阿里云安全组防火墙操作手册v.pdf

阿里云安全组防火墙操作手册v.pdf

《阿里云安全组防火墙操作手册v.pdf》由会员分享，可在线阅读，更多相关《阿里云安全组防火墙操作手册v.pdf（29页珍藏版）》请在冰点文库上搜索。

阿里云安全组防火墙操作手册版本1.0第1页/共29页阿里云安全组防火墙操作手册2015年10月，版本1.0阿里云安全组防火墙操作手册版本1.0第2页/共29页目录第1章简介.4第2章安全组规格.4第3章安全组规则.53.1规则说明.53.2默认规则.63.3默认规则修改建议.83.4安全组规则对通过SLB开放的服务不生效.9第4章安全组管理.94.1创建安全组.94.2移入安全组.124.3移出安全组.134.4删除安全组.134.5添加安全组规则.144.6克隆安全组规则.164.7删除安全组规则.16第5章安全组典型配置场景.165.1场景1：

带公网IP的ECS实例.175.1.1场景描述.175.1.2网络架构.17阿里云安全组防火墙操作手册版本1.0第3页/共29页5.1.3安全设计.175.1.4运维流程.185.2场景2：

使用VPN远程安全运维.195.2.1场景描述.195.2.2网络架构.195.2.3安全设计.205.2.4运维流程.215.3场景3：

只有内网IP的ESC实例通过NAT实例访问公网.225.3.1场景描述.225.3.2网络架构.225.3.3安全设计.235.3.4运维流程.255.4场景4：

使用SLB负载均衡提供公网服务.255.4.1场景描述.255.4.2网络架构.265.4.3安全设计.265.4.4运维流程.28第6章F&Q.296.1修改安全组规则对于已经建立的TCP连接有影响吗？

.296.2为什么出方向ACCEPTALL，但还是没法对外PING？

.296.3自己创建的安全组，所有规则为空，这个时候默认规则是什么？

.29阿里云安全组防火墙操作手册版本1.0第4页/共29页第1章简介安全组是阿里云提供的分布式虚拟化防火墙，具备状态检测包过滤功能。

安全组是一个逻辑上的分组，这个分组是由同一个地域（Region）内具有相同安全保护需求并相互信任的实例组成。

使用安全组可设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分网络安全域。

每个实例至少属于一个安全组。

同一安全组内的实例之间网络互通，不同安全组的实例之间默认内网不通，可以授权某个源安全组或某个源网段访问目的安全组。

第2章安全组规格1）安全组不能跨地域（Region）。

2）安全组网络类型分为经典网络和专有网络（VPC），经典网络和专有网络内网不通。

3）可以随时修改安全组及其规则，一般半分钟内生效，不影响用户的服务连续性，也不影响已经建立好的TCP连接。

4）安全组新规则会自动应用于与该安全组相关联的所有实例。

5）安全组是有状态的，如果TCP数据包在inbound方向是被允许的，那么对应的此连接在outbound方向也是允许的。

注意：

udp及icmp报文是无状态的，需要双向放行。

阿里云安全组防火墙操作手册版本1.0第5页/共29页6）如果给一个实例分配多个安全组，那么一个实例会应用多个安全组的所有规则。

访问该实例时，可能会出现网络延时较大的问题。

因此，我们建议您尽可能使规则简洁。

产品和业务限制：

规格项用户限制描述例外申请方式单个安全组可配置实例数量单个安全组内的实例个数不能超过1000。

如果有超过1000个实例需要内网互访，可以将他们分配到多个安全组内，并通过互相授权的方式允许互访。

无单个安全组的授权规则数量每个安全组规则条目最多100条。

无用户拥有安全组的配额每个用户的安全组最多100个。

无单实例最多属于安全组个数每个实例至少属于1个安全组，最多可以加入5个安全组。

无表格1安全组产品和业务限制第3章安全组规则3.1规则说明名称取值范围描述授权策略允许/拒绝规则方向入方向/出方向协议类型tcp|udp|icmp|gre|全部IP协议，“全部”表示同时支持四种协议阿里云安全组防火墙操作手册版本1.0第6页/共29页端口范围协议类型为TCP/UDP时取值范围165535；协议类型为“全部/ICMP/GRE”时，取值-1/-1IP协议相关的端口号范围，tcp、udp协议的端口号取值范围为165535；例如“1/200”意思是端口号范围为1200，若输入值为“200/1”接口调用将报错。

单个端口例如“80/80”。

优先级1-100默认值为1，即最高优先级。

数值越大优先级越低。

相同优先级的授权规则，授权策略为“拒绝”的规则优先。

网卡类型经典网络可选“外网”或“内网”。

专有网络（VPC）下只有“内网”。

当对安全组进行相互授权时，必须指定网卡类型为“内网”授权类型地址段访问/安全组访问授权许可访问的源，可以是同一地域（Region）内的其他安全组，也可以是地址段。

授权对象授权类型为“地址段访问”时，取值为CIDR网段；授权类型为“安全组访问”时，取值为该租户同一Region内的其他安全组授权可访问目标安全组的源IP地址范围（采用CIDR格式来指定IP地址范围），默认值为0.0.0.0/0（表示不受限制），其他支持的格式如10.159.6.18/12或10.159.6.186表格2安全组规则说明3.2默认规则1）入方向安全组规则为空时，默认denyall，即拒绝所有入方向的访问；出方向安全组规则为空时，默认acceptall，即允许所有出方向的访问。

2）系统自动为租户创建默认安全组（SystemCreatedSecurityGroup）。

a）经典网络下默认安全组的默认网络访问控制规则为：

内网入方向denyall，出方向acceptall；阿里云安全组防火墙操作手册版本1.0第7页/共29页图1经典网络默认安全组默认内网入方向规则图2经典网络默认安全组默认内网出方向规则外网出方向、入方向均授权0.0.0.0/0全通，即对internetacceptall。

图3经典网络默认安全组默认外网入方向规则图4经典网络默认安全组默认外网出方向规则b）专有网络（VPC）下默认安全组的默认网络访问控制规则为：

阿里云安全组防火墙操作手册版本1.0第8页/共29页内网出方向、入方向均授权0.0.0.0/0全通，即允许和VPC内其他任何安全组双向互访，此时绑定了弹性IP（EIP）的实例对internet开放全部网络端口。

图5专有网络默认安全组默认内网规则3）租户自己创建的安全组，内网、外网默认规则均为出方向acceptall，入方向denyall。

3.3默认规则修改建议经典网络下外网入方向授权0.0.0.0/0全通，专有网络（VPC）下内网入方向授权0.0.0.0/0全通，这样会导致有公网IP的实例（无论是经典网络的公网网卡还是专有网络的EIP）对internet全部地址开放全部网络端口，非常不安全。

因此当您部署了应用系统后，需要调整默认规则。

我们建议：

删除入方向acceptall规则，根据实际业务需要开放允许访问的源IP地址和服务端口。

在出方向增加拒绝规则，防止未经授权的对外访问。

阿里云安全组防火墙操作手册版本1.0第9页/共29页3.4安全组规则对通过SLB开放的服务不生效由于SLB对源IP地址做了SNAT，所以通过SLB对外开放的服务，访问后端ECS实例的源IP不是真实源IP，而是SLB服务的localIP。

因此安全组规则对于通过SLB开放的服务不生效。

如果需要对SLB开放的服务进行源IP地址访问控制，则应使用SLB服务提供的源IP白名单功能，仅允许白名单中IP地址访问SLB开放的服务。

第4章安全组管理安全组有以下操作：

创建安全组移入安全组移出安全组删除安全组添加安全组规则克隆安全组规则删除安全组规则4.1创建安全组登录阿里云管理控制台，在“云服务器ECS”里点击“安全组”打开安全组管理界面，进入安全组列表，选择地域：

阿里云安全组防火墙操作手册版本1.0第10页/共29页图6安全组管理界面点击“创建安全组”：

1.安全组名称：

指定安全组名称，长度为2-128个字符，以大小写字母或中文开头，可包含数字，.，_或-。

2.定义描述：

建议描述安全组用途，长度为2-256个字符，不能以http:

/或https:

/开头。

3.网络类型：

经典网络或专有网络。

选择专有网络时，会要求指定已创建的专有网络。

阿里云安全组防火墙操作手册版本1.0第11页/共29页图7创建安全组-经典网络图8创建安全组-专有网络阿里云安全组防火墙操作手册版本1.0第12页/共29页4.2移入安全组在安全组列表页面，单击“管理实例”，进入“安全组内实例列表”。

图9安全组列表-管理实例点击“移入安全组”按钮，图10安全组内实例列表-移入安全组填写或选择需要加入到安全组的ECS实例，即可把实例加入到对应的安全组，安全组规则立即生效。

图11移入安全组阿里云安全组防火墙操作手册版本1.0第13页/共29页4.3移出安全组在“安全组内实例列表”页面，选取对应的实例，单击“移出安全组”按钮，可以将实例移出安全组。

图12安全组内实例列表-移出安全组注意：

由于实例至少要属于一个安全组，所以如果该安全组是实例唯一的安全组，则“移出安全组”操作失败。

图13移出安全组失败4.4删除安全组在安全组列表页，选取想要删除的安全组，单击“删除”按钮即可删除安全组。

阿里云安全组防火墙操作手册版本1.0第14页/共29页图14安全组列表-删除安全组注意：

如果该安全组内还有ECS实例或者该安全组被其他安全组的规则引用，则删除安全组的操作会失败。

4.5添加安全组规则在安全组列表界面，点击“配置规则”按钮，进入安全组规则页面修改对应安全组的规则：

图15安全组列表-配置规则进入安全组规则配置界面后，点击“添加安全组规则“阿里云安全组防火墙操作手册版本1.0第15页/共29页图16安全组规则-添加安全组规则按需设置安全组规则：

图17设置安全组规则阿里云安全组防火墙操作手册版本1.0第16页/共29页4.6克隆安全组规则在安全组规则页面，点击“克隆”按钮，可以快速创建一条新的安全组规则。

图18安全组规则-克隆阿里云不提供直接修改规则方法，可以采用“克隆”安全组规则功能快速修改规则克隆规则，修改并保存，删除原规则。

4.7删除安全组规则在安全组规则页面，点击“删除”可以删除对应的安全组规则。

图19安全组规则-删除第5章安全组典型配置场景以下典型的ECS部署场景，在经典网络下需要区分网卡类型（外网或内网），在专有网络（VPC）下不需要区分网卡类型（只有内网）。

阿里云安全组防火墙操作手册版本1.0第17页/共29页5.1场景1：

带公网IP的ECS实例5.1.1场景描述ECS实例既有内网IP，也有公网IP，可以接受来自公网的访问，也可以主动访问公网。

5.1.2网络架构安全组1：

由对Internet提供Web服务的云服务器组成，所有ECS实例带公网IP。

5.1.3安全设计安全组1为Internet提供Web服务，对Internet开放http/https端口。

用户网络公有IP地址范围固定：

在安全组防火墙上限制仅用户网络公有IP地址范围可以访问安全组1的远程管理端口。

阿里云安全组防火墙操作手册版本1.0第18页/共29页用户网络公有IP地址范围不固定：

允许源地址0.0.0.0/0访问安全组1的远程管理端口。

ECS实例账户应使用强密码，建议长度至少8位，包含大写字母、小写字母、数字和特殊字符，可降低密码暴力破解风险。

Linux云服务器建议使用SSHKey认证登录方式，完全杜绝密码暴力破解可能。

推荐安全组防火墙策略：

安全组1：

授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许外网tcp80允许从任何地方对Web服务器进行入站HTTP访问0.0.0.0/0入方向允许外网tcp443允许从任何地方对Web服务器进行入站HTTPS访问用户网络公有IP地址范围入方向允许外网tcp22Linux实例允许来自用户网络的入站SSH访问用户网络公有IP地址范围入方向允许外网tcp3389Windows实例允许来自用户网络的入站RDP访问5.1.4运维流程用户直接从公网使用运维工具连接ECS实例公网IP地址的远程管理端口。

阿里云安全组防火墙操作手册版本1.0第19页/共29页5.2场景2：

使用VPN远程安全运维5.2.1场景描述ECS实例既有内网IP，也有公网IP，可以接受来自公网的访问，也可以主动访问公网。

为了防止远程管理端口（SSH/RDP）暴露在公网上，使用VPN进行远程安全运维。

5.2.2网络架构安全组1：

由对Internet提供Web服务的云服务器组成，所有ECS实例带公网IP。

运维安全组：

由对Internet提供VPN服务的VPN实例组成，VPN实例带公网IP。

阿里云安全组防火墙操作手册版本1.0第20页/共29页5.2.3安全设计安全组1为Internet提供Web服务，只对Internet开放http/https端口。

运维安全组为Internet提供VPN服务，只对Internet开放VPN访问。

允许运维安全组访问安全组1的远程管理端口（SSH或RDP）。

推荐安全组防火墙策略：

安全组1：

授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许外网tcp80允许从任何地方对Web服务器进行入站HTTP访问0.0.0.0/0入方向允许外网tcp443允许从任何地方对Web服务器进行入站HTTPS访问运维安全组入方向允许内网tcp22Linux实例允许来自运维安全组的入站SSH访问运维安全组入方向允许内网tcp3389Windows实例允许来自运维安全组的入站RDP访问运维安全组：

授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许外网tcp1723如果使用PPTPVPN，则允许从任何地方访问运维安全组的PPTPVPN服务0.0.0.0/0入方向允许外网gre-1/-1PPTPVPN需要允许从任阿里云安全组防火墙操作手册版本1.0第21页/共29页何地方发起的gre协议访问0.0.0.0/0入方向允许外网udp500如果使用L2TP/IPSecVPN，则允许从任何地方访问运维安全组的IPSecIKE服务0.0.0.0/0入方向允许外网udp4500如果使用L2TP/IPSecVPN，则允许从任何地方访问运维安全组的IPSecNAT-T服务0.0.0.0/0入方向允许外网udp1194如果使用默认的OpenVPN协议和端口，则允许从任何地方访问运维安全组的OpenVPN服务5.2.4运维流程1.在客户端（例如台式机或者笔记本）配置VPN连接；2.连接VPN，进入云端系统内部网络；3.在客户端使用远程桌面或者SSH运维工具连接ECS云服务器内网IP；4.在客户端使用数据库运维工具连接RDS数据库实例内网IP。

阿里云安全组防火墙操作手册版本1.0第22页/共29页5.3场景3：

只有内网IP的ESC实例通过NAT实例访问公网5.3.1场景描述部分ECS实例仅有内网IP，但是也有主动访问公网的需求。

可以通过一个带公网IP的NAT实例实现。

注意：

NAT实例仅在专有网络（VPC）下可用，经典网络不支持NAT实例。

5.3.2网络架构基础场景网络架构：

通过NAT实例访问公网：

阿里云安全组防火墙操作手册版本1.0第23页/共29页安全组1：

由对Internet提供Web服务的云服务器组成，所有ECS实例带公网IP。

安全组2：

由应用服务器组成，这些云服务器没有公网IP，无法从公网直接访问，也无法主动访问公网。

运维安全组：

VPN&NAT实例一方面对Internet提供VPN服务，一方面为内网其他云服务器提供NAT上公网服务。

5.3.3安全设计推荐安全组防火墙策略：

安全组1：

授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许外网tcp80允许从任何地方对Web服务器进行入站HTTP访问0.0.0.0/0入方向允许外网tcp443允许从任何地方对Web服阿里云安全组防火墙操作手册版本1.0第24页/共29页务器进行入站HTTPS访问运维安全组入方向允许内网tcp22Linux实例允许来自运维安全组的入站SSH访问运维安全组入方向允许内网tcp3389Windows实例允许来自运维安全组的入站RDP访问安全组2：

授权访问源规则方向授权策略网卡类型协议目的端口备注安全组1入方向允许内网tcp8080允许安全组1访问安全组2的应用服务端口运维安全组入方向允许内网tcp22Linux实例允许来自运维安全组的入站SSH访问运维安全组入方向允许内网tcp3389Windows实例允许来自运维安全组的入站RDP访问运维安全组：

授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许外网tcp1723如果使用PPTPVPN，则允许从任何地方访问运维安全组的PPTPVPN服务0.0.0.0/0入方向允许外网gre-1/-1PPTPVPN需要允许从任何地方发起的gre协议访问阿里云安全组防火墙操作手册版本1.0第25页/共29页0.0.0.0/0入方向允许外网udp500如果使用L2TP/IPSecVPN，则允许从任何地方访问运维安全组的IPSecIKE服务0.0.0.0/0入方向允许外网udp4500如果使用L2TP/IPSecVPN，则允许从任何地方访问运维安全组的IPSecNAT-T服务0.0.0.0/0入方向允许外网udp1194如果使用默认的OpenVPN协议和端口，则允许从任何地方访问运维安全组的OpenVPN服务5.3.4运维流程使用VPN进行远程安全运维。

5.4场景4：

使用SLB负载均衡提供公网服务5.4.1场景描述负载均衡（ServerLoadBalancer，简称SLB）是对多台云服务器进行流量分发的负载均衡服务。

SLB可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

使用公网SLB时，ECS实例可以没有公网IP。

阿里云安全组防火墙操作手册版本1.0第26页/共29页没有公网IP的ECS实例可以通过公网SLB接受来自公网的访问，但不可以主动向公网发起访问。

使用公网SLB时，如果ECS实例有公网IP，可参考场景1。

5.4.2网络架构安全组1：

由对Internet提供Web服务的云服务器组成，这些云服务器没有公网IP，通过公网SLB对Internet提供Web服务。

安全组2：

由应用服务器组成，这些云服务器没有公网IP，通过私网SLB为安全组1提供服务。

运维安全组：

由对Internet提供VPN服务的VPN实例组成，VPN实例带公网IP。

5.4.3安全设计安全组1为Internet提供Web服务，只对Internet开放http/https端口。

安全组2为安全组1提供应用服务，对安全组1开放应用服务端口。

阿里云安全组防火墙操作手册版本1.0第27页/共29页运维安全组为Internet提供VPN服务，只对Internet开放VPN访问允许运维安全组访问安全组1和安全组2的远程管理端口（SSH或RDP）。

推荐安全组防火墙策略：

安全组1：

授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许内网tcp80允许从任何地方对Web服务器进行入站HTTP访问0.0.0.0/0入方向允许内网tcp443允许从任何地方对Web服务器进行入站HTTPS访问运维安全组入方向允许内网tcp22Linux实例允许来自运维安全组的入站SSH访问运维安全组入方向允许内网tcp3389Windows实例允许来自运维安全组的入站RDP访问安全组2：

授权访问源规则方向授权策略网卡类型协议目的端口备注安全组1入方向允许内网tcp8080允许安全组1访问安全组2的应用服务端口运维安全组入方向允许内网tcp22Linux实例允许来自运维安全组的入站SSH访问运维安全组入方向允许内网tcp3389Windows实例允许来自运维安全组的入站RDP访问运维安全组：

阿里云安全组防火墙操作手册版本1.0第28页/共29页授权访问源规则方向授权策略网卡类型协议目的端口备注0.0.0.0/0入方向允许外网tcp1723如果使用PPTPVPN，则允许从任何地方访问运维安全组的PPTPVPN服务0.0.0.0/0入方向允许外网gre-1/-1PPTPVPN需要允许从任何地方发起的gre协议访问0.0.0.0/0入方向允许外网udp500如果使用L2TP/IPSecVPN，则允许从任何地方访问运维安全组的IPSecIKE服务0.0.0.0/0入方向允许外网udp4500如果使用L2TP/IPSecVPN，则允许从任何地方访问运维安全组的IPSecNAT-T服务0.0.0.0/0入方向允许外网udp1194如果使用默认的OpenVPN协议和端口，则允许从任何地方访问运维安全组的OpenVPN服务5.4.4运维流程1.在客户端（例如台式机或者笔记本）配置VPN连接；阿里云安全组防火墙操作手册版本1.0第29页/共29页2.连接VPN，进入云端系统内部网络；3.在客户端使用远程桌面或者SSH运维工具连接ECS云服务器内网IP；4.在客户端使用数据库运维工具连接RDS