一、安全组基础概念
安全组是阿里云提供的虚拟防火墙,通过配置入站/出站规则实现流量控制,每个ECS实例必须绑定至少一个安全组。其核心功能包括:
- 基于协议类型和端口范围过滤数据包
- 支持IPv4/IPv6双栈访问控制
- 实现安全域隔离和最小权限管理
安全组规则分为普通型和企业级,企业级安全组支持五元组规则,提供更精细的访问控制能力。
二、安全组配置流程
- 登录ECS控制台选择目标地域
- 通过实例详情页进入「安全组」配置界面
- 选择「手动添加」或「快速创建」规则:
- 协议类型:TCP/UDP/ICMP等
- 端口范围:单个端口或区间(如80/80或8000-9000)
- 授权对象:IP地址段或安全组ID
- 设置规则优先级(数值越小优先级越高)
| 协议 | 端口 | 授权对象 |
|---|---|---|
| TCP | 80 | 0.0.0.0/0 |
| TCP | 443 | 0.0.0.0/0 |
三、端口开放操作指南
开放HTTP服务的完整流程:
- 在入方向规则中添加TCP协议
- 填写端口范围80/80
- 授权对象设置为
0.0.0.0/0(允许公网访问) - 优先级建议设置为1-100之间的数值
特殊端口配置建议:
- SSH(22)/RDP(3389):限制源IP地址段
- 数据库端口(3306/6379):仅开放给应用服务器安全组
- FTP服务:需同时开放21和被动端口范围
四、服务器内部防火墙设置
需同步配置操作系统防火墙:
- Linux系统:
firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload
- Windows系统:
New-NetFirewallRule -DisplayName "HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
建议安全组规则与系统防火墙保持策略一致,避免出现规则冲突。
五、安全配置注意事项
- 最小化开放原则:仅暴露必要服务端口
- 定期审计规则:删除过期或冗余配置
- 敏感服务防护:数据库端口应设置IP白名单
- 优先级管理:通用规则设置较低优先级
- 安全组复用:相同环境使用统一安全组模板
通过合理配置安全组规则和系统防火墙,可在保证服务可用的同时有效控制安全风险。建议结合阿里云安全组最佳实践文档,定期进行安全评估和规则优化。
