腾讯云云服务器安全组
什么是安全组?
安全组是一种虚拟防火墙,云服务器端口开放或禁用就是通过配置安全组规则来实现的,安全组还可以控制云服务器、负载均衡、云数据库等实例之间的网络访问
腾讯云安全组
腾讯云安全组是一种虚拟防火墙,安全组具备有状态的数据包过滤功能。用户经常使用安全组的操作就是开放端口,出于安全考虑,腾讯云服务器默认只开放了22和3389端口,假设在这台云服务器上搭建网站,则需要80端口,就是通过配置安全组规则放行80端口来实现的。
还可以使用安全组来控制云服务器、负载均衡、云数据库等实例之间的网络访问,控制实例级别的出入流量,是重要的网络安全隔离手段。
安全组特性
1.安全组是一个逻辑上的分组,用户可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内;
2.关联了同一安全组的实例间默认不会互通,您需要添加相应的允许规则;
3.安全组是有状态的,对于用户已允许的入站流量,都将自动允许其流出,反之亦然;
4.用户可以随时修改安全组的规则,新规则立即生效,无需重启。
组成部分
安全组规则包括如下组成部分:
- 来源或目标:流量的源(入站规则) 或目标(出站规则),可以是单个 IP 地址、IP 地址段,也可以是安全组.
- 协议类型和协议端口:协议类型如 TCP、UDP 等。
- 策略:允许或拒绝
规则优先级
- 安全组内规则具有优先级。规则优先级通过规则在列表中的位置来表示,优先级最高,最先应用;列表底端规则优先级最低。
- 若有规则冲突,则默认应用最优的规则。
- 当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配一直到最后一条。如果某一条规则匹配成功,则允许通过,不再匹配该规则之后的所有规则。没有匹配的话,则一直匹配直到所有规则匹配完
多个安全组
一个实例可以绑定一个或多个安全组,当实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行,可以随时调整安全组的优先级。
配置安全组
设置安全组
新建安全组提供以下规则:
- ICMP:放通 ICMP 协议,允许公网 Ping 服务器。
- TCP:80:放通80端口,允许通过 HTTP 访问 Web 服务。
- TCP:22:放通22端口,允许 SSH 远程连接 Linux 云服务器。
- TCP:443:放通443端口,允许通过 HTTPS 访问 Web 服务。
- TCP:3389:放通3389端口,允许 RDP 远程连接 Windows 云服务器。
- 放通内网:放通内网,允许不同云资源间内网互通(IPv4)。
- 安全组区分地域,一台云服务器只能与相同地域中的安全组进行绑定。
- 安全组适用于任何处在 网络环境的云服务器实例。
- 每个用户在每个地域每个项目下最多可设置50个安全组。
- 一个安全组入站方向或出站方向的访问策略,各最多可设定100条。
- 一个云服务器可以加入多个安全组,一个安全组可同时关联多个云服务器。
- 基础网络内云服务器绑定的安全组无法过滤来自(或去往)腾讯云上的关系型数据库(MySQL、MariaDB、SQL Server、PostgreSQL)、NoSQL 数据库(Redis、Memcached)的数据包。如果您需要过滤这类实例的流量,您可以使用 iptables 或者购买云防火墙产品实现。
- 相关配额限制如下表所示:
功能描述 限制 安全组个数 50个/地域 安全组规则数 100条/入站方向,100条/出站方向 单个安全组关联的云服务器实例数 2000个 每个云服务器实例可以关联的安全组个数 5个 每个安全组可以引用的安全组 ID 的个数 10个 -
操作场景
安全组是云服务器实例的虚拟防火墙,每台云服务器实例必须至少属于一个安全组。在您创建云服务器实例时,如果您还未创建过安全组,腾讯云提供了两个模板,一个是放通全部端口模板,另一个是放通常用端口模板,新建安全组默认规则放通常用IP/端口:
ICMP 公网 Ping 云服务器
TCP:22 SSH 远程连接 Linux 实例
TCP:3389 RDP 远程连接 Windows 实例
TCP:80 云服务器作 Web 服务器(HTTP)
TCP:443 云服务器作 Web 服务器(HTTPS)
放通内网 不同云资源间内网互通(IPv4)
操作步骤
- 登录 云服务器控制台。
- 在左侧导航栏,单击 安全组,进入安全组管理页面。
- 在安全组管理页面,选择地域,单击新建。
- 在弹出的“新建安全组”窗口中,完成以下配置。如下图所示:
-
- 模板:根据安全组中的云服务器实例需要部署的服务,选择合适的模板,简化安全组规则配置。如下表所示:
模板 说明 场景 放通全部端口 默认放通全部端口到公网和内网,具有一定安全风险。 – 放通22,80,443,3389端口和ICMP协议 默认放通22,80,443,3389端口和 ICMP 协议,内网全放通。 安全组中的实例需要部署 Web 服务。 自定义 安全组创建成功后,按需自行添加安全组规则。具体操作请参见 添加安全组规则。 – - 名称:自定义设置安全组名称。
- 所属项目:默认选择“默认项目”,可指定为其他项目,便于后期管理。
- 备注:自定义,简短地描述安全组,便于后期管理。
- 高级选项:可在高级选项中为安全组配置标签,默认无标签。
- 模板:根据安全组中的云服务器实例需要部署的服务,选择合适的模板,简化安全组规则配置。如下表所示:
- 单击确定,完成安全组的创建。
如果新建安全组时选择了“自定义”模板,创建完成后可单击立即设置规则,进行 添加安全组规则。
安全组常见应用场景
本文介绍了几个常见的安全组应用场景,如果以下场景可以满足您的需求,可直接按照场景中的推荐配置进行安全组的设置。
场景一:允许 SSH 远程连接 Linux 云服务器
案例:创建了一台 Linux 云服务器,希望可以通过 SSH 远程连接到云服务器。
解决方法:添加安全组规则 时,在 “类型” 中选择 “Linux 登录”,开通来源为 WebShell 代理 IP 的22号协议端口,允许 Linux SSH 登录。
还可以根据实际需求,放通全部 IP 或指定 IP(IP 网段),可通过 SSH 远程连接到云服务器的 IP 来源。
| 方向 | 类型 | 来源 | 协议端口 | 策略 |
|---|---|---|---|---|
| 入方向 | Linux 登录 |
| TCP:22 | 允许 |
场景二:允许 RDP 远程连接 Windows 云服务器
案例:创建了一台 Windows 云服务器,要求可以通过 RDP 远程连接到云服务器。
解决方法:添加安全组规则 时,在 “类型” 中选择 “Windows 登录”,开通来源为 WebRDP 代理 IP 的3389号协议端口,允许 Windows 远程登录。
还可以根据实际需求,放通全部 IP 或指定 IP(IP网 段),可通过 RDP 远程连接到云服务器的 IP 来源。
| 方向 | 类型 | 来源 | 协议端口 | 策略 |
|---|---|---|---|---|
| 入方向 | Windows 登录 |
| TCP:3389 | 允许 |
场景三:允许公网 Ping 服务器
案例:创建一台云服务器,要求可以测试这台云服务器和其他云服务器之间的通信状态
解决方法:使用 ping 进行测试。即在 添加安全组规则 时,将 “类型” 选择为 “Ping”,开通 ICMP 协议端口,允许其他云服务器通过 ICMP 协议访问该云服务器。
可以根据实际需求,放通全部 IP 或指定 IP(IP 网段),配置允许通过 ICMP 协议访问云服务器的 IP 来源。
| 方向 | 类型 | 来源 | 协议端口 | 策略 |
|---|---|---|---|---|
| 入方向 | Ping |
| ICMP | 允许 |
场景四:Telnet 远程登录
案例:要求通过 Telnet 远程登录云服务器。
解决方法:如需通过 Telnet 远程登录云服务器,则需在 添加安全组规则 时,配置以下安全组规则:
| 方向 | 类型 | 来源 | 协议端口 | 策略 |
|---|---|---|---|---|
| 入方向 | 自定义 |
| TCP:23 | 允许 |