安全組規(guī)則檢測(cè)
通過(guò)安全組規(guī)則,您可以靈活控制ECS實(shí)例的出入流量,但如果安全組規(guī)則設(shè)置不當(dāng),權(quán)限過(guò)小可能導(dǎo)致無(wú)法正常訪問(wèn)實(shí)例而影響業(yè)務(wù),權(quán)限過(guò)大則導(dǎo)致安全風(fēng)險(xiǎn)隨之上升。本文介紹如何使用安全組規(guī)則檢測(cè)功能,主動(dòng)判斷安全組允許和拒絕訪問(wèn)的情況是否符合預(yù)期。
背景信息
使用安全組規(guī)則檢測(cè)功能時(shí),您需要輸入檢測(cè)條件,系統(tǒng)通過(guò)算法模擬匹配的方式判斷當(dāng)前安全組規(guī)則的設(shè)置是否符合預(yù)期。該功能提供以下檢測(cè)方式滿足您在不同場(chǎng)景下的需求:
檢測(cè)方式 | 適用場(chǎng)景 |
一鍵檢測(cè) | 適用于快速檢測(cè)安全組是否放行了常見(jiàn)的入方向訪問(wèn),包括:
更多端口的說(shuō)明,請(qǐng)參見(jiàn)常用端口。 |
自定義檢測(cè) | 適用于精準(zhǔn)檢測(cè)安全組是否放行了某一類入方向訪問(wèn)或出方向訪問(wèn),您需要根據(jù)訪問(wèn)方向設(shè)置檢測(cè)條件,包括:
|
操作步驟
進(jìn)入安全組規(guī)則檢測(cè)頁(yè)簽。
進(jìn)入方式
操作步驟
從自助問(wèn)題排查頁(yè)面
在左側(cè)導(dǎo)航欄,單擊自助問(wèn)題排查。
在頂部菜單欄處,選擇地域。
單擊安全組規(guī)則檢測(cè)頁(yè)簽。
從實(shí)例頁(yè)面
在左側(cè)導(dǎo)航欄,選擇
。在頂部菜單欄處,選擇地域。
找到實(shí)例,在操作列中,選擇
。
從彈性網(wǎng)卡頁(yè)面
在左側(cè)導(dǎo)航欄,選擇
。在頂部菜單欄處,選擇地域。
找到已綁定ECS實(shí)例的彈性網(wǎng)卡,在操作列中,單擊安全組規(guī)則檢查。
設(shè)置檢測(cè)規(guī)則并完成檢測(cè)。
選擇待檢測(cè)的實(shí)例。
如果從實(shí)例和彈性網(wǎng)卡頁(yè)面進(jìn)入安全組規(guī)則檢測(cè)頁(yè)簽,已默認(rèn)選中實(shí)例。
選擇待檢測(cè)的網(wǎng)卡。
默認(rèn)檢測(cè)實(shí)例的主網(wǎng)卡。如果實(shí)例綁定了輔助網(wǎng)卡,您可以選擇對(duì)應(yīng)的輔助網(wǎng)卡。
選擇檢測(cè)方式。
一鍵檢測(cè):檢測(cè)安全組是否放行了常見(jiàn)的入方向訪問(wèn)。
自定義檢測(cè):請(qǐng)根據(jù)訪問(wèn)方向設(shè)置檢測(cè)條件。例如,檢測(cè)是否允許通過(guò)指定IP地址47.XX.XX.XX遠(yuǎn)程連接Linux實(shí)例(22端口)和Windows實(shí)例(3389端口)時(shí),自定義檢測(cè)的設(shè)置如下圖所示。
單擊開(kāi)始檢測(cè)。
查看檢測(cè)結(jié)果。
說(shuō)明網(wǎng)絡(luò)連通受安全組放行情況、網(wǎng)卡狀態(tài)、實(shí)例內(nèi)部網(wǎng)絡(luò)配置、物理機(jī)所在網(wǎng)絡(luò)環(huán)境等因素影響,安全組規(guī)則檢測(cè)結(jié)果為已開(kāi)通時(shí),僅代表安全組放行了訪問(wèn),不能代表網(wǎng)絡(luò)已正常連通。例如,安全組已經(jīng)允許遠(yuǎn)程連接實(shí)例,但如果實(shí)例沒(méi)有開(kāi)通公網(wǎng)帶寬,則仍然不能通過(guò)公網(wǎng)遠(yuǎn)程連接安全組內(nèi)的實(shí)例。
一鍵檢測(cè)結(jié)果示例如下圖所示,該示例表示安全組已放行常見(jiàn)的訪問(wèn),單擊檢測(cè)詳情,可以查看對(duì)應(yīng)的安全組規(guī)則詳情。
自定義檢測(cè)結(jié)果示例如下圖所示,該示例表示:
安全組允許通過(guò)47.XX.XX.XX遠(yuǎn)程連接Linux實(shí)例(22端口),單擊檢測(cè)詳情,可以查看對(duì)應(yīng)的安全組規(guī)則詳情。
安全組拒絕通過(guò)47.XX.XX.XX遠(yuǎn)程連接Windows實(shí)例(3389端口),單擊開(kāi)通端口,可以一鍵添加安全組規(guī)則放行訪問(wèn)。
重要IP地址設(shè)置為
0.0.0.0/0
時(shí)表示允許所有IP訪問(wèn)。為安全起見(jiàn),建議您遵循最小授權(quán)原則,在實(shí)際業(yè)務(wù)中將授權(quán)對(duì)象設(shè)置為特定的IP。