云服务器安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,安全组是重要的网络安全隔离手段,设置错误会导致服务器及应用无法访问,甚至被黑客入侵。
每台云服务器在创建的时候便会加入一个默认安全组,也可自行创建多个安全组,不同安全组的云服务器之间默认内网不通,需要设置授权才可以在两个安全组之间互访。
一、安全组未设置或设置错误会有如下问题:
1、服务器远法远程连接
云服务器无法远程连接,有可能是22端口(Linux)、3389端口(windows server)未开放,需要在安全组中添加以上端口。
2、服务器上的应用无法访问
例如web服务需要开80、443端口,Sqlserver默认端口号为1433,mysql默认端口号是3306,Oracle端口是1521,PostgreSQL是5432。当新安装部署的应用无法访问时,要检查以上端口是否正常添加。要注意的是,为了安全,数据库的端口通常不要对公网开放,可通过安全组设置为仅允许应用服务器通过内网访问,安全组仅对外开放80、443等必要的端口即可。
二、安全组都有哪些作用
- 案例一:同一个地域、同一个账号下的服务器实现内网互通
场景举例:如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
- 案例二:同一个地域、不同账号下的实例实现内网互通
场景举例:如果您需要同一个地域、不同账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。
- 案例三:只允许特定IP地址远程登录到实例
场景举例:如果您的ECS实例被黑客远程控制,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。
- 案例四:只允许实例访问外部特定IP地址
场景举例:如果您的ECS实例被黑客远程控制,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。
- 案例五:拒绝实例访问外部特定IP地址
场景举例:如果您不希望您的ECS实例访问某个特定的外部IP地址,您可以通过安全组设置,拒绝实例访问外部特定IP地址。
- 案例六:允许公网远程连接实例
场景举例:您可以通过公网远程连接到实例上,管理实例。
- 案例七:允许内网其他账号下某个安全组内的ECS实例远程连接实例
场景举例:您可以通过内网其他账号下某个安全组内的ECS实例远程连接到实例上,管理实例。
- 案例八:允许公网通过HTTP、HTTPS等服务访问实例
场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。
三、如何添加安全组规则
操作步骤
方式一:快速添加安全组规则
快速添加提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的应用端口设置。您可以同时勾选一个或多个端口。
- 单击快速添加。
-
-
- 设置授权策略、授权对象和端口范围。
说明 参数设置的详细指导请参见下方。
- 单击确定。
- 设置授权策略、授权对象和端口范围。
-
方式二:手动添加安全组规则
-
-
- 单击手动添加。在规则列表中配置新增的安全组规则。
-
授权策略:允许该端口访问或拒绝
优先级:一般保持默认即可
协议类型:选已有的模板或自定义
端口范围:输入端口范围,多个端口范围以英文半角逗号分隔,例如22/23,443/443。
授权对象:授权所有对象访问填0.0.0.0/0,指定某对象访问举例:192.168.1.10/24。
关于安全组有任何疑问可联系【云技术在线】,云技术在线工程师提供免费咨询和配置服务。