安全性群組規則是您自訂的存取控制規則,用於控制安全性群組內ECS執行個體的出入站流量,可以實現對雲資源的存取控制和網路安全防護。
使用安全性群組規則時,您應瞭解以下資訊:
在VPC網路下,安全性群組規則分為入方向和出方向,規則同時控制公網和內網流量。在傳統網路下,安全性群組規則分為公網入方向、公網出方向、(內網)入方向、(內網)出方向,公網入方向和公網出方向規則控制公網流量,入方向和出方向規則控制內網流量。
安全性群組是有狀態的應用。一個有狀態的會話串連中,會話的最長保持時間長度是910秒。允許訪問並建立會話後,安全性群組會預設允許存取同一會話中的通訊。例如,在會話期內,如果串連的資料包在入方向是允許的,則在出方向也是允許的。
修改安全性群組規則,或通過修改網卡關聯的安全性群組,從而改變作用於網卡的安全性群組規則時,如果修改前和修改後的安全性群組規則行為未改變,不會影響已經建立的會話。若您依賴普通安全性群組的組內互連進行流量允許存取,在修改網卡關聯的安全性群組時,如果不希望影響已經建立的會話,您需要先將ECS執行個體或網卡加入新的安全性群組,延遲10s左右,再離開舊的安全性群組。
TCP 25連接埠是預設的郵箱服務連接埠。基於安全考慮,ECS執行個體的TCP 25連接埠預設受限,建議您使用465連接埠發送郵件。
在不添加任何安全性群組規則時,安全性群組對流量有預設存取控制規則,這些預設存取控制規則不可見。預設存取控制規則,與您自訂的規則共同作用,控制ECS執行個體的流量。普通安全性群組和企業級安全性群組的預設存取控制規則不同:普通安全性群組入方向預設僅允許存取同安全性群組內其他執行個體到來的內網流量,出方向允許存取所有流量;企業級安全性群組預設出入方向流量均不允許存取。更多資訊,請參見普通安全性群組與企業級安全性群組。
普通安全性群組的組內連通策略,會影響該普通安全性群組對流量的預設存取控制規則。組內連通策略預設是組內互連,即入方向允許存取同安全性群組內其他執行個體到來的內網流量,出方向允許存取通往同安全性群組內其他執行個體的內網流量。在不需要普通安全性群組內執行個體內網互相訪問的情況下,建議您遵循最小授權原則,將普通安全性群組的組內連通原則設定為組內隔離。更多資訊,請參見修改普通安全性群組的組內連通策略。
在決定ECS執行個體的流量能否通過時,會將ECS執行個體多個安全性群組的規則匯總在一起,按照固定的策略排序,並與安全性群組對流量的預設存取控制規則一起,作用於ECS執行個體,決定允許或拒絕流量通過。更多資訊,請參見安全性群組規則排序策略。
安全性群組規則的數量有上限,預設200條,可以調整安全性群組規則數與ECS執行個體可關聯的安全性群組數量的檔位,請參見安全性群組使用限制。您應盡量保持單個安全性群組內規則的簡潔,以降低管理複雜度。使用安全性群組規則的健全狀態檢查,可以檢測單個安全性群組中的冗餘規則,請參見查看安全性群組是否存在冗餘規則。
安全性群組規則的構成
單條自訂的安全性群組規則,由以下資訊構成:
協議類型:匹配流量的協議類型。支援TCP、UDP、ICMP(IPv4)、ICMP(IPv6)和GRE。
連接埠範圍:匹配流量的目的連接埠。對於TCP和UDP協議,可以指定一個斜線(/)分隔的連接埠範圍,比如8000/9000,或22/22。對其他協議,該欄位取值-1/-1。更多資訊,請參見常用連接埠。
授權對象:入方向規則中匹配流量的源地址,出方向規則中匹配流量的目的地址。支援CIDR地址塊(或IP地址)、安全性群組、首碼列表三種類型。具體如下:
IPv4地址:例如192.168.0.100。
IPv4 CIDR地址塊:例如192.168.0.0/24。
IPv6地址:例如2408:4321:180:1701:94c7:bc38:3bfa:9。介面將會對IPv6地址進行標準化處理,比如,2408:180:0000::1將會被處理為2408:180::1。
IPv6 CIDR地址塊:例如2408:4321:180:1701::/64。介面將會對IPv6 CIDR地址塊進行標準化處理,比如,2408:4321:180:0000::/64將會被處理為2408:4321:180::/64。
安全性群組ID:支援授權當前帳號下或其他帳號下的目標安全性群組,使用目標安全性群組中ECS執行個體的內網IP來進行流量匹配,實現內網訪問的控制。例如,安全性群組A中有ECS執行個體b,當您授權安全性群組A訪問時,您實際授權的是安全性群組A中ECS執行個體b的內網IP的存取權限。
首碼列表ID:首碼列表是一些網路首碼(即CIDR地址塊)的集合。授權對象為首碼列表時,該條規則佔用的安全性群組規則配額數量,為首碼列表最大條目數,與首碼列表中已有條目數量無關。更多資訊,請參見首碼列表概述。
授權策略:允許或拒絕。在基於流量的協議、連接埠和授權對象匹配到某條安全性群組規則後,會對流量執行授權策略指定的動作,來允許或拒絕流量允許存取。
優先順序:取值範圍為1~100,數值越小,代表優先順序越高。安全性群組規則的排序,首先考慮優先順序,其次考慮授權策略,更多資訊,請參見安全性群組規則排序策略。
規則方向:分為入方向和出方向,入方向規則控制入站流量,出方向規則控制出站流量。
作用的網卡類型:僅在傳統網路下進行區分,可以指定規則作用於傳統網路ECS執行個體的公網或內網網卡,作用於公網網卡的安全性群組規則控制公網訪問,作用於內網網卡的安全性群組規則控制內網訪問。在Virtual Private Cloud下的安全性群組規則,同時控制公網和內網訪問。
規則ID:在您添加安全性群組規則時,系統會為每條安全性群組規則產生唯一的ID。若您需要修改或刪除已有安全性群組規則,您可以通過安全性群組規則ID,來指定要進行操作的安全性群組規則。
安全性群組規則基於協議類型、連接埠範圍、授權對象來匹配流量,並基於授權策略來允許或拒絕放通流量。對於一般的入方向規則,授權對象匹配流量的來源地址,連接埠範圍匹配流量的目的連接埠。對於一般的出方向規則,授權對象匹配流量的目的地址,連接埠範圍匹配流量的目的連接埠。當然,如果您有更精確的存取控制需求,可以使用五元組規則。更多資訊,請參見安全性群組五元組規則。
安全性群組規則排序策略
ECS執行個體可以關聯一個或多個安全性群組,在決定ECS執行個體的流量(以入方向流量為例)能否通過時,處理如下:
將多個安全性群組的入方向規則匯總,並按照以下優先順序進行排序。
首先,考慮規則的優先順序,優先順序數值越小的規則優先順序越高,高優先順序的規則總是排在低優先順序的規則之前。
其次,考慮授權策略,遵循拒絕(Drop)規則優先原則,授權策略為拒絕(Drop)的規則總是排在授權策略為允許(Accept)的規則之前。
流量按照協議、連接埠、授權對象,從前到後依次匹配每條規則,如果成功匹配某條規則,將會對流量執行規則授權策略指定的動作,允許或拒絕流量通行。
除了自訂的安全性群組規則,安全性群組還有一些不可見的預設存取控制規則,會影響流量的允許或拒絕,請參見普通安全性群組與企業級安全性群組。
安全性群組特殊規則
為確保ECS執行個體穩定運行,以及使用者對部分雲上功能的正常使用,安全性群組會預設允許存取某些特殊情況下的特定網路流量,並且您無法通過配置安全性群組規則來阻止這類預設的允許行為。包括以下特殊情境:
特定條件下的網路連通性檢測:
當底層組件發生變更時,阿里雲可能會對ECS執行個體進行按需Ping探測以驗證網路連通性。這類探測是非常規性的,為了確保探測的準確性,安全性群組會識別這種探測流量並預設允許存取。
ICMP(PMTUD差錯報文):
如果使用者的ECS執行個體發送的資料包超出了路徑MTU(傳輸單元最大值)且設定了DF(禁止分區)標誌,ECS執行個體將會收到一個攜帶正確路徑MTU的ICMP差錯報文。該報文會指示ECS減小資料包大小,安全性群組會識別這種特殊的網路流量並預設允許存取。更多資訊,請參見網路傳輸單元最大值MTU。
SLB流量:
網路流量通過伺服器負載平衡(SLB),如ALB、NLB或CLB轉寄到後端ECS時,安全性群組會識別這種流量並預設允許存取。在這種情況下,將由SLB上的安全性群組或存取控制清單(ACL)來控制ECS執行個體的出入站流量。
MetaServer訪問:
MetaServer提供了ECS執行個體必需的中繼資料服務,是確保執行個體正常啟動並執行基礎服務。安全性群組預設允許出站流量訪問MetaServer(IP地址為100.100.100.200),您無需配置額外規則。
安全性群組應用案例
針對網站提供Web服務、遠端連線執行個體等常見情境,為您提供了一些安全性群組規則配置樣本。更多資訊,請參見安全性群組應用案例。
安全性群組規則管理
有關如何管理安全性群組規則的操作指引,請參見安全性群組規則管理。