您好,欢迎访问上海聚搜信息技术有限公司官方网站!
24小时咨询热线:4000-747-360

阿里云安全组:什么是安全组?安全组的作用是什么?

时间:2020-10-17 13:08:50 点击:

  什么是安全组?

  安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内ECS实例的入流量和出流量。

  简单来说就是控制ECS的一组策略,安全组的权限有多大,ECS的权限就有多大,至于stateful,可以参考checkpoint。

  安全组怎么构成?

  大体上分为入方向和出方向策略

  策略里由授权策略、优先级、协议类型、端口范围、授权对象、描述、创建时间、操作构成

9995.jpg

  安全组特点

  一台ECS实例至少属于一个安全组,可以同时加入多个安全组。

  一个安全组可以管理同一个地域内的多台ECS实例。

  在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例之间默认内网不通。

  安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。

  安全组有何注意之处?

  安全组最大支持200条策略(入+出)

  单台ECS只支持5个安全组

  单账号每地域最多创建100个安全组

  默认出方向可以访问所有

  安全组如何规划?

  目前我们环境里大约3000台机器,由于我们使用了云WAF,所以预留WAF单独安全组

ce02ef4aa836309126ba30a6a7e03f2b.jpg

  1.WAF安全组

  2.常规出端口安全组,例如:80,443

  3.常规入端口安全组:例如:80,443,22

  4.分区互访安全组(需要分区、网段规划合理)例如web访问app,web访问db

  5.ECS互访安全组,例如:A访问B,按需开通

  安全组的使用经验

  合理的使用子账号,分摊安全资源压力,区域一定保持一致性,避免产生额外费用。

  合理规划分区,网段需要连续,开通策略更加容易,例如根据业务特点,分为web、app、db

  碰到需要访问域名的策略,建议放通0.0.0.0/0的目的端口,以免公网服务IP发生改变

  安全组优先级使用合理,最好以5为单位插入,方便后续调整添加

  出方向最下方一定加一条deny所有

  安全组作为ECS的第一道防线,也是最底层的防线,合理的使用安全组可以抵挡很多威胁


标签

收缩
  • 电话咨询

  • 4000-747-360
微信咨询 获取代理价(更低折扣)
更低报价 更低折扣 代金券申请
咨询热线: 15026612550