安全组的分类：普通安全组与企业级安全组

安全组类型概述

阿里云安全组分为普通安全组和企业级安全组两种，均免费提供。这两种安全组在容量、规则添加能力及默认访问控制规则等方面存在差异，因而适用于不同的场景。

类型差异和适用场景

• 普通安全组：适用于大多数标准应用场景，提供基本的网络安全功能。

• 企业级安全组：设计用于规模较大、私网IP数量较多的集群环境。相比普通安全组，它可以容纳更多的私网IP地址。

关联安全组限制

当ECS实例或弹性网卡关联多个安全组时，这些安全组必须是同一类型（要么全部是普通安全组，要么全部是企业级安全组），不能混合关联两种类型的安全组。

私网IP地址容量

• 对于普通安全组，虽然提供基础的安全功能，但容纳的私网IP地址数量有限。

• 对于企业级安全组，特别是在集群中私网IP地址数量较多的情况下，提供更大的容量，确保足够的网络资源。

选择合适的安全组类型对于确保云资源的高效运行和安全至关重要。了解不同类型的安全组特性和适用场景，可以帮助您更好地规划和实施网络安全策略，确保云环境的稳定性和安全性。

添加授权安全组的规则

• 授权安全组ID：在安全组规则中，您可以将授权对象设置为另一个安全组的ID。这意味着规则将基于目标安全组中ECS实例的内网IP地址进行流量匹配。

组内互通功能

• 普通安全组的互通：普通安全组支持组内互通，即安全组内的ECS实例可以相互访问。您可以根据需要调整这一策略。

• 企业级安全组的隔离：与普通安全组不同，企业级安全组中的ECS实例默认进行组内隔离，且不能设置为组内互通。

默认访问控制规则

• 普通安全组与企业级安全组的差异：这两种安全组类型在默认访问控制规则方面有所不同。普通安全组的默认规则受组内连通策略影响，而企业级安全组的默认规则则更为严格。

• 规则不可见性：安全组的默认访问控制规则是不可见的，但会与您自定义的规则一起影响流量的允许或拒绝。

规则排序的影响

• 当决定流量能否通过时，系统会按照规则的序号依次匹配。序号的排序决定了规则的应用顺序。

普通安全组的规则应用

• 组内连通策略：互通（默认）

入方向流量：

a. 同安全组内的ECS实例间的内网流量默认放行（无论自定义规则如何配置）。

b. 其他流量若与自定义规则匹配，根据规则放行或拒绝。

c. 不匹配任何规则的流量将被拒绝。

出方向流量：

1. 与出方向规则匹配的流量根据规则放行或拒绝。

2. 其他出方向流量默认放行。

修改连通策略为隔离

• 在不需要ECS实例间的内网互通时，可设置为组内隔离，以遵循最小权限原则。

企业级安全组的规则应用

入方向流量：

1. 若与入方向规则匹配，根据规则放行或拒绝。

2. 不匹配任何规则的流量将被拒绝。

出方向流量：

1. 若与出方向规则匹配，根据规则放行或拒绝。

2. 不匹配任何规则的流量将被拒绝。

组内隔离策略下的流量控制

当普通安全组的组内连通策略被设置为组内隔离时，安全组的行为如下：

入方向流量：

a. 与自定义规则匹配的流量会根据规则被允许或拒绝。

b. 同一安全组内的其他ECS实例间的内网流量不会被默认放行。

c. 不符合任何规则的流量将被拒绝。

出方向流量：

出方向的处理与组内互通策略相同，即除非与出方向规则匹配，否则默认放行。

组内隔离策略的影响

当普通安全组设置为组内隔离时，它更加严格地控制安全组内部实例间的流量，从而提供更高水平的网络隔离。这对于那些不需要或不希望安全组内的ECS实例相互通信的场景尤其有用。

企业级安全组为大规模、高安全需求的网络环境设计，其流量控制规则如下：

入方向流量控制：

a. 若流量与入方向的安全组规则匹配，将根据规则允许或拒绝该流量。

b. 所有不匹配规则的入方向流量将被默认拒绝。

出方向流量控制：

a. 若流量与出方向的安全组规则匹配，将根据规则允许或拒绝该流量。

b. 所有不匹配规则的出方向流量将被默认拒绝。

企业级安全组提供了更严格的流量控制，适合那些需要细粒度安全管理和高级网络隔离的场景。与普通安全组相比，它提供了更高级别的安全保障，适用于大型企业或安全敏感的应用。理解这些流量控制规则，有助于正确配置和使用企业级安全组，确保网络环境的安全性和稳定性。

云端新篇章：阿里云国际与Agilewing共塑数字化转型之旅

在这个充满动态变化的时代，Agilewing站在技术的前沿，作为阿里云国际的核心合作伙伴，我们不仅仅是提供服务，我们是在重新定义您与云的连接方式。想象一下，一个无缝、直观的体验，将您从繁杂的开户流程中解放出来，让您可以潇洒地步入阿里云国际的世界，这正是Agilewing带给您的。

借助Agilewing的AgileCDN服务，我们的目标是让全球内容加速不再是企业的负担，而是助力。我们拥有覆盖全球的网络，超过2800个POP节点和7000个直接连接点，确保您的业务无论扩展到哪里，都能享受到稳定、高效的服务。

在技术的驱动下，Agilewing致力于简化每一个步骤，无论是云服务的构建、迁移还是国际化扩展。我们的模式不仅经济高效，更是让您能够专注于自己的核心业务，享受阿里云国际带来的高性能与安全保护。

阿里云国际不仅仅是一个服务，它是一扇开向新机遇之门，为各类型企业带来了前所未有的可能性。它的高性能、安全性以及全球统一的服务标准，正在定义未来的商业景象。而Agilewing，作为您的专业伴侣，将引领您轻松踏入这个充满创新和效能的新纪元。

现在，是时候让Agilewing携手您一起，开启探索阿里云国际的旅程，迈向一个充满无限可能的新世界。