安全组是ECS实例的虚拟防火墙,用于设置单个或多个ECS实例的网络访问控制,每台ECS实例至少需要属于一个安全组。本文介绍如何在ECS控制台上创建一个安全组并设置安全组规则。

前提条件

如果您要创建专有网络VPC类型安全组,请确认您已经有可用的专有网络VPC和交换机。更多信息,请参见使用专有网络

背景信息

在您创建ECS实例时,如果您还未创建过安全组,阿里云会为您创建一个默认安全组。默认安全组中的默认规则如下所示:
  • 默认开放ICMP协议,用于Ping ECS服务器等操作。
  • 默认入方向开放SSH 22端口和RDP 3389端口,用于访问ECS实例。
  • 可选入方向开放HTTP 80端口和HTTPS 443端口,如果您使用ECS实例进行建站,需要选中HTTP 80端口和HTTPS 443端口。

如果您希望ECS实例加入自定义的安全组,您可以根据以下操作先自行创建安全组。更多信息,请参见安全组概述

操作步骤

  1. 进入安全组页面。
    1. 登录ECS管理控制台
    2. 在左侧导航栏,选择网络与安全 > 安全组
    3. 在顶部菜单栏左上角处,选择地域。
  2. 单击创建安全组
  3. 基本信息区域,设置安全组的基本信息。
    名称 描述
    安全组名称 设置安全组名称。
    描述 简短地描述安全组,方便后期管理。
    网络 设置安全组的网络类型。
    • 如果为专有网络类型安全组,选择已经创建的专有网络VPC。
    • 如果为经典网络类型安全组,选择经典网络
    安全组类型 选择安全组类型。
    • 普通安全组:适用于集群规模较小,网络连接数适中的用户场景。
    • 企业级安全组:适用于集群规模较大,对运维效率有更高需求的用户场景。

    更多功能差异,请参见安全组概述
    资源组 设置安全组所属的资源组,便于后续分类运维。
    标签 设置安全组的标签信息,便于后续分类运维。
  4. 可选:访问规则区域,设置安全组规则。
    默认情况下,系统已经为您配置基本的安全组规则。如果您需要自定义其他规则,可以参考以下操作。更多信息,请参见 添加安全组规则
    1. 单击入方向出方向等页签,选择安全组规则方向。
      网络类型 选择规则方向
      专有网络VPC
      • 入方向:同时控制公网和内网入方向。

        默认已允许ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口的入方向规则。

      • 出方向:同时控制公网和内网出方向。

        普通安全组默认全允许;企业安全组默认全拒绝。
      经典网络
      • 公网入方向:默认已设置针对ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口的入方向规则。
      • 公网出方向:默认全允许。
      • 入方向:内网入方向,默认全拒绝。
      • 出方向:内网出方向,默认全允许。
    2. 单击手动添加
    3. 设置自定义的安全组规则。
      名称 描述
      授权策略
      • 允许:放行该端口相应的访问请求。
      • 拒绝:直接丢弃数据包,不会返回任何回应信息。

      如果两个安全组规则其他都相同只有授权策略不同,则拒绝授权生效,允许策略不生效。

      优先级 优先级数值越小,优先级越高,取值范围为1~100。
      协议类型 协议类型包括:
      • 全部:支持全部协议类型。
      • 自定义TCP:支持TCP协议。
      • 自定义UDP:支持UDP协议。
      • 全部ICMP(IPv4):支持ICMP(IPv4)协议。
      • 全部ICMP(IPv6):支持ICMP(IPv6)协议。
      • 全部GRE:支持GRE协议。
      关于协议类型端口范围的更多信息,请参见添加安全组规则常用端口
      端口范围 协议类型自定义TCP自定义UDP时,可手动设置端口访问。多个端口范围以英文半角逗号分隔,例如22/23,443/443
      授权对象 支持以下方式设置授权对象。
      • IP地址

        设置单一IP地址,例如192.168.0.100、2408:4321:180:1701:94c7:bc38:3bfa:。

      • CIDR地址块:

        设置IP地址段,例如192.168.0.0/24、2408:4321:180:1701:94c7:bc38:3bfa:***/128。关于CIDR介绍,请参见什么是CIDR?

      • 安全组
        安全组访问只对内网有效。授权本账号或其他账号下某个安全组中的ECS实例访问本安全组中的ECS实例,实现内网互通。
        说明 企业安全组不支持授权安全组访问。
        • 本账号授权:填写同账号下的目标安全组ID。如果是专有网络VPC类型的安全组,目的安全组必须在同一个专有网络VPC中。
        • 跨账号授权:填写目标阿里云账号ID和目标安全组ID(格式为目标阿里云账号ID/目标安全组ID)。在账号管理 > 安全设置里查看阿里云账号ID。
      • 前缀列表

        前缀列表是一些网络前缀(CIDR地址块的简称)的集合,仅支持VPC网络。您选择前缀列表后,这条安全组规则将会对前缀列表中的所有CIDR地址块生效。更多信息,请参见前缀列表概述创建前缀列表

        选择前缀列表后,前缀列表的最大条目容量会占用安全组规则额度。例如,某前缀列表的最大条目容量设置为100个,如果安全组引用该前缀列表,就会占用该安全组100个规则额度,即使该前缀列表中已有的条目数未达到100条。

      设置注意事项如下:
      • 支持多组授权对象,用英文半角逗号(,)隔开,最多支持10组授权对象。
      • 如果填写0.0.0.0/0(IPv4)或者::/0(IPv6),表示所有IP地址的访问,设置时请务必谨慎。
      • 出于安全性考虑,经典网络的内网入方向规则,授权对象优先使用安全组。如果使用IP地址,则只能授权单一IP地址,不能使用CIDR地址块。
      描述 安全组规则描述信息。
  5. 单击创建安全组
    以下实例演示了如何创建一个安全组。 创建安全组

执行结果

创建成功后,安全组列表中新增了一个安全组。 创建安全组结果

后续步骤

  • 您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。具体操作,请参见添加安全组规则
  • 每台ECS实例至少属于一个安全组,您可以根据业务需要,将ECS实例加入一个或多个安全组。具体操作,请参见ECS实例加入安全组
  • 实例设置安全组后如果发现业务无法访问,您需要排查业务服务是否启动、服务端口和安全组规则是否一致等问题。更多信息,请参见安全组常见问题处理