添加安全组规则

你可以添加安全组规则，允许或禁止安全组内的ECS实例对公网或私网的访问：

VPC网络：只需要设置出方向或入方向的规则，不区分内网和外网。专有网络（VPC）实例的公网访问通过私网网卡映射完成，所以，你在实例内部看不到公网网卡，在安全组里也只能设置内网规则。你设置的安全组规则同时对内网和公网生效。

经典网络：需要分别设置公网或内网的出方向或入方向规则。

所有的安全组，在未添加任何安全组规则之前，无论哪种网卡类型，出方向允许所有访问，入方向拒绝所有访问。所以，在添加安全组规则时，建议出方向只设置拒绝的规则，入方向只设置允许访问的规则。

安全组规则的变更会自动应用到安全组内的ECS实例上。

前提条件：

你已经创建了一个安全组，具体操作，请参见创建安全组。

你已经知道自己的实例需要允许或禁止哪些公网或内网访问。

操作步骤如下：

1、登录云服务器ECS管理控制能。

2、在左侧导航栏中，选择网络和安全>安全组。

3、选择地域。

4、找到要配置授权规则的安全组，在操作列中，单击配置规则。

5、在安全组规则页面上，单击添加安全组规则。

PS1：如果你不需要设置ICMP、GRE协议规则，或者你想使用下表中列出的协议默认端口，单击快速创建规则。

PS2：每个安全组的入方向规则与出方向规则的总数不能超过100条。

6、在弹出的对话框中，设置以下参数：

   网卡类型：

       如果是VPC类型的安全组，不需要选择这个参数。需要注意以下信息：如果你的实例能访问公网，可以设置公网和内网的访问规则。如果你的实例不能访问公网，只能设置内网的访问规则。

        如果是经典网络的安全组，选择公网或内网。

   规则方向：

        出方向：是指ECS实例访问内网中其他ECS实例或者公网上的资源。入方向：是指内网中的其他ECS实例或公网上的资源访问ECS实例。

   授权策略：选择允许或拒绝。

PS：这里的拒绝策略是直接丢弃数据包，不给任何回应信息。如果2个安全组规则其他都相同只有授权策略不同，则拒绝授权生效，接受授权不生效。

   协议类型和端口范围：端口范围的设置受协议类型影响。

PS：公网出方向的STMP端口25默认受限，无法通过安全组规则打开，但是你可以申请解封端口25.其他常用端口信息，请参考ECS实例常用端口介绍。

   授权类型和授权对象：授权对象的设置受授权类型影响。

PS：出于安全性考虑，经典网络的内网入方向规则，授权类型优先选择安全组访问。如果选择地址段访问，则只能授权单个IP地址，授权对象的格式只能是a.b.c.d/32，仅支持IPv4，子网掩码必须是/32。

    优先级：1-100，数值越小，优先级越高。

7、单击确定，即成功地为指定安全组添加了一条安全组规则。

安全组规则一般是立即生效，但是也可能有稍许延迟。

查看安全组规则是否生效

假设你在实例里安装了WEB服务，并在一个安全组里添加了一条安全组规则：公网入方向，允许所有IP地址访问实例的TCP 80端口。

Linux实例：

如果是安全组中的一台Linux实例，按以下步骤查看安全组规则是否生效。

1、使用用户名密码验证连接Linux实例。

2、运行以下命令查看TCP 80是否被监听。

Netstat -an | grep 80

如果返回以下结果，说明TCP 80端口已开通。

Tcp 0  0 0.0.0.0:80  0.0.0.0:*  LISTEN

3、在浏览器地址栏里输入http://实例公网IP地址。如果访问成功，说明规则已经生效。

Windows实例：

如果是安全组中的一台Windows实例，按以下步骤查看安全组规则是否生效。

1、使用软件连接Windows实例。

2、运行命令提示符，输入以下命令查看TCP 80是否被监听。

Netstat -aon | findstr :80

如果返回以下结果，说明TCP 80端口已经开通。

TCP 0.0.0.0:80  0.0.0.0:0  LISTEN 1172

3、在浏览器地址栏里输入http://实例公网IP地址。如果访问成功，说明规则已经生效。

ECS安全组规则优先级说明：

安全组规则的优先级可以设为1-100的任一个数值，数值越小，优先级越高。

ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间，如果安全组规则互相矛盾，即协议类型、端口范围、授权类型、授权对象都相同，最终生效的安全组规则如下：

如果优先级相同，则拒绝授权规则生效，接受授权规则不生效。

如果优先级不同，则优先级高的规则生效，与授权策略的设置无关。