建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
请选择 进入手机版 | 继续访问电脑版
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块

VPC小蜜蜂

发帖: 3粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-3-5 15:36:17 13133 20 楼主 显示全部楼层
[云计算小课] 【第五课】云小课带您大话安全组

当您购买弹性云服务器(ECS)时,会让您选择安全组,是不是没咋注意,直接选个默认,棒棒哒~


当您在云上搭建了一个服务器应用,自己玩的很High,想让别人来访问时,发现歇了,别人访问不了,Why?


当您开始在网上找答案,或者咨询客服时,关键词忽然变成了“安全组”“安全组”。


安全组,让我发呆回忆一下。


01.jpg


温馨小提示:


还没有华为云账户来体验本节课程的操作吗?

这里,免费注册华为云账户!

有账户没有云服务器?

这里,免费试用4核8G高速云服务器!


什么是安全组?

安全组作为华为云网络的标配,就是为了保护您的网络安全的,确切的说是为了保护ECS的。它可以控制进出ECS的网络流量。

网络流量分为出方向和入方向,出方向是指您想访问别人,入方向就是别人想访问你。如果把ECS比作一个家,那安全组就是家里的大门,仅为您想见的人开放。

什么是您想见的人?这个就是访问规则。了解安全组详情


如何创建安全组?

登录华为云管理控制台,选择“网络 > 虚拟私有云 > 安全组”,单击“创建安全组”,就可以创建一个全新的安全组。了解如何创建安全组

当然我们还自带了一个默认的安全组“Sys-default”,您也可以直接使用。了解默认安全组


zh-cn_image_0158838277.png


来试试,戳 这里


什么是安全组规则?

安全组规则作为安全组的核心,是必杀绝技,通过它实现出入网流量的控制。让我们先一睹它的芳容。


zh-cn_image_0158854429.png


甭管是系统自带的安全组,还是您新建的安全组,都自带默认规则。

安全组的默认规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的ECS无需添加规则即可互相访问,同时华为云还默认放通了Linux系统远程连接的SSH 22端口、Windows系统远程连接的RDP 3389端口的入方向访问。要不要这么贴心^_^


zh-cn_image_0158862972.png


如何添加安全组规则?

当默认规则不能满足您的需要,您可以在安全组详情页的入方向规则和出方向规则页签下面,单击“添加规则”,添加安全组规则


zh-cn_image_0158863055.png


我们还提供了常用协议端口的快速添加,单击“快速添加规则”,即可快速添加安全组规则


知识拓展


如何将ECS加入到安全组?

除了在购买ECS的时候,可以直接加入安全组,其他时候我怎么将ECS加入到安全组,受到安全组的保护呢?

在安全组的详情页的关联实例页签,单击“添加”,添加ECS到安全组。了解实例加入/移出安全组


zh-cn_image_0158870824.png


知识拓展

  • 单击“移出”,可以将ECS从安全组中移出。ECS移出后,可以加入到其他的安全组,即完成了ECS所属安全组的更换。支持批量操作。

  • 安全组支持的实例,除了ECS,还有裸金属服务器和扩展网卡。您可以根据需要设置。


如何验证安全组生效?

当您添加了规则,也关联了ECS,接下来就是我设置的规则是否生效,如何验证呢?

假设您在ECS上部署了网站,希望用户能通过HTTP(80端口)访问到您的网站,您添加了一条入方向规则,如下表所示。


02.PNG


Linux ECS

Linux ECS上验证该安全组规则是否生效的步骤如下所示。

  1. 登录ECS。

  2. 运行如下命令查看TCP 80端口是否被监听。

    netstat -an | grep 80

    如果返回结果如下图所示,说明TCP 80端口已开通。

    zh-cn_image_0158875742.png

  3. 在浏览器地址栏里输入“http://ECS的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。

Windows ECS

Windows ECS上验证该安全组规则是否生效的步骤如下所示。

  1. 登录ECS。

  2. 选择“开始 > 附件 > 命令提示符”。

  3. 运行如下命令查看TCP 80端口是否被监听。

    netstat -an | findstr 80

    如果返回结果如下图所示,说明TCP 80端口已开通。

    zh-cn_image_0158875743.png

  4. 在浏览器地址栏里输入“http://ECS的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。


知识拓展

弹性公网IP(Elastic IP)提供独立的公网IP资源,可以申请弹性公网IP并将弹性公网IP绑定到ECS上,实现ECS访问公网的目的。了解如何申请弹性公网IP


如何更换ECS的安全组?

当您想更换ECS所属的安全组时,除了在安全组详情页面的“关联实例”可以修改外,还可以在ECS的详情页面,单击“更换安全组”,完成安全组的变更。变更后,ECS将受新的安全组的保护。如果是单个的更改,小编更愿意在这里改。当然要批量修改的话,请移步安全组详情页面进行,更方便。


zh-cn_image_0158872100.png


安全组应用实战

小编整理了您常用的安全组配置示例,如下,无偿奉上,请笑纳。


  • 不同安全组内的弹性云服务器内网互通。

    在同一个VPC内,用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时, 用户可以将两台弹性云服务器设置为内网互通后再拷贝资源。

    安全组配置请参见不同安全组内的弹性云服务器内网互通


  • 仅允许特定 IP 地址远程连接弹性云服务器

    为了防止弹性云服务器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到弹性云服务器。

    安全组配置请参见仅允许特定 IP 地址远程连接弹性云服务器


  • SSH远程连接Linux弹性云服务器

    创建好Linux弹性云服务器后,为了通过SSH远程连接到弹性云服务器,您可以添加安全组规则。

    安全组配置请参见SSH远程连接Linux弹性云服务器


  • RDP远程连接Windows弹性云服务器

    创建好Windows弹性云服务器后,为了通过RDP远程连接弹性云服务器,您可以添加安全组规则。

    安全组配置请参见RDP远程连接Windows弹性云服务器

  • 公网ping ECS弹性云服务器

    创建好弹性云服务器后,为了使用ping程序测试弹性云服务器之间的通讯状况,您需要添加安全组规则。

    安全组配置请参见公网ping ECS弹性云服务器


  • 弹性云服务器作Web服务器

    如果您在弹性云服务器上部署了网站,即弹性云服务器作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云服务器所在安全组中添加以下安全组规则。

    安全组配置请参见弹性云服务器作Web服务器


  • 弹性云服务器作DNS服务器

    如果您将弹性云服务器设置为DNS服务器,则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云服务器所在安全组中添加以下安全组规则。

    安全组配置请参见弹性云服务器作DNS服务器


  • 使用FTP上传或下载文件

    如果您需要使用FTP软件向弹性云服务器上传或下载文件,您需要添加安全组规则。

    安全组配置请参见使用FTP上传或下载文件


随堂小测验

华为云的安全组都是允许规则,即白名单,允许XXX IP地址通过XXX协议的XXX端口访问。

如果想添加拒绝规则,怎么玩呢?还有一部分想拒绝,一部分想允许,能办到吗?


线索:华为云网络ACL或许可以帮您哦。


奖励规则:

1、通过直接回帖的方式回答小测,我们会根据回答正确答案的先后顺序打分:

2、回答正确的前十名朋友可以获得分数,即:第一个回答正确得10分,第二个回答正确得9分……以此类推;

3、每五次随堂小测一汇总,得分最高的朋友将得到实物奖励(荣耀手环一个);


希望大家踊跃回答,更多奖励等你来拿哦~~~~


以文会友,以友辅仁

华为云帮助中心正式开源啦。文档协同编辑,共建优质帮助体系!

【往期回顾】




    回复 举报
    分享

    分享文章到朋友圈

    分享文章到微博

    山色正空蒙

    发帖: 0粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 16:25:25 沙发 显示全部楼层

    清晰易懂,安全组等娓娓道来,直击使用者的内心需求,棒棒哒~

    点赞 回复 举报

    一杯拿铁

    发帖: 0粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 16:58:17 板凳 显示全部楼层

    华为云的安全组都是允许规则,即白名单,允许XXX IP地址通过XXX协议的XXX端口访问。

    如果想添加拒绝规则,怎么玩呢?还有一部分想拒绝,一部分想允许,能办到吗?



    通过配置网络ACL规则,可以在子网粒度进行流量的管理,网络ACL支持黑名单和白名单两种方式,流量按ACL规则顺序匹配,如果都不匹配,则流量被拒绝

    点赞 回复 举报

    高晓云

    发帖: 33粉丝: 20

    级别 : 管理员

    Rank: 9Rank: 9Rank: 9

    发消息 + 关注

    发表于2019-3-5 17:19:23 地板 显示全部楼层

    真的很不错啊!!

    点赞 回复 举报

    VPC小蜜蜂

    发帖: 3粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 17:21:28 5# 显示全部楼层
    一杯拿铁 发表于 2019-3-5 16:58 华为云的安全组都是允许规则,即白名单,允许XXX IP地址通过XXX协议的XXX端口访问。如果想添加拒绝规则,怎 ...

    你好赞

    点赞 回复 举报

    在云端

    发帖: 0粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 17:27:54 6# 显示全部楼层

    通俗易懂

    点赞 回复 举报

    云果

    发帖: 0粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 18:23:34 7# 显示全部楼层

    简单明了,受益了!!!

    点赞 回复 举报

    青柠小主

    发帖: 0粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 18:47:25 8# 显示全部楼层

    就这样被清晰明了的指导一步步看完,随堂小测试也很吸引人噢,俺对小测理解是:

    全组只有“允许”策略,但网络ACL可以“拒绝”和“允许”,两者结合起来,可以实现更精细、更复杂的安全访问控制。通过网络ACL添加拒绝规则,可实现拒绝部分流量访问。

    点赞 回复 举报

    VPC小蜜蜂

    发帖: 3粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 20:13:11 9# 显示全部楼层
    青柠小主 发表于 2019-3-5 18:47 就这样被清晰明了的指导一步步看完,随堂小测试也很吸引人噢,俺对小测理解是:全组只有“允许”策略,但网 ...

    谢谢,你也很赞~~期待大家更多的精彩分享。

    点赞 回复 举报

    奉先啊

    发帖: 0粉丝: 0

    级别 : 新手上路

    Rank: 1

    发消息 + 关注

    发表于2019-3-5 22:23:09 10# 显示全部楼层
    点赞 回复 举报

    游客

    您需要登录后才可以回帖 登录 | 立即注册