什么是安全组?
安全组是云平台提供的虚拟防火墙,用于控制云服务器的入站和出站网络流量。
安全组规则
- 入站规则 - 控制外部到服务器的访问
- 出站规则 - 控制服务器到外部的访问
规则要素
| 要素 | 说明 |
|---|---|
| 协议 | TCP、UDP、ICMP等 |
| 端口范围 | 单个端口或端口范围 |
| 授权对象 | IP地址或CIDR |
| 授权策略 | 允许或拒绝 |
常用端口配置
| 端口 | 服务 | 建议 |
|---|---|---|
| 22 | SSH | 限制IP访问 |
| 3389 | 远程桌面 | 限制IP访问 |
| 80 | HTTP | 开放所有 |
| 443 | HTTPS | 开放所有 |
| 3306 | MySQL | 限制IP或不开放 |
配置建议
- 最小权限原则,只开放必要端口
- 管理端口限制IP访问
- 数据库端口不对外开放
- 定期审查安全组规则
- 不同用途服务器使用不同安全组
常见场景配置
Web服务器:
- 入站:80、443开放所有,22限制IP
- 出站:全部允许
数据库服务器:
- 入站:3306仅允许Web服务器IP
- 出站:全部允许
