有很多小伙伴一直很疑惑安全组的作用,而很多时候,安全组确实不会秒级生效,让很多人都非常的疑惑,其实只是大家没有去看安全组的文档:https://cloud.tencent.com/document/product/215/20089 我们先来看看
什么是安全组:
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、数据库等实例的网络访问控制,是重要的网络安全隔离手段。
您可以通过配置安全组规则,允许或禁止安全组内的实例对公网或私网的访问:
- 安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内。
- 您可以通过安全组策略对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 。
- 您可以随时修改安全组的规则。新规则立即生效。
新建安全组:https://cloud.tencent.com/document/product/213/18197
配置安全组:https://cloud.tencent.com/document/product/213/15377
安全组操作:https://cloud.tencent.com/document/product/213/18197
API接口:https://cloud.tencent.com/document/api/215/15806
常见问题:https://cloud.tencent.com/document/product/213/2502
安全组和网络ACL的区别:
安全组 | 网络 ACL |
|---|---|
在实例级别的操作(第一防御层) | 在子网级别的操作(第二防御层) |
支持允许规则和拒绝规则 | 支持允许规则和拒绝规则 |
有状态:返回数据流会被自动允许,不受任何规则的影响 | 无状态:返回数据流必须被规则明确允许 |
只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例。 | 自动应用到关联子网内的所有云服务器实例。 |
安全组的策略选择与实操:
一般如果用于测试,个人推荐先用放通全部端口,需要注意的是,有模板优先模板,没有模板一定要明白,进和出的关系。我们来看下吧:
注意红圈部分最上方是安全组的后台地址,左侧是安全组菜单的位置,右侧是说明安全组和云服务器一样区分地域,作用范围有限。我们点击新建。
放通全部端口以及规则写法出站和入站规则是一致的,这里不放出站规则的截图了。下面看下默认放通TCP3389等端口这条
入站规则,我们来看下它的出站规则:
放通3389出站规则发现不一样的地方了吗?这说明一般对于出站我们是不做太多限制的,除非应用本身需求。
有些小伙伴的写法很奇怪,会写多个安全组,然后每个放通一个端口,绑定到一个实例上,这种方式会导致规则冲突,轻则失效,重则可能导致云服务器丢包等问题,因此,一般建议一个实例只绑定一个安全组,一个安全组可以用于管理多个实例。
如果是自己新建的安全组,不会写的话,可以参考下图:
一键放通针对很多小伙伴不熟悉的问题,其实腾讯云早就设计了一键放通模板,
一键放通3389还可以点击教我设置,跳转到:https://cloud.tencent.com/document/product/213/18197#typical 学习操作。
下面我们看下安全组的几种写法:
首先需要注意完全没有规则的情况:
无规则允许放在最底下:
放通全部
放通单条
放通多条
放通多条
放通ICMP协议需要注意的是:
不支持添加引入其他安全组或协议组和控制台所提示的支持,有出入:
控制台提示的写法安全组策略排序
拖动排序安全组也是顺序执行的,从最上面下来,因此,如果第一条是拒绝所有,那么,所有的流量都不会通过,所以写的时候,记得拒绝的写上面,放通的写下面。
拒绝所有访问TCP8889
拒绝在上面有时候我们会检测到来自某些ip的持续的恶意攻击,可以将 0.0.0.0/0,替换成对应的ip,如:
拒绝来自119.62.148.152的访问请求最后,检查和实例的绑定关系:
未绑定状态
绑定状态最后祝大家上云顺利,有问题可以给我留言。
