云服务器安全组(Security Group)的配置指南

已于 2025-03-17 14:24:07 修改
阅读量1.3k 收藏 15
点赞数 21
分类专栏: 运维 Linux 服务器 文章标签: 服务器 安全 运维
于 2025-03-17 14:21:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45657541/article/details/146314291
版权

以下是云服务器安全组(Security Group)的配置指南,涵盖主流云平台(AWS、Azure、GCP)的核心操作和最佳实践,帮助你构建安全的服务器环境!

云服务器安全组(Security Group)的配置指南

一、安全组基础概念

• 虚拟防火墙:云服务商提供的分布式防火墙,控制实例的入站/出站流量。
• 规则优先级:按顺序匹配规则(需合理排序,避免冲突)。
• CIDR 表示法:用于指定 IP 范围(如 0.0.0.0/0 表示所有 IP)。
• 安全组关联:可绑定到单个实例或多个实例(推荐绑定到 VPC)。

二、通用配置步骤

1. 创建安全组

# AWS CLI 示例
aws ec2 create-security-group \
  --group-name my-web-sg \
  --description "Allow HTTP/HTTPS and SSH" \
  --vpc-id vpc-12345678

2. 添加入站规则

# 允许 HTTP (80) 和 HTTPS (443) 流量
aws ec2 authorize-security-group-ingress \
  --group-name my-web-sg \
  --protocol tcp \
  --port-range 80/80 \
  --cidr 0.0.0.0/0

aws ec2 authorize-security-group-ingress \
  --group-name my-web-sg \
  --protocol tcp \
  --port-range 443/443 \
  --cidr 0.0.0.0/0

3. 添加出站规则

# 允许所有出站流量(默认策略)
aws ec2 authorize-security-group-egress \
  --group-name my-web-sg \
  --protocol all \
  --port-range -1/-1 \
  --cidr 0.0.0.0/0

4. 关联实例

aws ec2 associate-security-groups \
  --instance-ids i-12345678 \
  --security-groups my-web-sg

三、主流平台操作对比

平台创建安全组允许 SSH 访问查看规则
AWSAWS Console 或 CLIaws ec2 authorize... --port 22AWS EC2 → Security Groups → 查看 inbound/outbound
AzureAzure Portal 或 CLIaz network security-group rule addAzure Resources → Security Groups → Rules
GCPGCP Console 或 gcloud CLIgcloud compute security-groups rules createGCP Console → VPC Network → Security Groups

四、高级配置技巧

1. 限制 IP 白名单

# 仅允许特定 IP 段访问 SSH(如 192.168.1.0/24)
aws ec2 authorize-security-group-ingress \
  --group-name my-sg \
  --protocol tcp \
  --port-range 22/22 \
  --cidr 192.168.1.0/24

2. 多端口开放与协议区分

# 允许 UDP 流量(如 DNS)
aws ec2 authorize-security-group-ingress \
  --group-name my-sg \
  --protocol udp \
  --port-range 53/53 \
  --cidr 0.0.0.0/0

3. 名称解析与 DNS

• DNS 查询:需允许出站 53 端口(UDP)。
• 内网 DNS:若使用私有 DNS,需配置安全组允许内网 IP 访问。

4. 负载均衡与 HTTPS

# 允许负载均衡器访问实例
aws ec2 authorize-security-group-ingress \
  --group-name my-ec2-sg \
  --protocol tcp \
  --port-range 80/80 \
  --source-arn arn:aws:elasticloadbalancing:...

五、最佳实践

  1. 最小化规则:仅开放必要端口(如避免开放 1723/RDP 到公网)。
  2. 分层安全组:
    • Web 层:允许 HTTP/HTTPS + 白名单 IP。
    • 数据库层:限制为应用服务器 IP。
  3. 启用日志记录:
    # AWS 启用日志
aws ec2 modify-security-group-attributes \
  --group-name my-sg \
  --set-log-destination s3://my-bucket/security-logs/
  4. 定期审计规则:清理过期或不用的规则。
  5. 结合 IAM 策略:限制安全组修改权限(如仅管理员可调整)。

六、实战场景

场景 1:Web 服务器安全组

# 入站规则
- HTTP/HTTPS (80/443):允许所有 IP。
- SSH (22):仅允许运维 IP 段 10.0.0.0/8。

# 出站规则
- 允许所有出站流量(默认)。

场景 2:数据库服务器安全组

# 入站规则
- MySQL (3306):仅允许应用服务器 IP。
- SSH (22):仅允许运维 IP。

# 出站规则
- 限制为数据库连接响应 IP(如应用服务器)。

七、常见问题排查

  1. 流量被拒绝:
    • 检查安全组规则顺序(是否被后续规则覆盖)。
    • 确认实例网络接口(ENI)关联了正确安全组。
  2. SSH 无法连接:
    • 检查本地 SSH 配置(如密钥对权限)。
    • 确认安全组允许来源 IP 和端口。
  3. NAT 穿透问题:
    • 需同时配置安全组 NAT 规则和路由表。

八、扩展工具

• AWS Security Groups Explorer:可视化分析安全组规则。
• Prowler:自动化审计云安全配置(包括安全组)。
• CloudCheckr:实时监控安全组风险。

通过合理配置安全组,你可以有效隔离风险并保障云服务器的安全性。

华为云(二)设置安全组
qq_37061589的博客
06-20 2011
进入华为云官网,登录账号,点击右上角控制台进入控制台,点击云服务器,进入服务器列表界面在左侧找到,点击安全组进入安全组界面,能够看到华为云默认的安全组default,也可以自己配置,这里我们在默认的安全上组配置进行修改点击配置规则。
02-阿里云 专有云企业版 V3.8.1 云服务器 ECS 用户指南 20190910-readed
03-25
云服务器ECS支持多种网络配置方式,包括VPC、Vswitch、Security Group等,用户可以根据自己的需求,选择合适的网络配置方式。 存储管理 云服务器ECS提供了多种存储类型,包括SSD、HDD和NAS等,用户可以根据自己的...
阿里云配置安全组
最新发布
Cai____的博客
03-12 1653
阿里云配置安全组
云服务器安全组配置(阿里云,ucloud云,华为云)
chuanchengdabing的博客
08-12 2660
一、阿里云 安全组配置 1、登录阿里云控制台,选择左侧的安全组菜单 2、点击当前安全组名称,进行安全组配置页面 3、进入安全组配置界面左侧点“手动添加”,添加具体防火墙规则 端口/范围:1-65535 开始端口-结束端口。比如:80 表示放行行端口 80。 授权对象:如:12.1.1.1 或 13.1.1.1/25。比如:0.0.0.0/0 表示允许所有 IP 二、ucloud 安全组配置 1、登录ucloud云控制台,选择基础网络菜单 2、点击外网防火墙菜单,创建自定义防火墙,并且添加相关防火墙规
云服务器安全组配置
lxd_max的博客
10-15 2217
安全组:防火墙相关的端口设置
云服务器(阿里云)的安全组设置
weixin_42660856的博客
11-21 1401
安全组是一个ECS的重要安全设置,但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解: 什么是安全组? 阿里云官方解释:安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。每个实例至少属于一个安全组,在创建的时候就需要指定。 注解:简单理解:服务器什么端口(服务)可以被访问,什么端口可以被封锁 例子:服务器80端口是用来提供http服务,如果服务器部署了网站,而没有开放80端口,这个网站肯定访问不了,http:
云服务器安全设置常识
伟庭的博客
06-29 3903
云服务器安全设置常识
腾讯云服务器上的数据库安全配置指南
云服务器上部署数据库时,更需要重视数据库安全设置,以确保数据的机密性、完整性和可用性。 ## 1.1 为什么数据库安全至关重要 数据库中包含着公司的重要数据,如用户信息、财务数据等。一旦数据库遭受到恶意...
Apache安全配置指南:隐藏版本信息与强化服务器
"Apache配置安全指南" Apache HTTP服务器是世界上最流行的Web服务器软件之一,但默认配置可能存在安全隐患。在默认状态下,Apache可能会泄露诸如版本信息、操作系统类型以及已安装的模块等敏感信息,这些都可能被...
Spring Security快速搭建与配置指南
Spring Security是一个强大的、高度可定制的认证和访问控制框架,是保护基于Spring的应用程序的事实标准。...通过合理的项目搭建和配置,结合Spring Security的强大功能,能够构建出既安全又高效的应用程序。
阿里云服务器配置说明,安全组设置问题,参考后可以实现远程访问连接阿里云服务器
09-07
阿里云服务器配置说明教程,包括安全组设置问题,参考教程后可以实现远程访问连接阿里云服务器。自己亲手写的,爬过的坑.
TestTrackPro:BUG管理与用户安全组配置指南
"TestTrackPro 是一款专业的BUG管理软件,本教程主要讲解如何在TestTrackPro中进行用户管理、安全组创建以及权限配置。通过学习本教程,管理者能够有效地控制和管理项目中的BUG流程,提高工作效率。" 在...
使用云服务器一定要设置安全组
xuzhougeng blog
04-14 2492
最新登陆服务器的时候,发现我的服务器一直提示,在上一次成功登陆之后,有多少个失败尝试。 失败登陆 我估计就是有人通过弱口令字典来企图破解我的服务器。之前我对服务器安全一点都不在乎,而现在我才发现是那么危险。 为了杜绝奇奇怪怪的IP地址换着法子来尝试登录你的服务器,我们就需要为我们的云服务器设置一个安全组, 首先我们需要点开安全组的实例端口验通 实例端口验通 ...
安全组配置示例
chengxunhg的博客
05-29 1549
介绍常见的安全组配置示例。如下示例中,出方向默认全通,仅介绍入方向规则配置方法。 不同安全组内的弹性云服务器内网互通 仅允许特定 IP 地址远程连接弹性云服务器 SSH远程连接Linux弹性云服务器 RDP远程连接Windows弹性云服务器 公网ping ECS弹性云服务器 弹性云服务器作Web服务器 弹性云服务器作DNS服务器 使用FTP上传或下载文件 您需要提前准备好安全组,可...
OFBiz安全组
网事蒙尘
03-20 1442
安全组标识 描述 用户 系统级别 BIZADMIN 全部商业应用程序权限组,具有全部商业应用程序管理权限,不是技术人员权限。 bizadmin FLEXADMIN 缓存管理组,具有全部颗粒的权限。 flexadmin FULLADMIN 完全管理组,具有全部通用权限。 DemoLeadOwner DemoLeadOwner1  blog_admin blog_editor  a
配置安全组
wang645372816的专栏
11-19 640
安全组是一种虚拟防火墙,用来控制ECS的出站和入站流量。 在同一个VPC内,位于相同安全组的ECS实例私网互通。默认情况下,VPC内的不同交换机下的ECS实例可以通过系统路由相互访问。你可以通过配置安全组规则,使其互相隔离。详情请参考 VPC内设置私网隔离。 默认安全组 当你创建专有网络类型的ECS实例时,可以使用系统提供的 默认安全组规则,也可以选择VPC中已有的其它安全组安全组规则...
虚拟服务器安全组配置,服务器安全组配置示例
weixin_29269441的博客
08-06 567
服务器安全组配置示例 内容精选换一换介绍常见的安全组配置示例。如下示例中,出方向默认全通,仅介绍入方向规则配置方法。不同安全组内的云耀云服务器内网互通仅允许特定 IP 地址远程连接云耀云服务器SSH远程连接Linux云耀云服务器RDP远程连接Windows云服务器公网ping云耀云服务器云耀云服务器作Web服务器云耀云服务器作DNS服务器使用FTP上传或下载文件场景举例:在介绍常见的安全组配置示例...
从零配置云服务器(Java web运行环境)(一、配置安全组
高冷颜的博客
01-28 1193
前言 很多时候应聘java服务端开发时都会遇到的问题,你会配置服务器吗?你对Linux有了解吗?你有过Linux下环境配置的经验吗? 今天写下这篇博客,目的是为自己以后应聘不再两眼一抹黑,同时跟大家交流一下经验的,有什么不同的见解或我有什么错误的地方,望大家指正。因为时间关系,我分为几篇博客进行讲解。 那么开始吧,我这里选择的是阿里云的云服务器ECS,配置如下,我就不介绍怎么进行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

独隅

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值