云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 阿里云云服务器安全组怎么设置?

[复制链接]
当流科技 发表于 2017-8-22 12:09:55 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
1 Z. P- k; ~/ ?$ t& `
例 1:内网互通  
4 A2 y& X4 J! K场景举例:如果您需要将一台 ECS 实例上的资源拷贝到另一台 ECS 实例上,可以通过安全组设置实现两台 ECS 实例内网互通后再拷贝。 & Y% O" D0 n: w& G
案例 2:拦截特定 IP 或端口  ' X; U0 c( ?; @- o& D- `
场景举例:如果您的 ECS 实例因为异常的 IP 地址登录造成内存溢出、带宽跑满、CPU 跑满等情况,您可以通过安全组设置拦截这些异常 IP 地址。
2 Y/ U9 [9 [# _  P$ q* d& E案例 3:只允许特定 IP 远程登录到实例  : Q* g5 I8 j2 S( x  `$ |
场景举例:如果您的 ECS 实例被肉鸡,您可以通过安全组修改远程登录的端口号,并设置只允许特定的 IP 地址远程登录到您的 ECS 实例。
. M7 T  e! `+ Q$ r, M案例 4:只允许实例访问外部特定 IP  + v: t" z4 w( N# j6 |4 L, ^# A
场景举例:如果您的 ECS 实例被肉鸡,对外恶意扫描或发包,您可以通过安全组设置您的 ECS 实例只能访问外部特定 IP。
' M6 _5 Q# s3 K: e" L案例 5:允许远程登录到实例 1 D# n) `8 w( [7 A
案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例  7 C6 ^' V1 A6 H' K# J+ ?
场景举例:如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站。 + [; l; ?' N, C' n

: X2 N. A- ^# m 6 h2 n4 [( v( l8 p& _8 }
案例 1:使用安全组实现内网互通
5 p2 p* [% O) u  n2 j8 C/ i3 S  F. _ 9 C) u+ j3 ]2 q6 j2 m. [  J
在经典网络下,您可以使用安全组实现不同 ECS 实例间的内网互通。有两种情况: / f2 l9 t1 \' j1 X# |* y
6 @# v& g- H. k. k0 a$ P& @
场景 1:实例属于同一个地域,同一个账号
0 N) g% |& t% N: h' P5 j1 m场景 2:实例属于同一个地域,不同账号 * x% b: @$ V3 g( c8 n- i7 ^
6 ]6 V# `0 B$ \2 m2 n) N, \+ R
, D+ F& |$ Z7 |* B
场景 1:同一地域,同一账号 ' v! `6 P3 R. x9 {$ T' h# B
同一个地域内,同一个账号下,经典网络下可以通过安全组规则设置云服务器之间内网互通。
- X$ N6 ?$ Y9 q8 r ; t4 D7 a6 F9 c1 O) [; f
同一个安全组下的云服务器,默认内网互通。不同的安全组下的云服务器,默认内网不通。要实现内网互通,有以下解决办法:
4 G4 x4 D1 C* _, v, Y 4 L; T! m7 O. L4 ]" }* {( v" R8 k! l
方案 1:可以把云服务器放入到相同的安全组中,就可以满足内网都互通了。
! u% N! W! a5 n& R1 u! O$ o' m1 W! S方案 2:如果云服务器不在同一个安全组内,两个安全组互相内网授权安全组访问类型的安全组规则。在 授权对象 中添加对方所属的安全组即可。 3 m9 T5 i, `2 S  S; D
; t1 h6 v! I2 r
场景 2:同一地域,不同账号 ' V0 Z9 v& d1 o& o
; A% b6 z/ t$ s; A
同一个地域内,不同账号下,经典网络下可以通过安全组规则设置两台云服务器之间内网互通。比如:
& @; ?1 u" Q5 e$ v
3 G$ T6 n5 [" r7 K8 U9 d) _7 kUserA 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceA(内网 IP:A.A.A.A),InstanceA 所属的安全组为 GroupA;
/ U+ e& @, |* v/ W2 V9 d: uUserB 的用户在 华东 1 有一台经典网络的 ECS 云服务器 InstanceB(内网 IP:B.B.B.B),InstanceB 所属的安全组为 GroupB。
+ Z0 d9 f1 i7 Y  O: b5 j* t9 I这种情况下,可以通过安全组配置实现 InstanceA 和 InstanceB 在内网上互通。步骤如下:
  U, j/ I( K% W $ P. X, f5 u: o: b$ m
UserA 为 GroupA 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupB 可以访问 GroupA 下的所有 ECS 云服务器。   y2 Y% [" S$ b2 O' [/ ]1 {
UserB 为 GroupB 添加一条这样的规则:在 内网入方向 以 安全组访问 类型授权 GroupA 可以访问 GroupB 下的所有 ECS 云服务器。
* G! f& }6 X" q% g这样两台实例就可以互通了。 . B7 @1 m/ ^. ^2 L+ Z

. u4 R- O' w, t+ a4 W, \注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。 , y# A% Q4 {. ?/ i3 d: T3 l

1 ^( Q  r7 M& X6 l7 ]$ B" e+ @案例 2:使用安全组屏蔽、拦截、阻断特定 IP 或端口对 ECS 实例的访问 # Z, ~0 K, q3 Y8 Z8 d. S+ @. _

* I+ \5 |* w$ t' v. G0 s0 c  ^( v您可以使用安全组屏蔽、拦截、阻止特定 IP 对用户云服务器的访问,或者屏蔽 IP 访问服务器的特定端口。操作如下:
8 v$ K- u: ~" | $ B6 B) |9 d2 T
1.登录 云服务器管理控制台 。 + s# e+ v& ^1 p

' J/ C) M: n. G7 ^+ q8 @- W: U2.找到要配置的实例。
3 p1 U3 R4 p$ b 4 ~) Y. }) W5 g
3.打开实例的 本实例安全组,然后单击 配置规则。  
9 L5 y3 x/ G: `, ~. q 7 h/ x0 h6 _) T( z/ T9 y+ N' L) K( T

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
: ^$ I$ ^! h/ A1 s/ {( b6 z

' G/ ^, i7 M$ B6 x: p7 Y- ?, V# j6 ?4.单击 公网入方向,然后单击 添加安全组规则。 $ F0 Z0 r( O9 O8 i# _5 y* x

) @! L) k3 P4 n- H  w- \5.授权策略选择 拒绝,授权对象 输入需要屏蔽的 IP 地址(如截图中的示例 IP 地址:1.2.3.4/5)。单击 确定。  
9 _( [: n& K. h! ^ 4 G3 V% U3 U8 L# E$ ^- ~& J

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

" `6 V$ V: J$ a: Y; s
* c. p+ p* I. E) v3 L6.如果是针对特定端口的限制,比如屏蔽一个特定 IP 访问自己 ECS 实例的 22 端口,授权策略 选择 拒绝,协议类型 选择 SSH (22),授权类型 选择地址段访问,授权对象 里填写待屏蔽的 IP 地址和子网掩码,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。然后单击 确定。  ; _( V, i" s  t# j3 Z
0 f- z+ _" m7 O  F; ^

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

1 F5 p; v2 F, q& D) C5 C9 E
! s  ~( y8 m( S
% p" y, k8 I3 H案例 3:只允许特定 IP 远程登录到实例 : R! e" g4 q7 l# E( A: y& s
. R0 \( m) d9 c
通过配置安全组规则可以设置只让特定 IP 远程登录到实例。只需要在公网入方向配置规则就可以了。
( n# {* n# e& P  H1 s3 k + G+ V4 B# S, s
以 Linux 服务器为例,设置只让特定 IP 访问 22 端口。 + N3 v9 c" g2 M& W. @" c9 U
7 Y; v6 B" Y: B9 A0 L( {! W: ?
1.添加一条公网入方向安全组规则,允许访问,协议类型 选择 SSH (22),授权类型为地址段访问,授权对象填写允许远程连接的 IP 地址段,格式为 x.x.x.x/xx,如示例图中的 1.2.3.4/5。优先级为 1。
5 |8 D: Y$ g3 X1 T3 H3 f/ M5 f" |; v
0 Q7 T' L( N6 @9 c; v0 r& M' j

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
, X3 x6 l) T; U. d3 n
& G3 w; l# k( Z" N6 n
2.再添加一条规则,拒绝访问,协议类型 选择 SSH (22),授权类型 为地址段访问,授权对象 写所有 0.0.0.0/0,优先级为 2。
- ]5 }1 X( @# `0 E * r' U/ O+ l5 i
完成设置后: - q8 \+ O  j( J

. q- l! B4 p) r) k来自 IP 182.92.253.20 访问 22 端口优先执行优先级为 1 的规则允许。 " D& k5 u4 J' g; S  y7 F) U" X
来自其他 IP 访问 22 端口优先执行优先级为 2 的规则拒绝了。 ; Z9 o4 W$ h9 }1 Z* v* h5 ~' l. G
7 b) Q7 u, g) A3 o
) |8 e, @$ h' p( y" Y

8 Y1 ^- f6 [3 ^: \案例 4:只允许实例访问外部特定 IP # H" J$ q5 Q% K; q) w( i  H& z2 @: ]

% v; |+ @( A1 x1 _您可以先配置一条公网出方向规则禁止访问任何 IP(0.0.0.0/0),然后再添加一条公网出方向规则允许实例对外访问的IP。允许规则的优先级设置成高于禁止规则的优先级。
+ [# o& c9 |& R" c3 W
8 d+ i& h6 X. ]: M  i8 w1.单击 公网出方向,然后单击 添加安全组规则。
! w1 A3 F9 M; _6 i1 G: h
! C) S: M0 f/ V! D2.授权策略 选择 拒绝,协议类型 为全部,授权类型 为 地址段访问,授权对象 为 0.0.0.0/0,优先级 可以设置为比 1 大的数字。 : {" ^& S! d6 Z& ?8 M
0 o. R: v5 d' Z( H9 m4 x( x% K  [% Q

/ A( @: ?# {: C% ~& H4 b: _6 U8 r- L0 V

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

8 U$ b, L. ^5 R1 G! ]+ }6 b& y3.在公网出方向继续添加安全组规则,授权策略 选择 允许,协议类型 为全部,授权类型 为 地址段访问,授权对象 是允许实例访问的特定外部 IP,优先级设为 1。 3 `5 d* E9 n/ n- I
6 \! ~: s; o  T: O( a

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
( U  e- |5 ^: J4 k& J# {6 q

4 s+ o) ~! v4 b4 s* x/ c % Y; R5 V5 W0 P# ^
4.在实例内部进行 ping、telnet 等测试,访问非允许规则中列出的 IP 地址均不通,说明安全组的限制已经生效。 * @  I" r3 k8 {% g, Y6 a
. L0 J, W6 r$ k- {4 ?, k9 U/ ?
案例 5:允许远程登录到实例 3 H- ]: M' N2 _$ D) p3 K0 E* J! K
" t$ ^# T: S8 h9 A/ i2 s
在经典网络下允许远程登录到 ECS 实例分为两种情况: # U5 a+ }; Q4 ^' ]* {+ u

% r# Y: j) N/ {3 s/ }场景 1:允许公网远程登录到实例 " Y7 N" W3 ^) W  O! c
场景 2:允许内网其他账号某个ECS或所有ECS远程登录到实例 7 t# u8 K, j; F9 [* v
场景 1:允许公网远程登录到实例
+ q& ?- o! @; ?; N% `2 [. o9 A
2 }  X, Y( i7 C$ |; U, |$ F; ~; Y通过配置安全组可以设置允许公网远程登录到实例,只需要对公网入方向规则进行配置即可。
- g% G/ A" n# u% U0 i7 y5 ^ 7 Q; \- ]3 h# ^2 v
添加一条公网入方向安全组规则:
3 t3 _$ k# k0 z0 _
; a9 L/ K/ z; ?" I% _% m5 P" d7 ]授权策略:允许。
3 z0 k8 \/ g$ F4 `5 W协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。
" f5 P0 J( v7 W# D端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。* W  m# a8 B8 Z7 U
授权对象:0.0.0.0/0,表示允许所有 IP 地址访问。
5 w  W1 I7 s% Y3 v+ Z9 q3 C优先级:1, 表示安全规则中优先级最高,数字越小优先级越高。) H7 `8 J" X3 J& B; t

6 d7 b! ~7 k# Z* `$ J* W

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
, P9 h4 I7 J6 k2 d6 c) X; S  M" g
9 y4 ^' c' g9 y- R- X
场景 2:允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例 ! _% K4 K* _- F0 ^1 `: T4 y
" P% }6 I: s& V/ c( [* f* N
通过配置安全组可以设置允许内网其他账号某个 ECS 实例或者所有 ECS 实例远程登录到您的实例。您只需要对内网入方向规则进行配置即可。
  {% ?7 M1 p; y- y5 V8 E( [
$ i, o7 m. p" v. ?! A% U/ o5 n添加一条内网入方向安全组规则(允许内网其他账号登录某个 ECS 实例): 7 y0 C" R: e* G: |

$ E5 ?4 m' x9 u6 b授权策略:允许。
, P' e8 @2 ]0 \' }$ O协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。* A0 t3 |& q6 x0 d. P* j4 h
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。5 D3 \' [2 @1 H1 W5 ]
授权对象:10.10.10.1 (比如其他账号的 ECS 内网 IP 地址是10.10.10.1)。
& z$ k& m8 w- z+ g% ^优先级:1,表示安全规则中优先级最高,数字越小优先级越高。. P% b" A( s* U* A, n3 y
3 A/ e7 r3 \4 S: P

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法
" H# y+ n. ^7 v9 [6 [" b

% C1 Q/ [2 o% d! B& J: n" |6 D2 c; P" A: C; j/ N+ ^# E+ N' R
添加一条内网入方向安全组规则(允许内网其他账号所有 ECS 实例): ! P) S' l' t; F1 ^$ l+ ^

7 y! g- j8 r3 ]; {9 i2 v' J授权策略:允许。' N) P( e- d% w, J. ]! E1 S
协议类型:Windows 实例选择 RDP(3389)(如以下截图所示)、Linux 实例选择 SSH(22)、自定义端口选择 自定义(TCP)。8 W$ Y  w0 s# K5 _, ]; B
端口范围:如果您选择的协议类型为 RDP 或 SSH,则不需要填写端口范围。如果是 自定义(TCP) 而且实例远程端口为 33899,则设置为 33899/33899。. R% G; l5 @3 l0 {5 E! }" ], d
授权类型:安全组访问,选择跨账号授权。' H( [4 O4 |8 z' O; O/ _
授权对象:填入 ECS 实例所属的安全组 ID。; s7 ?; T5 N) n9 }
账号ID:允许内网其他账号的账号 ID(账号中心查看)。) k  ^6 E3 U, q4 i$ f5 ]
优先级:1 (代表安全规则中优先级最高,数字越小优先级越高)0 T0 f3 z' X) X6 A8 |9 I* [* ^# v

/ d0 @, ?" a  v3 s' e" I% ~
2 F- G1 q" a2 @0 o. `3 ^

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

) R, \% d2 A- F+ K
. g* B8 u) ~, ]( d   c8 R; E; P; d  j" t, d, f
案例 6:允许公网通过 HTTP、HTTPS 等服务访问实例 : F: E  I. g; G" g
. x$ b1 P1 }+ }2 l; r$ r
如果您在实例上架设了一个网站,希望您的用户能通过 HTTP 或 HTTPS 服务访问到您的网站,您需要在实例所在安全组中添加以下安全组规则。
' e- m% U# G+ W # S3 s5 W6 G3 q. Q8 Y1 R
1.登录 云服务器管理控制台。
7 R: X* Q8 c4 g3 G3 o% W8 Q/ a2.找到要配置的实例。
# W0 \' ~/ h" \% I0 k3.打开实例的 本实例安全组,然后单击 配置规则。 $ f( k7 x- M8 i: D; _! Q
4.单击 公网入方向,然后单击 快速创建规则。 + p- c2 f; e$ L: O2 n# S' N
3 l% A5 C$ N7 q- V& P7 `

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

, X3 x' E2 _( z9 @* i4 G+ N, e! K 3 l% y1 v5 j1 X
5.添加安全组规则如下:
) U& I) C0 A. w网卡类型:如果是经典网络,选择 公网。如果是 VPC 网络,不需要选择。
+ Z" t( {$ B5 R# }' B) i9 S规则方向:入方向。: e( I* N6 B5 D* D# \1 Z
授权策略:允许。
- k1 Q$ s% C* s/ M, r协议类型 和 端口范围:选择 HTTP 服务的 TCP 80 端口,HTTPS 的 443 端口,或者自定义 TCP 8080 端口(如图所示)。$ D( F0 v" O9 e2 `- x
授权对象:0.0.0.0/0,表示允许所有地址访问。
! |9 }8 p9 G' B2 w$ }5 ]2 w0 X优先级:1,表示安全规则中优先级最高,数字越小优先级越高。
8 P/ |8 _: J6 R9 Z6 v8 R/ K & s: p8 w5 G3 h+ K

4 N3 [5 [) }" B3 Q1 n0 P1 G; E  }" z

阿里云云服务器安全组设置方法

阿里云云服务器安全组设置方法

( Q* R5 Q2 \- Q4 `8 t- t2 l9 y6 V4 Z
安全组的限制和规则参数
: n' U8 H- ^6 C) ]. A- v0 h 7 V1 P7 Z, s/ h. d, n) W7 s8 }
安全组有如下限制:
2 J$ }, ^5 N- e) P! R- u( z , f# ~. m* M9 w4 ?: t
每个用户最多创建 100 个安全组。- s. B% ]* e" B$ e, d8 z( ]
每个安全组最多添加 1000 个实例。$ u0 ?9 o: O- k  ~# f& p; W4 G
每个实例最多加入 5 个安全组。2 S8 l) e+ C% Z$ i5 O) ]
每个安全组最多创建 100 条规则。
4 Q$ U: @5 ~! V6 j安全组规则有如下参数:
) _+ |9 x: ~( `( U网络类型:公网 | 内网。如果该安全组属于专有网络,选择内网。& m* q7 w, U; G# \* v0 I5 M) B, n
规则方向:出方向 | 入方向。这里的入方向和出方向都是从 ECS 实例的角度来说的。5 i5 G+ u! C. m: R( V
出方向:ECS 实例访问其它资源。
! e6 O+ {# w- @- }9 [入方向:其它资源访问 ECS 实例。
$ y, \5 ^) x0 h4 R+ q" ?  V+ X授权策略:允许 | 拒绝。安全组的 拒绝 策略对应的是 drop,不会回应。# ]; F  b0 ]2 Q& V
协议类型:全部 | 自定义 TCP | 自定义 UDP | 全部 ICMP | 全部 GRE | SSH (22) | TELNET (23) | HTTP (80) | HTTPS (443) | MS SQL (1433) | Oracle (1521) | My SQL (3306) | RDP (3389) | PostgreSQL (5432) | Redis (6379)。- K$ G4 o% R( f, J& D* x' _+ e( R
端口范围:1~65535,格式为“开始端口号/终止端口号”。例如 1/200、80/80、22/22、-1/-1。其中 -1/-1 表示不限制端口。注意:即使是一个端口,也要写成范围形式,如 22/22,不能只写 22,否则会报错 “IP 协议参数格式不正确”。端口 25 默认受限,并且无法通过安全组规则打开。
  v( c& k2 v2 g; r6 w7 }4 f授权类型:地址段访问 | 安全组访问。8 \! N' _. Q4 r" G4 i  D
授权对象:
+ C0 F- O+ _! ]9 U& n" a- U  _如果授权类型为地址段访问,授权对象填写 IP 或者 CIDR 网段格式 如:10.0.0.0 或者 192.168.0.0/24。仅支持 IPv4。
- y% u' V# ]1 j6 S! X( b如果授权类型为安全组访问,授权对象从安全组的列表中选择一个安全组。
5 ^: [7 b7 K" F( g* {4 o/ s注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择 安全组访问。如果选择 地址段访问,则仅支持单 IP 授权,授权对象的格式只能是 a.b.c.d/32,其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。! w; M8 k6 A" ~0 `6 J1 M5 k
优先级:1 ~ 100,数值越小,优先级越高。
, ^! s7 @- x6 f0 o# k2 a( |" z8 G
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

Discuz! X3.4虚拟人气虚拟用户在线插件 完

主讲:执手天涯 Discuz插件

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群