安全组是一种虚拟防火墙,用于在云端划分安全域。您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。
默认安全组
当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组,也可以选择专有网络VPC中已有的其它安全组。有关安全组的分类,请参见安全组概述。
安全组规则
您可以通过添加安全组规则设置不同的安全组规则,满足具体的应用场景。具体操作,请参见添加安全组规则。
- 场景举例:默认情况下,同一专有网络VPC内的ECS实例可以通过系统路由相互访问。假设您有三台ECS实例分别位于同一专有网络VPC下的三个不同的虚拟交换机内,实例之间需要实现内网隔离。此时,您可以分别为实例创建不同的安全组,并添加安全组规则拒绝来自彼此虚拟交换机网段的访问请求。以其中一个安全组的添加的三条规则为例:
- 安全组规则1:开放ICMP协议所有端口。优先级设为100。数字越大,优先级越低。
- 安全组规则2:拒绝全部来自第二个虚拟交换机的访问,授权对象为第二个虚拟交换机的CIDR IP地址段,例如172.16.2.0/24,优先级设为1。
- 安全组规则3:拒绝全部来自第三个虚拟交换机的访问,授权对象为第三个虚拟交换机的CIDR IP地址段,例如172.16.3.0/24,优先级设为1。
- 更多场景举例,请参见安全组应用案例。