云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 阿里云云服务器安全组怎么设置?

[复制链接]
当流科技 发表于 2017-8-22 12:09:55 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
8 l; ^- E; r: d, O/ g" M# i" k
例 1:内网互通  
4 i8 \, {) c! N' f  N, e场景举例:如果您需要将一台 ECS 实例上的资源拷贝到另一台 ECS 实例上,可以通过安全组设置实现两台 ECS 实例内网互通后再拷贝。 3 R) v& B  n3 K' e
案例 2:拦截特定 IP 或端口  7 X% U. a3 r, J1 U
场景举例:如果您的 ECS 实例因为异常的 IP 地址登录造成内存溢出、带宽跑满、CPU 跑满等情况,您可以通过安全组设置拦截这些异常 IP 地址。
' `) ]/ ~9 f1 N" l9 I5 B案例 3:只允许特定 IP 远程登录到实例  
; q; c# C# _& f7 C+ N6 ~. [场景举例:如果您的 ECS 实例被肉鸡,您可以通过安全组修改远程登录的端口号,并设置只允许特定的 IP 地址远程登录到您的 ECS 实例。 + E, ]) O9 Z/ T4 R  i" N8 C9 E
案例 4:只允许实例访问外部特定 IP  ! H1 q3 M. u9 J+ ^
场景举例:如果您的 ECS 实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的 ECS 实例只能访问外部特定 IP。
; M. m; l: w. a" e9 U案例 5:允许远程登录到实例
0 b" O& [: X9 Q# a案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例  ! Q, X" V2 T$ \" U: |: F
场景举例:如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站。 * _: `, c) ^6 n0 j4 m# ?8 C
# s9 x; U- P* n* }
% `8 }' O( ?+ b! V5 B
案例 1:使用安全组实现内网互通 5 J6 ?9 i: U0 u+ ?. S

- \/ ?* p( f! U* t3 E- z( e& T在经典网络下,您可以使用安全组实现不同 ECS 实例间的内网互通。有两种情况: ) ~8 X9 U/ C* `3 \2 }. j* T
8 O" L/ _  O9 _& v  [; G  h. z
场景 1:实例属于同一个地域,同一个账号 ; |1 ?+ V2 F' [
场景 2:实例属于同一个地域,不同账号 ( v: t$ h( ^( y- u4 d: f
* {" w% p5 S  S" u0 [' o8 J0 _

, a- P' v6 B3 C& c; C$ o$ S. |& S场景 1:同一地域,同一账号 , R2 }% w4 X  R1 w
同一个地域内,同一个账号下,经典网络下可以通过安全组规则设置云服务器之间内网互通。
7 c% N* ~% `  P8 B6 P* |) }8 D9 w 3 R0 s/ k  K" R7 R2 _# h8 Q& {* p1 F, x
同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法: 7 }* t! R+ V' w, h( R# ^) ~4 f

/ U$ J" R) a( t' q. i方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通了。 ; p) ^' x$ n8 G+ j: b1 n
方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权安全组访问类型的安全组规则。在 授权对象 中添加对方所属的安全组即可。
$ ~' [- o: X& ?) [8 m
* Z1 R3 H; h4 D: `5 [3 T场景 2:同一地域,不同账号 5 C$ a4 [0 P* c8 z- }0 m

/ `2 Z8 S- A/ B( N! i# _0 \; B同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通。比如: ! a$ ?* w4 w8 Z# a- T3 M

# P# U6 X( W3 V! MUserA 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA; & G/ |# v6 ?# o# G) `# _
UserB 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。
6 i4 @" Z" Y- E这种情况下,可以通过安全组配置实现 InstanceA 和 InstanceB 在内网上互通。步骤如下: . U7 p, A% F) m
5 ^' ~5 M+ J* `( I" ^
UserA 为 GroupA 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupB 可以访问 GroupA 下的所有 ECS 云服务器。 / d) q: y( b7 C9 I
UserB 为 GroupB 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupA 可以访问 GroupB 下的所有 ECS 云服务器。 8 N2 K8 P! y6 C  Z4 Y0 @
这样两台实例就可以互通了。
8 [9 p9 ?# p" e$ |! n6 g ( a8 {' X4 _7 K
注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。 ' [6 U7 w# B- N9 z1 G1 t
' u6 I5 ]& v$ z% t9 H+ J* N8 o
案例 2:使用安全组屏蔽、拦截、阻断特定 IP 或端口对 ECS 实例的访问 9 G9 a0 F8 r: M9 c0 o& z
6 v4 \. m+ V' v3 |" A% S3 g
您可以使用安全组屏蔽、拦截、阻止特定 IP 对用户云服务器的访问,或者屏蔽 IP 访问服务器的特定端口。操作如下:
8 @3 b/ |# g# j3 N% S % G* O, a" K1 s
1.登录 云服务器管理控制台 。
/ s6 {! [. ^3 y7 ~ 0 b. X$ X5 L6 k. n3 _, `  ^; ]8 G" |
2.找到要配置的实例。
2 ]9 ^' J! w: M8 E# _" h( o
2 Y$ n3 b# U4 {% u' |3.打开实例的 本实例安全组,然后单击 配置规则。  6 L" i& R, d. C% G! h

2 t! ]* M9 a: r) D

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

/ Y1 [# f) {; t  N+ w+ V
0 S3 i' S1 l4 y+ C* H4.单击 公网入方向,然后单击 添加安全组规则。
7 G9 O7 A& S" U( x, q4 s( g( i3 M
) {1 M8 c3 q5 H0 T5.授权策略选择 拒绝,授权对象 输入需要屏蔽的 IP 地址(如截图中的示例 IP 地址:1.2.3.4/5)。单击 确定。  5 p, D$ n( W4 R+ L+ d

1 H0 R7 I$ t) t7 m

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
8 p3 r+ y/ i' q: X5 I1 I1 G% ^- W
" E& i# b# Z( D( @
6.如果是针对特定端口的限制,比如屏蔽一个特定 IP 访问自己 ECS 实例的 22 端口,授权策略 选择 拒绝,协议类型 选择 SSH (22),授权类型 选择地址段访问,授权对象 里填写待屏蔽的 IP 地址和子网掩码,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。然后单击 确定。  - k: h; F! ^7 O$ b

0 t8 E; v3 t6 t0 M3 u

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
8 p( _! ~3 W. C$ q/ O: ^' ?) {
; B! x) ?/ N7 i6 Y8 O( o

4 s5 L% s% a" E案例 3:只允许特定 IP 远程登录到实例 1 U* t% u7 N2 A8 e% J/ N4 m- z
7 }% ^* O$ p; \7 Z' ~
通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了。
2 W' k2 o' X. C+ }6 V' W# A
* s  A. I& A; i* w+ U; }以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。
7 X3 c. p; e! _9 _5 g ' Z( M8 ]# H/ b6 d
1.添加一条公网入方向安全组规则,允许访问,协议类型 选择 SSH (22),授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。优先级为 1。
' [# t2 }5 V! | 3 |' |& A; E4 V

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
; y; Z9 Z( I& E: F, R/ |
0 K! ?6 k4 ^6 y
2.再添加一条规则,拒绝访问,协议类型 选择 SSH (22),授权类型 为地址段访问,授权对象 写所有 0.0.0.0/0,优先级为 2。
7 H, y4 @# |' w4 q! f. l. S1 a 7 [2 y" I" J4 ]8 H7 k
完成设置后: ; T. E' [2 f4 r8 C1 ?" t

" u, ~0 p  i  k$ F& @来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。   @/ i0 N9 R% d$ ^' `
来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。
' p% ~/ l" [& o+ S6 E- P: S. w " Q0 a3 s; e: O) \0 X: u
0 Q1 c$ Z2 w2 p" L, U/ ~5 P& ]

* I. e: d. w" l2 p案例 4:只允许实例访问外部特定 IP - c; J$ l3 P6 x; C5 r

# E3 ]8 D9 u. Y! D" Z+ K- ^4 c$ E0 ^您可以先配置一条公网出方向规则禁止访问任何 IP(0.0.0.0/0),然后再添加一条公网出方向规则允许实例对外访问的IP。允许规则的优先级设置成高于禁止规则的优先级。
. ^! _, _& H0 I  [+ A: O
% `: {: P5 }$ c, g9 V3 Y! w1.单击 公网出方向,然后单击 添加安全组规则。   B; Q1 K6 U8 c' P, g  X) n$ m: e

2 {7 ]/ V( b# R  }. k2 x5 n* ?) S0 Q2.授权策略 选择 拒绝,协议类型 为全部,授权类型 为 地址段访问,授权对象 为 0.0.0.0/0,优先级 可以设置为比 1 大的数字。
' a! _, J$ b2 S2 g4 ] 7 g9 B# P4 `3 w% E

; K" C6 E. A7 h; `, f% |) J3 y/ \( h  I! G( t) C7 s

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

4 Y3 N5 B; n. W0 m- O3.在公网出方向继续添加安全组规则,授权策略 选择 允许,协议类型 为全部,授权类型 为 地址段访问,授权对象 是允许实例访问的特定外部 IP,优先级设为 1。 - |7 ]* G' O8 W4 Z4 o
( M, g& v/ ~2 a8 T

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
3 i7 W# b5 V# O. `$ u* J! \8 @
; Q* O% [9 c: U2 u
! f( a' S: f# C0 \9 i
4.在实例内部进行 ping、telnet 等测试,访问非允许规则中列出的 IP 地址均不通,说明安全组的限制已经生效。 " i2 M  y* d6 p/ V0 t; C  v* b
. M& d1 N( n* [8 D& J# s
案例 5:允许远程登录到实例
! T% V. w5 [, g$ O
/ w4 @( m" \+ I9 r% N8 b% i# I在经典网络下允许远程登录到 ECS 实例分为两种情况: 0 E& [2 E7 n! ~8 a
" U9 J2 ?* h1 q* y' s  T% P& i* D
场景 1:允许公网远程登录到实例 ' g4 X' p: U: P% q3 w4 V: A
场景 2:允许内网其他账号某个ECS或所有ECS远程登录到实例
' h, C. o2 X2 \0 x场景 1:允许公网远程登录到实例 2 E. E& S, s% @

' ~& @* s; o$ D* @2 ]7 l通过配置安全组可以设置允许公网远程登录到实例,只需要对公网入方向规则进行配置即可。 6 `6 Q0 ^1 d! b1 O# }) @0 v
6 z0 k( }# w3 Q
添加一条公网入方向安全组规则: % w- d! Y1 d. v9 I9 E2 e
: x; ]7 m+ @- A8 H. @* h
授权策略:允许。
. W& s* i& D, Y" A协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。3 t; G# R. f8 ?0 H
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。  s' _# s7 `" ?$ i6 {
授权对象:0.0.0.0/0,表示允许所有 IP 地址访问。
  {+ o. }  n4 W* E) v& W3 z1 i, x! r优先级:1, 表示安全规则中优先级最高,数字越小优先级越高。7 z; M# ^7 E  W

' F$ v9 W/ V: ?

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

. }& Z' K: ^" u# U
* e: |# i# Q1 {场景 2:允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例
- `' a7 H# K. ^+ I3 `) A
0 Q" G: T' ?+ U' q3 J& P8 P5 [通过配置安全组可以设置允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例。您只需要对内网入方向规则进行配置即可。
1 b. n$ |: @- x2 ] ; ^+ {  m3 b& ^* u( T7 b& C+ t! V
添加一条内网入方向安全组规则(允许内网其他账号登录某个 ECS 实例):
, M) [9 Z9 _* s# f, v 5 @- E: P8 l7 x
授权策略:允许。7 H* L# D! n5 q, f- O) [4 [# @
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。% O* i- G+ @/ K
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。
7 c1 f( ~  R1 \- ]2 f. }7 J授权对象:10.10.10.1 (比如其他账号的 ECS 内网 IP 地址是10.10.10.1)。: i, T! h4 q$ l; B( v$ i
优先级:1,表示安全规则中优先级最高,数字越小优先级越高。
2 n3 R( _7 N" M/ u1 z% S* P
1 d  R5 x2 M% ^6 ?! Z0 |

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
0 Q/ c! T3 b7 x4 \7 v/ c+ H$ f# }

  o- j7 K6 V& Z* g$ U+ \; x9 A
; ]; R, B: f. P( _" r6 T添加一条内网入方向安全组规则(允许内网其他账号所有 ECS 实例):
7 N! ]7 j5 s; M' h: L, q 0 a& q5 F# J# _3 W7 K
授权策略:允许。
( c/ D9 N* |6 k# X& x协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。4 o7 ]" }3 a. n; t/ G
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。! X. b: t! x- Q% H6 d2 U4 c; {/ M8 ]  J
授权类型:安全组访问,选择跨账号授权。
: q6 \  y  ~/ |' e* H授权对象:填入 ECS 实例所属的安全组 ID。& F* I0 Q- v  S$ c1 A( p8 g
账号ID:允许内网其他账号的账号 ID(账号中心查看)。
5 r+ u4 D& E+ L) j0 b" \+ E, i优先级:1 (代表安全规则中优先级最高,数字越小优先级越高)
5 T# T5 f( f( ]) `* `" E, Q
4 T# L- ^9 c2 n! ~
9 p  ?- T5 L% U5 W- E: _% d

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

- D1 _; K3 f2 C" i( J4 L( ~, P2 b/ W+ \: y) d

& h' {) \6 B. O案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例 : h! ~- b( v3 F; U
  V6 h" r; L  r; A
如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
. p3 k2 P* e3 x, A# ?( S4 q
5 @/ S8 b4 N( v* m8 X/ j1.登录 云服务器管理控制台。 # j4 d8 ~9 Q  D2 h; O0 y
2.找到要配置的实例。
, }6 b4 u+ w+ I2 G1 K. Y3.打开实例的 本实例安全组,然后单击 配置规则。 7 g) W7 C/ n# {/ l4 b* ]- c
4.单击 公网入方向,然后单击 快速创建规则。 " [& _, d7 ^7 N+ P

+ o4 U% Y! h8 ]' ~9 S

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

: o( z8 k: E: w 8 e; S% e( Q. K0 s1 [% C2 y, v
5.添加安全组规则如下: - i2 H1 u0 g7 L3 z: L+ }
网卡类型:如果是经典网络,选择 公网。如果是 VPC 网络,不需要选择。! l( z/ Q" g4 {, e) T" g
规则方向:入方向。) R! v4 t3 r7 k9 y
授权策略:允许。
+ L( U$ s2 e$ |7 P* z协议类型 和 端口范围:选择 HTTP 服务的 TCP 80 端口,HTTPS 的 443 端口,或者自定义 TCP 8080 端口(如图所示)。2 b; q% x) V1 j$ y. {' ~( Y  y
授权对象:0.0.0.0/0,表示允许所有地址访问。
: O1 w) z5 {1 p7 ^! l优先级:1,表示安全规则中优先级最高,数字越小优先级越高。* O6 W' [2 X3 V7 {, s

, d" @+ C( [/ `8 O7 `
7 _: F- u! F. q1 e1 E/ U; J5 p! i& {

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
9 e. n2 t! L& x8 \/ N% y  l/ E

6 D8 q- @% `; b3 U7 @2 n9 c  E- B安全组的限制和规则参数
. G3 ?- F1 D: c6 H8 G ( k2 D7 v: a% ^3 m
安全组有如下限制:
3 m1 t; J0 c0 J; y: M. k/ e
* g0 m9 a" A; ~! E7 y; J每个用户最多创建 100 个安全组。7 q& r4 v/ `% h8 [/ w( d. M+ h
每个安全组最多添加 1000 个实例。" m% T* m7 e4 D9 n9 m: ?
每个实例最多加入 5 个安全组。
. F6 `4 Q5 N$ i2 w' O每个安全组最多创建 100 条规则。9 n/ c1 v- O. ~* |- G" m
安全组规则有如下参数:+ X* t+ W! V/ ~/ U& b
网络类型:公网 | 内网。如果该安全组属于专有网络,选择内网。
0 _- Y# ?, \/ t3 G& Z0 {规则方向:出方向 | 入方向。这里的入方向和出方向都是从 ECS 实例的角度来说的。
% Q8 a. C% G2 {出方向:ECS 实例访问其它资源。0 o+ b$ X  i, u7 _2 h' g9 a0 ^
入方向:其它资源访问 ECS 实例。" W8 a. k- {) H% q; m
授权策略:允许 | 拒绝。安全组的 拒绝 策略对应的是 drop,不会回应。2 v( I: n  \/ {# h3 g' Q: s4 O
协议类型:全部 | 自定义 TCP | 自定义 UDP | 全部 ICMP | 全部 GRE | SSH (22) | TELNET (23) | HTTP (80) | HTTPS (443) | MS SQL (1433) | Oracle (1521) | My SQL (3306) | RDP (3389) | PostgreSQL (5432) | Redis (6379)。8 I7 W  f( P9 Q3 K
端口范围:1~65535,格式为“开始端口号/终止端口号”。例如 1/200、80/80、22/22、-1/-1。其中 -1/-1 表示不限制端口。注意:即使是一个端口,也要写成范围形式,如 22/22,不能只写 22,否则会报错 “IP 协议参数格式不正确”。端口 25 默认受限,并且无法通过安全组规则打开。
+ e  P" t3 ^& I; r- g9 ~授权类型:地址段访问 | 安全组访问。
' |$ a+ E+ ]# j6 _$ e% v% t$ B2 b授权对象:1 s' s& v5 K9 l; f6 j+ {* q# h; h
如果授权类型为地址段访问,授权对象填写 IP 或者 CIDR 网段格式 如:10.0.0.0 或者 192.168.0.0/24。仅支持 IPv4。) {1 [. R3 l1 p: p7 j
如果授权类型为安全组访问,授权对象从安全组的列表中选择一个安全组。# [0 b# J$ [" G6 Y- \( b, H8 G
注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。
: o1 m; p) U3 w  V优先级:1 ~ 100,数值越小,优先级越高。; _3 N3 T- |2 r1 F# c
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

宝塔面板如何添加和管理Mysql数据库?

主讲:xotexa372 服务器学院

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群