阿里云服务器安全组设置指南与问题详解
一、安全组核心功能与作用
安全组是阿里云ECS的虚拟防火墙,通过规则控制实例的入站和出站流量,实现以下功能:
网络隔离:将具有相同安全需求的实例划入同一安全组,默认隔离不同安全组的内网流量。
访问控制:通过规则允许或拒绝特定IP、端口、协议的访问请求。
状态检测:支持有状态连接,自动放行已建立会话的响应流量(如SSH连接后,无需额外放行返回流量)。
弹性扩展:支持关联多个安全组,规则按优先级合并生效。
二、安全组设置步骤
1. 创建安全组
路径:ECS控制台 → 网络与安全 → 安全组 → 创建安全组。
关键配置:
名称与描述:建议包含业务名称和用途(如web-server-sg)。
网络类型:选择专有网络(VPC)或经典网络(推荐VPC,支持更灵活的网络规划)。
类型选择:
普通安全组:支持组内互通,适合内网服务通信。
企业级安全组:容纳更多私网IP,适合大规模集群。
2. 配置安全组规则
规则方向:
入方向:控制外部访问实例的流量(如允许SSH、HTTP)。
出方向:控制实例访问外部的流量(如允许DNS解析)。
规则属性:
授权策略:允许/拒绝。
协议类型:TCP、UDP、ICMP等。
端口范围:单个端口(如22)或端口段(如8000-9000)。
授权对象:IP地址(如192.168.1.100)、CIDR块(如10.0.0.0/24)或安全组ID(跨组访问)。
优先级:数值越小优先级越高(1-100),同优先级拒绝规则优先生效。
示例规则:
允许SSH访问:入方向 → TCP协议 → 端口22 → 授权对象121.XX.XX.XX/32(仅允许特定IP)。
禁止访问风险IP:出方向 → 拒绝 → 目标IPXX.XX.XX.XX/32。
3. 关联安全组到实例
创建时关联:购买ECS时,在“网络和安全组”步骤选择已创建的安全组。
创建后关联:
进入实例详情页 → 安全组页签 → 更换安全组。
支持关联多个安全组,规则按优先级合并。
4. 高级功能
克隆安全组:快速复制规则到其他地域或网络类型。
导入/导出规则:通过JSON/CSV文件批量管理规则。
标签管理:为安全组添加标签(如env:prod),便于资源分类和检索。
三、常见问题与解决方案
1. 无法远程连接服务器(SSH/RDP)
原因:
安全组未放行对应端口(如22或3389)。
实例内部防火墙未关闭或未放行端口。
服务未监听正确端口(如Nginx未监听80端口)。
排查步骤:
检查安全组规则是否包含允许入方向的对应端口。
登录实例内部,执行netstat -ano | findstr 端口号确认服务监听状态。
检查实例内部防火墙(如systemctl stop firewalld临时关闭测试)。
2. 数据库无法外部访问
原因:
安全组未放行数据库
