為了簡化ECS執行個體的購買流程,在您未指定安全性群組時,阿里雲會為您建立預設安全性群組,且包含一些預設的安全性群組規則。本文主要介紹預設安全性群組的建立條件、特性以及使用預設安全性群組的建議。
預設安全性群組特性
如果您建立ECS執行個體時未指定安全性群組,阿里雲會將ECS執行個體加入到預設安全性群組中。如果預設安全性群組不存在,或者預設安全性群組中不能容納更多ECS執行個體,阿里雲會為您建立一個新的預設安全性群組,並將新建立的ECS執行個體加入到其中。在專用網路下,安全性群組僅能在所屬的VPC下使用,因此當您在不同的VPC中建立ECS執行個體且未指定安全性群組時,阿里雲會在每個不同的VPC下建立預設安全性群組。
預設安全性群組的類型為普通安全性群組(更多資訊請參見普通安全性群組)。預設安全性群組的規則可以由您進行新增、修改,預設情況下包含以下入方向安全性群組規則:
協議類型
連接埠範圍
授權對象
優先順序
授權策略
SSH
22/22
0.0.0.0/0
100
允許
RDP
3389/3389
0.0.0.0/0
100
允許
ICMP(IPv4)
-1/-1
0.0.0.0/0
100
允許
針對TCP協議,允許任意源地址訪問22連接埠(對應SSH協議)和3389連接埠(對應RDP協議)。
針對ICMP(IPv4)協議,允許任意源地址訪問。
重要預設安全性群組是為了簡化ECS執行個體初次使用流程而產生的,其預設規則針對TCP協議的22、3389連接埠以及ICMP(IPv4)協議,對任意源地址(0.0.0.0/0)放通流量,這些預設規則存在風險,會使得任何人均可嘗試串連到您的ECS執行個體,從而可能導致您的ECS執行個體成為暴力破解攻擊的目標。從安全的角度來看,阿里雲建議您在安全性群組規則中僅放通指定的源地址,而不是任意源地址,建議您盡量不要使用預設安全性群組的預設規則,而是根據自己的業務需要建立新的安全性群組或修改預設規則。
建立預設安全性群組
使用API建立ECS執行個體時的預設安全性群組
如果您使用CreateInstance介面建立ECS執行個體,但未指定安全性群組時,阿里雲將ECS執行個體加入到預設安全性群組中。如果預設安全性群組不存在,或不能容納更多ECS執行個體,會自動為您建立並綁定至一個新的預設安全性群組。
如果您使用RunInstances介面建立ECS執行個體,則必須指定已有的安全性群組。
2020年05月27日以前系統建立的預設安全性群組規則的優先順序為110。
使用控制台建立ECS執行個體時的預設安全性群組
在控制台自訂購買ECS執行個體時,在您選擇的Virtual Private Cloud下沒有安全性群組時,您可以根據模板勾選要開通的協議和連接埠(TCP80,TCP443,TCP22,TCP3389可供您勾選),在建立ECS執行個體的同時,阿里雲會根據您勾選的規則為您建立一個預設安全性群組,並將ECS執行個體加入到這個預設安全性群組中。
在控制台快速購買ECS執行個體時,ECS執行個體會加入預設安全性群組,如果預設安全性群組不存在,或者預設安全性群組中不能容納更多ECS執行個體,會建立一個新的預設安全性群組。