創建安全組

操作場景

安全組實際是網絡流量訪問策略，由入方向規則和出方向規則共同組成。

您在創建實例時（如ECS），必須將實例加入一個安全組，如果此前您還未創建任何安全組，那么系統會自動為您創建默認安全組并關聯至該實例。除了默認安全組，您還可以創建自定義安全組，并配置安全組規則控制特定流量的訪問請求。

預設安全組說明

創建安全組的時候，您可以選擇系統預設規則。安全組預設規則中預先配置了入方向規則和出方向規則，您可以根據業務選擇所需的預設規則，快速完成安全組的創建。

預設安全組：通用Web服務器

適用場景：

• 外部遠程登錄安全組內實例；
• 外部使用ping命令驗證安全組內實例的網絡連通性；
• 安全組內實例用作Web服務器對外提供網站訪問服務。

方向	類型和協議端口	源地址/目的地址	規則說明
入方向	TCP: 22 (IPv4)	0.0.0.0/0	針對TCP(IPv4)協議，允許外部所有IP訪問安全組內實例的SSH(22)端口，用于遠程登錄Linux實例。
入方向	TCP: 3389 (IPv4)	0.0.0.0/0	針對TCP(IPv4)協議，允許外部所有IP訪問安全組內實例的RDP(3389)端口，用于遠程登錄Windows實例。
入方向	TCP: 80 (IPv4)	0.0.0.0/0	針對TCP(IPv4)協議，允許外部所有IP訪問安全組內實例的HTTP(80)端口，用于通過HTTP協議訪問網站。
入方向	TCP: 443 (IPv4)	0.0.0.0/0	針對TCP(IPv4)協議，允許外部所有IP訪問安全組內實例的HTTPS(443)端口，用于通過HTTPS協議訪問網站。
入方向	ICMP: 全部 (IPv4)	0.0.0.0/0	針對ICMP(IPv4)協議，允許外部所有IP訪問安全組內實例的所有端口，用于外部使用ping命令驗證安全組內實例的網絡連通性。
入方向	全部(IPv4) 全部(IPv6)	當前安全組	針對全部協議，允許安全組內實例通過內網網絡相互通信。
出方向	全部(IPv4) 全部(IPv6)	0.0.0.0/0 ::/0	針對全部協議，允許所有流量從安全組內實例流出，用于訪問外部。

預設安全組：開放全部端口

適用場景：

• 開放全部端口即允許任意流量出入安全組內的實例。

注意
此操作存在一定安全風險，請您謹慎選擇。

方向	類型和協議端口	源地址/目的地址	規則說明
入方向	全部(IPv4) 全部(IPv6)	當前安全組	針對全部協議，允許安全組內實例通過內網網絡相互通信。
入方向	全部(IPv4) 全部(IPv6)	0.0.0.0/0 ::/0	針對全部協議，允許外部所有IP訪問安全組內實例的所有端口，即任意流量可流入安全組內實例。
出方向	全部(IPv4) 全部(IPv6)	0.0.0.0/0 ::/0	針對全部協議，允許所有流量從安全組內實例流出，用于訪問外部。

預設安全組：自定義

適用場景：

• 該預設規則的入方向未放通任何端口，即外部任意流量均無法流入安全組內實例。請您根據業務需求自行添加安全組規則。

方向	類型和協議端口	源地址/目的地址	規則說明
入方向	全部(IPv4) 全部(IPv6)	當前安全組	針對全部協議，允許安全組內實例通過內網網絡相互通信。
出方向	全部(IPv4) 全部(IPv6)	0.0.0.0/0 ::/0	針對全部協議，允許所有流量從安全組內實例流出，用于訪問外部。

操作步驟

1. 登錄管理控制臺，進入“虛擬私有云>訪問控制>安全組”。
2. 在安全組列表右上方，單擊“創建安全組”，進入“創建安全組”頁面。
3. 根據界面提示，設置安全組參數，設置完成后，點擊“確定”，完成安全組創建。

以下是安全組參數說明表。

參數	參數說明	取值樣例
名稱	必選參數。 輸入安全組的名稱。要求如下： 長度范圍為1-64位。 名稱由中文、英文字母、數字、下劃線（_）、中劃線（-）、點（.）組成。	sg-AB
模板	必選參數。 安全組預設規則中預先配置了入方向規則和出方向規則，您可以根據業務選擇所需的預設規則，快速完成安全組的創建。	通用Web服務器
描述	可選參數。 安全組的描述信息。 描述信息內容不能超過255個字符，且不能包含“<”和“>”。	-

添加安全組規則

操作場景

安全組實際是網絡流量訪問策略，由入方向規則和出方向規則共同組成。常見的安全組規則應用場景包括：允許或者拒絕特定來源的網絡流量、允許或拒絕特定協議的網絡流量、屏蔽不需要開放的端口、以及配置服務器的特定訪問權限等。

使用須知

配置安全組規則前，您需要規劃好安全組內實例的訪問策略。

安全組的規則數量有限制，請您盡量保持安全組內規則的簡潔。

在安全組規則中放開某個端口后，您還需要確保實例內對應的端口也已經放通，安全組規則才會對實例生效。

安全組入方向規則的源地址設置為0.0.0.0/0或::/0，表示允許或拒絕所有外部IP地址訪問您的實例，如果將“22、3389、8848”等高危端口暴露到公網，可能導致網絡入侵，造成業務中斷、數據泄露或數據勒索等嚴重后果。建議您將安全組規則設置為僅允許已知的IP地址訪問。

通常情況下，同一個安全組內的實例默認網絡互通。當同一個安全組內實例網絡不通時，可能情況如下有：

• 當實例屬于同一個VPC時，請您檢查入方向規則中，是否刪除了同一個安全組內實例互通對應的規則。
• 不同VPC的網絡不通，所以當實例屬于同一個安全組，但屬于不同VPC時，網絡不通。

在安全組內添加安全組規則

1. 登錄管理控制臺，進入“虛擬私有云>訪問控制>安全組”。
2. 在安全組列表中，單擊目標安全組所在行的操作列下的“配置規則”，進入安全組規則配置頁面。
3. 在“入方向規則”頁簽，單擊“添加規則”，彈出“添加入方向規則”對話框。
4. 根據界面提示，設置入方向規則參數，單擊“新增”按鈕，可以依次增加多條入方向規則。
5. 入方向規則設置完成后，單擊“確定”，返回入方向規則列表，可以查看添加的入方向規則。
6. 在“出方向規則”頁簽，單擊“添加規則”，彈出“添加出方向規則”頁簽。
7. 根據界面提示，設置出方向規則參數，單擊“新增”按鈕，可以依次增加多條出方向規則。
8. 出方向規則設置完成后，單擊“確定”，返回出方向規則列表，可以查看添加的出方向規則。

下表是入、出方向規則參數說明表。

參數	說明	取值樣例
優先級	安全組規則優先級。 優先級可選范圍為1-100，默認值為1，即最高優先級。優先級數字越小，規則優先級級別越高。	1
入方向 策略	安全組規則策略，支持的策略如下： 如果“策略”設置為允許，表示允許源地址訪問安全組內云主機的指定端口。 如果“策略”設置為拒絕，表示拒絕源地址訪問安全組內云主機的指定端口。 安全組規則匹配流量時，首先按照優先級進行排序，其次按照策略排序，拒絕策略高于允許策略。	允許
出方向 策略	安全組規則策略，支持的策略如下： 如果“策略”設置為允許，表示允許安全組內的云主機訪問目的地址的指定端口。 如果“策略”設置為拒絕，表示拒絕安全組內的云主機訪問目的地址的指定端口。 安全組規則匹配流量時，首先按照優先級進行排序，其次按照策略排序，拒絕策略高于允許策略。	允許
類型	源地址支持的IP地址類型，如下： IPv4 IPv6	IPv4
入方向 協議端口	安全組規則中用來匹配流量的網絡協議類型，目前支持TCP、UDP、ICMP和GRE協議。 安全組規則中用來匹配流量的目的端口，取值范圍為：1～65535。 在入方向規則中，表示外部訪問安全組內實例的指定端口。 端口填寫支持下格式： 單個端口：例如22 連續端口：例如22-30 多個端口：例如22,23-30，一次最多支持20個不連續端口組， 端口組之間不能重復。 全部端口：為空或1-65535。	TCP 22或22-30或20,22-30
出方向 協議端口	安全組規則中用來匹配流量的網絡協議類型，目前支持TCP、UDP、ICMP和GRE協議。 安全組規則中用來匹配流量的目的端口，取值范圍為：1～65535。 在出方向規則中，表示安全組內實例訪問外部地址的指定端口。 端口填寫支持下格式： 單個端口：例如22 連續端口：例如22-30 多個端口：例如22,23-30，一次最多支持20個不連續端口組， 端口組之間不能重復。 全部端口：為空或1-65535。	TCP 22或22-30或20,22-30
源地址	在入方向規則中，用來匹配外部請求的源地址，支持以下格式： IP地址：表示源地址為某個固定的IP地址。當源地址選擇IP地址時，您可以在一個框內同時輸入或者粘貼多個IP地址，不同IP地址以“,”隔開。一個IP地址生成一條安全組規則。 單個IP地址：IP地址/掩碼。單個IPv4地址示例為192.168.10.10/32；單個IPv6地址示例為2002:50::44/128。 IP網段：IP地址/掩碼。IPv4網段示例為192.168.52.0/24；IPv6網段示例為2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全組：表示源地址為另外一個安全組，您可以在下拉列表中，選擇同一個區域內的其他安全組。當安全組A內有實例a，安全組B內有實例b，在安全組A的入方向規則中，放通源地址為安全組B的流量，則來自實例b的內網訪問請求被允許進入實例a。 IP地址組：表示源地址為一個IP地址組，IP地址組是一個或者多個IP地址的集合。您可以在下拉列表中，選擇可用的IP地址組。對于安全策略相同的IP網段和IP地址，此處建議您使用IP地址組簡化管理。	IP地址： 192.168.52.0/24，10.0.0.0/24
目的地址	在出方向規則中，用來匹配內部請求的目的地址。支持以下格式： IP地址：表示目的地址為某個固定的IP地址。當目的地址選擇IP地址時，您可以在一個框內同時輸入或者粘貼多個IP地址，不同IP地址以“,”隔開。一個IP地址生成一條安全組規則。 單個IP地址：IP地址/掩碼。單個IPv4地址示例為192.168.10.10/32；單個IPv6地址示例為2002:50::44/128。 IP網段：IP地址/掩碼。IPv4網段示例為192.168.52.0/24；IPv6網段示例為2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全組：表示源地址為另外一個安全組，您可以在下拉列表中，選擇同一個區域內的其他安全組。當安全組A內有實例a，安全組B內有實例b，在安全組A的入方向規則中，放通源地址為安全組B的流量，則來自實例b的內網訪問請求被允許進入實例a。 IP地址組：表示源地址為一個IP地址組，IP地址組是一個或者多個IP地址的集合。您可以在下拉列表中，選擇可用的IP地址組。對于安全策略相同的IP網段和IP地址，此處建議您使用IP地址組簡化管理。	IP地址： 192.168.52.0/24，10.0.0.0/24
描述	安全組規則的描述信息，非必填項。描述信息內容不能超過255個字符，且不能包含“<”和“>”。	-

檢查安全組規則是否生效

在安全組規則中放開某個端口后，您還需要確保實例內對應的端口也已經放通，安全組規則才會對實例生效。

假設您在某臺ECS上部署了網站，希望用戶能通過HTTP(80)端口訪問到您的網站，則您需要先在ECS所在安全組的入方向中，添加下表中的規則，放通HTTP(80)端口。

方向	優先級	策略	類型	協議端口	源地址
入方向	1	允許	IPv4	自定義TCP：80	IP地址：0.0.0.0/0

安全組規則添加完成后，您需要執行以下操作，檢查云主機內端口開放情況，并驗證配置是否生效。

登錄云主機，檢查云主機端口開放情況。

檢查Linux云主機端口：執行命令netstat -an | grep 80，查看TCP 80端口是否被監聽。

若回顯類似下圖所示，說明80端口已開通。

檢查Windows云主機端口：打開命令執行窗口（CMD），執行命令netstat -an | findstr 80，查看TCP 80端口是否被監聽。

若回顯類似下圖所示，說明80端口已開通。

打開瀏覽器，在地址欄里輸入“//云主機的彈性公網IP地址”。如果訪問成功，說明安全組規則已經生效。