安全组规则【超详细】

真香警告:以下主要内容均来自“阿里云”,学生、教师、医药工作者都能白嫖6个月的ECS!!!【详情】

安全组是一种虚拟防火墙,具备状态检测和包过滤功能。安全组由同一个地域内具有相同安全保护需求并相互信任的实例组成。安全组用于设置单台或多台ECS实例的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。安全组五元组规则能精确控制源IP、源端口、目的IP、目的端口以及传输层协议。

五元组规则定义

五元组规则包含:源IP地址、源端口、目的IP地址、目的端口、传输层协议。

五元组规则完全兼容原有的安全组规则,能更精确的控制源IP地址、源端口、目的IP地址、目的端口以及传输层协议。

五元组出规则示例如下:

源IP地址:172.16.1.0/32
源端口:22
目的IP:10.0.0.1/32
目的端口:不限制
传输层协议:TCP
授权策略:Drop

示例中的出规则表示禁止172.16.1.0/32通过22端口对10.0.0.1/32发起TCP访问。

应用场景

  • 某些平台类网络产品接入第三方厂商的解决方案为用户提供网络服务,为了防范这些产品对用户的ECS实例发起非法访问,则需要在安全组内设置五元组规则,更精确的控制出流量和入流量。
  • 设置了组内网络隔离的安全组,如果您想精确控制组内若干ECS实例之间可以互相访问,则需要在安全组内设置五元组规则。

您可以使用OpenAPI设置五元组规则。

参数说明

在授权或解除授权时,各参数的含义如下表所示。

 
参数入规则中各参数含义出规则中各参数含义
SecurityGroupId当前入规则所属的安全组ID,即目的安全组ID。当前出规则所属的安全组ID,即源安全组ID。
DestCidrIp目的IP范围,可选参数。
  • 如果指定DestCidrIp,则可以更精细地控制入规则生效的目的IP范围;
  • 如果不指定DestCidrIp,则入规则生效的IP范围就是SecurityGroupId这个安全组下的所有IP。
目的IP,DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先级高。
PortRange目的端口范围,必选参数目的端口范围,必选参数。
DestGroupId不允许输入。目的安全组ID一定是SecurityGroupId。目的安全组ID。DestGroupId与DestCidrIp二者必选其一,如果二者都指定,则DestCidrIp优先级高。
SourceGroupId源安全组ID,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先级高。不允许输入,出规则的源安全组ID一定是SecurityGroupId。
SourceCidrIp源IP范围,SourceGroupId与SourceCidrIp二者必选其一,如果二者都指定,则SourceCidrIp优先级高。源IP范围,可选参数。
  • 如果指定SourceCidrIp,则会更精细地限定出规则生效的源IP。
  • 如果不指定SourceCidrIp,则生效的源IP就是SecurityGroupId这个安全组下的所有IP。
SourcePortRange源端口范围,可选参数,不填则不限制源端口。源端口范围,可选参数,不填则不限制源端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值