ECS安全组配置案例
更新时间:2019-10-31 17:27:34
当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其它安全组。安全组是一种虚拟防火墙用来控制ECS实例的出站和入站流量。 本文档介绍了常用的专有网络ECS实例的安全组设置。 VPC类型的ECS实例互通分以下两种情况:
Windows: RDP 3389/3389 要访问的VPC2中的ECS实例的私网IP。
说明 如果允许任意ECS实例登录,填写0.0.0.0/0。
Linux: SSH 22/22 自定义TCP 自定义 Windows: RDP 3389/3389 要访问的VPC1中的ECS实例的私网IP。
说明 如果允许任意ECS实例登录,填写0.0.0.0/0。
Linux: SSH 22/22 自定义TCP 自定义案例一:内网互通
安全组规则
规则方向
授权策略
协议类型和端口范围
授权类型
授权对象
VPC 1中的ECS实例的安全组配置
入方向
允许
地址段访问
入方向
允许
地址段访问
入方向
允许
地址段访问
VPC 2中的ECS实例的安全组配置
入方向
允许
地址段访问
入方向
允许
地址段访问
入方向
允许
地址段访问
案例二:拒绝特定IP或特定端口的访问
您可以通过配置安全组拒绝特定IP或特定端口对专有网络ECS实例的访问,如下表所示。
| 安全组规则 | 规则方向 | 授权策略 | 协议类型和端口范围 | 授权类型 | 授权对象 |
|---|---|---|---|---|---|
| 拒绝特定IP地址段对ECS实例所有端口的入站访问 | 入方向 | 拒绝 |
全部 -1 |
地址段访问 |
要拒绝访问的IP地址段,如10.0.0.1/32。 |
| 拒绝特定IP地址段对ECS实例TCP 22端口的入站访问 | 入方向 | 拒绝 |
SSH(22) 22/22 |
地址段访问 |
要拒绝访问的IP地址段,如10.0.0.1/32。 |
案例三:只允许特定IP远程登录ECS
如果您为VPC中的ECS实例配置了公网IP,如NAT网关、EIP等。您可以根据具体情况,添加如下安全组规则允许Windows远程登录或Linux SSH登录。
| 安全组规则 | 规则方向 | 授权策略 | 协议类型和端口范围 | 授权类型 | 授权对象 |
|---|---|---|---|---|---|
| 允许Windows远程登录 | 入方向 | 允许 |
RDP 3389/3389 |
地址段访问 |
允许登录ECS实例的指定IP地址。
说明 如果允许任意公网IP登录ECS,填写0.0.0.0/0。 |
| 允许Linux SSH登录 | 入方向 | 允许 |
SSH 22/22 |
地址段访问 |
允许登录ECS实例的指定IP地址。
说明 如果允许任意公网IP登录ECS,填写0.0.0.0/0。 |
案例四:允许从公网访问ECS实例部署的HTTP/HTTPS服务
如果您在专有网络的ECS实例上部署了一个网站,通过EIP、NAT网关对外提供服务,您需要配置如下安全组规则允许用户从公网访问您的网站。
| 安全组规则 | 规则方向 | 授权策略 | 协议类型和端口范围 | 授权类型 | 授权对象 |
|---|---|---|---|---|---|
| 允许来自HTTP 80端口的入站访问 | 入方向 | 允许 |
HTTP 80/80 |
地址段访问 | 0.0.0.0/0 |
| 允许来自HTTPS 443端口的入站访问 | 入方向 | 允许 |
HTTPS 443/443 |
地址段访问 | 0.0.0.0/0 |
| 允许来自TCP 80端口的入站访问 | 入方向 | 允许 |
TCP 80/80 |
地址段访问 | 0.0.0.0 |
