一、安全组基础概念
安全组是华为云提供的虚拟防火墙,通过定义入方向和出方向的访问规则,控制弹性云服务器(ECS)的网络流量。每个ECS实例必须关联至少一个安全组,默认安全组允许所有出站流量,但限制入站访问。
| 方向 | 协议 | 端口 | 策略 |
|---|---|---|---|
| 入方向 | ICMP | – | 允许 |
| 出方向 | All | 全部 | 允许 |
二、配置安全组规则步骤
- 登录华为云控制台,进入弹性云服务器管理界面
- 选择目标ECS实例,进入安全组配置页面
- 点击添加规则按钮,设置以下参数:
- 方向:入方向/出方向
- 协议类型:TCP/UDP/ICMP等
- 端口范围:单端口(如80)或范围(8000-9000)
- 源地址:0.0.0.0/0(所有IP)或指定IP段
三、常见场景配置示例
场景1:Web服务器开放HTTP/HTTPS
添加入方向规则:协议TCP,端口80(HTTP)/443(HTTPS),源地址0.0.0.0/0
场景2:限制SSH远程访问
设置入方向规则:协议TCP,端口22,源地址指定管理IP(如192.168.1.0/24)
场景3:内网互通配置
在多个安全组中相互添加规则:协议All,源地址选择对方安全组ID
四、注意事项与最佳实践
- 遵循最小权限原则,避免开放0.0.0.0/0的敏感端口
- 修改默认安全组前创建备份配置
- 优先级数值越小规则越先执行(范围1-100)
- 定期审计安全组规则,清理过期配置
通过合理配置安全组规则,可有效平衡ECS实例的服务可用性与网络安全防护。建议结合具体业务需求设计分层防护策略,并利用华为云提供的安全组管理工具进行可视化监控。
