安全组规则

单条自定义的安全组规则，由以下信息构成：

• 协议类型：匹配流量的协议类型。支持TCP、UDP、ICMP（IPv4）、ICMP（IPv6）和GRE。

• 端口范围：匹配流量的目的端口。对于TCP和UDP协议，可以指定一个斜线（/）分隔的端口范围，比如8000/9000，或22/22。对其他协议，该字段取值-1/-1。更多信息，请参见常用端口。

• 授权对象：入方向规则中匹配流量的源地址，出方向规则中匹配流量的目的地址。支持CIDR地址块（或IP地址）、安全组、前缀列表三种类型。具体如下：

  • IPv4地址：例如192.168.0.100。

  • IPv4 CIDR地址块：例如192.168.0.0/24。

  • IPv6地址：例如2408:4321:180:1701:94c7:bc38:3bfa:9。接口将会对IPv6地址进行标准化处理，比如，2408:180:0000::1将会被处理为2408:180::1。

  • IPv6 CIDR地址块：例如2408:4321:180:1701::/64。接口将会对IPv6 CIDR地址块进行标准化处理，比如，2408:4321:180:0000::/64将会被处理为2408:4321:180::/64。

  • 安全组ID：支持授权当前账号下或其他账号下的目标安全组，使用目标安全组中ECS实例的内网IP来进行流量匹配，实现内网访问的控制。例如，安全组A中有ECS实例b，当您授权安全组A访问时，您实际授权的是安全组A中ECS实例b的内网IP的访问权限。

  • 前缀列表ID：前缀列表是一些网络前缀（即CIDR地址块）的集合。授权对象为前缀列表时，该条规则占用的安全组规则配额数量，为前缀列表最大条目数，与前缀列表中已有条目数量无关。更多信息，请参见前缀列表概述。

• 授权策略：允许或拒绝。在基于流量的协议、端口和授权对象匹配到某条安全组规则后，会对流量执行授权策略指定的动作，来允许或拒绝流量放行。

• 优先级：取值范围为1~100，数值越小，代表优先级越高。安全组规则的排序，首先考虑优先级，其次考虑授权策略，更多信息，请参见安全组自定义规则匹配策略。

• 规则方向：分为入方向和出方向，入方向规则控制入站流量，出方向规则控制出站流量。

• 作用的网卡类型：仅在经典网络下进行区分，可以指定规则作用于经典网络ECS实例的公网或内网网卡，作用于公网网卡的安全组规则控制公网访问，作用于内网网卡的安全组规则控制内网访问。在专有网络VPC下的安全组规则，同时控制公网和内网访问。

• 规则ID：在您添加安全组规则时，系统会为每条安全组规则生成唯一的ID。若您需要修改或删除已有安全组规则，您可以通过安全组规则ID，来指定要进行操作的安全组规则。

ECS实例可以关联一个或多个安全组，在决定ECS实例的流量（以入站流量为例）能否通过时，规则匹配策略如下：

1. 将多个安全组的入方向规则汇总，并按照以下优先级进行排序。

   1. 首先，考虑规则的优先级，优先级数值越小的规则优先级越高，高优先级的规则总是排在低优先级的规则之前。

   2. 其次，考虑授权策略，遵循拒绝（Drop）规则优先原则，授权策略为拒绝（Drop）的规则总是排在授权策略为允许（Accept）的规则之前。

2. 流量按照协议类型、端口范围、授权对象，依次匹配每条自定义规则，如果成功匹配某条规则，将会对流量执行规则授权策略指定的动作，允许或拒绝流量通行。

除了自定义的安全组规则，安全组还有一些不可见的默认访问控制规则，会影响流量的允许或拒绝，请参见普通安全组与企业级安全组。