云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 阿里云云服务器安全组怎么设置?

[复制链接]
当流科技 发表于 2017-8-22 12:09:55 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

2 B% F% q/ h2 J1 Y# `# D4 [例 1:内网互通  
- H2 |/ F$ ]3 X& x% @" h5 a. U: X- D; Z场景举例:如果您需要将一台 ECS 实例上的资源拷贝到另一台 ECS 实例上,可以通过安全组设置实现两台 ECS 实例内网互通后再拷贝。 % F" f3 A0 x- P$ y: e; ]/ b
案例 2:拦截特定 IP 或端口  2 k8 T" ]7 z$ N+ A. @% t" c$ D( E) v" y
场景举例:如果您的 ECS 实例因为异常的 IP 地址登录造成内存溢出、带宽跑满、CPU 跑满等情况,您可以通过安全组设置拦截这些异常 IP 地址。 ( H$ Q# M7 ?  b: i( o
案例 3:只允许特定 IP 远程登录到实例  ( v4 z; l. K) v7 r) X( K
场景举例:如果您的 ECS 实例被肉鸡,您可以通过安全组修改远程登录的端口号,并设置只允许特定的 IP 地址远程登录到您的 ECS 实例。
; P, n: v( S+ l8 k案例 4:只允许实例访问外部特定 IP  3 `  m- Z. s( }
场景举例:如果您的 ECS 实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的 ECS 实例只能访问外部特定 IP。 3 [8 A* n4 K  x! ^. K& p
案例 5:允许远程登录到实例
6 H- @. ~) U; v* F# z6 j6 e案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例  ( i  A/ h' Y& U. y/ V+ \' ~- c
场景举例:如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站。
. {* S5 `$ _. h3 m: _; v( M! U
8 G' ^  b; Y5 {$ i6 i ( e! Z+ O7 ~8 O% n% G, r& F& O( M
案例 1:使用安全组实现内网互通 - Z6 m3 F; [' Q2 }

% W7 ?6 T3 U: z在经典网络下,您可以使用安全组实现不同 ECS 实例间的内网互通。有两种情况:
2 R$ {) r" `; i! {
. a: W5 V, S. H# c9 }  x场景 1:实例属于同一个地域,同一个账号
* b1 u2 k$ G3 e' P* G# l场景 2:实例属于同一个地域,不同账号
0 Y! y' u$ h9 x4 P 7 i1 h2 k. y- z  n

: \; Z  X3 G9 [8 Y场景 1:同一地域,同一账号
( P/ n1 M+ O' L7 L4 l: W同一个地域内,同一个账号下,经典网络下可以通过安全组规则设置云服务器之间内网互通。   M4 m# X( I$ I" M+ \
0 o7 R! T& k% h- w) G; U. v
同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法:
" ?) `! b2 x* q$ L$ {& }
3 C. V& K8 ?7 ?" T方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通了。
. Y2 ?6 i7 U+ ]' |# i9 r2 }方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权安全组访问类型的安全组规则。在 授权对象 中添加对方所属的安全组即可。 " G. u& F* s% K0 g; z
" {. e5 D) ^# q; c% q5 y! `3 T
场景 2:同一地域,不同账号
$ T! ?, H8 v: S2 m' v! X' J 5 h' v( A/ z: @- E
同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通。比如:
. A4 q. p! F; j+ _
, X' ~( k, ^5 kUserA 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA;
  s. u: @3 R5 }: f& WUserB 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。
* `, A# L* X% R# E+ x( [! T这种情况下,可以通过安全组配置实现 InstanceA 和 InstanceB 在内网上互通。步骤如下: * |. w' Z: F; \0 G! H( f  Q

- d+ J* l2 ]$ w1 h; a9 DUserA 为 GroupA 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupB 可以访问 GroupA 下的所有 ECS 云服务器。 ; e0 k% b7 P9 L) r) l: w
UserB 为 GroupB 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupA 可以访问 GroupB 下的所有 ECS 云服务器。
  K+ |  }) c8 O9 x4 b这样两台实例就可以互通了。 # F& m4 W( @& V* d6 E# l
+ x) j7 D1 ?. i! X: g# l! U! f$ a+ x
注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。 4 r6 l6 |6 l5 e& a: p3 b

( V: m9 Z2 b( V, v/ }案例 2:使用安全组屏蔽、拦截、阻断特定 IP 或端口对 ECS 实例的访问
, l/ T, z4 t6 t' y2 N$ ?5 G) f4 {0 N( q # t9 P+ d$ Q- T+ N& o4 @, d7 R
您可以使用安全组屏蔽、拦截、阻止特定 IP 对用户云服务器的访问,或者屏蔽 IP 访问服务器的特定端口。操作如下:
3 @+ \' D7 b: ?% W0 C/ H+ {
* s0 t* ?; P7 {0 H1.登录 云服务器管理控制台 。
: }, d1 J) C7 c2 \; P. _ # Q0 x' r# G" o* v+ {  K
2.找到要配置的实例。
7 C$ p$ f7 ?2 K2 ^4 t; o* [ ; Y8 c; O' S; O
3.打开实例的 本实例安全组,然后单击 配置规则。  ( D) w8 B" C& R. e5 O. ^# i
, O5 J" I# |- Q& g# P0 g- O

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
8 }4 j4 u9 B, f% f: \9 s! W; c

5 J2 ?$ T, i& L& C) H% q% w" p4.单击 公网入方向,然后单击 添加安全组规则。
! w, o' l& Q0 j7 ?$ m  h. A 9 x0 U' W2 V2 d+ m
5.授权策略选择 拒绝,授权对象 输入需要屏蔽的 IP 地址(如截图中的示例 IP 地址:1.2.3.4/5)。单击 确定。  0 U6 T0 l+ k9 H' [6 N4 a

- L3 K# f* l8 X, B

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
7 q) R. H1 }' `' [1 Q/ |

& \$ \' g8 y; h% `$ n$ t: Y- L: I6.如果是针对特定端口的限制,比如屏蔽一个特定 IP 访问自己 ECS 实例的 22 端口,授权策略 选择 拒绝,协议类型 选择 SSH (22),授权类型 选择地址段访问,授权对象 里填写待屏蔽的 IP 地址和子网掩码,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。然后单击 确定。  
5 W: v$ f4 f. Z, n" G" h4 a: @
8 @1 C/ \3 M! S2 J3 i4 g% r5 K

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

( o/ _* q" k' s0 L  V" c5 r
9 @' S5 z$ y3 t$ e) ~' ?/ u1 X
# p! N, G8 {( O案例 3:只允许特定 IP 远程登录到实例
  Z2 u3 `5 Y: x7 T8 B 8 N9 D; \. S7 _
通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了。
+ j) X5 G- Z" p
4 R5 J0 H% M! @" Q以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。 : `9 u$ i, M6 ~, j5 P4 |
$ ~( q$ s' M+ g+ s3 Q2 X6 U
1.添加一条公网入方向安全组规则,允许访问,协议类型 选择 SSH (22),授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。优先级为 1。
8 y7 m" Y, g8 e) k, e: `
2 Y6 C& [% G1 o5 B! F' m

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

' X& R; X9 C: {. l; a+ F , M6 m% g, z, X! t# z% C
2.再添加一条规则,拒绝访问,协议类型 选择 SSH (22),授权类型 为地址段访问,授权对象 写所有 0.0.0.0/0,优先级为 2。 $ T8 ~, ]% A0 w7 ~. P

7 e+ j4 K: j( j) W完成设置后: 9 H$ j7 h" W' ^" @% l
7 h& ]0 b8 I+ I
来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。
4 ~4 \4 }. h7 H7 P+ N$ M来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。
' h( D( h* ~* l/ d8 t( o% y
0 Y! J; [" I2 g  R2 T, Y/ j0 }
7 }" y* h- O$ d% S  s" E8 J; O2 X
$ B2 W8 s1 \% L* v4 C9 O5 K案例 4:只允许实例访问外部特定 IP
" Q# ]  g3 k4 }$ v, `+ t( W & z( e+ Q. L! `5 K/ O9 ~$ t7 Y
您可以先配置一条公网出方向规则禁止访问任何 IP(0.0.0.0/0),然后再添加一条公网出方向规则允许实例对外访问的IP。允许规则的优先级设置成高于禁止规则的优先级。
1 r  t% r& [! U  \5 h 3 F9 q2 f5 k" T1 ~0 Y" Q
1.单击 公网出方向,然后单击 添加安全组规则。 8 C5 y' a6 w0 \3 f9 w" d2 y9 e2 J8 a
7 W  J  }2 d  l. Y" o1 ^3 X0 l
2.授权策略 选择 拒绝,协议类型 为全部,授权类型 为 地址段访问,授权对象 为 0.0.0.0/0,优先级 可以设置为比 1 大的数字。
% @5 x5 R2 e6 w2 @) z ( b0 z$ u4 v2 @
- S' a2 @5 f; d
/ q1 j( Z* V! w5 z, ]

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
( h0 \$ \* S3 l6 x& v
3.在公网出方向继续添加安全组规则,授权策略 选择 允许,协议类型 为全部,授权类型 为 地址段访问,授权对象 是允许实例访问的特定外部 IP,优先级设为 1。
0 r4 G: r' m7 E7 D/ a
) y. S/ z: G. A0 y! ^

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

( I; s7 t3 H: M, T! x! Y. O$ R5 C, E2 K) u4 m+ c  A

- `9 o! t" W" I* i0 U' P, s7 Q4.在实例内部进行 ping、telnet 等测试,访问非允许规则中列出的 IP 地址均不通,说明安全组的限制已经生效。
; J) _: c& ]! l! Q1 B8 c
: z8 J% z- U' n案例 5:允许远程登录到实例 ; h4 c  `! q  Z! @
+ p8 G4 p; u  e3 Y& ]1 U& F) w
在经典网络下允许远程登录到 ECS 实例分为两种情况: 3 @9 n, c- p1 y3 d* l; `3 L: [; C

4 l4 k( P& \% q9 `. D& S, d场景 1:允许公网远程登录到实例
. l( M6 q) |! `8 P6 w1 W1 }场景 2:允许内网其他账号某个ECS或所有ECS远程登录到实例 % c, B9 U* T/ f8 s  A
场景 1:允许公网远程登录到实例 : c- A6 M8 e" f. ?( P8 t3 V4 g0 o

9 i/ M/ |2 ?  p, ~通过配置安全组可以设置允许公网远程登录到实例,只需要对公网入方向规则进行配置即可。   K. D9 _( |; }0 J; H

) ?5 q4 h* b) g1 Q添加一条公网入方向安全组规则:
8 [9 V: v( _1 ^" r* n) v / O5 W$ ^. z( l4 ^
授权策略:允许。& W. O" |0 {2 z$ i: A1 ~" n+ j6 g
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。
! _7 d- ~" i8 k# w" j端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。
3 O7 I$ i" e8 B5 j; \' n& m1 ^授权对象:0.0.0.0/0,表示允许所有 IP 地址访问。
' y8 G% }( C& v$ g' q" k优先级:1, 表示安全规则中优先级最高,数字越小优先级越高。
1 l# O5 }9 Y) N/ ?7 |9 O * P. A8 B) a" I

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

$ _$ {7 o# r9 j1 Q4 e
  }4 ~+ b8 X' i% w场景 2:允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例
3 q+ S4 R4 ]/ h * g; A2 _9 [7 l7 @0 t" l9 Y
通过配置安全组可以设置允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例。您只需要对内网入方向规则进行配置即可。 % r+ Z- j* c/ E+ a, Y3 A' T  H4 j
% _7 Y3 r- ~; Y+ Y0 b. r$ M4 ^  E& V
添加一条内网入方向安全组规则(允许内网其他账号登录某个 ECS 实例):
2 w( {& t( R  O
9 o" u6 J) F2 F) S' Z, W授权策略:允许。& X. T0 s; q$ B* s$ L7 [: F% y
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。: }. z3 N! e. J+ F: P# w, U
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。; d; Q. x8 \/ B7 O+ X8 a& z
授权对象:10.10.10.1 (比如其他账号的 ECS 内网 IP 地址是10.10.10.1)。
8 U6 H2 q: B4 C& k# i$ H2 _优先级:1,表示安全规则中优先级最高,数字越小优先级越高。$ }* V1 F9 p5 |7 x) e. d4 ]# \* a9 R$ Z
* y- p. |7 _: c2 q, F

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
+ X0 j% j" }+ E4 h! P, U
" m# X/ y/ o% S4 H) ^8 X

4 l; W" }0 W- m  v9 g- y: \, g添加一条内网入方向安全组规则(允许内网其他账号所有 ECS 实例):
. T5 x" A5 {9 G5 b; F7 X8 T - _  _, E$ Q$ N0 M/ J$ k
授权策略:允许。
. t- o+ R: o* s2 @9 p: Q7 e协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。5 y  Q* X4 k- ~9 n3 s
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。4 |# Y- z. ~0 V$ r8 Z
授权类型:安全组访问,选择跨账号授权。
* V; `1 {3 C- c& x0 O授权对象:填入 ECS 实例所属的安全组 ID。
/ n) f2 \# j  T. u, P账号ID:允许内网其他账号的账号 ID(账号中心查看)。
" C4 V+ a# _+ U" H* c1 C优先级:1 (代表安全规则中优先级最高,数字越小优先级越高)
2 X8 m2 L4 B, D( @- ], |, F% ^3 n
* V, V6 c% H& W7 a3 v
) N' b; r( A3 y  j

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
% L$ ?+ `! q7 |$ @, N

0 _# V5 L# d7 r9 y! z " S: ^! L4 Y3 e, n. X2 Z
案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例
  w& {" K& \+ a4 Q 7 o3 |4 ^! x9 C
如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。 ' ?$ K8 k' p( M0 K3 a

- h2 g0 o" Q, c/ V: P1.登录 云服务器管理控制台。 5 P" n+ {4 O; ]% _/ a* v  ~' X. ]
2.找到要配置的实例。
; b& Z  U0 x# R4 H- F: J3.打开实例的 本实例安全组,然后单击 配置规则。
* p- Q0 h3 k* `$ F2 d8 `4.单击 公网入方向,然后单击 快速创建规则。
4 ?  Y( S4 P7 k& t: R4 u" r& T0 u. o. Y

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

/ e3 ]2 P& e, f2 V( W4 W
5 G- O& f% M3 j6 f1 `+ s5 J: K6 ]5.添加安全组规则如下: 7 u( o* d: ?  B( X/ p6 w" i' m: C5 I
网卡类型:如果是经典网络,选择 公网。如果是 VPC 网络,不需要选择。5 G. i2 r0 l- _& U# h' u
规则方向:入方向。
- g  ^$ Y" ?% _; A授权策略:允许。
9 b% l, Z2 ]0 W! K  _+ h$ H! \协议类型 和 端口范围:选择 HTTP 服务的 TCP 80 端口,HTTPS 的 443 端口,或者自定义 TCP 8080 端口(如图所示)。
$ W: n8 X# I! F" H; G& T- \0 d' Q授权对象:0.0.0.0/0,表示允许所有地址访问。1 Y. f4 O* m& e7 e
优先级:1,表示安全规则中优先级最高,数字越小优先级越高。
' e' j/ ~1 E; \9 [) b' k + u4 V4 t7 H$ g5 A

4 b- B# `) g0 A/ q: ^& A6 O

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

8 w( E4 @- Y+ c: x* o  r. j! @' \
安全组的限制和规则参数
$ U3 C7 f, p7 O  o " z- G& w3 d: N8 g' a" |/ f
安全组有如下限制:
+ U% O4 F1 L) k2 c
. R7 h- ^( J5 v2 i' Z每个用户最多创建 100 个安全组。
  ?7 n! D3 _& W每个安全组最多添加 1000 个实例。
% ?/ F1 M4 H) O& O3 b3 u每个实例最多加入 5 个安全组。
1 o5 S1 b' N- e8 ^5 x" e每个安全组最多创建 100 条规则。
) \6 \! ]( J4 E( ~4 Y, B安全组规则有如下参数:1 c5 O+ k' l* e6 R3 `$ j
网络类型:公网 | 内网。如果该安全组属于专有网络,选择内网。# }, Y# d& T+ I, S5 W; `
规则方向:出方向 | 入方向。这里的入方向和出方向都是从 ECS 实例的角度来说的。
( T+ l% G, [5 a. Z0 q; m出方向:ECS 实例访问其它资源。
9 J9 G9 e, U" _' e9 ~8 `$ H入方向:其它资源访问 ECS 实例。1 C  I* @  W0 a/ P( z. y2 }& s
授权策略:允许 | 拒绝。安全组的 拒绝 策略对应的是 drop,不会回应。
2 k) {  }: m' ~/ r6 ^+ b9 u( l协议类型:全部 | 自定义 TCP | 自定义 UDP | 全部 ICMP | 全部 GRE | SSH (22) | TELNET (23) | HTTP (80) | HTTPS (443) | MS SQL (1433) | Oracle (1521) | My SQL (3306) | RDP (3389) | PostgreSQL (5432) | Redis (6379)。7 z4 c3 d3 |% v. `1 w1 Z
端口范围:1~65535,格式为“开始端口号/终止端口号”。例如 1/200、80/80、22/22、-1/-1。其中 -1/-1 表示不限制端口。注意:即使是一个端口,也要写成范围形式,如 22/22,不能只写 22,否则会报错 “IP 协议参数格式不正确”。端口 25 默认受限,并且无法通过安全组规则打开。; X2 t" S3 Y( Q* m
授权类型:地址段访问 | 安全组访问。
: w, C3 ?! h" S' E: S授权对象:5 X* `8 Z& b9 z, P. n  `
如果授权类型为地址段访问,授权对象填写 IP 或者 CIDR 网段格式 如:10.0.0.0 或者 192.168.0.0/24。仅支持 IPv4。( A! K% w7 t& U5 R  m' ^& j
如果授权类型为安全组访问,授权对象从安全组的列表中选择一个安全组。
; D/ E, j6 J) f: |( [7 k( l$ N) ?注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。1 K% L% N$ X) t! w9 K
优先级:1 ~ 100,数值越小,优先级越高。
2 e# t4 T% `# n) L) I
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

Discuz! X3.4虚拟人气虚拟用户在线插件 完

主讲:执手天涯 Discuz插件

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群