实际应用中,请根据实际网络环境需求,对安全组进行配置。我们提供以下几种常见的安全组配置案例作为参考。
案例一:不同安全组内的物理机器内网互通
场景举例:
在相同Region的相同帐号下,用户需要将某个安全组内一台物理机器上的资源拷贝到另一个安全组内的物理机器上时, 可以将两台物理机器设置为内网互通后再拷贝资源。
安全组配置方法:
由于相同Region的相同帐号下,在同一个安全组内的物理机器默认互通,无需配置。但是,在不同安全组内的物理机器默认无法通信,此时需要添加安全组规则,使得不同安全组内的物理机器内网互通。
在两台物理机器所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通,安全组规则如下所示。
| 协议 | 方向 | 端口范围/ICMP协议类型 | 源地址 |
|---|---|---|---|
| 设置内网互通时使用的协议类型(支持TCP/UDP/ICMP/ANY) | 入方向 | 设置端口范围或者ICMP协议类型 | IPv4地址、IPv4 CIDR或者另一个安全组的ID |
说明
源地址可以配置为CIDR(仅支持IPv4),也可以配置为安全组ID。如果想将目的地址配置成某个具体的IP地址,需将CIDR的子网掩码长度设置成32位。
案例二:仅允许特定IP地址远程登录物理机
场景举例:
为了防止物理机器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到物理机器。
安全组配置方法:
以仅允许特定IP地址(例如,192.168.20.2)通过TCP协议访问Linux操作系统的物理机器的22端口为例,安全组规则如下所示。
| 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|
| TCP | 入方向 | 22 | IPv4地址、IPv4 CIDR或者另一个安全组的ID。例如:192.168.20.2 |
案例三:允许任意公网IP地址远程登录物理机器
场景举例:
允许Internet的任意地址远程登录到安全组内的物理机器。
安全组配置方法:
以允许任意公网地址通过TCP协议登录Linux操作系统的物理机器为例,安全组规则如下所示。
| 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|
| TCP | 入方向 | 22 | 0.0.0.0/0 |
以允许任意公网地址通过TCP协议登录Windows操作系统的物理机器为例,安全组规则如下所示。
| 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|
| TCP | 入方向 | 3389 | 0.0.0.0/0 |
案例四:允许公网地址通过HTTP或者HTTPS协议访问物理机器
场景举例:
在物理机器上部署网站后,允许Internet的任意IP地址的用户通过HTTP或者HTTPS协议访问安全组内的物理机器。
安全组配置方法:
不限制公网地址访问物理机器,需要配置的两条安全组规则如下所示。
| 协议 | 方向 | 端口范围 | 源地址 |
|---|---|---|---|
| TCP | 入方向 | 80(HTTP) | 0.0.0.0/0 |
| TCP | 入方向 | 443(HTTPS) | 0.0.0.0/0 |
