安全组配置须知:
1、一般情况下,流出方向安全组建议设置如下,表示允许阿里云服务器主动访问外网:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
2、基础网络的阿里云服务器与VPC下的阿里云服务器无法互访。
3、同一账号下,不同VPC之间默认不能通过内网互访。
4、阿里云服务器的一个网卡最多绑定5个安全组。绑定的所有安全组中,所有安全组的流出方向和流入方向的规则加起来不能超过100条,否则将导致安全组不生效。
5、新建了安全组后,系统自动创建两条流出方向为全放通的安全组规则,即在没有新建任何安全组规则时,默认阻止除ICMP协议之外所有流入方向的流量,对流出方向的流量不限制。
6、以下端口存在安全隐患,出于安全因素考虑,运营商将其拦截,导致无法访问。建议您更换端口,不要使用如下端口监听:135,137-139,445,4444
假设名称为vpc_test的VPC下的子网及云主机信息如下:
VPC:vpc_test |
|
子网1:192.168.1.0/24 |
子网2:192.168.2.0/24 |
云主机A:192.168.1.2 |
云主机C:192.168.2.2 |
云主机B:192.168.1.3 |
云主机D:192.168.2.3 |
现在需要实现云主机A和云主机B可以互访、云主机C和云主机D可以互访,但子网1和子网2下的云主机不能互访。配置安全组示例如下:
创建名称为sec_1的安全组,将云主机A和云主机B绑定到sec_1,sec_1中的安全组策略如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
any |
any |
CIDR |
192.168.1.0/24 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
创建名称为sec_2的安全组,将云主机C和云主机D绑定到sec_2,sec_2中的安全组策略如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
any |
any |
CIDR |
192.168.2.0/24 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
假设名称为vpc_test的VPC下的子网及云主机信息如下:
VPC:vpc_test |
|
子网1:192.168.1.0/24 |
子网2:192.168.2.0/24 |
云主机A:192.168.1.2 |
云主机C:192.168.2.2 |
云主机B:192.168.1.3 |
云主机D:192.168.2.3 |
现在需要实现云主机B、C、D可以互相访问,且均可以通过内网主动访问云主机A,但云主机A不能通过内网主动访问云主机B、C、D。配置安全组示例如下:
创建名称为sec_1的安全组,将云主机B、C、D绑定到sec_1,sec_1中的安全组策略如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
any |
any |
远端安全组 |
sec_1 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
创建名称为sec_2的安全组,将云主机A绑定到sec_2,sec_2中的安全组策略如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
any |
any |
远端安全组 |
sec_1 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
假设名称为vpc_test的VPC下的子网及云主机信息如下:
VPC:vpc_test |
|
子网1:192.168.1.0/24 |
子网2:192.168.2.0/24 |
云主机A |
云主机B |
内网IP:192.168.1.2 公网IP:112.33.11.11 |
内网IP:192.168.2.2 公网IP:112.33.22.22 |
现在需要云主机A与云主机B可以通过内网互访的同时,也允许通过公网互访。配置安全组示例如下:
创建名称为sec_1的安全组,将云主机A、B绑定到sec_1,sec_1中的安全组策略如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
any |
any |
CIDR |
192.168.1.0/24 |
入向 |
any |
any |
CIDR |
192.168.2.0/24 |
入向 |
any |
any |
CIDR |
112.33.11.11/32 |
入向 |
any |
any |
CIDR |
112.33.22.22/32 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
VPC名称 |
vpc_test |
子网网段 |
192.168.1.0/24 |
Linux云主机A |
内网IP:192.168.1.2 公网IP:112.33.11.11 |
监听端口 |
22(用于SSH远程登录) |
目前云主机A绑定了安全组sec_1,sec_1的安全组策略如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
TCP |
22 |
CIDR |
0.0.0.0/0 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
sec_1的安全组策略表示允许所有IP地址(包含所有内网IP和外网IP)访问云主机A的22端口。
现在出于安全防护原因,仅允许公网IP:221.176.33.73、117.24.214.2访问云主机A的22端口,其他IP地址都不能访问22端口,那么需要将sec_1的安全组策略修改为:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
TCP |
22 |
CIDR |
221.176.33.73/32 |
入向 |
TCP |
22 |
CIDR |
117.24.214.2 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
假设名称为vpc_test的VPC下的子网及云主机信息如下:
VPC名称 |
vpc_test |
子网网段 |
192.168.1.0/24 |
Linux云主机A |
内网IP:192.168.1.2 公网IP:112.33.11.11 |
监听端口 |
22(用于SSH远程登录) |
云主机A关联了sec_1的安全组:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
TCP |
22 |
CIDR |
221.176.33.73/32 |
出向 |
any |
any |
CIDR |
0.0.0.0/0 |
假设现在需要限制云主机通过任何协议访问外网,仅允许云主机通过任何协议访问特定外网IP(比如117.24.214.2),那么需要将安全组sec_1修改为:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
TCP |
22 |
CIDR |
221.176.33.73/32 |
出向 |
any |
any |
CIDR |
117.24.214.2/32 |
6、负载均衡安全组
VPC名称 |
vpc_test |
子网网段 |
192.168.1.0/24 |
云主机A |
192.168.1.2 |
云主机B |
192.168.1.3 |
负载均衡器 |
内网VIP:192.168.1.4 实地址:192.168.1.5、192.168.1.6 公网IP:112.33.11.12 |
负载均衡器绑定了云主机A和云主机B,用于将访问请求分担到云主机上,云主机A和B通过TCP 80端口提供服务。在安全组规则设置上,云主机A和B都需要新增放通负载均衡的两个实地址192.168.1.5、192.168.1.6访问TCP 80端口的安全组规则,新增的安全组规则如下:
方向 |
协议 |
端口 |
来源类型 |
来源范围 |
入向 |
TCP |
80 |
CIDR |
192.168.1.5/32 |
入向 |
TCP |
80 |
CIDR |
192.168.1.6/32 |