1、阿里云安全组防火墙操作手册 版本 1.0 第 1 页/共 29 页 阿里云安全组防火墙操作手册 2015 年 10 月,版本 1.0 阿里云安全组防火墙操作手册 版本 1.0 第 2 页/共 29 页 目录 第 1 章 简介.4 第 2 章 安全组规格.4 第 3 章 安全组规则.5 3.1 规则说明.5 3.2 默认规则.6 3.3 默认规则修改建议.8 3.4 安全组规则对通过 SLB 开放的服务不生效.9 第 4 章 安全组管理.9 4.1 创建安全组.9 4.2 移入安全组.12 4.3 移出安全组.13 4.4 删除安全组.13 4.5 添加安全组规则.14 4.6 克隆安全组规则.
2、16 4.7 删除安全组规则.16 第 5 章 安全组典型配置场景.16 5.1 场景 1:带公网 IP 的 ECS 实例.17 5.1.1 场景描述.17 5.1.2 网络架构.17 阿里云安全组防火墙操作手册 版本 1.0 第 3 页/共 29 页 5.1.3 安全设计.17 5.1.4 运维流程.18 5.2 场景 2:使用 VPN 远程安全运维.19 5.2.1 场景描述.19 5.2.2 网络架构.19 5.2.3 安全设计.20 5.2.4 运维流程.21 5.3 场景 3:只有内网 IP 的 ESC 实例通过 NAT 实例访问公网.22 5.3.1 场景描述.22 5.3.2 网
3、络架构.22 5.3.3 安全设计.23 5.3.4 运维流程.25 5.4 场景 4:使用 SLB 负载均衡提供公网服务.25 5.4.1 场景描述.25 5.4.2 网络架构.26 5.4.3 安全设计.26 5.4.4 运维流程.28 第 6 章 F&Q.29 6.1 修改安全组规则对于已经建立的TCP连接有影响吗?.29 6.2 为什么出方向ACCEPT ALL,但还是没法对外PING?.29 6.3 自己创建的安全组,所有规则为空,这个时候默认规则是什么?.29 阿里云安全组防火墙操作手册 版本 1.0 第 4 页/共 29 页 第1章 简介 安全组是阿里云提供的分布式虚拟化防火墙,
4、具备状态检测包过滤功能。安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。使用安全组可设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分网络安全域。每个实例至少属于一个安全组。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权某个源安全组或某个源网段访问目的安全组。第2章 安全组规格 1)安全组不能跨地域(Region)。2)安全组网络类型分为经典网络和专有网络(VPC),经典网络和专有网络内网不通。3)可以随时修改安全组及其规则,一般半分钟内生效,不影响用户的服务连续性,也不影响已
5、经建立好的 TCP 连接。4)安全组新规则会自动应用于与该安全组相关联的所有实例。5)安全组是有状态的,如果 TCP 数据包在 inbound 方向是被允许的,那么对应的此连接在 outbound 方向也是允许的。注意:udp 及 icmp报文是无状态的,需要双向放行。阿里云安全组防火墙操作手册 版本 1.0 第 5 页/共 29 页 6)如果给一个实例分配多个安全组,那么一个实例会应用多个安全组的所有规则。访问该实例时,可能会出现网络延时较大的问题。因此,我们建议您尽可能使规则简洁。产品和业务限制:规格项 用户限制描述 例外申请方式 单个安全组可配置实例数量 单个安全组内的实例个数不能超过
6、1000。如果有超过 1000个实例需要内网互访,可以将他们分配到多个安全组内,并通过互相授权的方式允许互访。无 单个安全组的授权规则数量 每个安全组规则条目最多 100 条。无 用户拥有安全组的配额 每个用户的安全组最多 100 个。无 单实例最多属于安全组个数 每个实例至少属于 1 个安全组,最多可以加入 5 个安全组。无 表格 1 安全组产品和业务限制 第3章 安全组规则 3.1 规则说明 名称 取值范围 描述 授权策略 允许/拒绝 规则方向 入方向/出方向 协议类型 tcp|udp|icmp|gre|全部 IP 协议,“全部”表示同时支持四种协议 阿里云安全组防火墙操作手册 版本 1.
7、0 第 6 页/共 29 页 端口范围 协议类型为 TCP/UDP 时取值范围 165535;协议类型为“全部/ICMP/GRE”时,取值-1/-1 IP 协议相关的端口号范围,tcp、udp 协议的端口号取值范围为 165535;例如“1/200”意思是端口号范围为 1200,若输入值为“200/1”接口调用将报错。单个端口例如“80/80”。优先级 1-100 默认值为 1,即最高优先级。数值越大优先级越低。相同优先级的授权规则,授权策略为“拒绝”的规则优先。网卡类型 经典网络可选“外网”或“内网”。专有网络(VPC)下只有“内网”。当对安全组进行相互授权时,必须指定网卡类型为“内网”授权
8、类型 地址段访问/安全组访问 授权许可访问的源,可以是同一地域(Region)内的其他安全组,也可以是地址段。授权对象 授权类型为“地址段访问”时,取值为 CIDR 网段;授权类型为“安全组访问”时,取值为该租户同一 Region 内的其他安全组 授权可访问目标安全组的源 IP 地址范围(采用CIDR 格式来指定 IP 地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12 或 10.159.6.186 表格 2 安全组规则说明 3.2 默认规则 1)入方向安全组规则为空时,默认 deny all,即拒绝所有入方向的访问;出方向安全组规则为空时,默
9、认 accept all,即允许所有出方向的访问。2)系统自动为租户创建默认安全组(System Created Security Group)。a)经典网络下默认安全组的默认网络访问控制规则为:内网入方向 deny all,出方向 accept all;阿里云安全组防火墙操作手册 版本 1.0 第 7 页/共 29 页 图 1 经典网络默认安全组默认内网入方向规则 图 2 经典网络默认安全组默认内网出方向规则 外网出方向、入方向均授权 0.0.0.0/0 全通,即对 internet accept all。图 3 经典网络默认安全组默认外网入方向规则 图 4 经典网络默认安全组默认外网出方向
10、规则 b)专有网络(VPC)下默认安全组的默认网络访问控制规则为:阿里云安全组防火墙操作手册 版本 1.0 第 8 页/共 29 页 内网出方向、入方向均授权 0.0.0.0/0 全通,即允许和 VPC 内其他任何安全组双向互访,此时绑定了弹性 IP(EIP)的实例对 internet 开放全部网络端口。图 5 专有网络默认安全组默认内网规则 3)租户自己创建的安全组,内网、外网默认规则均为出方向 accept all,入方向 deny all。3.3 默认规则修改建议 经典网络下外网入方向授权 0.0.0.0/0 全通,专有网络(VPC)下内网入方向授权 0.0.0.0/0 全通,这样会导致
11、有公网 IP 的实例(无论是经典网络的公网网卡还是专有网络的 EIP)对 internet 全部地址开放全部网络端口,非常不安全。因此当您部署了应用系统后,需要调整默认规则。我们建议:删除入方向 accept all 规则,根据实际业务需要开放允许访问的源 IP 地址和服务端口。在出方向增加拒绝规则,防止未经授权的对外访问。阿里云安全组防火墙操作手册 版本 1.0 第 9 页/共 29 页 3.4 安全组规则对通过 SLB 开放的服务不生效 由于 SLB 对源 IP 地址做了 SNAT,所以通过 SLB 对外开放的服务,访问后端 ECS 实例的源 IP 不是真实源 IP,而是 SLB 服务的
12、local IP。因此安全组规则对于通过 SLB 开放的服务不生效。如果需要对 SLB 开放的服务进行源 IP 地址访问控制,则应使用 SLB 服务提供的源 IP 白名单功能,仅允许白名单中 IP 地址访问 SLB 开放的服务。第4章 安全组管理 安全组有以下操作:创建安全组 移入安全组 移出安全组 删除安全组 添加安全组规则 克隆安全组规则 删除安全组规则 4.1 创建安全组 登录阿里云管理控制台,在“云服务器 ECS”里点击“安全组”打开安全组管理界面,进入安全组列表,选择地域:阿里云安全组防火墙操作手册 版本 1.0 第 10 页/共 29 页 图 6 安全组管理界面 点击“创建安全组”
13、:1.安全组名称:指定安全组名称,长度为 2-128 个字符,以大小写字母或中文开头,可包含数字,.,_或-。2.定义描述:建议描述安全组用途,长度为 2-256 个字符,不能以 http:/或 https:/开头。3.网络类型:经典网络或专有网络。选择专有网络时,会要求指定已创建的专有网络。阿里云安全组防火墙操作手册 版本 1.0 第 11 页/共 29 页 图 7 创建安全组-经典网络 图 8 创建安全组-专有网络 阿里云安全组防火墙操作手册 版本 1.0 第 12 页/共 29 页 4.2 移入安全组 在安全组列表页面,单击“管理实例”,进入“安全组内实例列表”。图 9 安全组列表-管理
14、实例 点击“移入安全组”按钮,图 10 安全组内实例列表-移入安全组 填写或选择需要加入到安全组的 ECS 实例,即可把实例加入到对应的安全组,安全组规则立即生效。图 11 移入安全组 阿里云安全组防火墙操作手册 版本 1.0 第 13 页/共 29 页 4.3 移出安全组 在“安全组内实例列表”页面,选取对应的实例,单击“移出安全组”按钮,可以将实例移出安全组。图 12 安全组内实例列表-移出安全组 注意:由于实例至少要属于一个安全组,所以如果该安全组是实例唯一的安全组,则“移出安全组”操作失败。图 13 移出安全组失败 4.4 删除安全组 在安全组列表页,选取想要删除的安全组,单击“删除”
15、按钮即可删除安全组。阿里云安全组防火墙操作手册 版本 1.0 第 14 页/共 29 页 图 14 安全组列表-删除安全组 注意:如果该安全组内还有 ECS 实例或者该安全组被其他安全组的规则引用,则删除安全组的操作会失败。4.5 添加安全组规则 在安全组列表界面,点击“配置规则”按钮,进入安全组规则页面修改对应安全组的规则:图 15 安全组列表-配置规则 进入安全组规则配置界面后,点击“添加安全组规则“阿里云安全组防火墙操作手册 版本 1.0 第 15 页/共 29 页 图 16 安全组规则-添加安全组规则 按需设置安全组规则:图 17 设置安全组规则 阿里云安全组防火墙操作手册 版本 1.
16、0 第 16 页/共 29 页 4.6 克隆安全组规则 在安全组规则页面,点击“克隆”按钮,可以快速创建一条新的安全组规则。图 18 安全组规则-克隆 阿里云不提供直接修改规则方法,可以采用“克隆”安全组规则功能快速修改规则克隆规则,修改并保存,删除原规则。4.7 删除安全组规则 在安全组规则页面,点击“删除”可以删除对应的安全组规则。图 19 安全组规则-删除 第5章 安全组典型配置场景 以下典型的ECS部署场景,在经典网络下需要区分网卡类型(外网或内网),在专有网络(VPC)下不需要区分网卡类型(只有内网)。阿里云安全组防火墙操作手册 版本 1.0 第 17 页/共 29 页 5.1 场景
17、 1:带公网 IP 的 ECS 实例 5.1.1 场景描述 ECS 实例既有内网 IP,也有公网 IP,可以接受来自公网的访问,也可以主动访问公网。5.1.2 网络架构 安全组 1:由对 Internet 提供 Web 服务的云服务器组成,所有 ECS 实例带公网 IP。5.1.3 安全设计 安全组 1 为 Internet 提供 Web 服务,对 Internet 开放 http/https 端口。用户网络公有 IP 地址范围固定:在安全组防火墙上限制仅用户网络公有 IP地址范围可以访问安全组 1 的远程管理端口。阿里云安全组防火墙操作手册 版本 1.0 第 18 页/共 29 页 用户网络
18、公有 IP 地址范围不固定:允许源地址 0.0.0.0/0 访问安全组 1 的远程管理端口。ECS 实例账户应使用强密码,建议长度至少 8 位,包含大写字母、小写字母、数字和特殊字符,可降低密码暴力破解风险。Linux 云服务器建议使用 SSH Key 认证登录方式,完全杜绝密码暴力破解可能。推荐安全组防火墙策略:安全组 1:授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 0.0.0.0/0 入方向 允许 外网 tcp 80 允许从任何地方对 Web 服务器进行入站 HTTP 访问 0.0.0.0/0 入方向 允许 外网 tcp 443 允许从任何地方对 Web 服务器进行入站
19、 HTTPS 访问 用户网络公有 IP 地址范围 入方向 允许 外网 tcp 22 Linux 实例允许来自用户网络的入站 SSH 访问 用户网络公有 IP 地址范围 入方向 允许 外网 tcp 3389 Windows 实例允许来自用户网络的入站 RDP 访问 5.1.4 运维流程 用户直接从公网使用运维工具连接 ECS 实例公网 IP 地址的远程管理端口。阿里云安全组防火墙操作手册 版本 1.0 第 19 页/共 29 页 5.2 场景 2:使用 VPN 远程安全运维 5.2.1 场景描述 ECS 实例既有内网 IP,也有公网 IP,可以接受来自公网的访问,也可以主动访问公网。为了防止远程
20、管理端口(SSH/RDP)暴露在公网上,使用 VPN 进行远程安全运维。5.2.2 网络架构 安全组 1:由对 Internet 提供 Web 服务的云服务器组成,所有 ECS 实例带公网 IP。运维安全组:由对 Internet 提供 VPN 服务的 VPN 实例组成,VPN 实例带公网 IP。阿里云安全组防火墙操作手册 版本 1.0 第 20 页/共 29 页 5.2.3 安全设计 安全组1为Internet提供Web服务,只对Internet开放http/https端口。运维安全组为 Internet 提供 VPN 服务,只对 Internet 开放 VPN 访问。允许运维安全组访问安全
21、组 1 的远程管理端口(SSH 或 RDP)。推荐安全组防火墙策略:安全组 1:授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 0.0.0.0/0 入方向 允许 外网 tcp 80 允许从任何地方对 Web 服务器进行入站 HTTP 访问 0.0.0.0/0 入方向 允许 外网 tcp 443 允许从任何地方对 Web 服务器进行入站 HTTPS 访问 运维安全组 入方向 允许 内网 tcp 22 Linux 实例允许来自运维安全组的入站 SSH 访问 运维安全组 入方向 允许 内网 tcp 3389 Windows 实例允许来自运维安全组的入站 RDP 访问 运维安全组:授权
22、访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 0.0.0.0/0 入方向 允许 外网 tcp 1723 如果使用 PPTP VPN,则允许从任何地方访问运维安全组的 PPTP VPN 服务 0.0.0.0/0 入方向 允许 外网 gre-1/-1 PPTP VPN 需要允许从任阿里云安全组防火墙操作手册 版本 1.0 第 21 页/共 29 页 何地方发起的 gre 协议访问 0.0.0.0/0 入方向 允许 外网 udp 500 如果使用 L2TP/IPSec VPN,则允许从任何地方访问运维安全组的 IPSec IKE服务 0.0.0.0/0 入方向 允许 外网 udp 45
23、00 如果使用 L2TP/IPSec VPN,则允许从任何地方访问运维安全组的 IPSec NAT-T 服务 0.0.0.0/0 入方向 允许 外网 udp 1194 如果使用默认的OpenVPN 协议和端口,则允许从任何地方访问运维安全组的 OpenVPN 服务 5.2.4 运维流程 1.在客户端(例如台式机或者笔记本)配置 VPN 连接;2.连接 VPN,进入云端系统内部网络;3.在客户端使用远程桌面或者 SSH 运维工具连接 ECS 云服务器内网 IP;4.在客户端使用数据库运维工具连接 RDS 数据库实例内网 IP。阿里云安全组防火墙操作手册 版本 1.0 第 22 页/共 29 页
24、5.3 场景 3:只有内网 IP 的 ESC 实例通过 NAT 实例访问公网 5.3.1 场景描述 部分 ECS 实例仅有内网 IP,但是也有主动访问公网的需求。可以通过一个带公网 IP 的 NAT 实例实现。注意:NAT 实例仅在专有网络(VPC)下可用,经典网络不支持 NAT 实例。5.3.2 网络架构 基础场景网络架构:通过 NAT 实例访问公网:阿里云安全组防火墙操作手册 版本 1.0 第 23 页/共 29 页 安全组 1:由对 Internet 提供 Web 服务的云服务器组成,所有 ECS 实例带公网 IP。安全组 2:由应用服务器组成,这些云服务器没有公网 IP,无法从公网直接
25、访问,也无法主动访问公网。运维安全组:VPN&NAT 实例一方面对 Internet 提供 VPN 服务,一方面为内网其他云服务器提供 NAT 上公网服务。5.3.3 安全设计 推荐安全组防火墙策略:安全组 1:授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 0.0.0.0/0 入方向 允许 外网 tcp 80 允许从任何地方对 Web 服务器进行入站 HTTP 访问 0.0.0.0/0 入方向 允许 外网 tcp 443 允许从任何地方对 Web 服阿里云安全组防火墙操作手册 版本 1.0 第 24 页/共 29 页 务器进行入站 HTTPS 访问 运维安全组 入方向 允许
26、内网 tcp 22 Linux 实例允许来自运维安全组的入站 SSH 访问 运维安全组 入方向 允许 内网 tcp 3389 Windows 实例允许来自运维安全组的入站 RDP 访问 安全组 2:授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 安全组 1 入方向 允许 内网 tcp 8080 允许安全组1 访问安全组2的应用服务端口 运维安全组 入方向 允许 内网 tcp 22 Linux 实例允许来自运维安全组的入站 SSH 访问 运维安全组 入方向 允许 内网 tcp 3389 Windows 实例允许来自运维安全组的入站 RDP 访问 运维安全组:授权访问源 规则方向
27、授权策略 网卡类型 协议 目的端口 备注 0.0.0.0/0 入方向 允许 外网 tcp 1723 如果使用 PPTP VPN,则允许从任何地方访问运维安全组的 PPTP VPN 服务 0.0.0.0/0 入方向 允许 外网 gre-1/-1 PPTP VPN 需要允许从任何地方发起的 gre 协议访问 阿里云安全组防火墙操作手册 版本 1.0 第 25 页/共 29 页 0.0.0.0/0 入方向 允许 外网 udp 500 如果使用 L2TP/IPSec VPN,则允许从任何地方访问运维安全组的 IPSec IKE服务 0.0.0.0/0 入方向 允许 外网 udp 4500 如果使用 L
28、2TP/IPSec VPN,则允许从任何地方访问运维安全组的 IPSec NAT-T 服务 0.0.0.0/0 入方向 允许 外网 udp 1194 如果使用默认的OpenVPN 协议和端口,则允许从任何地方访问运维安全组的 OpenVPN 服务 5.3.4 运维流程 使用 VPN 进行远程安全运维。5.4 场景 4:使用 SLB 负载均衡提供公网服务 5.4.1 场景描述 负载均衡(Server Load Balancer,简称 SLB)是对多台云服务器进行流量分发的负载均衡服务。SLB 可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。使用公网 SLB 时,
29、ECS 实例可以没有公网 IP。阿里云安全组防火墙操作手册 版本 1.0 第 26 页/共 29 页 没有公网 IP 的 ECS 实例可以通过公网 SLB 接受来自公网的访问,但不可以主动向公网发起访问。使用公网 SLB 时,如果 ECS 实例有公网 IP,可参考场景 1。5.4.2 网络架构 安全组 1:由对 Internet 提供 Web 服务的云服务器组成,这些云服务器没有公网 IP,通过公网 SLB 对 Internet 提供 Web 服务。安全组 2:由应用服务器组成,这些云服务器没有公网 IP,通过私网 SLB为安全组 1 提供服务。运维安全组:由对 Internet 提供 VPN
30、 服务的 VPN 实例组成,VPN 实例带公网 IP。5.4.3 安全设计 安全组1为Internet提供Web服务,只对Internet开放http/https端口。安全组 2 为安全组 1 提供应用服务,对安全组 1 开放应用服务端口。阿里云安全组防火墙操作手册 版本 1.0 第 27 页/共 29 页 运维安全组为 Internet 提供 VPN 服务,只对 Internet 开放 VPN 访问 允许运维安全组访问安全组 1 和安全组 2 的远程管理端口(SSH 或 RDP)。推荐安全组防火墙策略:安全组 1:授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 0.0.0.0
31、/0 入方向 允许 内网 tcp 80 允许从任何地方对 Web 服务器进行入站 HTTP 访问 0.0.0.0/0 入方向 允许 内网 tcp 443 允许从任何地方对 Web 服务器进行入站 HTTPS 访问 运维安全组 入方向 允许 内网 tcp 22 Linux 实例允许来自运维安全组的入站 SSH 访问 运维安全组 入方向 允许 内网 tcp 3389 Windows 实例允许来自运维安全组的入站 RDP 访问 安全组 2:授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 安全组 1 入方向 允许 内网 tcp 8080 允许安全组1 访问安全组2的应用服务端口 运维安
32、全组 入方向 允许 内网 tcp 22 Linux 实例允许来自运维安全组的入站 SSH 访问 运维安全组 入方向 允许 内网 tcp 3389 Windows 实例允许来自运维安全组的入站 RDP 访问 运维安全组:阿里云安全组防火墙操作手册 版本 1.0 第 28 页/共 29 页 授权访问源 规则方向 授权策略 网卡类型 协议 目的端口 备注 0.0.0.0/0 入方向 允许 外网 tcp 1723 如果使用 PPTP VPN,则允许从任何地方访问运维安全组的 PPTP VPN 服务 0.0.0.0/0 入方向 允许 外网 gre-1/-1 PPTP VPN 需要允许从任何地方发起的 g
33、re 协议访问 0.0.0.0/0 入方向 允许 外网 udp 500 如果使用 L2TP/IPSec VPN,则允许从任何地方访问运维安全组的 IPSec IKE服务 0.0.0.0/0 入方向 允许 外网 udp 4500 如果使用 L2TP/IPSec VPN,则允许从任何地方访问运维安全组的 IPSec NAT-T 服务 0.0.0.0/0 入方向 允许 外网 udp 1194 如果使用默认的OpenVPN 协议和端口,则允许从任何地方访问运维安全组的 OpenVPN 服务 5.4.4 运维流程 1.在客户端(例如台式机或者笔记本)配置 VPN 连接;阿里云安全组防火墙操作手册 版本 1.0 第 29 页/共 29 页 2.连接 VPN,进入云端系统内部网络;3.在客户端使用远程桌面或者 SSH 运维工具连接 ECS 云服务器内网 IP;4.在客户端使用数据库运维工具连接 RDS
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 