安全组管控
安全组是一种安全机制。安全组管控用于控制云电脑的入流量和出流量,从而提高云电脑的安全性。您可以通过添加安全组规则管控云电脑的访问。
功能介绍
云电脑默认允许所有出方向的访问,针对入方向的访问,遵循以下原则:
互联网环境下,云电脑不支持所有入方向的访问,此时即使您将安全组规则的入方向设置为允许,该安全组入方向规则仍然不生效。
企业专网环境下,云电脑默认拒绝所有入方向的访问,但是您可以通过设置安全组入方向规则为允许,此时如果访问请求匹配上规则后,则将放行入方向的访问请求。
一条安全组规则由规则方向、优先级、IP地址段、协议类型、端口范围、授权策略等属性确定。与云电脑建立数据通信前,系统将逐条匹配云电脑关联策略中的安全组管控规则,确认是否放行访问请求。对于不同授权策略的规则,采取的措施如下:
对于允许策略的规则,如果访问请求匹配上规则,则将放行访问请求。
对于拒绝策略的规则,如果访问请求匹配上规则,则将拦截访问请求并直接丢弃数据包。
您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云电脑的出入流量。常见的安全组管控规则配置示例如下:
示例一:只允许云电脑访问特定的IP地址。
默认情况下,云电脑允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云电脑访问特定的IP地址:
规则1:拒绝所有出方向访问。示例如下:
规则方向
优先级
IP地址段
协议类型
端口范围
授权策略
出方向
2
0.0.0.0/0
全部
-1/-1
拒绝
规则2:允许访问特定IP地址,优先级必须高于规则1。示例如下:
规则方向
优先级
IP地址段
协议类型
端口范围
授权策略
出方向
1
允许访问的IP地址,例如:192.168.1.1/32。
选择适用的协议类型。
设置合适的端口范围。
允许
示例二:允许特定的IP地址能够访问云电脑(企业专网环境)。
在企业专网环境下,您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云电脑。示例如下:
规则方向
优先级
IP地址段
协议类型
端口范围
授权策略
入方向
1
允许访问的IP地址,例如:192.168.1.1/32。
选择适用的协议类型。
设置合适的端口范围。
允许
示例三:关联不同策略的云电脑之间实现网络互通(企业专网环境)。
假设云电脑A关联了策略A,云电脑B关联了策略B。在企业专网环境下,由于云电脑默认拒绝所有入方向的访问,云电脑A和云电脑B之间无法互相访问。您可以在策略A和策略B中添加以下入方向规则,实现云电脑A和云电脑B的网络互通:
在策略A中添加允许云电脑B访问的入方向规则。示例如下:
规则方向
优先级
IP地址段
协议类型
端口范围
授权策略
入方向
1
云电脑B的IP地址。
选择适用的协议类型。
设置合适的端口范围。
允许
在策略B中添加允许云电脑A访问的入方向规则。示例如下:
规则方向
优先级
IP地址段
协议类型
端口范围
授权策略
入方向
1
云电脑A的IP地址。
选择适用的协议类型。
设置合适的端口范围。
允许
使用限制
如果您添加了出方向的安全组管控规则,且使用的是旧版目录升级而成的办公网络,您需要手动调整默认规则的优先级。具体操作请查看后续步骤。
操作步骤
创建策略时您可以根据业务需求,添加入方向或者出方向的规则来管理云电脑的访问。以下为您介绍如何配置安全组管控。
- 登录无影云电脑控制台。
- 在顶部菜单栏左上角处,选择地域。
- 在左侧导航栏,选择。
在策略管理页面,单击创建策略,然后根据提示填写策略名称。
在创建策略面板,单击安全组管控页签。
在安全组管控页签,选择以下一种方式配置云电脑的安全组管控方式。
说明一个策略内最多可以添加200条安全管控规则。添加安全管控规则时,请遵循最小授权原则,尽可能授权到具体的IP地址和具体的端口,谨慎授权IP地址全网段(如:0.0.0.0/0)和大量端口范围(如:1/65535)。
导入安全组规则为非覆盖式导入,超出数量的规则将无法导入成功。
手动录入
单击添加安全组规则。
设置规则的相关属性。
参数
描述
规则方向
分为入方向和出方向:
入方向:控制是否放行访问云电脑的请求。
出方向:控制是否放行云电脑访问其他应用的请求。
授权策略
设置允许或者拒绝:
允许:放行访问请求。
拒绝:拦截访问请求并直接丢弃数据包,不会返回任何回应信息。
优先级
优先级的取值范围为1~60,数值越小,代表优先级越高。同类型规则之间由优先级决定最终生效的规则。
协议类型
支持TCP、UDP、ICMP(IPv4)和GRE,请根据需要选择。
端口范围
应用或协议开启的端口。协议类型选择自定义TCP或者自定义UDP时,您可以自定义设置端口。设置端口时,支持输入具体的端口(如:80)或者端口范围(如:1/80)。
更多信息,请参见常用端口。
授权对象
CIDR格式的IPv4地址网段。请根据需要设置。
描述
规则描述信息。
操作
在相应安全组规则的操作列,您可以根据需要编辑、复制或删除该规则。
批量录入
选择以下一种方式准备安全组规则信息文件。
单击导出安全组规则,然后根据需要修改安全组规则信息并保存。
使用Excel录入安全组规则信息,然后另存为CSV文件。
单击导入安全组规则。
在导入安全组规则面板,单击选择文件,选择已录入安全组规则信息的CSV文件。
系统将自动导入文件中的安全组规则信息。导入完成后,可以查看各条安全组规则的导入情况。如果导入失败,请检查文件安全组规则信息是否符合格式要求。
单击创建。
创建完成后 ,您可以在策略管理页面查看到相应的策略信息,且策略的状态为可用。
导入为非覆盖式导入,超出数量的规则将不会导入成功。
后续步骤
如果您需要修改安全组管控规则,可以修改单条规则也可以修改安全组规则文件并选择批量导入。
默认情况下,云电脑拒绝所有入方向的访问,允许所有出方向的访问,即默认已有一条允许所有访问的出方向规则。此时,您添加的出方向规则,将与默认规则产生冲突。根据云电脑所属的办公网络情况,您可能需要调整默认规则的优先级,以便您添加的规则能够生效:
如果您使用的是新版办公网络(ID格式为:地域ID+dir+10位数字),由于默认规则优先级最低,系统将直接生效您添加的规则,无需您做额外操作。
如果您使用的是旧版目录升级而成的办公网络(ID格式为:地域ID+dir+17位字母和数字),由于默认规则优先级最高,您需要手动调整默认规则的优先级。操作步骤如下:
找到云电脑所属的办公网络,单击办公网络ID。
在办公网络详情页面,单击安全组ID。
在安全组列表页面,单击安全组ID。
在安全组规则页面,单击出方向页签。
修改对应规则的优先级。
建议您设置优先级为60,以便后续您手动添加的出方向规则均可以直接生效。
