您可以通過添加安全組規(guī)則，允許或禁止安全組內(nèi)的ECS實(shí)例對(duì)公網(wǎng)或私網(wǎng)的訪問。

安全組負(fù)責(zé)管理是否放行來自公網(wǎng)或者內(nèi)網(wǎng)的訪問請(qǐng)求。為安全起見，安全組入方向大多采取拒絕訪問策略。如果您使用的是默認(rèn)安全組，則系統(tǒng)會(huì)給部分通信端口自動(dòng)添加安全組規(guī)則。

更多詳情，請(qǐng)參見安全組概述。

1. 登錄ECS管理控制臺(tái)。
2. 在左側(cè)導(dǎo)航欄，單擊網(wǎng)絡(luò)與安全 > 安全組。
3. 在頂部菜單欄左上角處，選擇地域。
4. 找到要配置授權(quán)規(guī)則的安全組，在操作列中，單擊配置規(guī)則。
5. 選擇安全組規(guī)則的規(guī)則方向。
   表 1. 安全組規(guī)則方向

   網(wǎng)絡(luò)類型	選擇規(guī)則方向
   專有網(wǎng)絡(luò)VPC	入方向：同時(shí)控制公網(wǎng)和內(nèi)網(wǎng)入方向 出方向：同時(shí)控制公網(wǎng)和內(nèi)網(wǎng)出方向
   經(jīng)典網(wǎng)絡(luò)	公網(wǎng)入方向 公網(wǎng)出方向 入方向：內(nèi)網(wǎng)入方向 出方向：內(nèi)網(wǎng)出方向

6. 在安全組規(guī)則頁面上，您可以選擇以下任意一種方式添加安全組規(guī)則。
   • 方式一：快速添加安全組規(guī)則

     適用于無需設(shè)置ICMP、GRE協(xié)議規(guī)則，并通過勾選多個(gè)端口便能完成操作的場(chǎng)景。快速添加提供了SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432和Redis 6379的應(yīng)用端口設(shè)置。您可以同時(shí)勾選一個(gè)或多個(gè)端口。

     1. 單擊快速添加。
     2. 設(shè)置授權(quán)策略、授權(quán)對(duì)象和端口范圍。
        說明 參數(shù)設(shè)置的詳細(xì)指導(dǎo)請(qǐng)參見表 2。
     3. 單擊確定。
   • 方式二：手動(dòng)添加安全組規(guī)則
     1. 單擊手動(dòng)添加。
     2. 在規(guī)則列表中配置新增的安全組規(guī)則。 表 2. 安全組規(guī)則參數(shù)說明

        名稱	描述
        授權(quán)策略	允許：放行該端口相應(yīng)的訪問請(qǐng)求。 拒絕：直接丟棄數(shù)據(jù)包，不會(huì)返回任何回應(yīng)信息。如果兩個(gè)安全組規(guī)則其他都相同只有授權(quán)策略不同，則拒絕授權(quán)生效，允許策略不生效。 說明 企業(yè)安全組只支持允許授權(quán)策略。
        優(yōu)先級(jí)	優(yōu)先級(jí)數(shù)值越小，優(yōu)先級(jí)越高，取值范圍為1~100。 說明 企業(yè)安全組優(yōu)先級(jí)固定為1，不支持自定義設(shè)置。
        協(xié)議類型	支持協(xié)議類型包括： 全部 自定義TCP 自定義UDP 全部ICMP（IPv4） 全部GRE 協(xié)議類型和端口范圍的關(guān)系參見表 3。更多常用端口信息，請(qǐng)參見常用端口。
        端口范圍	協(xié)議類型為自定義TCP或自定義UDP時(shí)，可自定義設(shè)置。手動(dòng)輸入端口范圍，多個(gè)端口范圍以英文半角逗號(hào)分隔，例如22/23,443/443。
        授權(quán)對(duì)象	支持以下方式設(shè)置授權(quán)對(duì)象。 IPv4地址段 填寫單一IP地址或者CIDR網(wǎng)段格式，如：12.1.1.1或13.1.1.1/25。 關(guān)于CIDR格式介紹，請(qǐng)參見網(wǎng)絡(luò)FAQ。 支持多組授權(quán)對(duì)象，用英文半角逗號(hào)（,）隔開，最多支持10組授權(quán)對(duì)象。 如果填寫0.0.0.0/0表示允許或拒絕所有IP地址的訪問，設(shè)置時(shí)請(qǐng)務(wù)必謹(jǐn)慎。 IPv6地址段 填寫單一IP地址或者CIDR網(wǎng)段格式，如2408:4321:180:1701:94c7:bc38:3bfa:***或2408:4321:180:1701:94c7:bc38:3bfa:***/128。 支持多組授權(quán)對(duì)象，用英文半角逗號(hào)（,）隔開，最多支持10組授權(quán)對(duì)象。 如果填寫::/0表示允許或拒絕所有IP地址的訪問，設(shè)置時(shí)請(qǐng)務(wù)必謹(jǐn)慎。 安全組 說明 企業(yè)安全組不支持授權(quán)安全組訪問。 安全組訪問只對(duì)內(nèi)網(wǎng)有效。授權(quán)本賬號(hào)或其他賬號(hào)下某個(gè)安全組中的ECS實(shí)例訪問本安全組中的ECS實(shí)例，實(shí)現(xiàn)內(nèi)網(wǎng)互通。設(shè)置公網(wǎng)訪問只能通過CIDR網(wǎng)段方式授權(quán)。 本賬號(hào)授權(quán)：選擇同一賬號(hào)下的其他安全組ID。如果是專有網(wǎng)絡(luò)VPC類型的安全組，目的端必須為同一個(gè)專有網(wǎng)絡(luò)VPC中的安全組。 跨賬號(hào)授權(quán)：填寫目標(biāo)安全組ID，以及對(duì)方賬號(hào)ID。在賬號(hào)管理 > 安全設(shè)置里查看賬號(hào)ID。 說明 出于安全性考慮，經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)入方向規(guī)則，授權(quán)對(duì)象優(yōu)先使用安全組。如果使用CIDR，則只能授權(quán)單個(gè)IP地址，授權(quán)對(duì)象的格式只能是a.b.c.d/32，僅支持IPv4，子網(wǎng)掩碼必須是/32。
        描述	安全組規(guī)則描述信息。

        表 3. 協(xié)議類型和端口范圍關(guān)系表

        協(xié)議類型	端口顯示范圍	應(yīng)用場(chǎng)景
        全部	-1/-1，表示不限制端口。不能設(shè)置。	可用于完全互相信任的應(yīng)用場(chǎng)景。
        全部 ICMP（IPv4）	-1/-1，表示不限制端口。不能設(shè)置。	使用ping程序檢測(cè)ECS實(shí)例之間的通信狀況。
        全部 ICMP（IPv6）	-1/-1，表示不限制端口。不能設(shè)置。	使用ping6程序檢測(cè)ECS實(shí)例之間的通信狀況。
        全部 GRE	-1/-1，表示不限制端口。不能設(shè)置。	用于VPN服務(wù)。
        自定義 TCP	自定義端口范圍，有效的端口值是1 ~ 65535。 必須采用<開始端口>/<結(jié)束端口>的格式。例如80/80表示端口80，1/22表示1到22端口。	可用于允許或拒絕一個(gè)或幾個(gè)連續(xù)的端口。
        自定義 UDP
        SSH	22/22	用于SSH遠(yuǎn)程連接到Linux實(shí)例。連接ECS實(shí)例后您能修改端口號(hào)，具體操作，請(qǐng)參見修改服務(wù)器默認(rèn)遠(yuǎn)程端口。
        TELNET	23/23	用于Telnet遠(yuǎn)程登錄ECS實(shí)例。
        HTTP	80/80	ECS實(shí)例作為網(wǎng)站或Web應(yīng)用服務(wù)器。
        HTTPS	443/443	ECS實(shí)例作為支持HTTPS協(xié)議的網(wǎng)站或Web應(yīng)用服務(wù)器。
        MS SQL	1433/1433	ECS實(shí)例作為MS SQL服務(wù)器。
        Oracle	1521/1521	ECS實(shí)例作為Oracle SQL服務(wù)器。
        MySQL	3306/3306	ECS實(shí)例作為MySQL服務(wù)器。
        RDP	3389/3389	用于通過遠(yuǎn)程桌面協(xié)議連接到Windows實(shí)例。連接ECS實(shí)例后您能修改端口號(hào)，具體操作，請(qǐng)參見修改服務(wù)器默認(rèn)遠(yuǎn)程端口。
        PostgreSQL	5432/5432	ECS實(shí)例作為PostgreSQL服務(wù)器。
        Redis	6379/6379	ECS實(shí)例作為Redis服務(wù)器。

        說明 公網(wǎng)出方向的SMTP端口25默認(rèn)受限，無法通過安全組規(guī)則打開。如果您需要使用SMTP 25端口，請(qǐng)自行規(guī)避安全風(fēng)險(xiǎn)，然后申請(qǐng)解封端口25。具體操作，請(qǐng)參見申請(qǐng)解封端口25。
     3. 在規(guī)則的操作列中，單擊保存。
   以下示例演示了如何在安全組添加安全組規(guī)則。

添加完成后，在安全組規(guī)則列表中查看已添加的安全組規(guī)則。安全組規(guī)則的變更會(huì)自動(dòng)應(yīng)用到安全組內(nèi)的ECS實(shí)例上，建議您立即測(cè)試是否生效。

每臺(tái)ECS實(shí)例至少屬于一個(gè)安全組，您可以根據(jù)業(yè)務(wù)需要，將ECS實(shí)例加入一個(gè)或多個(gè)安全組。具體操作，請(qǐng)參見ECS實(shí)例加入安全組。

設(shè)置安全組規(guī)則后如果發(fā)現(xiàn)業(yè)務(wù)無法訪問，您需要排查業(yè)務(wù)服務(wù)是否啟動(dòng)、服務(wù)端口和安全組規(guī)則是否一致等問題。更多信息，請(qǐng)參見安全組常見問題處理。