六大案例及应用场景，解读阿里云服务器安全组高级设置

这篇文章属于安全组应用中的高级应用，总结了阿里云服务器，安全组高级应用中的6个实操案例，请各位亲参考使用。

安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能。安全组用于设置单台或多台实例的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。安全组是由同一个地域（Region）内具有相同安全保护需求并相互信任的实例组成。在创建实例的时候需要指定安全组，每个实例至少属于一个安全组。同一安全组内的实例之间默认私网网络互通，不同安全组的实例之间默认私网不通。可以授权两个安全组之间互访。

案例 1：实现内网互通

使用安全组实现相同地域不同账号下或不同安全组内ECS实例间的内网互通。有两种情况：

场景 1：实例属于同一个地域、同一个账号
场景 2：实例属于同一个地域、不同账号

说明

对于VPC网络类型的ECS实例，如果它们在同一个VPC网络内，可以通过安全组规则实现内网互通。如果ECS实例不在同一个VPC内（无论是否属于同一个账号或在同一个地域里），您可以使用高速通道实现VPC互通。

场景 1：同一地域、同一账号

同一地域、同一账号的2个实例，如果在同一个安全组内，默认内网互通，不需要设置。如果在不同的安全组内，默认内网不通，此时，根据网络类型做不同的设置：

VPC

处于同一个VPC内的ECS实例，在实例所在安全组中分别添加一条安全组规则，授权另一个安全组内的实例访问本安全组内的实例，实现内网互通。安全组规则如下表所示。

网卡类型	规则方向	授权策略	协议类型	端口范围	优先级	授权类型	授权对象
不需要设置	入方向	允许	设置适用的协议类型	设置端口范围	1	安全组访问（本账号授权）	选择允许访问的实例所在的安全组ID

经典网络

在实例所在安全组中分别添加一条安全组规则，授权另一个安全组内的实例访问本安全组内的实例，实现内网互通。安全组规则如下表所示。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	优先级	授权类型	授权对象
经典网络	内网	入方向	允许	设置适用的协议类型	设置端口范围	1	安全组访问（本账号授权）	选择允许访问的实例所在的安全组ID

场景 2：同一地域、不同账号

这部分的描述仅适用于经典网络类型的ECS实例。

同一个地域内、不同账号下，经典网络实例可以通过安全组授权实现内网互通。比如：

UserA在华东1有一台经典网络的ECS实例InstanceA（内网IP：A.A.A.A），InstanceA所属的安全组为GroupA。
UserB在华东1有一台经典网络的ECS实例InstanceB（内网IP：B.B.B.B），InstanceB所属的安全组为GroupB。
在GroupA中添加安全组规则，授权InstanceB内网访问InstanceA，如下表所示。

网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
内网	入方向	允许	选择适用的协议类型	设置端口范围	安全组访问（跨账号授权）	GroupB的ID，并在账号ID 里填写UserB的ID	1

在GroupB中添加安全组规则，授权InstanceA内网访问InstanceB，如下表所示。

网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
内网	入方向	允许	选择适用的协议类型	设置端口范围	安全组访问（跨账号授权）	GroupA的ID，并在账号ID 里填写UserA的ID	1

说明出于安全性考虑，经典网络的内网入方向规则，授权类型优先选择安全组访问；如果选择地址段访问，则仅支持单IP授权，授权对象的格式只能是 a.b.c.d/32，其中IP地址应根据您的实际需求设置，仅支持IPv4，子网掩码必须是/32。

案例 2：只允许特定IP地址远程登录到实例

如果您只想让某些特定IP地址远程登录到实例，可以参考以下示例的步骤在实例所在安全组里添加规则（以Linux实例为例，设置只让特定IP地址访问TCP 22端口）：

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要配置	入方向	允许	SSH(22)	22/22	地址段访问	允许远程连接的IP地址，如1.2.3.4。	1
经典网络	公网	入方向	允许	SSH(22)	22/22	地址段访问	允许远程连接的IP地址，如1.2.3.4。	1

案例 3：只允许实例访问外部特定IP地址

如果您只想让实例访问特定的IP地址，参考以下示例的步骤在实例所在安全组中添加安全组规则：

禁止实例以任何协议访问所有公网IP地址，优先级应低于允许访问的规则（如本例中设置优先级为2）。安全组规则如下表所示。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要配置	出方向	拒绝	全部	-1/-1	地址段访问	0.0.0.0/0	2
经典网络	公网	出方向	拒绝	全部	-1/-1	地址段访问	0.0.0.0/0	2

允许实例访问特定公网IP地址，优先级应高于拒绝访问的安全组规则的优先级（如本例中设置为1）。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要配置	出方向	允许	选择适用的协议类型	设置端口范围	地址段访问	允许实例访问的特定公网IP地址，如1.2.3.4。	1
经典网络	公网	出方向	允许	选择适用的协议类型	设置端口范围	地址段访问	允许实例访问的特定公网IP地址，如1.2.3.4。	1

添加了安全组规则后，在连接实例，执行 ping、telnet 等测试。如果实例只能访问允许访问的IP地址，说明安全组规则已经生效。

案例 4：允许远程连接实例

允许远程连接ECS实例分为两种情况：

场景 1：允许公网远程连接指定实例
场景 2：允许内网其他账号下的某台ECS实例或所有ECS实例远程连接指定实例

场景 1：允许公网远程连接实例

如果要允许公网远程连接实例，参考以下示例添加安全组规则。

VPC：添加如下所示安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要设置	入方向	允许	Windows：RDP(3389)	3389/3389	地址段访问	如果允许任意公网IP地址连接实例，填写0.0.0.0/0。如果只允许特定IP地址远程连接实例，参见案例 2：只允许特定IP地址远程登录到实例。	1
				Linux：SSH(22)	22/22
				自定义TCP	自定义

经典网络：添加如下表所示安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
经典网络	公网	入方向	允许	Windows：RDP(3389)	3389/3389	地址段访问	如果允许任意公网IP地址连接实例，填写0.0.0.0/0。如果只允许特定公网IP地址连接实例，参见案例 2：只允许特定IP地址远程登录到实例。	1
				Linux：SSH(22)	22/22
				自定义TCP	自定义

自定义远程连接端口的详细操作请参见 : ①windows服务器默认远程端口修改。②Linux服务器远程端口修改。

场景 2：允许内网其他账号下某个安全组内的ECS实例远程连接您的实例

如果您的账号与同地域其他账号内网互通，而且您想允许内网其他账号下某个安全组内的ECS实例远程连接实例，按以下示例添加安全组规则。

允许内网其他账号某个实例内网IP地址连接您的实例
- VPC：先保证2个账号的实例通过高速通道内网互通，再添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要设置	入方向	允许	Windows：RDP(3389)	3389/3389	地址段访问	对方实例的私有IP地址	1
				Linux：SSH(22)	22/22
				自定义TCP	自定义

- 经典网络：应添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
经典网络	内网	入方向	允许	Windows：RDP(3389)	3389/3389	地址段访问	对方实例的内网IP地址，出于安全性考虑，仅支持单IP授权，例如：a.b.c.d/32。	1
				Linux：SSH(22)	22/22
				自定义TCP	自定义

允许内网其他账号某个安全组里的所有ECS实例连接您的实例
- VPC类型的实例，先保证2个账号的实例通过高速通道内网互通，再添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要设置	入方向	允许	Windows：RDP(3389)	3389/3389	安全组访问（跨账号授权）	对方ECS实例所属的安全组ID，并填写对方账号ID	1
				Linux：SSH(22)	22/22
				自定义TCP	自定义

- 经典网络实例，添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
经典网络	内网	入方向	允许	Windows：RDP(3389)	3389/3389	安全组访问（跨账号授权）	对方ECS实例所属的安全组ID，并填写对方账号ID	1
				Linux：SSH(22)	22/22
				自定义TCP	自定义

案例 5：允许公网通过HTTP、HTTPS等服务访问实例

如果您在实例上架设了一个网站，希望您的用户能通过HTTP或HTTPS服务访问到您的网站，您需要在实例所在安全组中添加以下安全组规则。

允许公网上所有IP地址访问您的网站。
- VPC：添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要配置	入方向	允许	HTTP(80)	80/80	地址段访问	0.0.0.0/0	1
				HTTPS(443)	443/443
				自定义TCP	自定义，如8080/8080

- 经典网络：添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
经典网络	公网	入方向	允许	HTTP(80)	80/80	地址段访问	0.0.0.0/0	1
				HTTPS(443)	443/443
				自定义TCP	自定义，如8080/8080

允许公网上部分IP地址访问您的网站。
- VPC：添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要配置	入方向	允许	HTTP(80)	80/80	地址段访问	允许访问您网站的主机的公网IP地址，可以为一个或多个公网IP地址。	1
				HTTPS(443)	443/443
				自定义TCP	自定义，如8080/8080

- 经典网络：添加如下表所示的安全组规则。

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
经典网络	公网	入方向	允许	HTTP(80)	80/80	地址段访问	允许访问您网站的主机的公网IP地址，可以为一个或多个公网IP地址。	1
				HTTPS(443)	443/443
				自定义TCP	自定义，如8080/8080

案例 6：拒绝实例访问外部特定IP地址

如果您不希望您的ECS实例访问某个特定的外部IP地址，您可以参考以下示例在实例所在安全组中添加安全组规则：

网络类型	网卡类型	规则方向	授权策略	协议类型	端口范围	授权类型	授权对象	优先级
VPC	不需要配置	出方向	拒绝	全部	-1/-1	地址段访问	拒绝实例访问的特定公网IP地址，如1.2.3.4。	1
经典网络	公网	出方向	拒绝	全部	-1/-1	地址段访问	拒绝实例访问的特定公网IP地址，如1.2.3.4。	1

聚云网旨在收集阿里云、腾讯云、百度云等云计算产品的行业资讯，最新优惠信息，提供代金券、优惠券领取，让用户以最低的价格购买服务器，享受优质的产品服务。聚云网提供免费服务器购买咨询，科技前沿资讯，互联网行业动态，软件开发及服务器运维教程，竭全力为用户提供优质服务。点击查看更多内容

如果您有任何疑问，请在页面右侧点击联系聚云网客服，第一时间为您服务。

本站所有内容，如有版权、侵权等问题，请及时联系本站做删除。发布者：聚云网，转载请注明出处：https://www.juyun.top