添加安全组规则
安全组创建后,您可以在安全组中添加出方向、入方向规则,对安全组中的实例出入方向的网络流量进行访问控制。
操作须知
-
未添加任何安全组规则前,安全组提供了一些默认访问控制策略:
-
从云资源访问外部允许所有访问,从外部访问云资源拒绝所有访问。因此一般情况下,您无需在下行规则中配置策略为
拒绝
的规则,也无需在上行规则中配置策略为允许
的规则。 -
如果您使用的是默认安全组,则系统会给部分通信端口自动添加安全组规则,详请参见默认安全组及规则。
-
-
同类型规则间按照优先级进行排序生效。当实例加入了多个安全组时,系统会将多个安全组的规则汇总在一起,并按照规则优先级从高到低依次匹配规则。
-
如果两条安全组规则只有授权策略不同:目前是随机生效,因此应尽量避免设置相同优先级且冲突的规则。
-
如果两条安全组规则只有优先级不同:优先级高的规则生效。
-
操作步骤
-
登录管理控制台,在顶部菜单栏中选择产品与服务 > 网络服务 > 安全组,进入安全组页面。
-
点击安全组 ID,进入安全组详情页面。
-
在规则页签,点击添加规则,弹出安全组规则配置窗口。
-
参数说明如下表所示。
名称 描述 名称
安全组规则的名称。
优先级
优先级数值越小,优先级越高。
取值范围为 0~100。方向
上行规则:指从云资源访问外部。上行规则和端口默认放行。
下行规则:指从外部访问云资源。未配置的下行规则和端口默认拒绝访问。行为
-
允许:放行该端口相应的访问请求。
-
拒绝:直接丢弃数据包,不会返回任何回应信息。
协议
匹配流量的协议类型。
支持 ALL(全部协议)、TCP、UDP、ICMP、GRE 等协议。端口范围
匹配流量的目标端口。
仅当协议类型选择TCP
或UDP
时,可手动设置起始端口和结束端口。支持按照如下格式填写端口:
-
指定端口:例如指定 22 端口,则起始端口为 “22”,结束端口不填或为 “22”。
-
端口范围:例如 80-90 的连续端口,则起始端口为 “80”,结束端口为 “90”。
-
端口集合:在起始端口输入框后,点击图标,选择已创建的端口集合,端口集合支持批量添加一组端口,详情参见 IP/端口集合。
-
所有端口:不填,或者起始端口为 “80”,结束端口为 “90”。
源 IP/目标 IP
配置下行规则中需要填写源 IP,配置上行规则中需要填写目标 IP。
支持 IPv4 及 IPv6 地址,支持按照如下格式填写:
-
单个 IP 地址:例如 “192.168.1.100”。
-
IP 网段:例如 “192.168.1.0/24”。
-
IP 集合:在 IP 输入框后,点击图标,选择已创建的 IP 集合,IP 集合支持批量添加一组 IP,详情参见 IP/端口集合。
-
所有 IP 地址:不填或填写 “0.0.0.0/0”。
-
-
点击提交,完成安全组规则添加。
-
点击应用修改,使规则生效。
配置案例
请参见安全组规则配置案例。