默认安全组是阿里云为您创建的安全组,其包含一些默认的安全组规则。本文主要介绍默认安全组的创建条件、特性以及使用默认安全组的建议。
背景信息
如果您创建ECS实例时未指定安全组,阿里云会将ECS实例加入到默认安全组中。如果默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,阿里云会为您创建一个新的默认安全组,并将新创建的ECS实例加入到其中。
在专有网络下,安全组仅能在所属的VPC下使用,因此每个VPC下都可能被创建默认安全组。如果您在VPC的指定交换机下创建ECS实例却未指定安全组,阿里云会将ECS实例加入该VPC下的默认安全组中。如果该VPC下不存在默认安全组,或者已有默认安全组中不能容纳更多ECS实例,阿里云会在该VPC下创建一个新的默认安全组。
请您注意,默认安全组是为了简化ECS实例初次使用流程而产生的,其默认规则针对TCP协议的22、3389端口以及ICMP(IPv4)协议,对任意源地址(0.0.0.0/0)放通流量,这是不符合安全最佳实践的。从安全最佳实践的角度来看,阿里云建议您在安全组规则中仅放通指定的源地址,而不是任意源地址,建议您尽量不要使用默认安全组,而是根据自己业务需要创建新的安全组。
使用API创建ECS实例时的默认安全组
如果您使用CreateInstance接口创建ECS实例,但未指定安全组时,阿里云会将ECS实例加入到默认安全组中。默认安全组的安全组类型为普通安全组,并包含如下入方向安全组规则:
协议类型 | 端口范围 | 授权对象 | 优先级 | 授权策略 |
TCP | 22/22 | 0.0.0.0/0 | 100 | 允许 |
TCP | 3389/3389 | 0.0.0.0/0 | 100 | 允许 |
ICMP(IPv4) | -1/-1 | 0.0.0.0/0 | 100 | 允许 |
针对TCP协议,允许任意源地址访问22端口(对应SSH协议)和3389端口(对应RDP协议)。
针对ICMP(IPv4)协议,允许任意源地址访问。
如果您使用RunInstances接口创建ECS实例,则必须指定已有的安全组。
2020年05月27日以前系统创建的默认安全组规则的优先级为110。
使用控制台创建ECS实例时的默认安全组
如果您使用控制台创建专有网络类型的ECS实例,在您选择的专有网络VPC下没有安全组时,您可以勾选要开通的IPv4协议和端口,在创建ECS实例的同时,创建一个默认安全组,并将ECS实例加入到这个默认安全组中。
如果您创建经典网络类型的ECS实例且当账号下没有经典网络类型的安全组时,您才可以在控制台使用默认安全组。
更多信息,请参见使用控制台创建ECS实例时的默认安全组。