安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。

系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在上行规则(从云资源访问外部)的数据报文全部放行,下行规则(从外部访问云资源)访问受限,安全组内的云服务器无需添加规则即可互相访问。

用户可以根据需要创建自定义的安全组,或使用默认安全组。

  • 系统为每个用户提供了一个缺省安全组(ID 之后带有星标),默认打开 22 端口。

  • 初始状态下,每个安全组都不包含任何规则,即任何端口都是封闭的,用户需要建立规则以打开相应的端口。

  • 用户可以借助 “IP/端口集合” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP/端口集合”,并且在安全组规则中进行添加,实现批量管理功能。

  • 安全组可以绑定的实例类型为 vpc、lb、nat、app 集群。

下行规则

未配置的下行规则和端口默认拒绝访问。TCP 端口 445、5554、9996 是病毒“震荡波”所使用的端口,可能会被 IDC 屏蔽,为保证资源正常访问,建议使用其他端口。

上行规则

上行规则和端口默认放行。系统判定了一些高危端口,默认将其加入了安全组并禁止。 对于 Windows 云服务器,系统默认限制了几个“上行安全组”规则:

  • 协议 TCP,端口 3389、1433、445、135、139

  • 协议 UDP,端口 1434、445、135、137、138

Windows 云服务器向外发起远程桌面连接,用户需要在安全组中放行规则 TCP 上行 3389 端口。

Windows 云服务器向外发起 SQL Server 连接,用户需要在安全组中放行规则 TCP 上行 1433 端口。