安全组
通过策略配置,安全组能极大地提高一个内部网络或主机的安全性,并过滤不安全的服务,从而降低内部网络或主机的风险。
创建
为了加强位于基础网络 vxnet-0 中的主机或路由器的安全性,可以在主机或路由器之前放置一个安全组(Security Group)。QingCloud 系统为每个用户提供了一个缺省安全组(ID 之后带有星标),默认打开22端口。当然,您也可以创建更多的安全组。初始状态下,每个安全组都不包含任何规则,即,任何端口都是封闭的,您需要建立规则以打开相应的端口。另外,您可以借助 “IP/端口集合” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP/端口集合”,并且在安全组规则中进行添加,实现批量管理功能。
第一步:创建安全组
点击 安全 中的 安全组 进入如下界面
注解:QingCloud 系统为每个用户提供了一个缺省安全组(ID 之后带有星标),默认打开22端口。也可以创建更多的安全组
点击 创建 跳出如下界面
在名称框里输入创建的安全组名称,点击 提交 ,进入如下界面
左侧操作日志记录了安全组ID、安全组名称、标签、描述、资源以及创建时间。
选择安全组点击 更多操作 ,或右击安全组条目,可进行应用安全组规则、标签绑定/解绑、修改、复制以及添加到资源组的操作。
第二步:配置服务
创建安全组策略
点击 创建 ,跳出如下界面:
填写规则名称、优先级(数字越小优先级越高,最多可添加100条规则),选择方向、行为(支持)、协议(支持多协议设置),填写起始端口(可点击右侧标志,选择IP/端口集合)、结束端口、源IP(不填表示所有IP地址,可点击右侧标志,选择IP/端口集合)。支持快捷方式,快速配置ping、ssh、http等规则。
配置上行、下行规则,点击 应用修改 ,规则生效,界面如下
点击每条规则的最右侧 操作 栏,可以禁止或启用该条规则。右键点击每条规则,跳出如下界面
支持修改和删除该条规则。
关联资源
安全组可以关联多个 VPC 的多种资源:主机/ VPC网络/ 负载均衡器等
以主机为例,在主机页面,右键主机,点击安全组,可以加载安全组
资源也可以关联多个安全组,多选安全组后,提交后即可生效
主机绑定多个安全组
如下图所示,主机绑定了多个安全组
可以再次点击已经绑定的安全组,实现取消勾选,点击提交完成个别安全组的解绑
组内互信
打开组内互信后,安全组内的资源互相信任,互相放行彼此间的全部流量,此行为未在安全组规则显式定义。
关闭组内互信时,安全组默认情况下所有端口都是封闭的,需要建立规则打开相应的端口,全部通过规则显式定义流量放行或者拒绝。
在创建安全组时,可以选择开启或者关闭组内互信。
在修改安全组时,可以选择开启或者关闭组内互信。
创建安全组策略备份
点击页面上侧的 备份 按钮,进入如下界面
点击 创建备份 ,跳出如下界面
填写备份名称,点击 提交,进入如下界面
选择备份策略再点击上侧 回滚 或鼠标右击备份策略选择 回滚,亦或鼠标左击备份策略,跳出如下界面
点击页面中左侧 开关 按钮,“开”表示与当前安全组对比,界面如下
注解:页面下侧表示的不同颜色代表着不同的规则
“关”表示备份点规则,界面如下:
点击 回滚 ,跳出如下界面
点击 确认 ,备份规则会自动覆盖当前规则。
FAQ
什么是有状态的安全组?
青云QingCloud的安全组是有状态的安全组,当TCP连接已经建立成功时,如果规则中定义了拒绝此端口的连接并应用修改,此时防火墙不会立刻中断TCP连接,而是会等待此连接主动中断或者连接老化后自动中断。这样可以实现业务的平滑切换,不会通过防火墙强行中断现有的业务连接,避免带来不可知的故障。
如果是无状态的安全组,即便TCP连接已经建立成功,只要规则中定义了拒绝此端口的规则,防火墙会立刻中断TCP连接。