阿里云服务器安全组配置案例

安全组配置须知:
1、一般情况下,流出方向安全组建议设置如下,表示允许阿里云服务器主动访问外网:

方向

协议

端口

来源类型

来源范围

出向

any

any

CIDR

0.0.0.0/0

2、基础网络的阿里云服务器与VPC下的阿里云服务器无法互访。
3、同一账号下,不同VPC之间默认不能通过内网互访。
4、阿里云服务器的一个网卡最多绑定5个安全组。绑定的所有安全组中,所有安全组的流出方向和流入方向的规则加起来不能超过100条,否则将导致安全组不生效。
5、新建了安全组后,系统自动创建两条流出方向为全放通的安全组规则,即在没有新建任何安全组规则时,默认阻止除ICMP协议之外所有流入方向的流量,对流出方向的流量不限制。
6、以下端口存在安全隐患,出于安全因素考虑,运营商将其拦截,导致无法访问。建议您更换端口,不要使用如下端口监听:135,137-139,445,4444

假设名称为vpc_test的VPC下的子网及云主机信息如下:

VPC:vpc_test

子网1:192.168.1.0/24

子网2:192.168.2.0/24

云主机A:192.168.1.2

云主机C:192.168.2.2

云主机B:192.168.1.3

云主机D:192.168.2.3

现在需要实现云主机A和云主机B可以互访、云主机C和云主机D可以互访,但子网1和子网2下的云主机不能互访。配置安全组示例如下:

创建名称为sec_1的安全组,将云主机A和云主机B绑定到sec_1,sec_1中的安全组策略如下:

方向

协议

端口

来源类型

来源范围

入向

any

any

CIDR

192.168.1.0/24

出向

any

any

CIDR

0.0.0.0/0

创建名称为sec_2的安全组,将云主机C和云主机D绑定到sec_2,sec_2中的安全组策略如下:

方向

协议

端口

来源类型

来源范围

入向

any

any

CIDR

192.168.2.0/24

出向

any

any

CIDR

0.0.0.0/0


假设名称为vpc_test的VPC下的子网及云主机信息如下:

VPC:vpc_test

子网1:192.168.1.0/24

子网2:192.168.2.0/24

云主机A:192.168.1.2

云主机C:192.168.2.2

云主机B:192.168.1.3

云主机D:192.168.2.3

现在需要实现云主机B、C、D可以互相访问,且均可以通过内网主动访问云主机A,但云主机A不能通过内网主动访问云主机B、C、D。配置安全组示例如下:

创建名称为sec_1的安全组,将云主机B、C、D绑定到sec_1,sec_1中的安全组策略如下:

方向

协议

端口

来源类型

来源范围

入向

any

any

远端安全组

sec_1

出向

any

any

CIDR

0.0.0.0/0

创建名称为sec_2的安全组,将云主机A绑定到sec_2,sec_2中的安全组策略如下:

方向

协议

端口

来源类型

来源范围

入向

any

any

远端安全组

sec_1

出向

any

any

CIDR

0.0.0.0/0


假设名称为vpc_test的VPC下的子网及云主机信息如下:

VPC:vpc_test

子网1:192.168.1.0/24

子网2:192.168.2.0/24

云主机A

云主机B

内网IP:192.168.1.2

公网IP:112.33.11.11

内网IP:192.168.2.2

公网IP:112.33.22.22

现在需要云主机A与云主机B可以通过内网互访的同时,也允许通过公网互访。配置安全组示例如下:

创建名称为sec_1的安全组,将云主机A、B绑定到sec_1,sec_1中的安全组策略如下:

方向

协议

端口

来源类型

来源范围

入向

any

any

CIDR

192.168.1.0/24

入向

any

any

CIDR

192.168.2.0/24

入向

any

any

CIDR

112.33.11.11/32

入向

any

any

CIDR

112.33.22.22/32

出向

any

any

CIDR

0.0.0.0/0

 

VPC名称

vpc_test

子网网段

192.168.1.0/24

Linux云主机A

内网IP:192.168.1.2

公网IP:112.33.11.11

监听端口

22(用于SSH远程登录)

目前云主机A绑定了安全组sec_1,sec_1的安全组策略如下:

方向

协议

端口

来源类型

来源范围

入向

TCP

22

CIDR

0.0.0.0/0

出向

any

any

CIDR

0.0.0.0/0

sec_1的安全组策略表示允许所有IP地址(包含所有内网IP和外网IP)访问云主机A的22端口。

现在出于安全防护原因,仅允许公网IP:221.176.33.73、117.24.214.2访问云主机A的22端口,其他IP地址都不能访问22端口,那么需要将sec_1的安全组策略修改为:

方向

协议

端口

来源类型

来源范围

入向

TCP

22

CIDR

221.176.33.73/32

入向

TCP

22

CIDR

117.24.214.2

出向

any

any

CIDR

0.0.0.0/0


假设名称为vpc_test的VPC下的子网及云主机信息如下:

VPC名称

vpc_test

子网网段

192.168.1.0/24

Linux云主机A

内网IP:192.168.1.2

公网IP:112.33.11.11

监听端口

22(用于SSH远程登录)

云主机A关联了sec_1的安全组:

方向

协议

端口

来源类型

来源范围

入向

TCP

22

CIDR

221.176.33.73/32

出向

any

any

CIDR

0.0.0.0/0

假设现在需要限制云主机通过任何协议访问外网,仅允许云主机通过任何协议访问特定外网IP(比如117.24.214.2),那么需要将安全组sec_1修改为:

方向

协议

端口

来源类型

来源范围

入向

TCP

22

CIDR

221.176.33.73/32

出向

any

any

CIDR

117.24.214.2/32

6、负载均衡安全组

VPC名称

vpc_test

子网网段

192.168.1.0/24

云主机A

192.168.1.2

云主机B

192.168.1.3

负载均衡器

内网VIP:192.168.1.4

实地址:192.168.1.5、192.168.1.6

公网IP:112.33.11.12

负载均衡器绑定了云主机A和云主机B,用于将访问请求分担到云主机上,云主机A和B通过TCP 80端口提供服务。在安全组规则设置上,云主机A和B都需要新增放通负载均衡的两个实地址192.168.1.5、192.168.1.6访问TCP 80端口的安全组规则,新增的安全组规则如下:

方向

协议

端口

来源类型

来源范围

入向

TCP

80

CIDR

192.168.1.5/32

入向

TCP

80

CIDR

192.168.1.6/32