安全组基本概念
安全组是阿里云提供的虚拟防火墙,用于控制云服务器ECS实例的入站和出站流量。每个ECS实例必须关联至少一个安全组,通过配置规则实现端口的开放与限制。其核心功能包括:
- 基于协议类型(TCP/UDP/ICMP)设置访问规则
- 支持CIDR格式的IP地址范围授权
- 设置规则优先级(1-100,数值越小优先级越高)
配置步骤详解
通过控制台配置安全组规则的操作流程:
- 登录阿里云控制台,进入ECS管理页面
- 在实例列表选择目标服务器,点击「安全组」选项卡
- 点击「配置规则」进入规则管理界面
- 在入方向添加新规则:
- 授权策略选择「允许」
- 协议类型根据需求选择TCP/UDP
- 端口范围填写单个端口(如80/80)或范围(如8000/8010)
- 授权对象建议设置为最小权限IP段
常见端口示例
| 服务类型 | 协议 | 端口号 |
|---|---|---|
| HTTP服务 | TCP | 80 |
| HTTPS服务 | TCP | 443 |
| MySQL | TCP | 3306 |
特殊场景需同时配置操作系统防火墙,如CentOS使用firewall-cmd命令开放端口
注意事项
配置安全组时需特别注意:
- 避免使用0.0.0.0/0开放高危端口(如22、3389)
- 修改规则后无需重启实例即可生效
- 多安全组规则叠加时,拒绝策略优先于允许策略
通过合理配置安全组规则,既能保障业务服务的正常访问,又能有效防范网络攻击。建议定期审查安全组规则,遵循最小权限原则,结合云防火墙实现多层次防护。
