上云无忧 > 文档中心 > 腾讯云云服务器CVM - 安全组概述
云服务器CVM
腾讯云云服务器CVM - 安全组概述

文档简介:
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。
*此产品及展示信息均由腾讯云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。 您可以通过配置安全组规则,允许或禁止安全组内的实例的出流量和入流量。

安全组特点

安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内。
安全组未添加任何规则时,默认拒绝所有流量,您需要添加相应的允许规则。
安全组是有状态的,对于您已允许的入站流量,都将自动允许其流出,反之亦然。
您可以随时修改安全组的规则,新规则立即生效。

使用限制

有关安全组的使用限制及配额,请参见 使用限制总览 中的安全组相关限制章节。

安全组规则

组成部分

安全组规则包括如下组成部分:
来源:源数据(入站)或目标数据(出站)的 IP。
协议类型和协议端口:协议类型如 TCP、UDP 等。
策略:允许或拒绝。

规则优先级

安全组内规则具有优先级。规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,最先应用;列表底端规则优先级最低。
若有规则冲突,则默认应用位置更前的规则。
当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配至最后一条。如果匹配某一条规则成功(允许通过/拒绝通过),则不再匹配该规则之后的规则。

多个安全组

一个实例可以绑定一个或多个安全组,当实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行,您可以随时调整安全组的优先级。

安全组模板

新建安全组时,您可以选择腾讯云为您提供的两种安全组模板:
放通全部端口模板:将会放通所有出入站流量。
放通常用端口模板:将会放通 TCP 22端口(Linux SSH 登录),80、443端口(Web 服务),3389端口(Windows 远程登录)、 ICMP 协议(Ping)、放通内网。
说明
如果提供的安全组模板不满足您的实际使用,您也可以新建自定义安全组,详情请参见 创建安全组安全组应用案例
如果您对应用层(HTTP/HTTPS)有安全防护需求,可另行购买 腾讯云 Web 应用防火墙(WAF),WAF 将为您提供应用层 Web 安全防护,抵御 Web 漏洞攻击、恶意爬虫和 CC 攻击等行为,保护网站和 Web 应用安全。

使用流程

安全组的使用流程如下图所示:

安全组实践建议

创建安全组

调用 API 购买 CVM 时建议指定安全组,未指定安全组时,将使用系统自动生成的默认安全组。默认安全组不可删除,默认规则为放通所有 IPv4 规则,创建后可按需修改。
实例防护策略有变更,建议优先修改安全组内规则,不需要重新新建一个安全组。

管理规则

需要修改规则时可以先将当前安全组导出备份,如果新规则有不利影响,可以导入之前的安全组规则进行恢复。
当所需规则条目较多时可以使用 参数模板

关联安全组

您可以将有相同防护需求的实例加入一个安全组,而无需为每一个实例都配置一个单独的安全组。
不建议一个实例绑定过多安全组,不同安全组规则的冲突可能导致网络不通。

安全组和云防火墙

腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。云防火墙不仅具备传统防火墙功能,同时也支持云上多租户、弹性扩容功能,是用户业务上云的第一个网络安全基础设施。
在实际使用场景中,安全组一般部署在 CVM 等云产品边界,用于实现云产品所属安全组间的访问控制。而腾讯云防火墙部署在 VPC 间的边界或互联网边界,用于实现 VPC 间或腾讯云到互联网访问控制。具体如下图所示:

在如下场景中,使用安全组不能满足需求,可采用 腾讯云防火墙
相似文档
  • 操作场景: 安全组是云服务器实例的虚拟防火墙,每台云服务器实例必须至少属于一个安全组。在您创建云服务器实例时,如果您还未创建过安全组,腾讯云提供了放通全部端口和放通22,80,443,3389端口和ICMP协议两种模板为您创建一个默认安全组。更多详情,请参见 安全组概述。
  • 操作场景: 安全组用于管理是否放行来自公网或者内网的访问请求。为安全起见,安全组入方向大多采取拒绝访问策略。如果您在创建安全组时选择了放通全部端口模板或者放通22,80,443,3389端口和ICMP协议模板,系统将会根据选择的模板类型给部分通信端口自动添加安全组规则。更多详情,请参见 安全组概述。
  • 操作场景: 安全组用于设置单台或多台云服务器实例的网络访问控制,是重要的网络安全隔离手段。您可以根据业务需要,将云服务器实例关联一个或多个安全组。下面将指导您如何在控制台上将云服务器实例关联安全组。
  • 操作场景: 如果您想查看您在某一个地域下创建的所有安全组,您可以通过以下操作查看安全组列表。
  • 操作场景: 您可以根据业务需要,将云服务器实例移出安全组。 前提条件: 云服务器实例已加入两个或两个以上安全组。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部