安全組是一種虛擬防火墻，用于在云端劃分安全區(qū)域。通過配置安全組規(guī)則，您可以允許或禁止安全組內(nèi)的多臺云服務(wù)器的流量出/入。安全組具備狀態(tài)檢測和數(shù)據(jù)包過濾能力，可以阻止所有未在規(guī)則內(nèi)明確允許的流量。

特征和限制

● 恒創(chuàng)科技為新創(chuàng)建的云服務(wù)器默認分配一個安全組。您也可以在創(chuàng)建云服務(wù)器時，將其加入已有的安全組。

● 一臺云服務(wù)器暫時只可加入一個安全組。

● 只有相同數(shù)據(jù)中心區(qū)域的云服務(wù)器才能加入同一個安全組。

● 一臺云服務(wù)器至少屬于一個安全組。

● 安全組的默認規(guī)則是在出方向上的數(shù)據(jù)報文全部放行，入方向訪問受限。

● 同一個安全組內(nèi)的云服務(wù)器無需添加規(guī)則即可相互訪問。

● 在未設(shè)置允許訪問的安全組規(guī)則的情況下，不同安全組內(nèi)的云服務(wù)器之間默認內(nèi)網(wǎng)不通。

安全組規(guī)則

一條安全組規(guī)則由規(guī)則方向、協(xié)議類型、端口范圍、授權(quán) IP 等屬性確定， 詳見下表。

與您的云服務(wù)器建立數(shù)據(jù)通信之前，安全組會逐條匹配安全組規(guī)則，查詢是否放行訪問請求。

例如：您使用 VNC 遠程登錄云服務(wù)器時，安全組會逐一檢查：

① 入方向的安全組規(guī)則;

② 發(fā)送請求的設(shè)備的 IP 地址是否在授權(quán) IP 范圍內(nèi);

③ 端口是否已經(jīng)開啟等。

只有當安全組規(guī)則允許放行后，才能建立數(shù)據(jù)通信。

默認安全組

創(chuàng)建云服務(wù)器時，如果您未創(chuàng)建過安全組(或您未指定加入已有的安全組)，則恒創(chuàng)科技會為您創(chuàng)建一個默認安全組。

默認安全組已為您配置如下默認規(guī)則：

您可以根據(jù)業(yè)務(wù)需要，自行 添加安全組規(guī)則。例如，登錄寶塔面板時，需要 安全組放行 8888 端口。更多安全組規(guī)則配置示例，請參見 安全組應(yīng)用案例。

實踐建議

● 僅允許少量請求訪問云服務(wù)器時，可將安全組作為白名單使用。先設(shè)置安全組為拒絕全部訪問，然后逐一添加允許通信的訪問請求策略。

● 建議設(shè)置簡潔的安全組規(guī)則。如果您設(shè)置過多規(guī)則，任何規(guī)則變更都可能引起網(wǎng)絡(luò)不通的故障。

● 添加安全組規(guī)則時請遵循最小授權(quán)原則。例如，選擇開放具體的端口，如80/80。不要設(shè)置為端口范圍，如1/80。

● 添加安全組規(guī)則時，謹慎授權(quán) 0.0.0.0/0(全網(wǎng)段)訪問源。