全部產品
Search

搜尋本產品

    Elastic Compute Service:安全FAQ

    文件中心

    Elastic Compute Service:安全FAQ

    更新時間:Jun 19, 2024

    本文匯總了Elastic Compute Service安全方面的常見問題,涵蓋了安全性群組配置、安全性群組規則設定、主機處罰與解禁流程、資源限額管理等問題。

    什麼是安全性群組?

    安全性群組是一種虛擬防火牆。用於設定單台或多台雲端服務器的網路存取控制,它是重要的網路安全隔離手段,您可以在雲端劃分安全域。

    每台ECS執行個體至少屬於一個安全性群組,在建立執行個體時必須指定安全性群組。安全性群組類型分為普通安全性群組和企業安全性群組,更多資訊,請參見安全性群組概述

    為什麼要在建立ECS執行個體時選擇安全性群組?

    在建立ECS執行個體之前,必須選擇安全性群組來劃分應用環境的安全域,授權安全性群組規則進行合理的網路安全隔離。

    如果您在建立ECS執行個體時不選擇安全性群組,建立的ECS執行個體會分配到一個固定的安全性群組(即預設安全性群組),建議您將執行個體移出預設安全性群組並加入新的安全性群組,以實現網路安全隔離。

    建立ECS執行個體前,未建立安全性群組怎麼辦?

    如果您在建立ECS執行個體之前未建立安全性群組,您可以選擇預設安全性群組。預設的安全性群組允許存取了常用連接埠,如TCP 22連接埠、3389連接埠等。

    為什麼ECS執行個體加入安全性群組時提示規則數量超限?

    作用於一台ECS執行個體(主網卡)的安全性群組規則數量上限 = 該執行個體允許加入的安全性群組數量 * 每個安全性群組的最大規則數量。

    如果提示加入安全性群組失敗,作用在該執行個體上的安全性群組規則數量已達上限,表示當前ECS執行個體上的規則總數已經超過數量上限。建議您重新選擇其他安全性群組。

    Virtual Private Cloud類型ECS執行個體的安全性群組數量上限調整後,只對調整日期後新增的安全性群組生效嗎?

    不是。該上限調整對調整日期之前和之後建立的所有Virtual Private Cloud類型的ECS執行個體的安全性群組都生效。

    安全性群組在什麼情況下會使用預設安全性群組規則?

    在以下情況中會使用預設安全性群組規則:

    • 通過ECS管理主控台在一個地區首次建立ECS執行個體時,如果您尚未建立安全性群組,可以選擇系統自動建立的預設安全性群組,類型為普通安全性群組。預設安全性群組採用預設安全規則。入方向允許存取ICMP協議、SSH 22連接埠、RDP 3389連接埠,授權對象為全網段(0.0.0.0/0),優先順序為100,您還可以勾選允許存取HTTP 80連接埠和HTTPS 443連接埠。出方向允許所有訪問。

    • 您在ECS管理主控台上建立安全性群組時預設的安全性群組規則,入方向允許存取ICMP協議、SSH 22連接埠、RDP 3389連接埠、HTTP 80連接埠和HTTPS 443連接埠,授權對象為全網段(0.0.0.0/0)。

    不同安全性群組的ECS執行個體如何?內網互連?

    同一帳號或者不同帳號下兩個安全性群組之間的執行個體預設內網都是隔離的。不同安全性群組之間實現內網互連的應用案例,請參見實現不同安全性群組的執行個體內網互連不同安全性群組的傳統網路執行個體內網互連

    同一安全性群組的ECS執行個體如何?內網隔離?

    加入同一個普通安全性群組內的執行個體之間預設允許所有協議、連接埠互相訪問,您可以修改普通安全性群組內的網路連通策略,實現組內隔離。具體操作,請參見普通安全性群組內網路隔離

    同一個ECS執行個體中的兩塊彈性網卡如何進行流量隔離?

    ECS執行個體綁定了兩塊彈性網卡,如果您嘗試使用安全性群組將這兩塊網卡進行流量隔離,會發現無法使用安全性群組實現同一個ECS執行個體中兩塊網卡的流量隔離。原因是,安全性群組作用於ECS執行個體作業系統之外的虛擬網路裝置上,預設情況下,同一ECS執行個體兩塊網卡的流量會在作業系統內部進行路由和轉寄,兩塊彈性網卡間的網路流量不會經過安全性群組,因此無法使用安全性群組進行流量隔離。

    您可以使用作業系統的命名空間(namespace)機制,將ECS執行個體的兩塊網卡加入到不同的namespace,使得兩塊網卡之間的網路流量發往作業系統之外,這樣網路流量才會經過安全性群組,才能夠使用安全性群組進行流量隔離。

    為什麼我配置安全性群組後還是無法訪問服務?

    控制台安全性群組允許存取某個連接埠,只能說明安全性群組沒有限制這個連接埠的訪問,不能說明這個連接埠已經開啟。如需外網訪問ECS伺服器的連接埠,需要滿足以下三個必要條件:

    • 安全性群組規則允許存取該連接埠。

    • 對應連接埠的程式軟體是啟動運行狀態,並且監聽地址為0.0.0.0(您可通過執行netstat -ano |findstr 連接埠號碼命令來檢測連接埠是否處於監聽狀態)。

    • 已關閉ECS執行個體內部防火牆,或者防火牆已允許存取該連接埠。

    彈性網卡如何加入到安全性群組?

    您可以通過變更ECS執行個體所在的安全性群組來更新彈性網卡主網卡的安全性群組,也可以修改輔助彈性網卡的屬性來修改彈性網卡所屬的安全性群組。具體操作,請參見修改彈性網卡屬性

    普通安全性群組和企業級安全性群組是否支援相互轉換?

    不支援,普通安全性群組和企業級安全性群組無法相互轉換。如需更換安全性群組類型,您可通過建立安全性群組並複製安全性群組規則以更改安全性群組類型。具體操作,請參見建立安全性群組匯出和匯入安全性群組規則安全性群組與ECS執行個體關聯的管理安全性群組與彈性網卡關聯的管理

    什麼情境下我需要添加安全性群組規則?

    在以下情境中,您需要添加安全性群組規則,以確保ECS執行個體能夠被正常訪問:

    • ECS執行個體所在的安全性群組沒有添加過安全性群組規則,也沒有預設安全性群組規則。當ECS執行個體需要訪問公網,或訪問當前地區下其他安全性群組中的ECS執行個體時,您需要添加安全性群組規則。

    • 搭建的應用沒有使用預設連接埠,而是自訂了一個連接埠或連接埠範圍。此時,您必須在測試應用連通前允許存取自訂的連接埠或連接埠範圍。例如,您在ECS執行個體上搭建Nginx服務時,通訊連接埠選擇監聽在TCP 8000,但您的安全性群組只允許存取了80連接埠,則您需要添加安全規則,保證Nginx服務能被訪問。

    • 其他情境,請參見安全性群組應用案例

    安全性群組規則中協議和連接埠之間是什麼關係?

    添加安全性群組規則時,您必須指定通訊連接埠或連接埠範圍,然後安全性群組根據允許或拒絕策略決定是否轉寄資料到ECS執行個體。

    安全性群組規則中協議和連接埠資訊如下表所示。更多連接埠資訊,請參見常用連接埠

    協議類型

    連接埠顯示範圍

    應用情境

    全部

    -1/-1,表示不限制連接埠。不支援設定。

    可用於完全互相信任的應用情境。

    全部 ICMP(IPv4)

    -1/-1,表示不限制連接埠。不支援設定。

    使用ping程式檢測ECS執行個體之間的通訊狀況。

    全部 GRE

    -1/-1,表示不限制連接埠。不支援設定。

    用於VPN服務。

    自訂 TCP

    自訂連接埠範圍,有效連接埠值是1 ~ 65535。

    必須採用<開始連接埠>/<結束連接埠>的格式。例如80/80表示連接埠80,1/22表示1到22連接埠。

    可用於允許或拒絕一個或幾個連續的連接埠。

    自訂 UDP

    自訂連接埠範圍,有效連接埠值是1 ~ 65535。

    必須採用<開始連接埠>/<結束連接埠>的格式。例如80/80表示連接埠80,1/22表示1到22連接埠。

    可用於允許或拒絕一個或幾個連續的連接埠。

    其中,TCP協議類型連接埠的常用應用情境如下表所示。

    應用情境

    協議類型

    連接埠顯示範圍

    說明

    串連伺服器

    SSH

    22/22

    用於SSH遠端連線到Linux執行個體。串連ECS執行個體後您可以修改連接埠號碼,具體操作,請參見修改伺服器預設遠程連接埠

    TELNET

    23/23

    用於Telnet遠程登入ECS執行個體。

    RDP

    3389/3389

    用於通過遠端桌面通訊協定串連到Windows執行個體。串連ECS執行個體後您可以修改連接埠號碼,具體操作,請參見修改伺服器預設遠程連接埠

    網站服務

    HTTP

    80/80

    ECS執行個體作為網站或Web應用伺服器。

    HTTPS

    443/443

    ECS執行個體作為支援HTTPS協議的網站或Web應用伺服器。

    資料庫

    MS SQL

    1433/1433

    ECS執行個體作為MS SQL伺服器。

    Oracle

    1521/1521

    ECS執行個體作為Oracle SQL伺服器。

    MySQL

    3306/3306

    ECS執行個體作為MySQL伺服器。

    PostgreSQL

    5432/5432

    ECS執行個體作為PostgreSQL伺服器。

    Redis

    6379/6379

    ECS執行個體作為Redis伺服器。

    安全性群組規則授權對象中的IP地址和CIDR地址塊是什麼關係?

    IP地址是單一的IP地址,例如192.168.0.100、2408:4321:180:1701:94c7:bc38:3bfa:。CIDR地址塊是IP位址區段,例如192.168.0.0/24、2408:4321:180:1701:94c7:bc38:3bfa:***/128。

    CIDR(Classless Inter-Domain Routing)是互連網中一種新的定址方式,與傳統的A類、B類和C類定址模式相比,CIDR在IP地址分配方面更為高效。CIDR採用斜線記法,表示為:IP地址/網路ID的位元。

    • 樣本一:CIDR格式換算為IP地址網段

      例如10.0.0.0/8,換算為32位二進位地址:00001010.00000000.00000000.00000000。其中/8表示8位網路ID,即32位二進位地址中前8位是固定不變的,對應網段為:00001010.00000000.00000000.00000000~00001010.11111111.11111111.11111111。則換算為十進位後,10.0.0.0/8表示:子網路遮罩為255.0.0.0,對應網段為10.0.0.0~10.255.255.255。

    • 樣本二:IP地址網段換算為CIDR格式

      例如192.168.0.0~192.168.31.255,後兩段IP換算為二進位地址:00000000.00000000~00011111.11111111,可以得出前19位(8*2+3)是固定不變的,則換算為CIDR格式後,表示為:192.168.0.0/19。

    為什麼無法訪問TCP 25連接埠?

    TCP 25連接埠是預設的郵箱服務連接埠。基於安全考慮,Elastic Compute Service的25連接埠預設受限,建議您使用465連接埠發送郵件。更多應用,請參見安全性群組應用案例

    為什麼無法訪問80連接埠?

    如何排查80連接埠故障,請參見檢查TCP 80連接埠是否正常工作

    為什麼安全性群組裡自動添加了很多內網相關的安全性群組規則?

    以下兩種情況可能導致您的安全性群組裡自動添加了很多規則:

    • 如果您訪問過DMS,安全性群組中就會自動添加相關的規則。

    • 如果您近期通過阿里雲資料轉送DTS功能遷移過資料,安全性群組中會自動添加DTS的服務IP地址相關的規則。

    安全性群組規則配置錯誤會造成什麼影響?

    安全性群組配置錯誤會導致ECS執行個體在私網或公網與其他裝置之間的訪問失敗,例如:

    • 無法從本地遠端連線(SSH)Linux執行個體或者遠端桌面連線Windows執行個體。

    • 無法遠程ping ECS執行個體的公網IP。

    • 無法通過HTTP或HTTPS協議訪問ECS執行個體提供的Web服務。

    • 無法通過內網訪問其他ECS執行個體。

    安全性群組的入方向規則和出方向規則區分計數嗎?

    不區分。每個安全性群組的入方向規則與出方向規則的總數不能超過200。更多資訊,請參見使用限制

    是否可以調整安全性群組規則的數量上限?

    不可以,每個安全性群組最多可以包含200條安全性群組規則。一台ECS執行個體中的每個彈性網卡預設最多可以加入5個安全性群組,所以一台ECS執行個體的每個彈性網卡最多可以包含1000條安全性群組規則,能夠滿足絕大多數情境的需求。

    如果當前數量上限無法滿足您的使用需求,建議您按照以下步驟操作:

    1. 檢查是否存在冗餘規則。您也可以提交工單,阿里雲支援人員將提供檢查服務。

    2. 如果存在冗餘規則,請清除冗餘規則。如果不存在冗餘規則,您可以建立多個安全性群組。

    如果您已開通了Cloud Firewall服務,也可以通過Cloud Firewall建立VPC邊界存取控制策略(管控兩個VPC間的流量),減少ECS安全性群組規則的數量。有關VPC邊界防火牆的詳細內容,請參見VPC邊界

    我配置的安全性群組規則,各規則的優先順序排序是怎麼樣的?

    優先順序的取值範圍為1~100,數值越小,代表優先順序越高。

    同型別安全組規則間的依賴優先順序決定最終執行的規則。當ECS執行個體加入了多個安全性群組時,多個安全性群組會從高到低依次匹配規則。最終生效的安全性群組規則如下:

    • 如果兩條安全性群組規則只有授權策略不同:拒絕策略的規則生效,允許策略的規則不生效。

    • 如果兩條安全性群組規則只有優先順序不同:優先順序高的規則生效。

    如何禁止RAM使用者(子帳號)配置安全性群組規則?

    如果您需要禁止RAM使用者(子帳號)配置安全性群組規則,可以參考如下RAM配置,來禁用配置安全性群組規則的API介面。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress",
        "ecs:ModifySecurityGroupRule",
        "ecs:ModifySecurityGroupEgressRule",
        "ecs:ModifySecurityGroupPolicy",
        "ecs:ModifySecurityGroupAttribute",
        "ecs:ConfigureSecurityGroupPermissions"
      ],
      "Resource": "*"
    }
  ]
}

    收到違法阻斷網站整改通知,怎麼辦?

    在互連網有害資訊記錄中,您可以查看存在有害資訊的網域名稱或URL、處罰動作、處罰原因及處罰時間。您在確認該網域名稱或URL中的有害資訊已經移除或不存在時,可以申請解除訪問封鎖。更多資訊,請參見互連網有害資訊

    收到對外攻擊需要整改的通知,怎麼辦?

    在處罰記錄中,您可以查看詳細的處罰結果、處罰原因及處罰時段。如果您不認同處罰結果,可以反饋申訴。收到您的處罰記錄反饋後,阿里雲將再次核驗,確認處罰的正確性和有效性,並判斷是否繼續維持處罰或立即結束處罰。更多資訊,請參見處罰列表

    如何查看資源的限額?

    查看資源的使用限制和限額,請參見使用限制