騰訊云安全組概述

安全組是一種虛擬防火墻，具備有狀態(tài)的數(shù)據(jù)包過濾功能，用于設(shè)置云服務(wù)器、負載均衡、云數(shù)據(jù)庫等實例的網(wǎng)絡(luò)訪問控制，控制實例級別的出入流量，是重要的網(wǎng)絡(luò)安全隔離手段。

您可以通過配置安全組規(guī)則，允許或禁止安全組內(nèi)的實例的出流量和入流量。

安全組特點

·安全組是一個邏輯上的分組，您可以將同一地域內(nèi)具有相同網(wǎng)絡(luò)安全隔離需求的云服務(wù)器、彈性網(wǎng)卡、云數(shù)據(jù)庫等實例加到同一個安全組內(nèi)。

·關(guān)聯(lián)了同一安全組的實例間默認不會互通，您需要添加相應(yīng)的允許規(guī)則。

·安全組是有狀態(tài)的，對于您已允許的入站流量，都將自動允許其流出，反之亦然。

·您可以隨時修改安全組的規(guī)則，新規(guī)則立即生效。

使用限制

有關(guān)安全組的使用限制及配額，請參見使用限制總覽中的安全組相關(guān)限制章節(jié)。

安全組規(guī)則

組成部分

安全組規(guī)則包括如下組成部分：

·來源：源數(shù)據(jù)（入站）或目標數(shù)據(jù)（出站）的IP。

·協(xié)議類型和協(xié)議端口：協(xié)議類型如TCP、UDP等。

·策略：允許或拒絕。

規(guī)則優(yōu)先級

·安全組內(nèi)規(guī)則具有優(yōu)先級。規(guī)則優(yōu)先級通過規(guī)則在列表中的位置來表示，列表頂端規(guī)則優(yōu)先級最高，最先應(yīng)用；列表底端規(guī)則優(yōu)先級最低。

·若有規(guī)則沖突，則默認應(yīng)用位置更前的規(guī)則。

·當有流量入/出綁定某安全組的實例時，將從安全組規(guī)則列表頂端的規(guī)則開始逐條匹配至最后一條。如果匹配某一條規(guī)則成功，允許通過，則不再匹配該規(guī)則之后的規(guī)則。

多個安全組

一個實例可以綁定一個或多個安全組，當實例綁定多個安全組時，多個安全組將按照從上到下依次匹配執(zhí)行，您可以隨時調(diào)整安全組的優(yōu)先級。

安全組模板

新建安全組時，您可以選擇騰訊云為您提供的兩種安全組模板：

放通全部端口模板：將會放通所有出入站流量。

放通常用端口模板：將會放通TCP 22端口（Linux SSH登錄），80、443端口（Web服務(wù)），3389端口（Windows遠程登錄）、ICMP協(xié)議（Ping）、放通內(nèi)網(wǎng)。

說明：

·如果提供的安全組模板不滿足您的實際使用，您也可以新建自定義安全組。

·如果您對應(yīng)用層（HTTP/HTTPS）有安全防護需求，可另行購買騰訊云Web應(yīng)用防火墻（WAF），WAF將為您提供應(yīng)用層Web安全防護，抵御Web漏洞攻擊、惡意爬蟲和CC攻擊等行為，保護網(wǎng)站和Web應(yīng)用安全。

使用流程

安全組的使用流程如下圖所示：

安全組實踐建議

創(chuàng)建安全組

·調(diào)用API購買CVM時建議指定安全組，未指定安全組時，將使用系統(tǒng)自動生成的默認安全組，且默認安全組不可刪除。

·實例防護策略有變更，建議優(yōu)先修改安全組內(nèi)規(guī)則，不需要重新新建一個安全組。

管理規(guī)則

·需要修改規(guī)則時可以先將當前安全組導(dǎo)出備份，如果新規(guī)則有不利影響，可以導(dǎo)入之前的安全組規(guī)則進行恢復(fù)。

·當所需規(guī)則條目較多時可以使用參數(shù)模版。

關(guān)聯(lián)安全組

·您可以將有相同防護需求的實例加入一個安全組，而無需為每一個實例都配置一個單獨的安全組。

·不建議一個實例綁定過多安全組，不同安全組規(guī)則的沖突可能導(dǎo)致網(wǎng)絡(luò)不通。

安全組和云防火墻

騰訊云防火墻（Cloud Firewall，CFW），是騰訊云原生的SaaS化防火墻產(chǎn)品，并集成了攻擊者視角的漏洞掃描能力、IPS入侵攔截能力、全網(wǎng)威脅情報和高級威脅溯源分析能力，是云環(huán)境的流量安全中心和策略管控中心，業(yè)務(wù)上云的第一道安全門戶。

在實際使用場景中，安全組一般部署在CVM等云產(chǎn)品邊界，用于實現(xiàn)云產(chǎn)品所屬安全組間的訪問控制。而騰訊云防火墻部署在VPC間的邊界或互聯(lián)網(wǎng)邊界，用于實現(xiàn)VPC間或騰訊云到互聯(lián)網(wǎng)訪問控制。具體如下圖所示：

在如下場景中，使用安全組不能滿足需求，可采用騰訊云防火墻來實現(xiàn)訪問控制：

1.了解CVM資產(chǎn)在互聯(lián)網(wǎng)的暴露及漏洞情況，并通過IPS入侵防御功能和虛擬補丁功能，對網(wǎng)絡(luò)漏洞加強防護。

2.按域名實現(xiàn)主動外聯(lián)控制，加強業(yè)務(wù)的安全性。

3.按區(qū)域?qū)崿F(xiàn)訪問控制，例如，一鍵禁封海外IP的訪問。