安全组规则的构成与实用性

安全组规则的基本概念

安全组规则是自定义的访问控制规则，它们关键于控制安全组内ECS实例的出入站流量。这些规则不仅实现对云资源的访问控制，也提供网络安全防护。

安全组规则的应用

• 网络类型影响规则：在VPC网络下，安全组规则分为入方向和出方向，控制内外网流量。而在经典网络下，规则更细分，涵盖公网和内网的入出流量。

• 有状态的应用：安全组是有状态的，即一旦允许特定流量，同一会话的相应反向流量也会被允许。

• 规则变更的影响：修改安全组规则或变更网卡关联的安全组时，已建立的会话不会受影响，除非规则行为发生变化。

安全组规则的特殊考虑

• TCP 25端口限制：基于安全考虑，默认限制此端口。建议使用465端口发送加密邮件。

• 默认访问控制规则：未添加规则时，安全组有其默认规则。普通安全组与企业级安全组的默认规则不同，普通安全组默认入方向放行组内流量，企业级安全组默认不放行任何流量。

普通安全组的连通策略

• 普通安全组默认组内互通：默认放行组内实例间的内网流量。

• 调整组内连通策略：若无需组内实例内网访问，可设置为组内隔离，符合最小授权原则。

安全组规则的排序和数量限制

• 多安全组规则的汇总：一个ECS实例可能关联多个安全组，其规则会被汇总并按策略排序。

• 规则数量限制：默认上限为200条，可以调整，但建议保持简洁以减轻管理负担。

安全组规则的构成与实用性

安全组规则的核心构成

安全组规则，您设置的自定义访问控制指南，主要由以下要素构成：

• 协议类型：流量匹配所依据的协议，例如TCP、UDP、ICMP等。

• 端口范围：指定用于匹配流量的目的端口范围。对于TCP/UDP，可以是单个或一系列端口；对于其他协议，默认为-1/-1。

• 授权对象：规定流量的源（入方向）或目的（出方向）地址。可基于IP地址、CIDR地址块、安全组ID或前缀列表ID来设定。

• 授权策略：确定允许或拒绝流量的动作。

• 优先级：规则的优先级设置，数字越小优先级越高。

• 规则方向：区分流量是入站还是出站。

• 网卡类型的作用：在经典网络下，可以指定规则适用于公网或内网网卡；在专有网络VPC下，规则同时控制公网和内网流量。

• 规则ID：系统为每个规则生成的唯一标识，便于管理。

安全组规则的应用

• 流量匹配：根据协议类型、端口范围、授权对象对流量进行匹配。

• 访问控制：通过授权策略来决定是否放行匹配到的流量。

• 五元组规则：对于更复杂的访问控制需求，可以利用五元组规则进行精确设置。

安全组规则为ECS实例提供精细化的网络访问控制，既能保护实例不受未授权访问的威胁，又能满足各种网络通信需求。合理设置这些规则，可以在保障安全的同时，确保网络的灵活性和效率。

安全组规则排序策略

安全组规则的排序对于决定ECS实例流量的通过至关重要。对于多个安全组关联到同一ECS实例的情况，规则的排序如下：

1. 优先级：规则首先根据优先级排序，数字越小，优先级越高。

2. 授权策略：遵循“拒绝优先”原则，拒绝规则排在允许规则之前。

3. 匹配流量：流量会依次匹配每条规则，匹配成功后，将执行相应的授权策略。

此外，安全组还包含一些不可见的默认访问控制规则，它们同样影响流量的通行。

安全组的特殊规则

• 网络连通性检测：为确保网络连通性，安全组会放行阿里云在特定条件下进行的Ping探测。

• ICMP（PMTUD差错报文）：针对数据包超出路径MTU的情况，安全组会放行携带正确路径MTU的ICMP差错报文。

• SLB流量：通过服务器负载均衡（SLB）转发到ECS的流量，会被安全组默认放行。

• MetaServer访问：为保障ECS实例正常运行，安全组默认允许访问MetaServer（IP地址100.100.100.200）。

安全组应用案例

安全组规则的应用广泛，从网站Web服务到远程连接实例等场景都有对应的配置示例可供参考。

通过这些规则和策略，安全组为ECS实例提供了全面而灵活的访问控制，确保了网络通信的安全性和稳定性。这些知识点对于管理员来

云端新篇章：阿里云国际与Agilewing共塑数字化转型之旅

在这个充满动态变化的时代，Agilewing站在技术的前沿，作为阿里云国际的核心合作伙伴，我们不仅仅是提供服务，我们是在重新定义您与云的连接方式。想象一下，一个无缝、直观的体验，将您从繁杂的开户流程中解放出来，让您可以潇洒地步入阿里云国际的世界，这正是Agilewing带给您的。

借助Agilewing的AgileCDN服务，我们的目标是让全球内容加速不再是企业的负担，而是助力。我们拥有覆盖全球的网络，超过2800个POP节点和7000个直接连接点，确保您的业务无论扩展到哪里，都能享受到稳定、高效的服务。

在技术的驱动下，Agilewing致力于简化每一个步骤，无论是云服务的构建、迁移还是国际化扩展。我们的模式不仅经济高效，更是让您能够专注于自己的核心业务，享受阿里云国际带来的高性能与安全保护。

阿里云国际不仅仅是一个服务，它是一扇开向新机遇之门，为各类型企业带来了前所未有的可能性。它的高性能、安全性以及全球统一的服务标准，正在定义未来的商业景象。而Agilewing，作为您的专业伴侣，将引领您轻松踏入这个充满创新和效能的新纪元。

现在，是时候让Agilewing携手您一起，开启探索阿里云国际的旅程，迈向一个充满无限可能的新世界。