騰訊云安全組概述

安全組是一種虛擬防火墻，具備有狀態(tài)的數(shù)據(jù)包過(guò)濾功能，用于設(shè)置云服務(wù)器、負(fù)載均衡、云數(shù)據(jù)庫(kù)等實(shí)例的網(wǎng)絡(luò)訪問(wèn)控制，控制實(shí)例級(jí)別的出入流量，是重要的網(wǎng)絡(luò)安全隔離手段。

您可以通過(guò)配置安全組規(guī)則，允許或禁止安全組內(nèi)的實(shí)例的出流量和入流量。

安全組特點(diǎn)

·安全組是一個(gè)邏輯上的分組，您可以將同一地域內(nèi)具有相同網(wǎng)絡(luò)安全隔離需求的云服務(wù)器、彈性網(wǎng)卡、云數(shù)據(jù)庫(kù)等實(shí)例加到同一個(gè)安全組內(nèi)。

·關(guān)聯(lián)了同一安全組的實(shí)例間默認(rèn)不會(huì)互通，您需要添加相應(yīng)的允許規(guī)則。

·安全組是有狀態(tài)的，對(duì)于您已允許的入站流量，都將自動(dòng)允許其流出，反之亦然。

·您可以隨時(shí)修改安全組的規(guī)則，新規(guī)則立即生效。

使用限制

有關(guān)安全組的使用限制及配額，請(qǐng)參見(jiàn)使用限制總覽中的安全組相關(guān)限制章節(jié)。

安全組規(guī)則

組成部分

安全組規(guī)則包括如下組成部分：

·來(lái)源：源數(shù)據(jù)（入站）或目標(biāo)數(shù)據(jù)（出站）的IP。

·協(xié)議類(lèi)型和協(xié)議端口：協(xié)議類(lèi)型如TCP、UDP等。

·策略：允許或拒絕。

規(guī)則優(yōu)先級(jí)

·安全組內(nèi)規(guī)則具有優(yōu)先級(jí)。規(guī)則優(yōu)先級(jí)通過(guò)規(guī)則在列表中的位置來(lái)表示，列表頂端規(guī)則優(yōu)先級(jí)最高，最先應(yīng)用；列表底端規(guī)則優(yōu)先級(jí)最低。

·若有規(guī)則沖突，則默認(rèn)應(yīng)用位置更前的規(guī)則。

·當(dāng)有流量入/出綁定某安全組的實(shí)例時(shí)，將從安全組規(guī)則列表頂端的規(guī)則開(kāi)始逐條匹配至最后一條。如果匹配某一條規(guī)則成功，允許通過(guò)，則不再匹配該規(guī)則之后的規(guī)則。

多個(gè)安全組

一個(gè)實(shí)例可以綁定一個(gè)或多個(gè)安全組，當(dāng)實(shí)例綁定多個(gè)安全組時(shí)，多個(gè)安全組將按照從上到下依次匹配執(zhí)行，您可以隨時(shí)調(diào)整安全組的優(yōu)先級(jí)。

安全組模板

新建安全組時(shí)，您可以選擇騰訊云為您提供的兩種安全組模板：

放通全部端口模板：將會(huì)放通所有出入站流量。

放通常用端口模板：將會(huì)放通TCP 22端口（Linux SSH登錄），80、443端口（Web服務(wù)），3389端口（Windows遠(yuǎn)程登錄）、ICMP協(xié)議（Ping）、放通內(nèi)網(wǎng)。

說(shuō)明：

·如果提供的安全組模板不滿(mǎn)足您的實(shí)際使用，您也可以新建自定義安全組。

·如果您對(duì)應(yīng)用層（HTTP/HTTPS）有安全防護(hù)需求，可另行購(gòu)買(mǎi)騰訊云Web應(yīng)用防火墻（WAF），WAF將為您提供應(yīng)用層Web安全防護(hù)，抵御Web漏洞攻擊、惡意爬蟲(chóng)和CC攻擊等行為，保護(hù)網(wǎng)站和Web應(yīng)用安全。

使用流程

安全組的使用流程如下圖所示：

安全組實(shí)踐建議

創(chuàng)建安全組

·調(diào)用API購(gòu)買(mǎi)CVM時(shí)建議指定安全組，未指定安全組時(shí)，將使用系統(tǒng)自動(dòng)生成的默認(rèn)安全組，且默認(rèn)安全組不可刪除。

·實(shí)例防護(hù)策略有變更，建議優(yōu)先修改安全組內(nèi)規(guī)則，不需要重新新建一個(gè)安全組。

管理規(guī)則

·需要修改規(guī)則時(shí)可以先將當(dāng)前安全組導(dǎo)出備份，如果新規(guī)則有不利影響，可以導(dǎo)入之前的安全組規(guī)則進(jìn)行恢復(fù)。

·當(dāng)所需規(guī)則條目較多時(shí)可以使用參數(shù)模版。

關(guān)聯(lián)安全組

·您可以將有相同防護(hù)需求的實(shí)例加入一個(gè)安全組，而無(wú)需為每一個(gè)實(shí)例都配置一個(gè)單獨(dú)的安全組。

·不建議一個(gè)實(shí)例綁定過(guò)多安全組，不同安全組規(guī)則的沖突可能導(dǎo)致網(wǎng)絡(luò)不通。

安全組和云防火墻

騰訊云防火墻（Cloud Firewall，CFW），是騰訊云原生的SaaS化防火墻產(chǎn)品，并集成了攻擊者視角的漏洞掃描能力、IPS入侵?jǐn)r截能力、全網(wǎng)威脅情報(bào)和高級(jí)威脅溯源分析能力，是云環(huán)境的流量安全中心和策略管控中心，業(yè)務(wù)上云的第一道安全門(mén)戶(hù)。

在實(shí)際使用場(chǎng)景中，安全組一般部署在CVM等云產(chǎn)品邊界，用于實(shí)現(xiàn)云產(chǎn)品所屬安全組間的訪問(wèn)控制。而騰訊云防火墻部署在VPC間的邊界或互聯(lián)網(wǎng)邊界，用于實(shí)現(xiàn)VPC間或騰訊云到互聯(lián)網(wǎng)訪問(wèn)控制。具體如下圖所示：

在如下場(chǎng)景中，使用安全組不能滿(mǎn)足需求，可采用騰訊云防火墻來(lái)實(shí)現(xiàn)訪問(wèn)控制：

1.了解CVM資產(chǎn)在互聯(lián)網(wǎng)的暴露及漏洞情況，并通過(guò)IPS入侵防御功能和虛擬補(bǔ)丁功能，對(duì)網(wǎng)絡(luò)漏洞加強(qiáng)防護(hù)。

2.按域名實(shí)現(xiàn)主動(dòng)外聯(lián)控制，加強(qiáng)業(yè)務(wù)的安全性。

3.按區(qū)域?qū)崿F(xiàn)訪問(wèn)控制，例如，一鍵禁封海外IP的訪問(wèn)。