合 华为云安全组介绍
👉 本文共约5390个字,系统预计阅读时间或需21分钟。
安全组简介
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。
安全组实际是网络流量访问策略,包括网络流量入方向规则和出方向规则,通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。
如果您的实例关联的安全组策略无法满足使用需求,比如需要新开放某个TCP端口,请参考本章节添加入方向规则,打开指定的TCP端口。
- 入方向:指从外部访问安全组规则下的实例。
- 出方向:指安全组规则下的实例访问安全组外的实例。
默认安全组
系统会为每个用户创建一个默认安全组,默认安全组规则说明如下:
- 出方向报文放行:默认安全组内的实例可以对其他安全组内的实例发起请求,并收到响应。
- 入方向报文受限:来自其他安全组内实例的请求会被默认安全组拦截。
同一个安全组内的实例无需添加规则即可互相访问。
如果默认安全组不满足使用需求,你可以修改安全组规则或者创建自定义安全组。
默认安全组名称为为default,默认安全组和您创建的自定义安全组均不收取费用。
默认安全组如图1所示。
图1 默认安全组
默认安全组规则如表1所示。
| 方向 | 优先级 | 策略 | 协议 | 端口范围 | 目的地址/源地址 | 说明 |
|---|---|---|---|---|---|---|
| 出方向 | 100 | 允许 | 全部 | 全部 | 目的地址:0.0.0.0/0 | 允许所有出站流量的数据报文通过。 |
| 入方向 | 100 | 允许 | 全部 | 全部 | 源地址:当前安全组名称 | 允许同样使用当前安全组的云服务器之间通过任意端口和规则互访。 |
| 入方向 | 100 | 允许 | TCP | 22 | 源地址:0.0.0.0/0 | 允许所有IP地址通过SSH远程连接到Linux云服务器。 |
| 入方向 | 100 | 允许 | TCP | 3389 | 源地址:0.0.0.0/0 | 允许所有IP地址通过RDP远程连接到Windows云服务器。 |
默认安全组和规则您可以直接使用,也可以根据需要创建自定义的安全组和规则。
安全组基本信息
服务器及扩展网卡等实例可以关联一个或多个安全组。
您可以更改与服务器、扩展网卡等实例关联的安全组。默认情况下创建实例时,除非您指定了其他安全组,否则实例与VPC的默认安全组关联。
如果您创建了放通同安全组的安全组规则,则允许安全组内实例互相访问。
对于IPv4类型的地址,安全组只支持加入32位前缀的地址,对于IPv6类型的地址,安全组只支持加入128位前缀的地址。具体如何更改实例安全组,请参见实例加入/移出安全组。
本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务,私聊QQ646634621或微信dbaup66,谢谢!
