腾讯云云服务器安全组

 

什么是安全组?

安全组是一种虚拟防火墙,云服务器端口开放或禁用就是通过配置安全组规则来实现的,安全组还可以控制云服务器、负载均衡、云数据库等实例之间的网络访问

 

腾讯云安全组

腾讯云安全组是一种虚拟防火墙,安全组具备有状态的数据包过滤功能。用户经常使用安全组的操作就是开放端口,出于安全考虑,腾讯云服务器默认只开放了22和3389端口,假设在这台云服务器上搭建网站,则需要80端口,就是通过配置安全组规则放行80端口来实现的。
还可以使用安全组来控制云服务器、负载均衡、云数据库等实例之间的网络访问,控制实例级别的出入流量,是重要的网络安全隔离手段。


安全组特性

1.安全组是一个逻辑上的分组,用户可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内;
2.关联了同一安全组的实例间默认不会互通,您需要添加相应的允许规则;
3.安全组是有状态的,对于用户已允许的入站流量,都将自动允许其流出,反之亦然;
4.用户可以随时修改安全组的规则,新规则立即生效,无需重启。
 

组成部分

安全组规则包括如下组成部分:

  • 来源或目标:流量的源(入站规则) 或目标(出站规则),可以是单个 IP 地址、IP 地址段,也可以是安全组.
  • 协议类型和协议端口:协议类型如 TCP、UDP 等。
  • 策略:允许或拒绝

规则优先级

  • 安全组内规则具有优先级。规则优先级通过规则在列表中的位置来表示,优先级最高,最先应用;列表底端规则优先级最低。
  • 若有规则冲突,则默认应用最优的规则。
  • 当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配一直到最后一条。如果某一条规则匹配成功,则允许通过,不再匹配该规则之后的所有规则。没有匹配的话,则一直匹配直到所有规则匹配完

多个安全组

一个实例可以绑定一个或多个安全组,当实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行,可以随时调整安全组的优先级。

 

配置安全组

设置安全组

1.在设置安全组时,根据实际需求,选择新建安全组
2.根据实际需求,勾选需要放通的 IP/端口。

新建安全组提供以下规则:

  • ICMP:放通 ICMP 协议,允许公网 Ping 服务器。
  • TCP:80:放通80端口,允许通过 HTTP 访问 Web 服务。
  • TCP:22:放通22端口,允许 SSH 远程连接 Linux 云服务器。
  • TCP:443:放通443端口,允许通过 HTTPS 访问 Web 服务。
  • TCP:3389:放通3389端口,允许 RDP 远程连接 Windows 云服务器。
  • 放通内网:放通内网,允许不同云资源间内网互通(IPv4)。
3.根据页面提示,配置其他信息。
 
安全组相关限制
  • 安全组区分地域,一台云服务器只能与相同地域中的安全组进行绑定。
  • 安全组适用于任何处在 网络环境的云服务器实例。
  • 每个用户在每个地域每个项目下最多可设置50个安全组。
  • 一个安全组入站方向或出站方向的访问策略,各最多可设定100条。
  • 一个云服务器可以加入多个安全组,一个安全组可同时关联多个云服务器。
  • 基础网络内云服务器绑定的安全组无法过滤来自(或去往)腾讯云上的关系型数据库(MySQL、MariaDB、SQL Server、PostgreSQL)、NoSQL 数据库(Redis、Memcached)的数据包。如果您需要过滤这类实例的流量,您可以使用 iptables 或者购买云防火墙产品实现。
  • 相关配额限制如下表所示:
    功能描述 限制
    安全组个数 50个/地域
    安全组规则数 100条/入站方向,100条/出站方向
    单个安全组关联的云服务器实例数 2000个
    每个云服务器实例可以关联的安全组个数 5个
    每个安全组可以引用的安全组 ID 的个数 10个
  •  

创建安全组

 

操作场景

安全组是云服务器实例的虚拟防火墙,每台云服务器实例必须至少属于一个安全组。在您创建云服务器实例时,如果您还未创建过安全组,腾讯云提供了两个模板,一个是放通全部端口模板,另一个是放通常用端口模板,新建安全组默认规则放通常用IP/端口:

ICMP 公网 Ping 云服务器
TCP:22 SSH 远程连接 Linux 实例
TCP:3389 RDP 远程连接 Windows 实例
TCP:80 云服务器作 Web 服务器(HTTP)
TCP:443 云服务器作 Web 服务器(HTTPS)
放通内网 不同云资源间内网互通(IPv4)

操作步骤

  1. 登录 云服务器控制台
  2. 在左侧导航栏,单击 安全组,进入安全组管理页面。
  3. 在安全组管理页面,选择地域,单击新建
  4. 在弹出的“新建安全组”窗口中,完成以下配置。如下图所示:
    • 模板:根据安全组中的云服务器实例需要部署的服务,选择合适的模板,简化安全组规则配置。如下表所示:
      模板 说明 场景
      放通全部端口 默认放通全部端口到公网和内网,具有一定安全风险。
      放通22,80,443,3389端口和ICMP协议 默认放通22,80,443,3389端口和 ICMP 协议,内网全放通。 安全组中的实例需要部署 Web 服务。
      自定义 安全组创建成功后,按需自行添加安全组规则。具体操作请参见 添加安全组规则
    • 名称:自定义设置安全组名称。
    • 所属项目:默认选择“默认项目”,可指定为其他项目,便于后期管理。
    • 备注:自定义,简短地描述安全组,便于后期管理。
    • 高级选项:可在高级选项中为安全组配置标签,默认无标签。
  5. 单击确定,完成安全组的创建。
    如果新建安全组时选择了“自定义”模板,创建完成后可单击立即设置规则,进行 添加安全组规则

 

 

 

安全组常见应用场景

本文介绍了几个常见的安全组应用场景,如果以下场景可以满足您的需求,可直接按照场景中的推荐配置进行安全组的设置。

场景一:允许 SSH 远程连接 Linux 云服务器

案例:创建了一台 Linux 云服务器,希望可以通过 SSH 远程连接到云服务器。
解决方法添加安全组规则 时,在 “类型” 中选择 “Linux 登录”,开通来源为 WebShell 代理 IP 的22号协议端口,允许 Linux SSH 登录。
还可以根据实际需求,放通全部 IP 或指定 IP(IP 网段),可通过 SSH 远程连接到云服务器的 IP 来源。

方向类型来源协议端口策略
入方向Linux 登录TCP:22允许

场景二:允许 RDP 远程连接 Windows 云服务器

案例:创建了一台 Windows 云服务器,要求可以通过 RDP 远程连接到云服务器。
解决方法添加安全组规则 时,在 “类型” 中选择 “Windows 登录”,开通来源为 WebRDP 代理 IP 的3389号协议端口,允许 Windows 远程登录。
还可以根据实际需求,放通全部 IP 或指定 IP(IP网 段),可通过 RDP 远程连接到云服务器的 IP 来源。

方向类型来源协议端口策略
入方向Windows 登录
  • 全部 IP:0.0.0.0/0
  • WebRDP 代理 IP:
      81.69.102.0/24
      106.55.203.0/24
      101.33.121.0/24
      101.32.250.0/24
  • 指定 IP:输入您指定的 IP 或 IP 段
TCP:3389允许

场景三:允许公网 Ping 服务器

案例:创建一台云服务器,要求可以测试这台云服务器和其他云服务器之间的通信状态
解决方法:使用 ping 进行测试。即在 添加安全组规则 时,将 “类型” 选择为 “Ping”,开通 ICMP 协议端口,允许其他云服务器通过 ICMP 协议访问该云服务器。
可以根据实际需求,放通全部 IP 或指定 IP(IP 网段),配置允许通过 ICMP 协议访问云服务器的 IP 来源。

方向类型来源协议端口策略
入方向Ping
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 地址段
ICMP允许

场景四:Telnet 远程登录

案例:要求通过 Telnet 远程登录云服务器。
解决方法:如需通过 Telnet 远程登录云服务器,则需在 添加安全组规则 时,配置以下安全组规则:

方向类型来源协议端口策略
入方向自定义
  • 全部 IP:0.0.0.0/0
  • 指定 IP:输入您指定的 IP 或 IP 地址段
TCP:23允许
 

  

  

粤ICP备2021087867号-1