添加安全组规则 - 公有云文档中心

安全组创建后，您可以在安全组中添加出方向、入方向规则，对安全组中的实例出入方向的网络流量进行访问控制。

操作须知

未添加任何安全组规则前，安全组提供了一些默认访问控制策略：
- 从云资源访问外部允许所有访问，从外部访问云资源拒绝所有访问。因此一般情况下，您无需在下行规则中配置策略为拒绝的规则，也无需在上行规则中配置策略为允许的规则。
- 如果您使用的是默认安全组，则系统会给部分通信端口自动添加安全组规则，详请参见默认安全组及规则。
同类型规则间按照优先级进行排序生效。当实例加入了多个安全组时，系统会将多个安全组的规则汇总在一起，并按照规则优先级从高到低依次匹配规则。
- 如果两条安全组规则只有授权策略不同：目前是随机生效，因此应尽量避免设置相同优先级且冲突的规则。
- 如果两条安全组规则只有优先级不同：优先级高的规则生效。
添加安全组规则前，请了解安全组规则的一些使用限制及实践建议，以便更好的规划安全组内实例的访问策略。

操作步骤

登录管理控制台，在顶部菜单栏中选择产品与服务 > 网络服务 > 安全组，进入安全组页面。
点击安全组 ID，进入安全组详情页面。
在规则页签，点击添加规则，弹出安全组规则配置窗口。

配置安全组规则相关信息。

参数说明如下表所示。

名称描述

名称	描述
名称	安全组规则的名称。
优先级	优先级数值越小，优先级越高。取值范围为 0~100。
方向	上行规则：指从云资源访问外部。上行规则和端口默认放行。下行规则：指从外部访问云资源。未配置的下行规则和端口默认拒绝访问。
行为	允许：放行该端口相应的访问请求。拒绝：直接丢弃数据包，不会返回任何回应信息。
协议	匹配流量的协议类型。支持 ALL（全部协议）、TCP、UDP、ICMP、GRE 等协议。
端口范围	匹配流量的目标端口。仅当协议类型选择 `TCP` 或 `UDP` 时，可手动设置起始端口和结束端口。支持按照如下格式填写端口：指定端口：例如指定 22 端口，则起始端口为 “22”，结束端口不填或为 “22”。端口范围：例如 80-90 的连续端口，则起始端口为 “80”，结束端口为 “90”。端口集合：在起始端口输入框后，点击图标，选择已创建的端口集合，端口集合支持批量添加一组端口，详情参见 IP/端口集合。所有端口：不填，或者起始端口为 “80”，结束端口为 “90”。
源 IP/目标 IP	配置下行规则中需要填写源 IP，配置上行规则中需要填写目标 IP。支持 IPv4 及 IPv6 地址，支持按照如下格式填写：单个 IP 地址：例如 “192.168.1.100”。 IP 网段：例如 “192.168.1.0/24”。 IP 集合：在 IP 输入框后，点击图标，选择已创建的 IP 集合，IP 集合支持批量添加一组 IP，详情参见 IP/端口集合。所有 IP 地址：不填或填写 “0.0.0.0/0”。

名称

安全组规则的名称。

优先级

优先级数值越小，优先级越高。
取值范围为 0~100。

方向

上行规则：指从云资源访问外部。上行规则和端口默认放行。
下行规则：指从外部访问云资源。未配置的下行规则和端口默认拒绝访问。

行为

允许：放行该端口相应的访问请求。
拒绝：直接丢弃数据包，不会返回任何回应信息。

协议

匹配流量的协议类型。
支持 ALL（全部协议）、TCP、UDP、ICMP、GRE 等协议。

端口范围

匹配流量的目标端口。
仅当协议类型选择 TCP 或 UDP 时，可手动设置起始端口和结束端口。

支持按照如下格式填写端口：

指定端口：例如指定 22 端口，则起始端口为 “22”，结束端口不填或为 “22”。
端口范围：例如 80-90 的连续端口，则起始端口为 “80”，结束端口为 “90”。
端口集合：在起始端口输入框后，点击图标，选择已创建的端口集合，端口集合支持批量添加一组端口，详情参见 IP/端口集合。
所有端口：不填，或者起始端口为 “80”，结束端口为 “90”。

源 IP/目标 IP

配置下行规则中需要填写源 IP，配置上行规则中需要填写目标 IP。

支持 IPv4 及 IPv6 地址，支持按照如下格式填写：

单个 IP 地址：例如 “192.168.1.100”。
IP 网段：例如 “192.168.1.0/24”。
IP 集合：在 IP 输入框后，点击图标，选择已创建的 IP 集合，IP 集合支持批量添加一组 IP，详情参见 IP/端口集合。
所有 IP 地址：不填或填写 “0.0.0.0/0”。

点击提交，完成安全组规则添加。
点击应用修改，使规则生效。

配置案例

请参见安全组规则配置案例。