华为云安全组介绍

由小麦苗 · 2022年11月29日

0 46 1

Tags：云华为云安全组

👉 本文共约5390个字，系统预计阅读时间或需21分钟。

本页目录 隐藏

安全组简介

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。

如果您的实例关联的安全组策略无法满足使用需求，比如需要新开放某个TCP端口，请参考本章节添加入方向规则，打开指定的TCP端口。

入方向：指从外部访问安全组规则下的实例。
出方向：指安全组规则下的实例访问安全组外的实例。

默认安全组

系统会为每个用户创建一个默认安全组，默认安全组规则说明如下：

本人提供Oracle、MySQL、PG等数据库的培训和考证业务，私聊QQ646634621或微信db_bao，谢谢！

出方向报文放行：默认安全组内的实例可以对其他安全组内的实例发起请求，并收到响应。
入方向报文受限：来自其他安全组内实例的请求会被默认安全组拦截。

同一个安全组内的实例无需添加规则即可互相访问。

如果默认安全组不满足使用需求，你可以修改安全组规则或者创建自定义安全组。

默认安全组名称为为default，默认安全组和您创建的自定义安全组均不收取费用。

默认安全组如图1所示。

图1 默认安全组

默认安全组规则如表1所示。

方向	优先级	策略	协议	端口范围	目的地址/源地址	说明
出方向	100	允许	全部	全部	目的地址：0.0.0.0/0	允许所有出站流量的数据报文通过。
入方向	100	允许	全部	全部	源地址：当前安全组名称	允许同样使用当前安全组的云服务器之间通过任意端口和规则互访。
入方向	100	允许	TCP	22	源地址：0.0.0.0/0	允许所有IP地址通过SSH远程连接到Linux云服务器。
入方向	100	允许	TCP	3389	源地址：0.0.0.0/0	允许所有IP地址通过RDP远程连接到Windows云服务器。

默认安全组和规则您可以直接使用，也可以根据需要创建自定义的安全组和规则。

安全组基本信息

服务器及扩展网卡等实例可以关联一个或多个安全组。
您可以更改与服务器、扩展网卡等实例关联的安全组。默认情况下创建实例时，除非您指定了其他安全组，否则实例与VPC的默认安全组关联。
如果您创建了放通同安全组的安全组规则，则允许安全组内实例互相访问。
对于IPv4类型的地址，安全组只支持加入32位前缀的地址，对于IPv6类型的地址，安全组只支持加入128位前缀的地址。具体如何更改实例安全组，请参见实例加入/移出安全组。
安全组是有状态的。如果您从实例发送一个出站请求，且该安全组的出站规则是放通的话，那么无论其入站规则如何，都将允许该出站请求的响应流量流入。同理，如果该安全组的入站规则是放通的，那无论出站规则如何，都将允许入站请求的响应流量可以出站。
安全组使用连接跟踪来跟踪有关进出实例的流量信息，将基于流量的连接状态应用规则以确定允许还是拒绝流量。在安全组规则增加、删除、更新时，或者该安全组下实例创建、删除时，会自动清除该安全组下所有实例入方向的连接跟踪，此时，流入或流出实例的流量会被当作新的连接，需要重新匹配相应入方向或出方向的安全组规则，以保证规则能立即生效，从而保障流入实例的流量的安全。
除此以外，流入或流出实例的流量如果长时间没有报文，超过连接跟踪老化时间以后也会被当作新的连接需要重新匹配出、入方向规则。不同协议的连接跟踪老化时间不同，已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了一个或多个包，另一个方向没有收到包时，老化时间是30s。对于除TCP、UDP或ICMP以外的协议，仅跟踪IP地址和协议编号。

安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，此时实例不能互通。您可以使用对等连接等产品建立VPC连接互通，安全组才能对不同VPC内实例的流量进行访问控制。

安全组规则

安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的实例出入方向网络流量进行访问控制，当实例加入该安全组后，即受到这些访问规则的保护。

安全组规则包括如下组成部分：

来源：源数据（入方向）或目标数据（出方向）的IP。
协议类型和协议端口：包括协议类型和协议端口，协议类型如TCP、UDP、HTTP等。
源地址：可以是IP地址、安全组、IP地址组。
类型：IP地址类型。开通IPv6功能后可见。
描述：安全组规则的描述信息。

每个安全组都自带默认安全组规则，详情请参见表1。您也可以自定义添加安全组规则，请参见添加安全组规则。

安全组模板

新建安全组时，您可以选择系统为您提供的三种安全组模板，方便您快速创建安全组。

通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。
开放全部端口：开放全部端口有一定安全风险，请谨慎选择。
自定义：入方向不放通任何端口，您可在安全组创建后根据实际访问需求添加或修改安全组规则。

安全组的限制

默认情况下，一个用户可以创建100个安全组。
默认情况下，一个安全组最多只允许拥有50条安全组规则。
默认情况下，一个云服务器或扩展网卡选择安全组的数量不多于5个。
云服务器或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。
安全组添加实例时，一次最多可添加20个实例。
一个安全组关联的实例数量不应超过6000个，否则会引起安全组性能下降。
当您配置安全组规则时，请留意部分安全组规则对安全组关联的云服务器规格类型有要求。安全组规则及其不支持的云服务规格清单请参见表1。

安全组与网络ACL区别

通过配置网络ACL和安全组策略，保障VPC内的弹性云服务器安全使用。

安全组对弹性云服务器进行防护。
网络ACL对子网进行防护。

如图1所示。

图1 安全组与网络ACL

网络ACL和安全组区别如表1所示。

对比项	安全组	网络ACL
防护对象	弹性云服务器级别操作。	子网级别操作。
配置策略	支持允许、拒绝策略。拒绝策略部分区域支持，具体请打开功能总览，并选择“安全组”查看。	支持允许、拒绝策略。
优先级	多个规则冲突，先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。安全组优先级部分区域支持，具体请打开功能总览，并选择“安全组”查看。	多个规则冲突，优先级高的规则生效，优先级低的不生效。
应用操作	创建弹性云服务器默认必须选择安全组，默认安全组自动应用到弹性云服务器。	创建子网没有网络ACL选项，必须创建网络ACL、添加关联子网、添加出入规则，并启用网络ACL，才可应用到关联子网及子网下的弹性云服务器。
报文组	仅支持报文三元组（即协议、端口和对端地址）过滤。	支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤。

添加安全组规则

参数	说明	取值样例
优先级	安全组规则优先级。优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。	1
策略	安全组规则策略。优先级相同的情况下，拒绝策略优先于允许策略。	允许
协议端口	网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。端口：允许远端地址访问弹性云服务器指定端口，取值范围为：1～65535。常用端口请参见弹性云服务器常用端口。端口填写包括以下形式：单个端口：例如22连续端口：例如22-30多个端口：例如22,23-30，一次最多支持20个不连续端口组，端口组之间不能重复。全部端口：为空或1-65535	TCP 22或22-30或20,22-30
类型	IP地址类型。开通IPv6功能后可见。IPv4IPv6	IPv4
源地址	源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如：单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址）IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段）所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址）安全组：sg-abcIP地址组：ipGroup-test若源地址为安全组，则选定安全组内的云服务器都遵从当前所创建的规则。更多IP地址组信息，请参见IP地址组。	0.0.0.0/0
描述	安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-