默認安全組是阿里云為您創建的安全組,其包含一些默認的安全組規則。本文主要介紹默認安全組的創建條件、特性以及使用默認安全組的建議。
背景信息
如果您創建ECS實例時未指定安全組,阿里云會將ECS實例加入到默認安全組中。如果默認安全組不存在,或者默認安全組中不能容納更多ECS實例,阿里云會為您創建一個新的默認安全組,并將新創建的ECS實例加入到其中。
在專有網絡下,安全組僅能在所屬的VPC下使用,因此每個VPC下都可能被創建默認安全組。如果您在VPC的指定交換機下創建ECS實例卻未指定安全組,阿里云會將ECS實例加入該VPC下的默認安全組中。如果該VPC下不存在默認安全組,或者已有默認安全組中不能容納更多ECS實例,阿里云會在該VPC下創建一個新的默認安全組。
請您注意,默認安全組是為了簡化ECS實例初次使用流程而產生的,其默認規則針對TCP協議的22、3389端口以及ICMP(IPv4)協議,對任意源地址(0.0.0.0/0)放通流量,這是不符合安全最佳實踐的。從安全最佳實踐的角度來看,阿里云建議您在安全組規則中僅放通指定的源地址,而不是任意源地址,建議您盡量不要使用默認安全組,而是根據自己業務需要創建新的安全組。
使用API創建ECS實例時的默認安全組
如果您使用CreateInstance接口創建ECS實例,但未指定安全組時,阿里云會將ECS實例加入到默認安全組中。默認安全組的安全組類型為普通安全組,并包含如下入方向安全組規則:
協議類型 | 端口范圍 | 授權對象 | 優先級 | 授權策略 |
TCP | 22/22 | 0.0.0.0/0 | 100 | 允許 |
TCP | 3389/3389 | 0.0.0.0/0 | 100 | 允許 |
ICMP(IPv4) | -1/-1 | 0.0.0.0/0 | 100 | 允許 |
針對TCP協議,允許任意源地址訪問22端口(對應SSH協議)和3389端口(對應RDP協議)。
針對ICMP(IPv4)協議,允許任意源地址訪問。
如果您使用RunInstances接口創建ECS實例,則必須指定已有的安全組。
2020年05月27日以前系統創建的默認安全組規則的優先級為110。
使用控制臺創建ECS實例時的默認安全組
如果您使用控制臺創建專有網絡類型的ECS實例,在您選擇的專有網絡VPC下沒有安全組時,您可以勾選要開通的IPv4協議和端口,在創建ECS實例的同時,創建一個默認安全組,并將ECS實例加入到這個默認安全組中。
如果您創建經典網絡類型的ECS實例且當賬號下沒有經典網絡類型的安全組時,您才可以在控制臺使用默認安全組。
更多信息,請參見使用控制臺創建ECS實例時的默認安全組。