978      阿裏雲

授權安全組規則__安全組_用戶指南_雲服務器 ECS-阿裏雲

授權安全組規則可以允許或者禁止與安全組相關聯的 ECS 實例的公網和內網的入出方向的訪問。您可以隨時授權和取消安全組規則。您的變更安全組規則會自動應用於與安全組相關聯的ECS實例上。

安全組中沒有任何規則能做到：允許 ECS 實例的出方向訪問，但禁止 ECS 實例的入方向訪問。

如果兩個安全組的規則相同，隻是訪問規則不同，則拒絕訪問生效，接受訪問不生效。

操作步驟

1. 登錄 雲服務器管理控製台。
2. 單擊左側導航中的 安全組。
3. 選擇地域。
4. 找到要授權規則的安全組，單擊 配置規則。
5. 單擊 添加安全組規則。
6. 在彈出的對話框中，設置下麵參數：
   • 網絡類型：公網 | 內網。如果該安全組屬於專有網絡，選擇內網。
   • 規則方向：出方向 | 入方向
   • 授權策略：允許 | 拒絕
   • 協議類型：全部 | TCP | UDP | ICMP | GRE
   • 端口範圍：1~65535；例如 1/200、80/80、22/22、-1/-1。注意即使是一個端口，也要寫成範圍，如 22/22，不能隻寫 22，否則會報錯 “IP協議參數格式不正確”。
   • 授權類型：地址段訪問 | 安全組訪問
   • 授權對象：如果授權類型為地址段訪問，授權對象填寫 IP 或者 CIDR 網段格式 如：10.0.0.0 或者 0.0.0.0/0 或者 192.168.0.0/24。僅支持 IPV4。如果授權類型為安全組訪問，授權對象從安全組的列表中選擇一個安全組。
   • 優先級：1-100，數值越小，優先級越高。更多優先級信息，見本文檔後麵章節。
7. 點擊 確定，成功為該安全組授權一條安全組規則。

ECS 安全組規則優先級說明

• 越晚創建的安全組優先級越高。比如：如果實例關聯了兩個安全組 A 和 B，A 的創建時間晚於 B，而 A 和 B 下存在規則優先級相同的互斥規則時，則 A 的規則會生效。
• 安全組的優先級並非常規理解的“隻在安全組內具有可比性”，因為不同安全組策略會最終合並應用到關聯的實例上。所以，不同安全組下的規則如果衝突的時候，規則優先級更高的規則會生效。
• 相同優先級的授權規則，授權策略為 drop 的規則優先。

示例：

場景 1：

• 安全組 A ，創建時間 2015 年，規則 100： drop 80
• 安全組 B ，創建時間 2014 年，規則 100： accept 80

結果： 80 端口不通

場景 2：

• 安全組 A ，創建時間 2015 年，規則 100： drop 80
• 安全組 B ，創建時間 2014 年，規則 90： accept 80

結果： 80 端口能通

場景 3：

• 安全組 A ，創建時間 2015 年，規則 90： drop 80
• 安全組 B ，創建時間 2014 年，規則 100： accept 80

結果： 80 端口不通

不生效的解決辦法

如果在安全策略變更前後，一直是有數據包在傳輸，且包間隔很短，那麼安全組策略並不會應用新的規則。

解決辦法是：客戶端斷開連接一段時間即可。

最後更新：2016-11-23 16:53:50

  上一篇： 修改安全組屬性__安全組_用戶指南_雲服務器 ECS-阿裏雲

  下一篇： 查詢安全組規則__安全組_用戶指南_雲服務器 ECS-阿裏雲