文档

使用前缀列表提高安全组规则管理的效率

更新时间:

本文介绍如何使用前缀列表,来更高效地进行安全组规则的管理。

背景信息

前缀列表是一些网络前缀(即CIDR地址块)的集合,您可以在配置安全组规则时引用前缀列表。对前缀列表条目的修改,等效于直接修改安全组规则。通过将一些常用地址放入前缀列表,可以避免您维护仅有授权对象不同的多条安全组规则,来降低您管理安全组规则的工作量。关于前缀列表的更多介绍,请参见前缀列表概述

应用场景

为了云上资源的安全,您为购买的云上资源划分了多个安全域,每个安全域对应一个安全组。您多个安全域中的资源,需要被另外一个公共资源(例如云下的办公网络)访问,这个公共资源的网络地址段数量众多,且会经常发生变动。

在不使用前缀列表的情况下,您需要在多个安全组中维护仅有授权对象不同的多条安全组规则。在授权公共资源的网络地址发生变动时,您需要对多个安全域的安全组进行规则调整,安全组和网络地址数量越多,管理的工作量越大。

使用前缀列表后,您可以将公共资源的若干网络地址放入前缀列表,并在配置安全组规则时将授权对象设置为该前缀列表。在网络地址发生变动时,您只需要修改前缀列表中的网络地址,即可等效于修改已关联安全组的访问控制规则,无需再关注每个安全组中的规则,降低管理复杂度,提高效率。

当您的云上资源分布在多个阿里云地域时,您可以使用前缀列表克隆功能,来将一个已有的前缀列表克隆到其他地域。

操作步骤

本步骤以修改放行2个IP为例,为您演示通过前缀列表指定允许远程连接实例的IP,并在初次设置完成后修改远程连接授权的整个操作流程。

说明

如果通过RAM用户操作,请为RAM用户添加前缀列表相关权限。具体操作,请参见为RAM用户授予前缀列表相关权限

  1. 登录ECS管理控制台

  2. 创建前缀列表。

    1. 在左侧导航栏,选择网络与安全 > icon1 > 前缀列表

    2. 在顶部菜单栏左上角处,选择地域。

    3. 单击创建前缀列表

    4. 创建前缀列表对话框中,设置前缀列表的参数,单击创建

      本文以包括2个IPv4条目为例,参数示例如下所示:

      • 名称:RemoteLogon

      • 描述:允许该前缀列表中的IP远程连接安全组的实例

      • 地址族:IPv4

      • 最大条目容量:2条

        说明

        已关联资源(例如安全组)计算规则配额时,将使用最大条目容量计算,而非实际条目数,请合理设置。

      • 前缀列表条目:单击增加条目,分别添加192.168.1.0/24192.168.2.0/24

        由于采用了CIDR地址块的形式,上述条目实际对应了多个IP:

        • 192.168.1.0/24:即192.168.1.0~192.168.1.255

        • 192.168.2.0/24:即192.168.2.0~192.168.2.255

  3. 在安全组规则中使用前缀列表。

    重复以下步骤为多个安全组添加安全组规则,放行对远程连接端口的访问,并将前缀列表RemoteLogon作为授权对象。

    1. 在左侧导航栏,选择网络与安全 > 安全组

    2. 找到目标安全组,在操作列单击管理规则

    3. 入方向页签中,单击手动添加

      说明

      本文以专有网络安全组的操作为例,如果为经典网络安全组,请根据是否为公网IP选择对应的页签。

    4. 设置安全组规则的参数,然后单击保存

      本文以允许通过SSH和RDP方式远程连接安全组内实例为例,参数示例如下表所示:

      • 授权策略:允许

      • 优先级:1

      • 协议类型:自定义TCP

      • 端口范围:选择SSH (22)RDP (3389)

      • 授权对象:选择前缀列表RemoteLogon

      添加该安全组规则后,安全组放行前缀列表中的IP远程连接安全组内实例。

  4. 修改前缀列表的条目。

    如果在添加安全组规则后,您需要取消一些IP的远程连接授权,进一步缩小授权范围以降低风险,则无需逐一修改多个安全组的安全组规则,修改前缀列表RemoteLogon的条目即可。例如,您使用私有IP为192.168.1.1192.168.2.1的实例作为跳板机,需要限制仅允许通过跳板机远程连接安全组内实例,则按以下步骤修改前缀列表的条目。

    1. 在左侧导航栏,选择网络与安全 > icon1 > 前缀列表

    2. 找到前缀列表RemoteLogon,在操作列单击详情

    3. 单击前缀列表条目页签。

    4. 找到前缀列表条目,在操作列单击编辑

    5. 设置CIDR地址块参数,然后单击保存

      修改2个已有条目,CIDR地址块参数分别设置为192.168.1.1/32192.168.2.1/32

      修改前缀列表的条目后即时生效,使用前缀列表RemoteLogon的安全组规则也随之变化,安全组仅放行192.168.1.1/32192.168.2.1/32远程连接安全组内实例。

更多操作场景

本章节通过对比多个场景中的操作次数,体现前缀列表在提升效率上的优势。假设您管理50个安全组中的资源,下表列出了使用前缀列表前后的操作次数。

场景

安全组规则中指定固定IP

安全组规则中指定一个前缀列表

停止放行5个IP

分别为50个安全组删除5条安全组规则,操作250次。即使批量删除,也需要操作50次。

为前缀列表删除5个条目,操作5次。如果批量删除,操作1次即可。

修改放行5个IP

分别为50个安全组修改5条安全组规则,操作250次。

为前缀列表修改5个条目,操作5次。

新增放行5个IP

分别为50个安全组新增5条安全组规则,操作250次。即使批量新增,也需要操作50次。

为前缀列表新增5个条目,操作5次。如果批量新增,操作1次即可。

修改放行5个IP,并新增放行5个IP

分别为50个安全组修改5条安全组规则,并新增5条安全组规则,总计操作500次。即使批量新增,总计也需要操作300次。

为前缀列表修改5个条目,并新增5个条目,总计操作10次。如果批量新增,总计操作6次即可。

  • 本页导读 (1)