一、安全组的核心作用
安全组作为虚拟防火墙,通过定义入方向和出方向的网络流量规则,实现对弹性云服务器的网络隔离保护。其核心功能包括协议类型过滤、端口范围控制、源地址/目标地址限制等要素,可精确控制服务器与外部网络的通信权限。
二、默认安全组规则解析
- Sys-default:仅开放22(SSH)和3389(RDP)端口
- Sys-WebServer:专用于Web服务,开放80/443端口
- Sys-FullAccess:全端口开放的高风险配置
默认安全组采用出方向全放行,入方向受限的策略,仅允许管理端口的外部访问。
三、规则配置操作指南
- 登录华为云控制台,进入网络与安全 > 安全组界面
- 选择目标安全组,点击配置规则进入管理页面
- 添加规则时需指定:
- 方向:入方向/出方向
- 协议类型:TCP/UDP/ICMP等
- 端口范围:单端口或区间(如80-443)
- 源地址:IP地址段或安全组
| 优先级 | 策略 | 协议 | 端口 | 源地址 |
|---|---|---|---|---|
| 1 | 允许 | TCP | 8888 | 0.0.0.0/0 |
四、典型场景配置示例
场景1:Web服务器防护
开放80/443端口的TCP入站流量,建议将源地址限制为负载均衡器IP段。
场景2:内网互通配置
在不同安全组中添加相互放行的入站规则,源地址选择对方安全组ID实现内网互通。
合理配置安全组规则需遵循最小权限原则,定期审查规则有效性,结合网络监控日志优化策略。通过灵活运用协议过滤、端口限制和地址白名单机制,可显著提升弹性云服务器的网络安全防护水平。
