1. 首页>
  2. 腾讯云代理

[产品使用] 安全组产品介绍

腾讯云 2017年04月13日 浏览1534

腾讯云代理 腾讯云直播申请 游戏上云

摘要: 安全组是一种有状态的包过滤功能的虚拟防火墙, 它用于设置单台或多台云服务器的网络访问控制, 是一种重要的网络安全隔离手段。 安全组是一个逻辑上的分组, 可以将同一地域内具有相同网络安全隔离需求的云服务器实例加到同一个安全组内。您可以通过安全组的网络策略对云服务器的出入流量进行安全过滤。 在您创建 CVM 实例时,将一个或多个安全组与该实例相关联。为安全组添加规则,规定流入或流出其关联的 CVM 实例的流量。 您可以随时修改安全组的规则;新规则立即生效,应用于与该安全组相关联的所有 CVM 实例。您在 CVM 实例控制台中,本机安全组配置的安全组们的优先级,将作为我们判断该实例总的规则的评估依据。

一、什么是安全组

安全组是一种有状态的包过滤功能的虚拟防火墙, 它用于设置单台或多台云服务器的网络访问控制, 是一种重要的网络安全隔离手段。
安全组是一个逻辑上的分组, 可以将同一地域内具有相同网络安全隔离需求的云服务器实例加到同一个安全组内。您可以通过安全组的网络策略对云服务器的出入流量进行安全过滤。
在您创建 CVM 实例时,将一个或多个安全组与该实例相关联。为安全组添加规则,规定流入或流出其关联的 CVM 实例的流量。

您可以随时修改安全组的规则;新规则立即生效,应用于与该安全组相关联的所有 CVM 实例。您在 CVM 实例控制台中,本机安全组配置的安全组们的优先级,将作为我们判断该实例总的规则的评估依据。


二、安全组的限制

安全组适用于 基础网络 和 私有网络 的 CVM 实例。
一个地域最多新建50个安全组,对于多项目用户,每个用户的每个项目在一个地域享有50个安全组配额。
一个安全组入站方向、出站方向的访问策略,各最多可设定100条。
一个 CVM 可以加入多个安全组,一个安全组可同时关联多个 CVM ,数量无限制。
注意:安全组内 CVM 实例个数虽无限制,但不易过多,如超过1000个,如果您有大量个数的 CVM 实例需要内网互访,可以将他们分配到多个安全组内,并通过
安全组ID的规则配置方式,进行互相授权允许互访。


功能描述
数量
安全组
50个/地域(多项目用户,每个项目可用50个配额)
访问策略
100条/入站方向,100条/出站方向
CVM关联安全组个数
无限制
安全组内CVM的个数
无限制


三、安全组的规则

安全组规则可控制允许到达与安全组相关联的 CVM 实例的入站流量以及允许离开 CVM 实例的出站流量。默认情况下,新建安全组将 All Drop 所有流量。

对于安全组Demo,她的每条规则,您可以指定以下几项内容:
a.协议类型:例如 TCP、UDP 或 ICMP 等。

b.端口:来源或目标的端口范围。

c.授权类型:地址段(CIDR/IP)访问,或
安全组访问(安全组ID)
d.来源(入站规则)或目标(出站规则)的以下选项之一:

    用 CIDR 表示法,指定的单个 IP 地址。
    用 CIDR 表示法,指定的 IP 地址范围(例如,203.0.113.0/24)。
    引用安全组ID。这条规则,设置策略为允许时,被引用安全组ID关联的 CVM 实例就可以访问【与安全组Demo关联的 CVM 实例】。您可以引用以下安全组的ID之一:

   当前安全组】

   【同一区域中的另一个安全组ID】

(注意:引用安全组ID作为高阶功能,您可选择使用,这不会将规则从引用安全组添加到当前安全组,即:此时安全组ID代表他关联的 CVM 实例们的 内网 IP 地址。) 
e.策略:允许,或拒绝。


四、安全组与网络ACL的区别

安全组
网络 ACL
在 CVM 实例级别的操作(第一防御层)
在子网级别的操作(第二防御层)
支持允许规则和拒绝规则
支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响
无状态:返回数据流必须被规则明确允许
只有在启动 CVM 实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例
自动应用到关联子网内的所有 CVM 实例(备份防御层,若CVM 实例为绑定安全组,这里可以做备份防御)


五、安全组云API

安全组的开发者工具,现已上线,您可通过云API来完成,安全组与CVM 实例的配置管理,点击这里


六、安全组操作指南

6.1 创建安全组

1. 打开 云服务器 CVM 控制台 https://console.qcloud.com/cvm/。
2. 在导航窗格中,单击 安全组(Security Groups)

3. 单击 新建安全组 (Create Security Group) 按钮。

4. 输入安全组的名称(例如,my-security-group)并提供说明。


6.2 删除安全组

1. 打开 云服务器 CVM 控制台。
2. 在导航窗格中,单击 安全组(Security Groups)
3. 选择安全组,然后单击“删除”
4. 在 删除安全组 (Delete Security Group ) 对话框中,单击 确定 (confirm)


6.3 添加一条安全组规则

1. 打开 云服务器 CVM 控制台 https://console.qcloud.com/cvm/。
2. 在导航窗格中,单击 安全组(Security Groups)

3. 选择需要更新的安全组,点击安全组ID。 详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。

4. 在入站规则 选项卡上,单击 编辑。从 选项卡 中选择用于入站规则的选项,然后填写所需信息。例如,选择 HTTP 或 HTTPS,将  指定为 0.0.0.0/0。完成后,单击 保存

5. 还可允许在所有与此安全组关联的实例之间进行通信。在入站规则 选项卡上,从 规则协议 列表中选择 All Traffic (所有流量)。开始在  字段中键入安全组的 ID;此操作会为您提供一个安全组列表。从该列表中选择安全组,然后单击 保存

6. 如果需要,可使用 出站规则 选项卡添加用于出站流量的规则。


6.4 CVM 实例更改安全组

1. 打开 云服务器 CVM 控制台 https://console.qcloud.com/cvm/。
2. 单击导航窗格中的云主机。
3. 右键单击CVM 实例,选择 配置安全组
4. 在更改安全组 对话框中,从列表中选择一个或多个安全组,然后单击分配安全组


6.5 安全组规则的导入导出

1. 打开 云服务器 CVM 控制台 https://console.qcloud.com/cvm/。
2. 在导航窗格中,单击 安全组(Security Groups)
3. 选择需要更新的安全组,点击安全组ID。 详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。

4. 在入站规则 选项卡上,单击 编辑。从 选项卡 中选择用于入站规则的选项,然后点击 导入规则 按钮,如原来您已有规则,则推荐您先导出现有规则,因为规则导入将覆盖原有规则,如原来为空规则,则可先导出模板,编辑好模板文件后,再将文件导入。

5. 如果需要,可使用 出站规则 选项卡 导入 用于出站流量的规则。


七、安全组常见问题

1)VPC下的CVM实例 能加入安全组吗?
可以,安全组支持 基础网络 和 私有网络的 CVM。

2)更改安全组规则后,会立即生效吗?
是的,您更改完安全组,选择保存后,系统会立即帮您生效。

3)安全组有项目属性吗?
安全组本身有项目属性的,支持分项目管理。

4)安全组内规则有条数限制吗?
有的,安全组的入站,出站规则条数上限均为100条。


腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群








原文地址:http://bbs.qcloud.com/thread-11478-1-1.html

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808