上一篇
安全组默认策略_默认安全组
安全组默认策略是用于保护云资源的一种安全机制,它包括入站和出站规则。默认安全组通常允许所有流量通过,但可以根据需要进行修改以限制访问。
默认安全组
默认安全组是云服务提供商(如AWS、Azure等)为每个新创建的实例或资源自动分配的一种安全策略,它的主要目的是在用户没有明确配置安全规则的情况下,提供基本的安全保障,以下是关于默认安全组的一些详细信息:
1、默认入站规则
默认安全组通常允许所有传入流量,这意味着任何外部源都可以访问您的实例或资源,这可能会导致安全风险,因此建议用户根据实际需求修改默认规则。
2、默认出站规则
默认安全组通常不允许任何传出流量,除非用户明确配置了相应的规则,这意味着您的实例或资源无法主动与外部网络通信,除非您添加了允许特定端口或协议的规则。
3、常用端口和协议
以下是一些常见的端口和协议,您可能需要在默认安全组中打开它们以实现所需的功能:
| 端口 | 协议 | 描述 |
| 22 | SSH | 用于远程登录服务器 |
| 80 | HTTP | 用于Web服务 |
| 443 | HTTPS | 用于安全的Web服务 |
| 3389 | RDP | 用于远程桌面连接 |
| 1433 | MSSQL | 用于Microsoft SQL Server数据库服务 |
| 3306 | MySQL/MariaDB | 用于MySQL/MariaDB数据库服务 |
| 5432 | PostgreSQL | 用于PostgreSQL数据库服务 |
| 6379 | Redis | 用于Redis缓存服务 |
| 27017 | MongoDB | 用于MongoDB数据库服务 |
| 53 | DNS | 用于域名解析服务 |
| 67/68 UDP/TCP | BGP | 用于边界网关协议 |
| 53/53 UDP/TCP | DNSSEC | 用于DNS安全扩展协议 |
| 161 UDP/TCP | Simple Mail Transfer Protocol (SMTP) | 用于简单邮件传输协议 |
| 587 UDP/TCP | Submission | 用于电子邮件提交协议 |
| 465 UDP/TCP | SMTPS (SSL) | 用于加密的简单邮件传输协议 |
| 993 UDP/TCP | IMAPS (SSL) | 用于加密的Internet消息访问协议 |
| 995 UDP/TCP | IMAP (SSL) | 用于加密的Internet消息访问协议 |
4、修改默认安全组规则
要修改默认安全组的规则,请按照以下步骤操作:
登录到您的云服务提供商控制台。
导航到您的实例或资源所在的区域。
找到并点击“安全组”选项。
选择您的实例或资源关联的默认安全组。
点击“入站规则”或“出站规则”选项卡。
根据需要添加、删除或修改规则。
确保保存更改。
| 属性 | 描述 |
| 安全组定义 | 虚拟防火墙,用于控制云服务器实例的入方向和出方向网络流量。 |
| 默认网络策略 | 同一安全组内的实例之间默认网络互通,不同安全组的实例之间默认内网不通。 |
| 创建时默认设置 | 阿里云:默认开放22号(SSH)和3389号(RDP)端口。 腾讯云:默认安全组规则可能根据云服务提供商有所不同。 |
| 端口放行 | 允许用户自定义规则,开放或禁止特定的端口,以控制访问权限。 |
| 规则方向 | 入方向:从外部访问实例的网络流量。 出方向:从实例访问外部的网络流量。 |
| 授权策略 | 允许:放行特定流量。 拒绝:禁止特定流量。 |
| 协议类型 | TCP:传输控制协议,适用于需要可靠传输的应用。 UDP:用户数据报协议,适用于不需要可靠传输的应用。 ICMP:用于网络故障排除和状态检查。 GRE:用于封装其他网络层协议。 |
| 端口范围 | 1~65535,80/80、22/22、1/1(表示所有端口)。 |
| 授权类型 | 地址段访问:基于IP地址或CIDR网段授权。 安全组访问:基于已存在的安全组授权。 |
| 优先级 | 定义规则的优先级,数值越小优先级越高,决定规则的应用顺序。 |
| 实例隔离 | 支持同一安全组内实例的网络隔离。 隔离粒度为网卡级别。 隔离优先原则,高于其他网络互通设置和用户定义的ACL。 |
请注意,这个介绍是基于上述提供的信息整理的,不同的云服务提供商和具体的产品可能存在细节上的差异,在使用时应以具体云服务提供商的官方文档为准。
