云服务器安全组设置方法

发布日期: 2021-08-25 16:44:54    作者: 艾锑无限    浏览量:0

云服务器安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,安全组是重要的网络安全隔离手段,设置错误会导致服务器及应用无法访问,甚至被黑客入侵。

每台云服务器在创建的时候便会加入一个默认安全组,也可自行创建多个安全组,不同安全组的云服务器之间默认内网不通,需要设置授权才可以在两个安全组之间互访。

一、安全组未设置或设置错误会有如下问题:

1、服务器远法远程连接

云服务器无法远程连接,有可能是22端口(Linux)、3389端口(windows server)未开放,需要在安全组中添加以上端口。


2、服务器上的应用无法访问

例如web服务需要开80、443端口,Sqlserver默认端口号为1433,mysql默认端口号是3306,Oracle端口是1521,PostgreSQL是5432。当新安装部署的应用无法访问时,要检查以上端口是否正常添加。要注意的是,为了安全,数据库的端口通常不要对公网开放,可通过安全组设置为仅允许应用服务器通过内网访问,安全组仅对外开放80、443等必要的端口即可。


二、安全组都有哪些作用

    案例一:同一个低于、同一个账号下的服务器实现内网互通    

      场景举例:如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。

    案例二:同一个地域、不同账号下的实例实现内网互通

      场景举例:如果您需要同一个地域、不同账号下的ECS实例之间拷贝资源,您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。

    案例三:只允许特定IP地址远程登录到实例

      场景举例:如果您的ECS实例被黑客远程控制,您可以修改远程登录端口号,并设置只允许特定的IP地址远程登录到您的ECS实例。

    案例四:只允许实例访问外部特定IP地址

      场景举例:如果您的ECS实例被黑客远程控制,对外恶意扫描或发包,您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。

    案例五:拒绝实例访问外部特定IP地址

      场景举例:如果您不希望您的ECS实例访问某个特定的外部IP地址,您可以通过安全组设置,拒绝实例访问外部特定IP地址。

    案例六:允许公网远程连接实例

      场景举例:您可以通过公网远程连接到实例上,管理实例。

    案例七:允许内网其他账号下某个安全组内的ECS实例远程连接实例

      场景举例:您可以通过内网其他账号下某个安全组内的ECS实例远程连接到实例上,管理实例。

    案例八:允许公网通过HTTP、HTTPS等服务访问实例

      场景举例:您在实例上架设了一个网站,希望您的用户能通过HTTP或HTTPS服务访问到您的网站。

三、如何添加安全组规则

操作步骤

    1.登录ECS管理控制台。

    2.在左侧导航栏,单击网络与安全 > 安全组。

    3.在顶部菜单栏左上角处,选择服务器所在地域。

    4.找到要配置授权规则的安全组,在操作列中,单击配置规则。

    5.选择安全组规则的规则方向。

image.png

      6.在安全组规则页面上,您可以选择以下任意一种方式添加安全组规则。


方式一:快速添加安全组规则

快速添加提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的应用端口设置。您可以同时勾选一个或多个端口。

    a.单击快速添加。

    b.设置授权策略、授权对象和端口范围。


方式二:手动添加安全组规则

    a.单击手动添加。在规则列表中配置新增的安全组规则。


授权策略:允许该端口访问或拒绝

优先级:一般保持默认即可

协议类型:选已有的模板或自定义

端口范围:输入端口范围,多个端口范围以英文半角逗号分隔,例如22/23,443/443。

授权对象:授权所有对象访问填0.0.0.0/0,指定某对象访问举例:192.168.1.10/24。


中国首款IT服务微信小程序“企如意”,一款真心实意为企业谋福利的知音。IT产品一切应有尽有让您的企业轻松提升工作效率自小程序上线以来,用户注册量已超过50000人,IT服务产品下单量已达到6500单。因为专注,所以专业,工单服务好评率也高达98%以上。小程序,大作为,真正成为您企业绩效倍增的加速器!帮助企业的同时还有更多好礼相送。

更多活动请关注“企如意”小程序!