云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 阿里云云服务器安全组怎么设置?

[复制链接]
当流科技 发表于 2017-8-22 12:09:55 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

例 1:内网互通  
场景举例:如果您需要将一台 ECS 实例上的资源拷贝到另一台 ECS 实例上,可以通过安全组设置实现两台 ECS 实例内网互通后再拷贝。
案例 2:拦截特定 IP 或端口  
场景举例:如果您的 ECS 实例因为异常的 IP 地址登录造成内存溢出、带宽跑满、CPU 跑满等情况,您可以通过安全组设置拦截这些异常 IP 地址。
案例 3:只允许特定 IP 远程登录到实例  
场景举例:如果您的 ECS 实例被肉鸡,您可以通过安全组修改远程登录的端口号,并设置只允许特定的 IP 地址远程登录到您的 ECS 实例。
案例 4:只允许实例访问外部特定 IP  
场景举例:如果您的 ECS 实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的 ECS 实例只能访问外部特定 IP。
案例 5:允许远程登录到实例
案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例  
场景举例:如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站。


案例 1:使用安全组实现内网互通

在经典网络下,您可以使用安全组实现不同 ECS 实例间的内网互通。有两种情况:

场景 1:实例属于同一个地域,同一个账号
场景 2:实例属于同一个地域,不同账号


场景 1:同一地域,同一账号
同一个地域内,同一个账号下,经典网络下可以通过安全组规则设置云服务器之间内网互通。

同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法:

方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通了。
方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权安全组访问类型的安全组规则。在 授权对象 中添加对方所属的安全组即可。

场景 2:同一地域,不同账号

同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通。比如:

UserA 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA;
UserB 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。
这种情况下,可以通过安全组配置实现 InstanceA 和 InstanceB 在内网上互通。步骤如下:

UserA 为 GroupA 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupB 可以访问 GroupA 下的所有 ECS 云服务器。
UserB 为 GroupB 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupA 可以访问 GroupB 下的所有 ECS 云服务器。
这样两台实例就可以互通了。

注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。

案例 2:使用安全组屏蔽、拦截、阻断特定 IP 或端口对 ECS 实例的访问

您可以使用安全组屏蔽、拦截、阻止特定 IP 对用户云服务器的访问,或者屏蔽 IP 访问服务器的特定端口。操作如下:

1.登录 云服务器管理控制台 。

2.找到要配置的实例。

3.打开实例的 本实例安全组,然后单击 配置规则。  

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法


4.单击 公网入方向,然后单击 添加安全组规则。

5.授权策略选择 拒绝,授权对象 输入需要屏蔽的 IP 地址(如截图中的示例 IP 地址:1.2.3.4/5)。单击 确定。  

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法


6.如果是针对特定端口的限制,比如屏蔽一个特定 IP 访问自己 ECS 实例的 22 端口,授权策略 选择 拒绝,协议类型 选择 SSH (22),授权类型 选择地址段访问,授权对象 里填写待屏蔽的 IP 地址和子网掩码,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。然后单击 确定。  

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法



案例 3:只允许特定 IP 远程登录到实例

通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了。

以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。

1.添加一条公网入方向安全组规则,允许访问,协议类型 选择 SSH (22),授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。优先级为 1。

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法


2.再添加一条规则,拒绝访问,协议类型 选择 SSH (22),授权类型 为地址段访问,授权对象 写所有 0.0.0.0/0,优先级为 2。

完成设置后:

来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。
来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。



案例 4:只允许实例访问外部特定 IP

您可以先配置一条公网出方向规则禁止访问任何 IP(0.0.0.0/0),然后再添加一条公网出方向规则允许实例对外访问的IP。允许规则的优先级设置成高于禁止规则的优先级。

1.单击 公网出方向,然后单击 添加安全组规则。

2.授权策略 选择 拒绝,协议类型 为全部,授权类型 为 地址段访问,授权对象 为 0.0.0.0/0,优先级 可以设置为比 1 大的数字。



阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

3.在公网出方向继续添加安全组规则,授权策略 选择 允许,协议类型 为全部,授权类型 为 地址段访问,授权对象 是允许实例访问的特定外部 IP,优先级设为 1。

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法



4.在实例内部进行 ping、telnet 等测试,访问非允许规则中列出的 IP 地址均不通,说明安全组的限制已经生效。

案例 5:允许远程登录到实例

在经典网络下允许远程登录到 ECS 实例分为两种情况:

场景 1:允许公网远程登录到实例
场景 2:允许内网其他账号某个ECS或所有ECS远程登录到实例
场景 1:允许公网远程登录到实例

通过配置安全组可以设置允许公网远程登录到实例,只需要对公网入方向规则进行配置即可。

添加一条公网入方向安全组规则:

授权策略:允许。
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。
授权对象:0.0.0.0/0,表示允许所有 IP 地址访问。
优先级:1, 表示安全规则中优先级最高,数字越小优先级越高。

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法


场景 2:允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例

通过配置安全组可以设置允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例。您只需要对内网入方向规则进行配置即可。

添加一条内网入方向安全组规则(允许内网其他账号登录某个 ECS 实例):

授权策略:允许。
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。
授权对象:10.10.10.1 (比如其他账号的 ECS 内网 IP 地址是10.10.10.1)。
优先级:1,表示安全规则中优先级最高,数字越小优先级越高。

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法



添加一条内网入方向安全组规则(允许内网其他账号所有 ECS 实例):

授权策略:允许。
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。
授权类型:安全组访问,选择跨账号授权。
授权对象:填入 ECS 实例所属的安全组 ID。
账号ID:允许内网其他账号的账号 ID(账号中心查看)。
优先级:1 (代表安全规则中优先级最高,数字越小优先级越高)


阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法



案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例

如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。

1.登录 云服务器管理控制台。
2.找到要配置的实例。
3.打开实例的 本实例安全组,然后单击 配置规则。
4.单击 公网入方向,然后单击 快速创建规则。

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法


5.添加安全组规则如下:
网卡类型:如果是经典网络,选择 公网。如果是 VPC 网络,不需要选择。
规则方向:入方向。
授权策略:允许。
协议类型 和 端口范围:选择 HTTP 服务的 TCP 80 端口,HTTPS 的 443 端口,或者自定义 TCP 8080 端口(如图所示)。
授权对象:0.0.0.0/0,表示允许所有地址访问。
优先级:1,表示安全规则中优先级最高,数字越小优先级越高。


阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法


安全组的限制和规则参数

安全组有如下限制:

每个用户最多创建 100 个安全组。
每个安全组最多添加 1000 个实例。
每个实例最多加入 5 个安全组。
每个安全组最多创建 100 条规则。
安全组规则有如下参数:
网络类型:公网 | 内网。如果该安全组属于专有网络,选择内网。
规则方向:出方向 | 入方向。这里的入方向和出方向都是从 ECS 实例的角度来说的。
出方向:ECS 实例访问其它资源。
入方向:其它资源访问 ECS 实例。
授权策略:允许 | 拒绝。安全组的 拒绝 策略对应的是 drop,不会回应。
协议类型:全部 | 自定义 TCP | 自定义 UDP | 全部 ICMP | 全部 GRE | SSH (22) | TELNET (23) | HTTP (80) | HTTPS (443) | MS SQL (1433) | Oracle (1521) | My SQL (3306) | RDP (3389) | PostgreSQL (5432) | Redis (6379)。
端口范围:1~65535,格式为“开始端口号/终止端口号”。例如 1/200、80/80、22/22、-1/-1。其中 -1/-1 表示不限制端口。注意:即使是一个端口,也要写成范围形式,如 22/22,不能只写 22,否则会报错 “IP 协议参数格式不正确”。端口 25 默认受限,并且无法通过安全组规则打开。
授权类型:地址段访问 | 安全组访问。
授权对象:
如果授权类型为地址段访问,授权对象填写 IP 或者 CIDR 网段格式 如:10.0.0.0 或者 192.168.0.0/24。仅支持 IPv4。
如果授权类型为安全组访问,授权对象从安全组的列表中选择一个安全组。
注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。
优先级:1 ~ 100,数值越小,优先级越高。
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

Discuz! X3.4虚拟人气虚拟用户在线插件 完

主讲:执手天涯 Discuz插件

QQ互联无法使用临时解决方法!

主讲:2481469838 Discuz!教程

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群