安全组配置示例
介绍常见的安全组配置示例。如下示例中,出方向默认全通,仅介绍入方向规则配置方法。
- 不同安全组内的弹性云主机内网互通
- 仅允许特定IP地址远程连接弹性云主机
- SSH远程连接Linux弹性云主机
- RDP远程连接Windows弹性云主机
- 公网ping ECS弹性云主机
- 弹性云主机作Web服务器
- 弹性云主机作DNS服务器
- 使用FTP上传或下载文件
不同安全组内的弹性云主机内网互通
- 场景举例: 在同一个VPC内,用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时,用户可以将两台弹性云主机设置为内网互通后再拷贝资源。
- 安全组配置方法: 同一个VPC内,在同一个安全组内的弹性云主机默认互通。但是,在不同安全组内的弹性云主机默认无法通信,此时需要添加安全组规则,使得不同安全组内的弹性云主机内网互通。
在两台弹性云主机所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通,安全组规则如下所示。
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
设置内网互通时使用的协议类型 |
设置端口范围 |
另一个安全组的ID |
仅允许特定IP地址远程连接弹性云主机
- 场景举例: 为了防止弹性云主机被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。
- 安全组配置方法: 以仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云主机的22端口为例,安全组规则如下所示。
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
SSH(22) |
22 |
IPv4 CIDR或者另一个安全组的ID。
例如:192.168.20.2/32 |
SSH远程连接Linux弹性云主机
- 场景举例: 创建Linux弹性云主机后,为了通过SSH远程连接到弹性云主机,您可以添加安全组规则。
说明
默认安全组中已经配置了该条规则,如您使用默认安全组,无需重复配置。
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
SSH(22) |
22 |
0.0.0.0/0 |
RDP远程连接Windows弹性云主机
- 场景举例: 创建Windows弹性云主机后,为了通过RDP远程连接弹性云主机,您可以添加安全组规则。
说明
默认安全组中已经配置了该条规则,如您使用默认安全组,无需重复配置。
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
RDP(3389) |
3389 |
0.0.0.0/0 |
公网ping ECS弹性云主机
- 场景举例: 创建弹性云主机后,为了使用ping程序测试弹性云主机之间的通讯状况,您需要添加安全组规则。
- 安全组配置方法:
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
ICMP |
全部 |
0.0.0.0/0 |
弹性云主机作Web服务器
- 场景举例: 如果您在弹性云主机上部署了网站,即弹性云主机作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云主机所在安全组中添加以下安全组规则。
- 安全组配置方法:
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
HTTP(80) |
80 |
0.0.0.0/0 |
| 入方向 |
HTTPS(443) |
443 |
0.0.0.0/0 |
弹性云主机作DNS服务器
- 场景举例: 如果您将弹性云主机设置为DNS服务器,则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云主机所在安全组中添加以下安全组规则。
- 安全组配置方法:
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
TCP |
53 |
0.0.0.0/0 |
| 入方向 |
UDP |
53 |
0.0.0.0/0 |
使用FTP上传或下载文件
| 方向 |
协议/应用 |
端口 |
源地址 |
| 入方向 |
TCP |
20-21 |
0.0.0.0/0 |
