添加安全组规则

操作场景

安全组用于管理是否放行来自公网或者内网的访问请求。为安全起见，安全组入方向大多采取拒绝访问策略。如果您在创建安全组时选择了“放通全部端口”模板或者“放通22，80，443，3389端口和ICMP协议”模板，系统将会根据选择的模板类型给部分通信端口自动添加安全组规则。更多详情，请参见 安全组概述。

本文指导您通过添加安全组规则，允许或禁止安全组内的云服务器实例对公网或私网的访问。

注意事项

• 安全组规则支持 IPv4 安全组规则和 IPv6 安全组规则。
• 一键放通 已经包含了 IPv4 安全组规则和 IPv6 安全组规则。

前提条件

• 您已经创建一个安全组。具体操作请参见 创建安全组。
• 您已经知道云服务器实例需要允许或禁止哪些公网或内网的访问。更多安全组规则设置的相关应用案例，请参见 安全组应用案例。

操作步骤

1. 登录 云服务器控制台。

2. 在左侧导航栏，单击 安全组，进入安全组管理页面。

3. 在安全组管理页面，选择 地域，找到需要设置规则的安全组。

4. 在需要设置规则的安全组行中，单击操作列的 修改规则。

5. 在安全组规则页面，单击“入站规则”，并根据实际需求选择以下任意一种方式完成操作：

   • 方式一：一键放通，适用于无需设置 ICMP 协议规则，并通过22，3389，ICMP，80，443，20，21端口便能完成操作的场景。
   • 方式二：添加规则，适用于需要设置多种通信协议的场景，例如 ICMP 协议。

6. 在弹出的“添加入站”窗口中，设置规则。

   添加规则的主要参数如下：

   • 类型：默认选择“自定义”，您也可以选择其他系统规则模板，例如 “Windows 登录”模板、“Linux 登录”模板、“Ping” 模板、“HTTP(80)” 模板和 “HTTPS(443)” 模板。

   • 来源：流量的源（入站规则） 或目标（出站规则），请指定以下选项之一：

     指定的源/目标	说明
     单个 IPv4 地址或 IPv4 地址范围	用 CIDR 表示法（如203.0.113.0、203.0.113.0/24或者0.0.0.0/0，其中0.0.0.0/0代表匹配所有 IPv4 地址）
     单个 IPv6 地址或 IPv6 地址范围	用 CIDR 表示法（如FF05::B5、FF05:B5::/60、::/0或者0::0/0，其中::/0或者0::0/0代表匹配所有 IPv6 地址）。
     引用安全组 ID，您可以引用以下安全组的 ID： - 当前安全组 - 其他安全组	- 当前安全组表示与云服务器关联的安全组 ID。 - 其他安全组表示同一区域中同一项目下的另一个安全组 ID。 说明： - 引用安全组 ID 法作为高阶功能，您可选择使用。所引用安全组的规则不会被添加到当前安全组。 - 在配置安全组规则时，如果在来源/目标中输入安全组 ID ，表示仅将此安全组 ID 所绑定的云服务器实例、弹性网卡的内网 IP 地址作为来源/目标，不包括外网 IP 地址。
     引用 参数模板 中的 IP 地址对象或 IP 地址组对象	-

   • 协议端口：填写协议类型和端口范围，您也可以引用参数模板中的协议端口或协议端口组。

   • 策略：默认选择“允许”。

     • 允许：放行该端口相应的访问请求。
     • 拒绝：直接丢弃数据包，不返回任何回应信息。

   • 备注：自定义，简短地描述规则，便于后期管理。

7. 单击 完成，完成安全组入站规则的添加。

8. 在安全组规则页面，单击“出站规则”，并参考 步骤5 - 步骤7，完成安全组出站规则的添加。