安全組實踐建議

云上的安全組提供類似虛擬防火墻功能，用于設置單臺或多臺ECS實例的網絡訪問控制，是重要的安全隔離手段。創建ECS實例時，您必須選擇一個安全組。您還可以添加安全組規則，對某個安全組下的所有ECS實例的出方向和入方向進行網絡控制。

在使用安全組前，您應先了解以下實踐建議：

• 最重要的規則：安全組應作為白名單使用。
• 開放應用出入規則時應遵循最小授權原則。例如，您可以選擇開放具體的端口，如80端口。
• 不應使用一個安全組管理所有應用，因為不同的應用存在不同的訪問控制需求。對于分布式應用來說，不同的應用類型應該使用不同的安全組，例如，您應對Web層、Service層、Database層、 Cache層使用不同的安全組，暴露不同的出入規則。
• 避免為每臺實例單獨設置一個安全組，控制管理成本。
• 盡可能保持單個安全組的規則簡潔。因為如果單個安全組規則過多，增加或者刪除規則就變得很復雜，就會增加管理的復雜度。
• 天翼云的控制臺提供了克隆安全組和安全組規則的功能。如果您想要修改線上的安全組和規則，您應先克隆一個安全組，再在克隆的安全組上進行調試，避免直接影響線上應用。（部分資源池支持，可提工單申請克隆功能。）
• 安全組TCP、UDP報文分片后，分片不帶有端口信息，需要將端口范圍指定為1-65535，不進行端口過濾。目前僅合肥2支持UDP大包分片后指定端口過濾功能，如有UDP大包分片，需要指定端口號過濾的需求，可聯系客戶經理開通此功能。
• 如果您想實現在不同安全組的資源之間的網絡互通，您可使用安全組方式授權。同一安全組內云服務器實例內網互訪默認是隔離狀態，如您有同一安全組內的云服務器之間互通的需求，您可以在添加安全組規則時配置一條引用本安全組的規則，實現組內互通。

安全組規則的屬性

安全組規則主要是描述不同的訪問權限，包括如下屬性：

• Policy：授權策略，參數值可以是accept（允許）或drop（拒絕）。同等優先級，拒絕高于允許。
• Priority：優先級，規則優先級可選范圍為1~100，默認值為1，即最高優先級。數字越大，代表優先級越低。
• IpProtocol：IP協議，取值：TCP、UDP、ICMP、Any。Any表示所有的協議。
• PortRange：端口范圍，IP協議相關的端口號范圍。協議為Any或ICMP時，不限制端口號。