安全组

安全组概述

安全组是一种有状态的包过滤功能的虚拟防火墙，它用于设置单台或多台云主机的网络访问控制，是七牛云提供的重要的网络安全隔离手段。

• 安全组是一个逻辑上的分组，您可以将同一地域内具有相同网络安全隔离需求的 弹性网卡 实例加到同一个安全组内。
• 您可以通过安全组策略对实例的出入流量进行安全过滤。
• 您可以随时修改安全组的规则；新规则立即生效。
• 您可以在控制台中配置的安全组优先级，数字越小优先级越高。

安全组模板

安全组支持自定义创建和模板创建，目前系统提供三个模板：

1. Linux 放通22端口 ：仅暴露 SSH 登录的 TCP 22端口到公网，内网端口全通
2. Windows 放通3389端口：仅暴露 MSTSC 登录的TCP 3389端口到公网，内网端口全通
3. 放通全部端口：暴露全部端口到公网和内网，有一定安全风险

安全组规则

安全组规则可控制允许到达与安全组相关联的 实例的入站流量以及允许离开 实例的出站流量（从上到下依次筛选规则）。默认情况下，新建安全组将 All Drop （拒绝）所有流量。

对于安全组的每条规则，您可以指定以下几项内容：

• 协议类型：例如 TCP、UDP 或 ICMP 等。
• 端口：来源或目标的端口范围。
• 授权类型：地址段（CIDR/IP）访问。
• 来源（入站规则）或目标（出站规则）的以下选项之一：
  • 用 CIDR 表示法，指定的单个 IP 地址。
  • 用 CIDR 表示法，指定的 IP 地址范围（例如，203.0.113.0/24）。
• 策略：允许或拒绝。

安全组优先级

您在实例控制台中配置的安全组优先级，数字越小优先级越高。实例绑定多个安全组时，优先级将作为我们判断该实例总的安全规则的评估依据。
另外，如果实例绑定的多个安全组的最后一条策略是【ALL Traffic 拒绝】，那么除了优先级最低的安全组，其它安全组的最后一条策略【ALL Traffic 拒绝】将失效。

安全组的限制

• 安全组适用于任何网络环境下的 QCS 实例。
• 每个用户在每个地域每个项目下最多可设置 50 个安全组。 　　
• 一个安全组入站方向、出站方向的访问策略，各最多可设定100条。 　　
• 一个 QCS 可以加入多个安全组，一个安全组可同时关联多个 QCS，数量无限制。

注意： 安全组内 实例个数虽无限制，但不宜过多。

安全组与网络 ACL 的区别

创建安全组

1. 打开 云主机控制台。
2. 在二级导航中，单击【安全组】。
3. 单击【新建】按钮。
4. 输入安全组的名称（例如，my-security-group）并提供说明。

删除安全组

1. 打开 云主机控制台。
2. 在二级导航中，单击【安全组】。
3. 单击列表中安全组项后面的【删除】按钮。
4. 在删除安全组对话框中，单击【确定】。若当前安全组有关联的 QCS 则需要先解除安全组才能进行删除。

克隆安全组

1. 打开 云主机控制台。
2. 在二级导航中，单击【安全组】。
3. 单击列表中安全组项后面的【克隆】按钮。
4. 在克隆安全组对话框中，选定目标地域、目标项目后，单击【确定】。若新安全组需关联 QCS，请重新进行管理安全组内云主机。

向安全组中添加规则

1. 打开 云主机控制台。
2. 在二级导航中，单击【安全组】。
3. 选择需要更新的安全组，点击安全组 ID。 详细信息窗格内会显示此安全组的详细信息，以及可供您使用入站规则和出站规则的选项卡。
4. 在入/出站规则选项卡上，单击【编辑】。从选项卡中选择用于入/出站规则的选项，然后填写所需信息。例如，选择 HTTP 或 HTTPS，将来源/目标指定为0.0.0.0/0。完成后，单击【保存】。

配置 QCS 实例关联安全组

1. 打开 云主机控制台。
2. 单击二级导航中的【云主机-实例】。
3. 在需要配置安全组的实例右侧操作栏中，点击【配置安全组】。
4. 在配置安全组对话框中，从列表中选择一个或多个安全组，点击【确定】。

或

1. 打开 云主机控制台。
2. 单击二级导航中的【安全组】。
3. 选择需要关联的安全组，点击操作栏中的【加入实例】按钮。
4. 在加入/移出云主机弹出框中，添加或删除需要关联本安全组的云主机，点击【确定】。

导入导出安全组规则

1. 打开 云主机控制台。
2. 在二级导航中，单击【安全组】。
3. 选择需要更新的安全组，点击安全组ID。详细信息窗格内会显示此安全组的详细信息，以及可供您使用入站规则和出站规则的选项卡。
4. 在入/出站规则选项卡上，点击【导入规则】按钮。如原来您已有规则，则推荐您先导出现有规则，因为规则导入将覆盖原有规则，如原来为空规则，则可先导出模板，编辑好模板文件后，再将文件导入。