978      阿里云

授权安全组规则__安全组_用户指南_云服务器 ECS-阿里云

授权安全组规则可以允许或者禁止与安全组相关联的 ECS 实例的公网和内网的入出方向的访问。您可以随时授权和取消安全组规则。您的变更安全组规则会自动应用于与安全组相关联的ECS实例上。

安全组中没有任何规则能做到：允许 ECS 实例的出方向访问，但禁止 ECS 实例的入方向访问。

如果两个安全组的规则相同，只是访问规则不同，则拒绝访问生效，接受访问不生效。

操作步骤

1. 登录 云服务器管理控制台。
2. 单击左侧导航中的 安全组。
3. 选择地域。
4. 找到要授权规则的安全组，单击 配置规则。
5. 单击 添加安全组规则。
6. 在弹出的对话框中，设置下面参数：
   • 网络类型：公网 | 内网。如果该安全组属于专有网络，选择内网。
   • 规则方向：出方向 | 入方向
   • 授权策略：允许 | 拒绝
   • 协议类型：全部 | TCP | UDP | ICMP | GRE
   • 端口范围：1~65535；例如 1/200、80/80、22/22、-1/-1。注意即使是一个端口，也要写成范围，如 22/22，不能只写 22，否则会报错 “IP协议参数格式不正确”。
   • 授权类型：地址段访问 | 安全组访问
   • 授权对象：如果授权类型为地址段访问，授权对象填写 IP 或者 CIDR 网段格式 如：10.0.0.0 或者 0.0.0.0/0 或者 192.168.0.0/24。仅支持 IPV4。如果授权类型为安全组访问，授权对象从安全组的列表中选择一个安全组。
   • 优先级：1-100，数值越小，优先级越高。更多优先级信息，见本文档后面章节。
7. 点击 确定，成功为该安全组授权一条安全组规则。

ECS 安全组规则优先级说明

• 越晚创建的安全组优先级越高。比如：如果实例关联了两个安全组 A 和 B，A 的创建时间晚于 B，而 A 和 B 下存在规则优先级相同的互斥规则时，则 A 的规则会生效。
• 安全组的优先级并非常规理解的“只在安全组内具有可比性”，因为不同安全组策略会最终合并应用到关联的实例上。所以，不同安全组下的规则如果冲突的时候，规则优先级更高的规则会生效。
• 相同优先级的授权规则，授权策略为 drop 的规则优先。

示例：

场景 1：

• 安全组 A ，创建时间 2015 年，规则 100： drop 80
• 安全组 B ，创建时间 2014 年，规则 100： accept 80

结果： 80 端口不通

场景 2：

• 安全组 A ，创建时间 2015 年，规则 100： drop 80
• 安全组 B ，创建时间 2014 年，规则 90： accept 80

结果： 80 端口能通

场景 3：

• 安全组 A ，创建时间 2015 年，规则 90： drop 80
• 安全组 B ，创建时间 2014 年，规则 100： accept 80

结果： 80 端口不通

不生效的解决办法

如果在安全策略变更前后，一直是有数据包在传输，且包间隔很短，那么安全组策略并不会应用新的规则。

解决办法是：客户端断开连接一段时间即可。

最后更新：2016-11-23 16:53:50

  上一篇： 修改安全组属性__安全组_用户指南_云服务器 ECS-阿里云

  下一篇： 查询安全组规则__安全组_用户指南_云服务器 ECS-阿里云