内容简介:
一、 安全组简介
二、 根本操作
三、 最佳实践
(一) ECS 网络拜访操控
(一) 网络 ACL
l 交换机等级
l 黑名单
l 无状况
(二) 安全组
l 实例(弹性网卡)等级
l 白名单
l 有状况
l ECS( 或弹性网卡)有必要至少属于一个安全组
l 默认同组内实例能够相互拜访
l 能够装备规矩指定地址或组间相互拜访
(一) 组的操作
l 创建、修正、删去
l 组内增加、删去实例(弹性网卡)
l 克隆组、替换组
(二) 规矩的操作
l 增加、修正、复制、删去
l 还原、导出导入
l ClassicLink
(三) 安全组规矩
1.CIDR
l 源地址: 192.168.0.0/24
l 源端口:悉数
l 意图端口: 22端口
l 协议: TCP
l 授权战略:答应
2.组组授权
l 源地址: sg-bp1 eborpqtcwqme
l 源端口:悉数
l 意图端口:悉数
l 协议:悉数
l 授权战略:回绝
3.五元组
l 源地址: 172.16.1.10
l 源端口:悉数
l 意图地址: 172.16.0.0/16
l 意图端口: 1723
l 传输层协议: TCP
l 授权战略:回绝
l 惯例网络拜访 4 元组能够胜任
l 5 元组是平台级网络产品的必选项
(四) 规矩装备建议
l 先规划:
安全组是从网络拜访的维度规划的事务人物,组内实例则是人物扮演者。单一职责,实例不能扮演过多人物,因而不行加入太多组。
l 运用白名单:
阿里云为了确保租户实例安全,入方向默认全 drop
l 慎用 0.0.0.0/0:
它表示不受限拜访,当你的实例有公网拜访才能时,相当于把你的大门向所有人敞开
l 规矩最小化原则:
有公网才能的组,为了确保实例安全,精细化操控入规矩
l 尽量运用 cidr 段:
假如的确被授权目标有批量特征,并且地址段连续,那么尽量运用 cidr 段,而不是单个 ip
l 不约束协议用 all:
这样能够尽量削减规矩数量,更容易维护
l 维护好每一条规矩:
安全组规矩是实例最重要的系统装备之一-,有必要谨慎对待,增加规矩要进行备注。此外,当实例释放,ip修正等动作发生时,请查看安全组内是否有无效规矩,并及时清理