欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 6574|回复: 6

[经验分享] 腾讯云服务器安全组策略设置方法

[复制链接]

10

主题

0

好友

8435

积分

版主

Rank: 7Rank: 7Rank: 7Rank: 7

云币
21405
威望
8435
发表于 2017-7-19 16:46:22 |显示全部楼层 |未分类
最近发现好多小伙伴不会设置安全组,下面就教教大家如何设置安全组的策略。
在新建一个安全组后,可以看到主要有4个字段,截图如下:
123.jpg

其中前两个字段是用于筛选流量的,第三个字段是选择允许此流量或拒绝此流量。
接下来我们逐个来解释。

第一:来源
来源指的是流量的来源,这里可以填写IP地址,也可以填写CIDR。表示来自此来源的流量,举例:
填写111.20.2.156表示来源于111.20.2.156的流量。
填写192.168.0.0/16表示所有C类私有IP地址。
也可以填写ALL或0.0.0.0/0表示全部来源的流量。

第二:协议端口
这里需要填写的是  协议:端口
协议主要有4种,TCP、UDP、ICMP、ALL
端口可以填写一个,也可以填写几个不连续的端口(用逗号隔开),也可以填写连续的端口(使用“-”)。举例:
TCP:3389表示windows远程桌面端口
TCP:30000-39000表示TCP协议30000-39000的全部端口
UDP:53,444表示UDP协议的53端口和444端口
ICMP表示ICMP协议(ping命令发送的就是ICMP数据包)
ALL表示所有协议端口

第三:策略
策略有两个选择,允许和拒绝,对于符合上面两个条件的流量是允许通过还是不允许通过。

最后,还要说几个问题
1、在设置好的安全组策略的最后,系统会自动增加一条 “ALL  ALL   拒绝”,也就是说,没有添加允许的,都会被拒绝(类似白名单哦)
2、优先级问题:对于经过安全组的流量会从上到下依次匹配,如果匹配成功,则执行对于的策略,匹配不成功,则再匹配下一条。也就是说上面的优先级会高于下面的优先级。

下面我整体举一个例子:
来源                       协议端口                       策略
0.0.0.0/0                TCP:80                         允许
1.2.165.0/28          TCP:21,1723                拒绝
0.0.0.0/0                TCP:21,1723                允许
222.145.123.222   TCP:3389                     允许

此例子表示:允许所有机器连接TCP80端口,允许除了1.2.165.0/28外的所有机器连接TCP21,1723端口,只允许222.145.123.222这台机器访问TCP3389端口,其他一律拒绝。

好啦,,关于安全组策略的设置方法就介绍到这里了哦~

35

主题

4

好友

8964

积分

超级版主

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

云币
13687
威望
8964
发表于 2017-7-19 18:35:54 |显示全部楼层
谢谢楼主的分享哦~~~
回复

使用道具 举报

3

主题

0

好友

2970

积分

攻城师[LV3]

Rank: 3Rank: 3Rank: 3

云币
7578
威望
2970
发表于 2017-7-20 09:31:47 |显示全部楼层
谢谢楼主分享,已经保存
回复

使用道具 举报

10

主题

0

好友

8435

积分

版主

Rank: 7Rank: 7Rank: 7Rank: 7

云币
21405
威望
8435
发表于 2017-7-20 17:13:12 |显示全部楼层
哈哈,大家有什么问题尽管在本帖下留言哦~
回复

使用道具 举报

0

主题

0

好友

40

积分

小白[LV1]

Rank: 1

云币
170
威望
40
发表于 2018-2-2 03:38:25 |显示全部楼层
Rivalsa 发表于 2017-7-20 17:13
哈哈,大家有什么问题尽管在本帖下留言哦~

请问安全组如何设置进站规则,允许IP段访问80端口

现在的问题是,不知道在哪设置IP段,安全组默认好像只能设置单独的IP,我现在想加一个批量的IP白名单

点评

Rivalsa  据我所知目前IP段只能通过网络标号和子网掩码的方式进行配置。例如,可以配置来源为119.25.128.0/17表示允许119.25.128.0-119.25.255.255这一段地址。  详情 回复 发表于 2018-2-3 21:07
回复

使用道具 举报

10

主题

0

好友

8435

积分

版主

Rank: 7Rank: 7Rank: 7Rank: 7

云币
21405
威望
8435
发表于 2018-2-3 21:07:53 |显示全部楼层
仲夏|zhongxia 发表于 2018-2-2 03:38
请问安全组如何设置进站规则,允许IP段访问80端口

现在的问题是,不知道在哪设置IP段,安全组默认好像只 ...

据我所知目前IP段只能通过网络标号和子网掩码的方式进行配置。例如,可以配置来源为119.25.128.0/17表示允许119.25.128.0-119.25.255.255这一段地址。
回复

使用道具 举报

0

主题

0

好友

20

积分

小白[LV1]

Rank: 1

云币
70
威望
20
发表于 2018-3-18 11:22:52 来自手机 |显示全部楼层
为什么我设置udp 80的端口开启,但是在服务器里用netstat -nlp查看这个端口却没有监听呢,而且用软件测试也确实没有开启
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-8-15 21:27 , Processed in 1.202341 second(s), 33 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部