云服务器安全组设置方法最新整理

云服务器安全组是一种虚拟防火墙，用于设置单台或多台云服务器的网络访问控制，安全组是重要的网络安全隔离手段，设置错误会导致服务器及应用无法访问，甚至被黑客入侵。

每台云服务器在创建的时候便会加入一个默认安全组，也可自行创建多个安全组，不同安全组的云服务器之间默认内网不通，需要设置授权才可以在两个安全组之间互访。

一、安全组未设置或设置错误会有如下问题：

1、服务器远法远程连接

云服务器无法远程连接，有可能是22端口（Linux）、3389端口（windows server）未开放，需要在安全组中添加以上端口。

2、服务器上的应用无法访问

例如web服务需要开80、443端口，Sqlserver默认端口号为1433，mysql默认端口号是3306，Oracle端口是1521，PostgreSQL是5432。当新安装部署的应用无法访问时，要检查以上端口是否正常添加。要注意的是，为了安全，数据库的端口通常不要对公网开放，可通过安全组设置为仅允许应用服务器通过内网访问，安全组仅对外开放80、443等必要的端口即可。

二、安全组都有哪些作用

• 案例一：同一个地域、同一个账号下的服务器实现内网互通

  场景举例：如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源，您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。

• 案例二：同一个地域、不同账号下的实例实现内网互通

  场景举例：如果您需要同一个地域、不同账号下的ECS实例之间拷贝资源，您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。

• 案例三：只允许特定IP地址远程登录到实例

  场景举例：如果您的ECS实例被黑客远程控制，您可以修改远程登录端口号，并设置只允许特定的IP地址远程登录到您的ECS实例。

• 案例四：只允许实例访问外部特定IP地址

  场景举例：如果您的ECS实例被黑客远程控制，对外恶意扫描或发包，您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。

• 案例五：拒绝实例访问外部特定IP地址

  场景举例：如果您不希望您的ECS实例访问某个特定的外部IP地址，您可以通过安全组设置，拒绝实例访问外部特定IP地址。

• 案例六：允许公网远程连接实例

  场景举例：您可以通过公网远程连接到实例上，管理实例。

• 案例七：允许内网其他账号下某个安全组内的ECS实例远程连接实例

  场景举例：您可以通过内网其他账号下某个安全组内的ECS实例远程连接到实例上，管理实例。

• 案例八：允许公网通过HTTP、HTTPS等服务访问实例

  场景举例：您在实例上架设了一个网站，希望您的用户能通过HTTP或HTTPS服务访问到您的网站。

三、如何添加安全组规则

1. 登录ECS管理控制台。
2. 在左侧导航栏，单击网络与安全 > 安全组。
3. 在顶部菜单栏左上角处，选择服务器所在地域。
4. 找到要配置授权规则的安全组，在操作列中，单击配置规则。
5. 选择安全组规则的规则方向。

   表 1. 安全组规则方向

   网络类型	选择规则方向
   专有网络VPC	入方向：同时控制公网和内网入方向 出方向：同时控制公网和内网出方向
   经典网络	公网入方向 公网出方向 入方向：内网入方向 出方向：内网出方向

6. 在安全组规则页面上，您可以选择以下任意一种方式添加安全组规则。

方式一：快速添加安全组规则

快速添加提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的应用端口设置。您可以同时勾选一个或多个端口。

1. 单击快速添加。
2. 1. 1. 设置授权策略、授权对象和端口范围。
         说明 参数设置的详细指导请参见下方。
      2. 单击确定。

方式二：手动添加安全组规则

1. 1. 1. 单击手动添加。在规则列表中配置新增的安全组规则。

授权策略：允许该端口访问或拒绝

优先级：一般保持默认即可

协议类型：选已有的模板或自定义

端口范围：输入端口范围，多个端口范围以英文半角逗号分隔，例如22/23,443/443。

授权对象：授权所有对象访问填0.0.0.0/0，指定某对象访问举例：192.168.1.10/24。