并且规则A的优先级小于等于规则B的优先级，则规则A被认定为冗余规则。如果存在冗余规则，请清除冗余规则，避免出现安全组规则数量达到上限影响安全组的使用。

说明

每个安全组以及ECS实例的每张弹性网卡可以包含的安全组规则数量有限。有关安全组规则的使用限制及配额，请参见安全组使用限制。

使用ECS控制台

在网络与安全 > 安全组页面，找到需要查询规则的安全组，单击操作列中的管理规则。
在访问规则区域，单击。
在健康检查对话框中确认是否存在冗余规则。
如下图所示，表示该安全组中存在两条冗余规则。
选中冗余规则，然后单击确定，可对冗余规则进行删除。

导入导出安全组规则

ECS控制台支持安全组规则导出和导入功能。适用于安全组规则备份、恢复和迁移等使用场景。支持将安全组规则导出为JSON文件或CSV文件。导入安全组规则为非覆盖式导入（导入的新规则不会覆盖原有规则），建议单次导入规则数量不超过200条，否则将会有导入失败的风险。更多信息，请参见安全组使用限制。

使用ECS控制台

在网络与安全 > 安全组页面，找到需要导出安全组规则的安全组，单击操作列中的管理规则。
在访问规则区域，选择对应操作进行管理。
- 导入安全组规则
  单击，在导入安全组规则对话框中，单击选择文件，然后选择本地的JSON或CSV文件。然后单击开始导入。
  如果存在导入失败的规则，您可以将光标移到警告图标上查看失败原因。
- 导出安全组规则
  单击，并选择保存的文件格式，下载并保存到本地。
  - JSON格式
    JSON文件命名规则示例为：ecs_${region_id}_${groupID}.json
    假设regionID是cn-qingdao，groupID是sg-123，导出的JSON文件名称则是ecs_cn-qingdao_sg-123.json。
  - CSV格式
    CSV文件命名规则示例为：ecs_sgRule_${groupID}_${region_id}_${time}.csv
    假设regionID是cn-qingdao，groupID是sg-123，time是2020-01-20，导出的CSV文件名称则是ecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv。

安全组规则常见问题和最佳实践

关于安全组配置、安全组规则设定、主机处罚与解禁流程、资源限额管理等常见问题，请参见安全FAQ。
关于协议类型和端口范围的问题，请参见常用端口、修改服务器默认远程端口。
将云资源（ECS实例，弹性网卡）加入新的安全组中，请参见安全组与ECS实例关联的管理、安全组与弹性网卡关联的管理。
根据业务需要，如果需要修改安全组的组内连通策略，请参见修改普通安全组的组内连通策略。
安全组规则配置最佳实践与应用案例：
如果服务器开启了防火墙，并设置了屏蔽外界访问的规则，那么在远程访问该服务器时，可能会导致访问失败。开启和关闭系统防火墙的最佳实践：
- 开启或关闭Windows系统防火墙
- 开启或关闭Linux系统防火墙
其他最佳实践：

上一篇: 管理安全组下一篇: 修改普通安全组的组内连通策略