安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内实例的入流量和出流量。
安全组定义
安全组是一个逻辑上的分组,由同一地域内具有相同安全保护需求并相互信任的实例组成。
一台ECI实例至少属于一个安全组。
一个安全组可以管理同一个地域内的多台ECI实例。
在没有设置允许访问的安全组规则的情况下,不同安全组内的ECI实例之间默认内网不通。
添加安全组规则
您可以通过添加安全组规则,允许或禁止安全组内的ECI实例对公网或私网的访问。
安全组负责管理是否放行来自公网或者内网的访问请求。为安全起见,安全组入方向大多采取拒绝访问策略。如果您使用的是默认安全组,则系统会给部分通信端口自动添加安全组规则。更多信息,请参见安全组概述。
当您的应用需要与ECS实例所在安全组之外的网络相互通信,但请求发起后进入长时间等待状态,您需要优先设置安全组规则。
当您在运营应用的过程中发现部分请求来源有恶意攻击行为,您可以添加拒绝访问的安全组规则实行隔离策略。
普通安全组在未添加任何安全组规则之前,出方向允许所有访问,入方向拒绝所有访问。
企业安全组在未添加任何安全组规则之前,出方向和入方向都拒绝所有访问。同时不支持设置优先级、不支持授权给安全组、不支持设置拒绝访问的安全组规则。更多信息,请参见企业安全组。
安全组规则支持IPv4安全组规则和IPv6安全组规则。
每个安全组的入方向规则与出方向规则的总数不能超过200条。