安全組規(guī)則檢測
通過安全組規(guī)則,您可以靈活控制ECS實例的出入流量,但如果安全組規(guī)則設置不當,權(quán)限過小可能導致無法正常訪問實例而影響業(yè)務,權(quán)限過大則導致安全風險隨之上升。本文介紹如何使用安全組規(guī)則檢測功能,主動判斷安全組允許和拒絕訪問的情況是否符合預期。
背景信息
使用安全組規(guī)則檢測功能時,您需要輸入檢測條件,系統(tǒng)通過算法模擬匹配的方式判斷當前安全組規(guī)則的設置是否符合預期。該功能提供以下檢測方式滿足您在不同場景下的需求:
檢測方式 | 適用場景 |
一鍵檢測 | 適用于快速檢測安全組是否放行了常見的入方向訪問,包括:
更多端口的說明,請參見常用端口。 |
自定義檢測 | 適用于精準檢測安全組是否放行了某一類入方向訪問或出方向訪問,您需要根據(jù)訪問方向設置檢測條件,包括:
|
操作步驟
登錄ECS管理控制臺。
進入安全組規(guī)則檢測頁簽。
進入方式
操作步驟
從自助問題排查頁面
在左側(cè)導航欄,單擊自助問題排查。
在頂部菜單欄處,選擇地域。
單擊安全組規(guī)則檢測頁簽。
從實例頁面
在左側(cè)導航欄,選擇
。在頂部菜單欄處,選擇地域。
找到實例,在操作列中,選擇
。
從彈性網(wǎng)卡頁面
在左側(cè)導航欄,選擇
。在頂部菜單欄處,選擇地域。
找到已綁定ECS實例的彈性網(wǎng)卡,在操作列中,單擊安全組規(guī)則檢查。
設置檢測規(guī)則并完成檢測。
選擇待檢測的實例。
如果從實例和彈性網(wǎng)卡頁面進入安全組規(guī)則檢測頁簽,已默認選中實例。
選擇待檢測的網(wǎng)卡。
默認檢測實例的主網(wǎng)卡。如果實例綁定了輔助網(wǎng)卡,您可以選擇對應的輔助網(wǎng)卡。
選擇檢測方式。
一鍵檢測:檢測安全組是否放行了常見的入方向訪問。
自定義檢測:請根據(jù)訪問方向設置檢測條件。例如,檢測是否允許通過指定IP地址47.XX.XX.XX遠程連接Linux實例(22端口)和Windows實例(3389端口)時,自定義檢測的設置如下圖所示。
單擊開始檢測。
查看檢測結(jié)果。
說明網(wǎng)絡連通受安全組放行情況、網(wǎng)卡狀態(tài)、實例內(nèi)部網(wǎng)絡配置、物理機所在網(wǎng)絡環(huán)境等因素影響,安全組規(guī)則檢測結(jié)果為已開通時,僅代表安全組放行了訪問,不能代表網(wǎng)絡已正常連通。例如,安全組已經(jīng)允許遠程連接實例,但如果實例沒有開通公網(wǎng)帶寬,則仍然不能通過公網(wǎng)遠程連接安全組內(nèi)的實例。
一鍵檢測結(jié)果示例如下圖所示,該示例表示安全組已放行常見的訪問,單擊檢測詳情,可以查看對應的安全組規(guī)則詳情。
自定義檢測結(jié)果示例如下圖所示,該示例表示:
安全組允許通過47.XX.XX.XX遠程連接Linux實例(22端口),單擊檢測詳情,可以查看對應的安全組規(guī)則詳情。
安全組拒絕通過47.XX.XX.XX遠程連接Windows實例(3389端口),單擊開通端口,可以一鍵添加安全組規(guī)則放行訪問。
重要IP地址設置為
0.0.0.0/0
時表示允許所有IP訪問。為安全起見,建議您遵循最小授權(quán)原則,在實際業(yè)務中將授權(quán)對象設置為特定的IP。