安全组使用教程

滴滴云技术支持发表于:2017年10月16日 17:49:10更新于:2018年09月14日 18:02:45

安全组默认规则

根据大多数用户的使用习惯,滴滴云为所有新建的DC2实例挂载了默认的安全组,其中包含以下几条规则:

协议

端口

来源

说明

TCP

22

0.0.0.0/0

【允许删除】允许用户在公网环境使用SSH登入DC2实例

TCP

80

0.0.0.0/0

【允许删除】允许用户在公网环境使用SSH登入DC2实例

TCP

443

0.0.0.0/0

【允许删除】允许用户通过公网访问443端口

ICMP

0.0.0.0/0

【允许删除】允许用户在公网环境ping DC2实例

TCP

1-65535

10.254.0.0/16


【禁止删除】允许同一租户下的多个DC2实例之间进行TCP通信

UDP

1-65535

10.254.0.0/16

【禁止删除】允许同一租户下的多个DC2实例之间进行UDP通信

ICMP

10.254.0.0/16

【禁止删除】允许同一租户下的多个DC2实例之间ping可达

TCP

3389

0.0.0.0/0

【允许删除】允许用户在公网环境使用RDP(远程桌面链接)登入Windows系统的DC2实例

创建安全组

您可以在控制台下,选择“安全” -> "安全组" -> "创建安全组";然后按照操作指示填写选择即可成功创建安全组。

image.png

image.png

在创建安全组时,需指定关联 VPC,指定后,安全组可作用于该 VPC 内所有 DC2 实例。

您可以在创建防火墙组时指定具体的防火墙规则,也可以先创建防火墙组,随后再为该组进行相应防火墙规则的编辑。


编辑安全组规则名称

您可以在安全组列表页选择想要进行编辑的安全组,点击删除按钮即可删掉指定安全组;鼠标悬停在安全组名称上点击右侧编辑按钮即可修改安全组名称;直接点击安全组名称即可进入详情页。

image.png

在详情页您可以进行创建新的安全组规则、删除某些安全组规则、将当前安全组组应用到指定DC2实例、将已应用至该安全组的DC2实例从中移除等操作。


image.png

0015b1a45c23ad52e795e60147e6eca


查询安全组列表与安全组规则

您可以通过在控制台下选择 “安全” -> “安全组”查看您所拥有的安全组列表,点击安全组名称进入详情页查看该安全组下拥有的防火墙规则以及该防火墙组所应用的DC2实例;

为了提升用户体验,我们提供了以DC2为主体的查看安全组及其规则的方式:

您可以在控制台下,选择“计算” -> "云服务器(DC2)"查看你所拥有的DC2列表,点击DC2名称进入详情页,点击“安全组”标签项即可查看当前DC2所使用的安全组有哪些;

点击右侧的“对应的规则”即可查看指定安全组下的规则列表,并且可以在此页面进行安全组的绑定与解绑操作。

image.png


服务器常用端口介绍

我们为所有DC2实例绑定了默认的安全组,这里对其中所涉及到的几个端口做以说明。

端口

说明

22

SSH默认端口; 很多用户在购买的新的DC2实例后会第一时间尝试使用ssh进行访问,为了避免很多不必要的困惑我们为用户默认开放了此端口。

80/443

HTTP/HTTPS协议默认端口;我们提供了OneClick一键建站的功能,很多用户在通过OneClick的方式购买了DC2实例后会第一时间尝试通过浏览器访问,为了避免很多不必要的困惑我们为用户默认开放了此端口。


使用安全组的最佳实践

SSH远程连接Linux防火墙组实践

如果您在公网环境通过SSH访问DC2实例时出现无法连接的问题,你可以在控制台的DC2列表页找到您想要访问的DC2实例,进入详情页选择“安全组”查看应用至该DC2的安全组规则中是否有开放TCP协议22端口,如果有则需要核对您的出口IP是否符合“来源”中所设置的规则。

WEB服务器安全组实践

如果您在公网环境通过浏览器访问DC2实例时出现无法连接的问题,你可以在控制台的DC2列表页找到您想要访问的DC2实例,进入详情页选择“安全组”查看应用至该DC2的安全组规则中是否有开放TCP协议80/443端口,如果有则需要核对您的出口IP是否符合“来源”中所设置的规则。如果仍然无法访问,需要确认一下您的账户是否进行过实名认证,只有通过实名认证后才会开放80端口的限制。