全部产品
Search
文档中心

:默认安全组

更新时间:Dec 04, 2024

为了简化ECS实例的购买流程,在您未指定安全组时,阿里云会为您创建默认安全组,且包含一些默认的安全组规则。本文主要介绍默认安全组的创建条件、特性以及使用默认安全组的建议。

默认安全组特性

  • 如果您创建ECS实例时未指定安全组,阿里云会将ECS实例加入到默认安全组中。如果默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,阿里云会为您创建一个新的默认安全组,并将新创建的ECS实例加入到其中。在专有网络下,安全组仅能在所属的VPC下使用,因此当您在不同的VPC中创建ECS实例且未指定安全组时,阿里云会在每个不同的VPC下创建默认安全组。

  • 默认安全组的类型为普通安全组(更多信息请参见普通安全组)。默认安全组的规则可以由您进行新增、修改,默认情况下包含以下入方向安全组规则:

    协议类型

    端口范围

    授权对象

    优先级

    授权策略

    SSH

    22/22

    0.0.0.0/0

    100

    允许

    RDP

    3389/3389

    0.0.0.0/0

    100

    允许

    ICMP(IPv4)

    -1/-1

    0.0.0.0/0

    100

    允许

    • 针对TCP协议,允许任意源地址访问22端口(对应SSH协议)和3389端口(对应RDP协议)。

    • 针对ICMP(IPv4)协议,允许任意源地址访问。

    重要

    默认安全组是为了简化ECS实例初次使用流程而产生的,其默认规则针对TCP协议的22、3389端口以及ICMP(IPv4)协议,对任意源地址(0.0.0.0/0)放通流量,这些默认规则存在风险,会使得任何人均可尝试连接到您的ECS实例,从而可能导致您的ECS实例成为暴力破解攻击的目标。从安全的角度来看,阿里云建议您在安全组规则中仅放通指定的源地址,而不是任意源地址,建议您尽量不要使用默认安全组的默认规则,而是根据自己的业务需要创建新的安全组或修改默认规则。

创建默认安全组

使用API创建ECS实例时的默认安全组

  • 如果您使用CreateInstance接口创建ECS实例,但未指定安全组时,阿里云将ECS实例加入到默认安全组中。如果默认安全组不存在,或不能容纳更多ECS实例,会自动为您创建并绑定至一个新的默认安全组。

  • 如果您使用RunInstances接口创建ECS实例,则必须指定已有的安全组。

说明

2020年05月27日以前系统创建的默认安全组规则的优先级为110。

使用控制台创建ECS实例时的默认安全组

在控制台快速购买ECS实例时,ECS实例会加入默认安全组,如果默认安全组不存在,或者默认安全组中不能容纳更多ECS实例,会创建一个新的默认安全组。