阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4860阅读
  • 2回复

[基础常识]安全组规则一篇通

级别: 论坛版主
发帖
3606
云币
2556
安全组在云端提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,它是重要的安全隔离手段。在创建 ECS 实例时,必须选择一个安全组。您还可以添加安全组规则,对该安全组下的所有 ECS 实例的出方向和入方向进行网络控制。 NJ}x qg  
U!"RfRD.<  
?~}8^~3  
安全组有下面的限制: -xH3}K%  
每个账户最多可以建立50个安全组,每个安全组最多100个安全组规则 JZyEyN  
一个实例最多可以加入5个同种网络类型的安全组 86&r;c:  
同一个安全组之内的资源默认是网络通的,不同安全组之间的资源默认是网络不通 +C`vO5\0  
安全组应该是白名单的性质的,所以需要尽量开通最小的权限,默认拒绝所有的访问 tUfze9m  
单个安全组最大支持1000个实例 -Vg0J6x  
当您创建一个安全组的时候,默认规则均为出方向 accept all,入方向 deny all。安全组的出入规则,很多客户在使用的时候并没有按照己的应用规范划分。使得自己的应用加大了收到攻击的风险。 VJgf, 5 (N  
eBECY(QMQ  
基础普及:地址段    子网掩码 ocp3JR_0  
A类地址:0-127     /8        255.0.0.0 3@;24X  
B类地址:128-191    /16   255.255.0.0 <C*%N;F5R  
C类地址:192-223   /24    255.255.255.0 jI}{0LW&F&  
9fSX=PVRmQ  
k|_ >I  
什么意思尼? +w3k_^X9c  
比如我们的内网地址是10.2.2.10 那么我们属于A类地址 /8的网段,但是我们有超网划分也就是(可变长子网掩码)网段划分的大,节省地址特别适合企业。比如我们要某一个IP地址可以访问,那么就往大了划分10.2.2.10/32  也就是子网掩码255.255.255.255 只有一个IP了。当然这里不懂也没关系,个人在划分的时候最多使用24或者32的掩码,企业可以根据机器数量来分配。 7 Uu  
在划分上还有一个是CIDR(无类域间路由),要求是划分必须是8  16  24  32,不能为26  28这种超网类型的。 5i3 nz=~o  
4~:D7",Jn  
UB;~Rf(.  
使用: N;,N6&veK/  
1.经典网络的网站访问 D>q?My  
我们对安全组操作一般是继续使用系统创建的或者自行创建一个安全组 v[ y|E;B  
GZFLJu  
/0F <GBQ"v  
如果是新用户可以点击右下角的配置规则,我们在其中进行规则的添加 KI<Vvc m  
对于外网的操作我们看如下几个点即可 YC~kq?  
Vuo 8[h>  
}JWk?  
对外网规则的添加 Riz!HtyR  
le`_    
8|#p D4e  
或者这样快速添加 {~d8_%:b  
Vt," 5c  
ODqWXw#  
]+0I8eerd  
2.远程连接不上 = l9H]`T/  
我们记住Linux系统使用的SSH端口22 Z,Tv8;  
Windows系统远程连接使用的是3389端口 {YgB?kt5  
所以根据上面学的添加规则或者添加快速规则中的对应端口号即可。 'xp&)g L  
76*5/J-  
9Ic~F^  
U~8 oE_+  
vl}uHdeP9  
可以看到我们是设置的入允许,因为是外网访问服务实例所以入方向,如果我们的IP地址不固定就要设置0.0.0.0/0. y/@.T\p  
当然固定的就可以设置某IP访问,安全性更高了,比如200.1.1.10/32 !M&B=vk4  
d6k`=Hlg  
Ot} E  
3.某端口有漏洞如何关闭 rx#\Dc}  
0zAj.iG  
zZ=.riK  
设置授权策略为拒绝,并选择或者设置要拒绝的端口即可。 IZ6[|Ach6  
COK7 i^  
[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif]注意:出于安全性的考虑,经典网络的内网入方向规则,授权类型优先选择“安全组访问”;如果选择 “地址段访问”,则仅支持单 IP 授权,授权对象的格式只能是[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif] a.b.c.d/32[font=PingFangSC, 'helvetica neue', 'hiragino sans gb', arial, 'microsoft yahei ui', 'microsoft yahei', simsun, sans-serif],其中 IP 地址应根据您的实际需求设置,仅支持 IPv4,子网掩码必须是 “/32”。 x~tG[Y2F?  
:bgi*pR{  
93d ht  
}0Q6iHX@  
MW+]w~7_Q  
|EaEdA@T  
[ 此帖被我的中国在2017-07-01 18:53重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +1
魔咒626 云币 +1 优秀文章-欢迎进行技术分享,感谢你的支持! 2017-07-02
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
1966
云币
4134
只看该作者 沙发  发表于: 2017-07-02
优秀文章-欢迎进行技术分享,感谢你的支持!
级别: 架构狮
发帖
1217
云币
1946
只看该作者 板凳  发表于: 2018-01-25
的帖子很精彩!希望很快能再分享您的下一帖!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)