阿里云安全组防火墙操作手册v.pdf
- 文档编号:3214995
- 上传时间:2022-11-20
- 格式:PDF
- 页数:29
- 大小:1.77MB
阿里云安全组防火墙操作手册v.pdf
《阿里云安全组防火墙操作手册v.pdf》由会员分享,可在线阅读,更多相关《阿里云安全组防火墙操作手册v.pdf(29页珍藏版)》请在冰豆网上搜索。
阿里云安全组防火墙操作手册版本1.0第1页/共29页阿里云安全组防火墙操作手册2015年10月,版本1.0阿里云安全组防火墙操作手册版本1.0第2页/共29页目录第1章简介.4第2章安全组规格.4第3章安全组规则.53.1规则说明.53.2默认规则.63.3默认规则修改建议.83.4安全组规则对通过SLB开放的服务不生效.9第4章安全组管理.94.1创建安全组.94.2移入安全组.124.3移出安全组.134.4删除安全组.134.5添加安全组规则.144.6克隆安全组规则.164.7删除安全组规则.16第5章安全组典型配置场景.165.1场景1:
带公网IP的ECS实例.175.1.1场景描述.175.1.2网络架构.17阿里云安全组防火墙操作手册版本1.0第3页/共29页5.1.3安全设计.175.1.4运维流程.185.2场景2:
使用VPN远程安全运维.195.2.1场景描述.195.2.2网络架构.195.2.3安全设计.205.2.4运维流程.215.3场景3:
只有内网IP的ESC实例通过NAT实例访问公网.225.3.1场景描述.225.3.2网络架构.225.3.3安全设计.235.3.4运维流程.255.4场景4:
使用SLB负载均衡提供公网服务.255.4.1场景描述.255.4.2网络架构.265.4.3安全设计.265.4.4运维流程.28第6章F&Q.296.1修改安全组规则对于已经建立的TCP连接有影响吗?
.296.2为什么出方向ACCEPTALL,但还是没法对外PING?
.296.3自己创建的安全组,所有规则为空,这个时候默认规则是什么?
.29阿里云安全组防火墙操作手册版本1.0第4页/共29页第1章简介安全组是阿里云提供的分布式虚拟化防火墙,具备状态检测包过滤功能。
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。
使用安全组可设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分网络安全域。
每个实例至少属于一个安全组。
同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权某个源安全组或某个源网段访问目的安全组。
第2章安全组规格1)安全组不能跨地域(Region)。
2)安全组网络类型分为经典网络和专有网络(VPC),经典网络和专有网络内网不通。
3)可以随时修改安全组及其规则,一般半分钟内生效,不影响用户的服务连续性,也不影响已经建立好的TCP连接。
4)安全组新规则会自动应用于与该安全组相关联的所有实例。
5)安全组是有状态的,如果TCP数据包在inbound方向是被允许的,那么对应的此连接在outbound方向也是允许的。
注意:
udp及icmp报文是无状态的,需要双向放行。
阿里云安全组防火墙操作手册版本1.0第5页/共29页6)如果给一个实例分配多个安全组,那么一个实例会应用多个安全组的所有规则。
访问该实例时,可能会出现网络延时较大的问题。
因此,我们建议您尽可能使规则简洁。
产品和业务限制:
规格项用户限制描述例外申请方式单个安全组可配置实例数量单个安全组内的实例个数不能超过1000。
如果有超过1000个实例需要内网互访,可以将他们分配到多个安全组内,并通过互相授权的方式允许互访。
无单个安全组的授权规则数量每个安全组规则条目最多100条。
无用户拥有安全组的配额每个用户的安全组最多100个。
无单实例最多属于安全组个数每个实例至少属于1个安全组,最多可以加入5个安全组。
无表格1安全组产品和业务限制第3章安全组规则3.1规则说明名称取值范围描述授权策略允许/拒绝规则方向入方向/出方向协议类型tcp|udp|icmp|gre|全部IP协议,“全部”表示同时支持四种协议阿里云安全组防火墙操作手册版本1.0第6页/共29页端口范围协议类型为TCP/UDP时取值范围165535;协议类型为“全部/ICMP/GRE”时,取值-1/-1IP协议相关的端口号范围,tcp、udp协议的端口号取值范围为165535;例如“1/200”意思是端口号范围为1200,若输入值为“200/1”接口调用将报错。
单个端口例如“80/80”。
优先级1-100默认值为1,即最高优先级。
数值越大优先级越低。
相同优先级的授权规则,授权策略为“拒绝”的规则优先。
网卡类型经典网络可选“外网”或“内网”。
专有网络(VPC)下只有“内网”。
当对安全组进行相互授权时,必须指定网卡类型为“内网”授权类型地址段访问/安全组访问授权许可访问的源,可以是同一地域(Region)内的其他安全组,也可以是地址段。
授权对象授权类型为“地址段访问”时,取值为CIDR网段;授权类型为“安全组访问”时,取值为该租户同一Region内的其他安全组授权可访问目标安全组的源IP地址范围(采用CIDR格式来指定IP地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12或10.159.6.186表格2安全组规则说明3.2默认规则1)入方向安全组规则为空时,默认denyall,即拒绝所有入方向的访问;出方向安全组规则为空时,默认acceptall,即允许所有出方向的访问。
2)系统自动为租户创建默认安全组(SystemCreatedSecurityGroup)。
a)经典网络下默认安全组的默认网络访问控制规则为:
内网入方向denyall,出方向acceptall;阿里云安全组防火墙操作手册版本1.0第7页/共29页图1经典网络默认安全组默认内网入方向规则图2经典网络默认安全组默认内网出方向规则外网出方向、入方向均授权0.0.0.0/0全通,即对internetacceptall。
图3经典网络默认安全组默认外网入方向规则图4经典网络默认安全组默认外网出方向规则b)专有网络(VPC)下默认安全组的默认网络访问控制规则为:
阿里云安全组防火墙操作手册版本1.0第8页/共29页内网出方向、入方向均授权0.0.0.0/0全通,即允许和VPC内其他任何安全组双向互访,此时绑定了弹性IP(EIP)的实例对internet开放全部网络端口。
图5专有网络默认安全组默认内网规则3)租户自己创建的安全组,内网、外网默认规则均为出方向acceptall,入方向denyall。
3.3默认规则修改建议经典网络下外网入方向授权0.0.0.0/0全通,专有网络(VPC)下内网入方向授权0.0.0.0/0全通,这样会导致有公网IP的实例(无论是经典网络的公网网卡还是专有网络的EIP)对internet全部地址开放全部网络端口,非常不安全。
因此当您部署了应用系统后,需要调整默认规则。
我们建议:
删除入方向acceptall规则,根据实际业务需要开放允许访问的源IP地址和服务端口。
在出方向增加拒绝规则,防止未经授权的对外访问。
阿里云安全组防火墙操作手册版本1.0第9页/共29页3.4安全组规则对通过SLB开放的服务不生效由于SLB对源IP地址做了SNAT,所以通过SLB对外开放的服务,访问后端ECS实例的源IP不是真实源IP,而是SLB服务的localIP。
因此安全组规则对于通过SLB开放的服务不生效。
如果需要对SLB开放的服务进行源IP地址访问控制,则应使用SLB服务提供的源IP白名单功能,仅允许白名单中IP地址访问SLB开放的服务。
第4章安全组管理安全组有以下操作:
创建安全组移入安全组移出安全组删除安全组添加安全组规则克隆安全组规则删除安全组规则4.1创建安全组登录阿里云管理控制台,在“云服务器ECS”里点击“安全组”打开安全组管理界面,进入安全组列表,选择地域:
阿里云安全组防火墙操作手册版本1.0第10页/共29页图6安全组管理界面点击“创建安全组”:
1.安全组名称:
指定安全组名称,长度为2-128个字符,以大小写字母或中文开头,可包含数字,.,_或-。
2.定义描述:
建议描述安全组用途,长度为2-256个字符,不能以http:
/或https:
/开头。
3.网络类型:
经典网络或专有网络。
选择专有网络时,会要求指定已创建的专有网络。
阿里云安全组防火墙操作手册版本1.0第11页/共29页图7创建安全组-经典网络图8创建安全组-专有网络阿里云安全组防火墙操作手册版本1.0第12页/共29页4.2移入安全组在安全组列表页面,单击“管理实例”,进入“安全组内实例列表”。
图9安全组列表-管理实例点击“移入安全组”按钮,图10安全组内实例列表-移入安全组填写或选择需要加入到安全组的ECS实例,即可把实例加入到对应的安全组,安全组规则立即生效。
图11移入安全组阿里云安全组防火墙操作手册版本1.0第13页/共29页4.3移出安全组在“安全组内实例列表”页面,选取对应的实例,单击“移出安全组”按钮,可以将实例移出安全组。
图12安全组内实例列表-移出安全组注意:
由于实例至少要属于一个安全组,所以如果该安全组是实例唯一的安全组,则“移出安全组”操作失败。
图13移出安全组失败4.4删除安全组在安全组列表页,选取想要删除的安全组,单击“删除”按钮即可删除安全组。
阿里云安全组防火墙操作手册版本1.0第14页/共29页图14安全组列表-删除安全组注意:
如果该安全组内还有ECS实例或者该安全组被其他安全组的规则引用,则删除安全组的操作会失败。
4.5添加安全组规则在安全组列表界面,点击“配置规则”按钮,进入安全组规则页面修改对应安全组的规则:
图15安全组列表-配置规则进入安全组规则配置界面后,点击“添加安全组规则“阿里云安全组防火墙操作手册版本1.0第15页/共29页图16安全组规则-添加安全组规则按需设置安全组规则:
图17设置安全组规则阿里云安全组防火墙操作手册版本1.0第16页/共29页4.6克隆安全组规则在安全组规则页面,点击“克隆”按钮,可以快速创建一条新的安全组规则。
图18安全组规则-克隆阿里云不提供直接修改规则方法,可以采用“克隆”安全组规则功能快速修改规则克隆规则,修改并保存,删除原规则。
4.7删除安全组规则在安全组规则页面,点击“删除”可以删除对应的安全组规则。
图19安全组规则-删除第5章安全组典型配置场景以下典型的ECS部署场景,在经典网络下需要区分网卡类型(外网或内网),在专有网络(VPC)下不需要区分网卡类型(只有内网)。
阿里云安全组防火墙操作手册版本1.0第17页/共29页5.1场景1:
带公网IP的ECS实例5.1.1场景描述ECS实例既有内网IP,也有公网IP,可以接受来自公网的访问,也可以主动访问公网。
5.1.2网络架构安全组1:
由对Internet提供Web服务的云服务器组成,所有ECS实例带公网IP。
5.1.3安全设计安全组1为Internet提供Web服务,对Internet开放http/https端
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 阿里 云安 防火墙 操作手册