什么是安全组?

安全组是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,您可以在云端划分安全域。

每台ECS实例至少属于一个安全组,在创建实例的时候必须指定安全组。安全组类型分为普通安全组和企业安全组,详情请参见安全组概述

为什么要在创建ECS实例时选择安全组?

在创建ECS实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。

如果您在创建ECS实例时不选择安全组,创建的ECS实例会分配到一个固定的安全组(即,默认安全组),建议您将实例移出默认安全组并加入新的安全组来实现网络安全隔离。

创建ECS实例前,未创建安全组怎么办?

如果您在创建ECS实例前,未创建安全组,您可以选择默认安全组。默认的安全组放行了常用端口,如TCP 22端口、3389端口等。

为什么ECS实例加入安全组时提示规则数量超限?

作用于一台ECS实例(主网卡)的安全组规则数量上限 = 该实例允许加入的安全组数量 * 每个安全组最大规则数量。

如果提示加入安全组失败,作用在该实例上的安全组规则数量已达上限,表示当前ECS实例上的规则总数已经超过数量上限。建议您重新选择安全组。

专有网络VPC类型ECS实例的安全组数量上限调整后,只对调整日期后新增的安全组生效吗?

不是。该上限调整对调整日期之前和之后创建的所有专有网络VPC类型ECS实例的安全组都生效。

安全组在什么情况下会使用默认安全组规则?

在以下情况中会使用默认安全组规则:

  • 通过ECS管理控制台在一个地域首次创建ECS实例时,如果您尚未创建安全组,可以选择系统自动创建的默认安全组,类型为普通安全组。默认安全组采用默认安全规则。入方向放行ICMP协议、SSH 22端口、RDP 3389端口,授权对象为全网段(0.0.0.0/0),优先级为100,您还可以勾选放行HTTP 80端口和HTTPS 443端口。出方向允许所有访问。
  • 您在ECS管理控制台上创建安全组时默认的安全组规则,入方向放行ICMP协议、SSH 22端口、RDP 3389端口、HTTP 80端口和HTTPS 443端口,授权对象为全网段(0.0.0.0/0)。

什么场景下我需要添加安全组规则?

在以下场景中,您需要添加安全组规则,保证ECS实例能被正常访问:

  • ECS实例所在的安全组没有添加过安全组规则,也没有默认安全组规则。当ECS实例需要访问公网,或访问当前地域下其他安全组中的ECS实例时,您需要添加安全规则。
  • 搭建的应用没有使用默认端口,而是自定义了一个端口或端口范围。此时,您必须在测试应用连通前放行自定义的端口或端口范围。例如,您在ECS实例上搭建Nginx服务时,通信端口选择监听在TCP 8000,但您的安全组只放行了80端口,则您需要添加安全规则,保证Nginx服务能被访问。
  • 其他场景,请参见安全组应用案例

为什么无法访问TCP 25端口?

TCP 25端口是默认的邮箱服务端口。基于安全考虑,云服务器ECS的25端口默认受限。建议您使用465端口发送邮件。具体设置,请参见使用SSL加密465端口发信样例及Demo。如果您只能使用TCP 25端口,请申请解封。具体操作,请参见TCP 25端口控制台解封申请更多应用,请参见安全组应用案例

为什么无法访问80端口?

请参见检查TCP 80端口是否正常工作

为什么安全组里自动添加了很多内网相关的安全组规则?

以下两种情况,可能导致您的安全组里自动添加了很多规则:

  • 如果您访问过DMS,安全组中就会自动添加相关的规则,请参见数据管理DMS登录云服务器的IP是什么
  • 如果您近期通过阿里云数据传输DTS功能迁移过数据,安全组中会自动添加DTS的服务IP地址相关的规则。

安全组规则配置错误会造成什么影响?

安全组配置错误会导致ECS实例在私网或公网与其他设备之间的访问失败,例如:
  • 无法从本地远程连接(SSH)Linux实例或者远程桌面连接Windows实例。
  • 无法远程ping ECS实例的公网IP。
  • 无法通过HTTP或HTTPS协议访问ECS实例提供的Web服务。
  • 无法通过内网访问其他ECS实例。

安全组的入方向规则和出方向规则区分计数吗?

不区分。每个安全组的入方向规则与出方向规则的总数不能超过200。详情请参见使用限制

是否可以调整安全组规则的数量上限?

不可以,每个安全组最多可以包含200条安全组规则。一台ECS实例中的每个弹性网卡默认最多可以加入5个安全组,所以一台ECS实例的每个弹性网卡最多可以包含1000条安全组规则,能够满足绝大多数场景的需求。

如果当前数量上限无法满足您的使用需求,建议您按照以下步骤操作:
  1. 检查是否存在冗余规则。您也可以提交工单,阿里云技术支持将提供检查服务。
  2. 如果存在冗余规则,请清除冗余规则。如果不存在冗余规则,您可以创建多个安全组。

如果您已开通了云防火墙服务,也可以通过云防火墙创建VPC边界访问控制策略(管控两个VPC间的流量),减少ECS安全组规则的数量。有关VPC边界防火墙的详细内容,请参见VPC边界防火墙

我配置的安全组规则,各规则的优先级排序是怎么样的?

优先级的取值范围为1~100,数值越小,代表优先级越高。

同类型规则间依赖优先级决定最终执行的规则。当ECS实例加入了多个安全组时,多个安全组会从高到低依次匹配规则。最终生效的安全组规则如下:
  • 如果两条安全组规则只有授权策略不同:拒绝策略的规则生效,允许策略的规则不生效。
  • 如果两条安全组规则只有优先级不同:优先级高的规则生效。

收到违法阻断网站整改通知,怎么办?

在互联网有害信息记录中,您可以查看存在有害信息的域名或URL、处罚动作、处罚原因及处罚时间。您在确认该域名或URL中的有害信息已经移除或不存在时,可以申请解除访问封禁。详情请参见互联网有害信息

收到对外攻击需要整改的通知,怎么办?

在处罚记录中,您可以查看详细的处罚结果、处罚原因及处罚时段。如果您不认同处罚结果,可以反馈申诉。收到您的处罚记录反馈后,阿里云将再次核验,确认处罚的正确性和有效性,并判断是否继续维持处罚或立即结束处罚。详情请参见处罚列表

如何查看资源的限额?

查看资源的使用限制和限额,请参见使用限制