全部產品
Search
文件中心

Elastic Compute Service:安全性群組應用案例

更新時間:Nov 27, 2024

為滿足您在網站提供Web服務、管理遠端連線訪問等常見情境下的網路流量管理需求,本文介紹如何利用安全性群組的特性來配置相應的安全性群組規則,保障雲資源網路流量的安全性和可靠性。

注意事項

在查閱安全性群組應用案例之前,您需要注意以下幾點資訊:

  • 安全性群組預設拒絕所有入方向訪問。

  • 普通安全性群組預設允許所有出方向訪問。

  • 不同安全性群組之間的執行個體預設內網隔離。

  • 在網路類型為專用網路的安全性群組中,一條安全性群組規則可以同時適用於公網和內網存取控制。即通過配置一條規則,您可以限制或允許來自公網和內網的流量訪問。

  • 在網路類型為傳統網路的安全性群組中,由於傳統網路中公網和內網使用相同的IP地址空間,為了控制公網和內網訪問,需要分別建立不同的安全性群組規則。

  • 典型的應用通常使用預設的連接埠來提供服務。這些應用會通過伺服器的特定連接埠與外部進行通訊。更多資訊,請參見常用連接埠

警告

授權對象為0.0.0.0/0,表示允許所有IP訪問執行個體。請您根據實際業務需求,按照最小範圍開放原則配置安全性群組規則,盡量避免全開(慎用::/0或者0.0.0.0/0)以免引發安全問題。關於安全性群組支援的授權物件類型,請參見安全性群組規則

網站提供Web服務

對於開放公網訪問的網站伺服器,可以設定安全性群組規則,只允許來自任何源的TCP連接埠80(HTTP)和443(HTTPS)的入站流量,確保網站可以被外部存取,但限制了對伺服器上其他服務的直接存取。

安全性群組規則的配置樣本如下表所示:

規則方向

授權策略

優先順序

協議類型

連接埠範圍

授權對象

入方向

允許

1

自訂TCP

服務的開放連接埠:

  • HTTP(80)

  • HTTPS(443)

  • 其他自訂連接埠:手動輸入連接埠範圍。

源:0.0.0.0/0

說明

如果添加安全性群組規則後仍無法訪問網站,請檢查服務的開放連接埠是否正常工作。具體操作,請參見無法訪問ECS執行個體中的服務的排查方法

管理遠端連線訪問

為了遠端連線ECS執行個體,通常需要開放TCP連接埠22(SSH)或自訂的SSH連接埠。您可以通過設定安全性群組規則,將允許訪問實際遠程連接埠的授權對象限定為特定使用者(如管理員)或特定伺服器的IP,以減少被惡意攻擊的風險。

警告

建議您謹慎管理遠端連線連接埠的授權對象,遵循最小範圍開放原則,盡量避免全開(慎用::/0或者0.0.0.0/0),以免引發安全問題。

安全性群組規則的配置樣本如下表所示:

規則方向

授權策略

優先順序

協議類型

連接埠範圍

授權對象

入方向

允許

1

自訂TCP

  • Linux執行個體預設開放22連接埠:選擇SSH(22)

  • Windows執行個體預設開放3389連接埠:選擇RDP(3389)

  • 如果您手動開放了其他連接埠:手動輸入連接埠範圍。

源:192.168.XX.XX

說明

特定使用者或特定伺服器的IP地址,根據是公網串連還是私網串連輸入公網IP或者私網IP。

使用阿里雲Workbench遠端連線執行個體時,只需允許特定的授權對象即可,安全性群組入方向規則樣本如下表所示。

授權策略

優先順序

協議類型

連接埠範圍

授權對象

允許

1

自訂TCP

  • Linux執行個體預設開放22連接埠:選擇SSH(22)

  • Windows執行個體預設開放3389連接埠:選擇RDP(3389)

  • 如果您手動開放了其他連接埠:請手動輸入連接埠範圍。

  • 如果通過執行個體的公網IP(包括固定公網IP和EIP)串連:添加161.117.0.0/16

  • 如果通過執行個體的專用網路私網IP串連:添加100.104.0.0/16。

說明

關於使用Workbench串連傳統網路執行個體的安全性群組規則說明,請參見使用Workbench串連傳統網路執行個體時相關安全性群組設定

實現不同安全性群組的執行個體內網互連

在同一個專用網路中,如果需要在執行個體之間進行資料共用等操作,例如安全性群組A的執行個體需要通過FTP訪問安全性群組B的執行個體中的共用檔案,您可以通過授權安全性群組的方式實現內網互連。相比於授權單個IP地址或CIDR地址塊,授權安全性群組能夠更加便捷地實現多個執行個體之間的訪問。您可以輕鬆地允許一組執行個體訪問另一組執行個體,而無需逐個配置每個執行個體的存取權限。

說明

如果執行個體分別屬於不同的專用網路,則不能通過安全性群組實現內網互連。您可以使用雲企業網串連不同專用網路之間的執行個體,更多資訊,請參見雲企業網快速入門

  • 情況一:

    安全性群組A和安全性群組B屬於同一帳號時,授權對象填寫安全性群組ID即可,安全性群組規則的配置樣本如下表所示。

    規則方向

    授權策略

    優先順序

    協議類型

    連接埠範圍

    授權對象

    入方向

    允許

    1

    自訂TCP

    目的:21/21

    源:sg-bp1hv6wvmegs036****

    說明

    請根據實際情況替換安全性群組ID。

  • 情況二:

    安全性群組A和安全性群組B屬於不同帳號時,授權對象需要填寫阿里雲帳號ID和安全性群組ID,安全性群組規則的配置樣本如下表所示。

    規則方向

    授權策略

    優先順序

    協議類型

    連接埠範圍

    授權對象

    入方向

    允許

    1

    自訂TCP

    目的:21/21

    源:160998252992****/sg-bp174yoe2ib1sqj5****

    說明

    請根據實際情況替換阿里雲帳號ID和安全性群組ID。

資料庫服務存取控制

資料庫服務通常需要更嚴格的安全性原則。您可以通過配置安全性群組,僅允許來自特定IP地址或安全性群組(例如應用伺服器所在的安全性群組)的對應連接埠的入站串連,確保資料庫訪問的私密性和安全性。

警告

建議您謹慎管理資料庫服務的授權對象,遵循最小範圍開放原則,盡量避免全開(慎用::/0或者0.0.0.0/0),以免引發安全問題。

以下是一些常見資料庫在預設連接埠下的安全性群組規則配置:

資料庫類型

規則方向

授權策略

優先順序

協議類型

連接埠範圍

授權對象

MySQL

入方向

允許

1

自訂TCP

目的:3306/3306

源:172.16.XX.XX

Oracle

入方向

允許

1

自訂TCP

目的:1521/1521

源:192.168.XX.XX

MS SQL

入方向

允許

1

自訂TCP

目的:1433/1433

源:192.168.XX.XX/16

PostgreSQL

入方向

允許

1

自訂TCP

目的:5432/5432

源:sg-bp1hv6wvmegs036****

Redis

入方向

允許

1

自訂TCP

目的:6379/6379

源:160998252992****/sg-bp174yoe2ib1sqj5****

說明

請根據實際情況替換IP地址、CIDR地址塊、阿里雲帳號ID和安全性群組ID。

特定協議訪問

根據業務需求,可能需要限制特定的網路通訊協定,例如只允許TCP或UDP的某些連接埠通訊。ICMP協議主要用於在IP主機、路由器之間傳遞控制訊息。在進行一些測試操作之前,需要允許基於ICMP協議的訪問。例如,在用戶端執行ping命令來測試網路連通性時,就需要允許ICMP協議的訪問。安全性群組規則的配置樣本如下表所示:

規則方向

授權策略

優先順序

協議類型

連接埠範圍

授權對象

入方向

允許

1

  • IPv4網路環境:選擇全部ICMP(IPv4)

  • IPv6網路環境:選擇全部ICMP(IPv6)

目的:-1/-1

用戶端IP地址

說明

根據網路環境不同,輸入IPv4地址或者IPv6地址。

限制執行個體訪問外部網站

如果您需要限制執行個體只能訪問指定網站,可以將安全性群組作為白名單使用,設定預設拒絕所有出方向訪問,然後僅允許訪問指定網站的IP。

說明

設定安全性群組規則時您需要注意:

  • 系統基於協議、連接埠、授權對象匹配到多條安全性群組規則後,會繼續通過優先順序和授權策略來判定最終生效的安全性群組規則,最終結果為允許訪問時才建立會話。

  • 安全性群組規則優先順序的數值越小,代表優先順序越高。在相同優先順序的情況下,如果兩條安全性群組規則只有授權策略不同,則拒絕策略的安全性群組規則生效。因此,拒絕策略的優先順序應低於允許策略的優先順序,這樣允許策略的安全性群組規則才會生效,以實現執行個體僅對指定網站的出方向訪問。

安全性群組規則的配置樣本如下表所示:

規則方向

授權策略

優先順序

協議類型

連接埠範圍

授權對象

出方向

拒絕

2

全部

目的:-1/-1

目的:0.0.0.0/0

出方向

允許

1

自訂TCP

目的:80/80

目的:47.96.XX.XX

出方向

允許

1

自訂TCP

目的:443/443

目的:121.199.XX.XX

以上規則表示:允許安全性群組內執行個體訪問47.96.XX.XX上80連接埠的HTTP服務和訪問121.199.XX.XX上443連接埠的HTTPS服務,除此之外其他出方向的訪問均不允許。