什么是云服務(wù)器安全組 它的作用是什么

如果是安全意識高的運維人員，可能會發(fā)現(xiàn)云服務(wù)器廠商基本上提供了一個叫做安全組的功能設(shè)置項。那什么是安全組？和windows防火墻類似，安全組是一種虛擬防火墻，可以對進出云服務(wù)器的流量進行數(shù)據(jù)包過濾，是一種重要的網(wǎng)絡(luò)安全隔離手段。

安全組是一個邏輯上的分組，可以將同一地域內(nèi)具有相同網(wǎng)絡(luò)安全隔離需求的云服務(wù)器添加到同一個安全組，用戶通過配置安全組規(guī)則，實現(xiàn)統(tǒng)一的網(wǎng)絡(luò)訪問控制。在安全組內(nèi)，可以放行系統(tǒng)相應(yīng)的端口號以及IP訪問權(quán)限，如設(shè)置只能某些IP才可訪問此臺服務(wù)器，或禁用某些指定端口或FTP與ping功能。

除了提供類似防火墻的功能外，使用安全組還有以下好處：1、由于安全規(guī)則的虛擬性，入侵者不容易像攻擊物理防火墻那樣，選定一個明確的目標(biāo)來發(fā)動攻擊；2、因為安全規(guī)則通過遠程控制，不會出現(xiàn)誤刪除網(wǎng)絡(luò)規(guī)則，而把所有人都屏蔽到網(wǎng)段外的情況；3、可以方便地從外部網(wǎng)絡(luò)通過SSH或其它安全鏈接直接訪問每臺云服務(wù)器，因為這些訪問必須符合特定的安全規(guī)則，所達到的安全性與傳統(tǒng)方案類似。

通過部署云服務(wù)器安全組，可以在同一地域的不同服務(wù)器之間實現(xiàn)內(nèi)網(wǎng)互通與資源拷貝；當(dāng)服務(wù)器被黑客操控，也可以通過修改遠程端口以限制登錄IP；另外，安全組還支持通過公網(wǎng)遠程連接和管理服務(wù)器，用戶可以通過HTTP、HTTPS服務(wù)訪問到您的網(wǎng)站。

那么，如何設(shè)置云服務(wù)器安全組呢？以西部數(shù)碼為例，安全組可適用于所有機房的彈性云，無區(qū)域限制。用戶只需登錄管理后臺，在個人中心—服務(wù)器管理—管理界面，選擇更多—安全組功能，填寫安全組名稱和說明，點擊添加，則安全組創(chuàng)建成功，如圖：

在安全組列表界面，可以根據(jù)IP地址查詢安全組信息，設(shè)置安全組規(guī)則，或進行部署、禁用與刪除等操作。添加安全組規(guī)則支持的配置項有：協(xié)議(TCP/UDP/ICMP）、源IP類型IP地址、源端口與目標(biāo)端口、優(yōu)先級和行為（阻止或放行）。每個安全組最多可以添加100條規(guī)則，每條規(guī)則存在優(yōu)先級屬性，數(shù)字越大，優(yōu)先級越高，可取值范圍為1-1024。

用戶可以使用西部數(shù)碼安全組功能對一組云服務(wù)器的入流量進行數(shù)據(jù)包過濾（不限制出流量）。默認情況下所有數(shù)據(jù)包全部放行，若要實現(xiàn)類似于針對某個端口默認禁止、僅允許特定服務(wù)器訪問的場景，只需要添加兩條規(guī)則：一條低優(yōu)先級的規(guī)則禁止某個端口的所有流量，一條高優(yōu)先級的規(guī)則放行特定源IP的流量即可。安全組同時支持模板導(dǎo)入，如需允許遠程桌面、禁用危險或指定端口等操作，導(dǎo)入對應(yīng)規(guī)則即可，避免了重復(fù)配置的麻煩。

值得注意的是，在安全組規(guī)則設(shè)置過程中，應(yīng)遵循最小授權(quán)原則。例如，您可以選擇開放具體的端口，謹慎進行全網(wǎng)段授權(quán)；對不同的應(yīng)用，采用不同的安全組策略；對有相同安全保護需求的服務(wù)器，可加入同一安全組，無需分別建組；同時，規(guī)則盡量簡潔，避免對一臺服務(wù)器限制過多，導(dǎo)致訪問時網(wǎng)絡(luò)不通等問題。