为了简化ECS实例的购买流程,在您未指定安全组时,阿里云会为您创建默认安全组,且包含一些默认的安全组规则。本文主要介绍默认安全组的创建条件、特性以及使用默认安全组的建议。
默认安全组特性
如果您创建ECS实例时未指定安全组,阿里云会将ECS实例加入到默认安全组中。如果默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,阿里云会为您创建一个新的默认安全组,并将新创建的ECS实例加入到其中。在专有网络下,安全组仅能在所属的VPC下使用,因此当您在不同的VPC中创建ECS实例且未指定安全组时,阿里云会在每个不同的VPC下创建默认安全组。
默认安全组的类型为普通安全组(更多信息请参见普通安全组)。默认安全组的规则可以由您进行新增、修改,默认情况下包含以下入方向安全组规则:
协议类型
端口范围
授权对象
优先级
授权策略
SSH
22/22
0.0.0.0/0
100
允许
RDP
3389/3389
0.0.0.0/0
100
允许
ICMP(IPv4)
-1/-1
0.0.0.0/0
100
允许
针对TCP协议,允许任意源地址访问22端口(对应SSH协议)和3389端口(对应RDP协议)。
针对ICMP(IPv4)协议,允许任意源地址访问。
重要默认安全组是为了简化ECS实例初次使用流程而产生的,其默认规则针对TCP协议的22、3389端口以及ICMP(IPv4)协议,对任意源地址(0.0.0.0/0)放通流量,这些默认规则存在风险,会使得任何人均可尝试连接到您的ECS实例,从而可能导致您的ECS实例成为暴力破解攻击的目标。从安全的角度来看,阿里云建议您在安全组规则中仅放通指定的源地址,而不是任意源地址,建议您尽量不要使用默认安全组的默认规则,而是根据自己的业务需要创建新的安全组或修改默认规则。
创建默认安全组
使用API创建ECS实例时的默认安全组
如果您使用CreateInstance接口创建ECS实例,但未指定安全组时,阿里云将ECS实例加入到默认安全组中。如果默认安全组不存在,或不能容纳更多ECS实例,会自动为您创建并绑定至一个新的默认安全组。
如果您使用RunInstances接口创建ECS实例,则必须指定已有的安全组。
2020年05月27日以前系统创建的默认安全组规则的优先级为110。
使用控制台创建ECS实例时的默认安全组
在控制台自定义购买ECS实例时,在您选择的专有网络VPC下没有安全组时,您可以根据模板勾选要开通的协议和端口(TCP80,TCP443,TCP22,TCP3389可供您勾选),在创建ECS实例的同时,阿里云会根据您勾选的规则为您创建一个默认安全组,并将ECS实例加入到这个默认安全组中。
在控制台快速购买ECS实例时,ECS实例会加入默认安全组,如果默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,会创建一个新的默认安全组。