云服务器安全组设置方法

云服务器安全组是一种虚拟防火墙，用于设置单台或多台云服务器的网络访问控制，安全组是重要的网络安全隔离手段，设置错误会导致服务器及应用无法访问，甚至被黑客入侵。

每台云服务器在创建的时候便会加入一个默认安全组，也可自行创建多个安全组，不同安全组的云服务器之间默认内网不通，需要设置授权才可以在两个安全组之间互访。

一、安全组未设置或设置错误会有如下问题：

1、服务器远法远程连接

云服务器无法远程连接，有可能是22端口（Linux）、3389端口（windows server）未开放，需要在安全组中添加以上端口。

2、服务器上的应用无法访问

例如web服务需要开80、443端口，Sqlserver默认端口号为1433，mysql默认端口号是3306，Oracle端口是1521，PostgreSQL是5432。当新安装部署的应用无法访问时，要检查以上端口是否正常添加。要注意的是，为了安全，数据库的端口通常不要对公网开放，可通过安全组设置为仅允许应用服务器通过内网访问，安全组仅对外开放80、443等必要的端口即可。

二、安全组都有哪些作用

    案例一：同一个低于、同一个账号下的服务器实现内网互通    

      场景举例：如果您需要同一个地域、同一个账号下的ECS实例之间拷贝资源，您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。

    案例二：同一个地域、不同账号下的实例实现内网互通

      场景举例：如果您需要同一个地域、不同账号下的ECS实例之间拷贝资源，您可以通过安全组设置实现两台ECS实例内网互通后再拷贝资源。

    案例三：只允许特定IP地址远程登录到实例

      场景举例：如果您的ECS实例被黑客远程控制，您可以修改远程登录端口号，并设置只允许特定的IP地址远程登录到您的ECS实例。

    案例四：只允许实例访问外部特定IP地址

      场景举例：如果您的ECS实例被黑客远程控制，对外恶意扫描或发包，您可以通过安全组设置您的ECS实例只能访问外部特定IP或端口。

    案例五：拒绝实例访问外部特定IP地址

      场景举例：如果您不希望您的ECS实例访问某个特定的外部IP地址，您可以通过安全组设置，拒绝实例访问外部特定IP地址。

    案例六：允许公网远程连接实例

      场景举例：您可以通过公网远程连接到实例上，管理实例。

    案例七：允许内网其他账号下某个安全组内的ECS实例远程连接实例

      场景举例：您可以通过内网其他账号下某个安全组内的ECS实例远程连接到实例上，管理实例。

    案例八：允许公网通过HTTP、HTTPS等服务访问实例

      场景举例：您在实例上架设了一个网站，希望您的用户能通过HTTP或HTTPS服务访问到您的网站。

三、如何添加安全组规则

    1.登录ECS管理控制台。

    2.在左侧导航栏，单击网络与安全 > 安全组。

    3.在顶部菜单栏左上角处，选择服务器所在地域。

    4.找到要配置授权规则的安全组，在操作列中，单击配置规则。

    5.选择安全组规则的规则方向。

      6.在安全组规则页面上，您可以选择以下任意一种方式添加安全组规则。

方式一：快速添加安全组规则

快速添加提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的应用端口设置。您可以同时勾选一个或多个端口。

    a.单击快速添加。

    b.设置授权策略、授权对象和端口范围。

方式二：手动添加安全组规则

    a.单击手动添加。在规则列表中配置新增的安全组规则。

授权策略：允许该端口访问或拒绝

优先级：一般保持默认即可

协议类型：选已有的模板或自定义

端口范围：输入端口范围，多个端口范围以英文半角逗号分隔，例如22/23,443/443。

授权对象：授权所有对象访问填0.0.0.0/0，指定某对象访问举例：192.168.1.10/24。

中国首款IT服务微信小程序“企如意”，一款真心实意为企业谋福利的知音。IT产品一切应有尽有，让您的企业轻松提升工作效率！自小程序上线以来，用户注册量已超过50000人，IT服务产品下单量已达到6500单。因为专注，所以专业，工单服务好评率也高达98%以上。小程序，大作为，真正成为您企业绩效倍增的加速器！帮助企业的同时还有更多好礼相送。

更多活动请关注“企如意”小程序！