一、安全组基础概念
安全组是天翼云服务器的虚拟防火墙,通过入站(Ingress)和出站(Egress)规则控制网络流量访问。每条规则包含方向、协议类型、端口范围和授权对象四个要素,遵循白名单机制,未明确允许的流量将被自动拦截。
默认安全组包含三条隐含规则:禁止所有入站流量、允许同一安全组内主机互访、允许所有出站流量。这种设计既保障基础安全,又避免过度限制内部通信。
二、配置安全组规则步骤
- 登录天翼云控制台,选择「网络」→「虚拟私有云」→「安全组」进入管理界面
- 选择目标安全组,点击「添加规则」按钮
- 按业务需求配置参数:
- 方向:入方向(外部访问)或出方向(主动外联)
- 协议:TCP/UDP/ICMP等,Web服务常用TCP协议
- 端口:单端口(如80)或范围(如8000-9000)
- 授权对象:填写IP地址或CIDR格式网段,0.0.0.0/0表示所有IPv4地址
- 点击「确认」完成规则添加,新规则即时生效
| 方向 | 协议 | 端口 | 授权对象 |
|---|---|---|---|
| 入方向 | TCP | 80/80 | 0.0.0.0/0 |
| 入方向 | TCP | 22/22 | 192.168.1.0/24 |
三、安全组最佳实践
生产环境建议遵循最小权限原则:仅开放必要端口,如Web服务器开放80/443端口,数据库服务器限制3306端口的访问源IP。多层级架构建议分层设置安全组,例如:
- Web层安全组:允许公网访问HTTP/HTTPS
- 应用层安全组:仅允许Web层安全组访问应用端口
- 数据库层安全组:仅允许应用层安全组访问数据库端口
四、验证与测试
完成配置后,建议通过以下方式验证规则有效性:
- 使用
telnet命令测试端口连通性 - 通过云监控查看流量命中情况
- 利用安全组流量日志分析异常请求
合理配置安全组规则是保障云服务器安全的关键措施,建议结合业务需求定期审查规则,避免过度开放端口。通过分层架构设计和最小权限原则,可构建纵深防御体系,有效降低网络安全风险。
