一、什么是安全组?
1.很多朋友分不清安全组和防火墙之间有什么关系,其实安全组也是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
2.安全组具有以下功能特点:
● 一台ECS实例至少属于一个安全组,可以同时加入多个安全组,若一个实列加入多个安全组,则所有安全组的安全组规则均应用于该实例。检测到访问请求时,系统会逐一尝试匹配安全组规则
● 一个安全组可以管理同一个地域内的多台ECS实例。
● 在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例之间默认内网不通。
● 安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的
二、安全组规则示例
如果您需要使用SSH密钥对远程连接Linux实例,以在专有网络安全组中添加安全组规则为例,如下表所示。规则方向 | 授权策略 | 优先级 | 协议类型 | 端口范围 | 授权对象 | 入方向 | 允许 | 1 | 自定义TCP | 目的:22/22 | 源:0.0.0.0/0 |
说明 0.0.0.0/0为允许所有IP远程连接实例。为安全起见,建议您在实际业务中将授权对象设置为特定的IP访问,遵循最小授权原则。
入站规则:表示允许到达与安全组相关联的云服务器的入站流量。
出站规则:表示离开云服务器的出站流量。
三、如何开放安全组端口
1.要开通某个端口访问,必须在【安全组】和【宝塔面板-->安全-->系统防火墙】中都打开,只打开其中一个另一个关闭的话,这个端口无法访问对应的功能也就无法连接了。
2.开放安全组这里准备了一个视频和三个图文教程贴,以下视频以阿里云服务器为例
ECS安全组端口开放.mp4
(49.2 MB, 下载次数: 5431)
|
|
运维要高效,装宝塔
