安全组是一种虚拟防火墙,用于控制ECS实例的网络访问。通过配置入方向和出方向规则,可以精确控制哪些IP地址、端口可以访问您的云服务器。
在华为云控制台进入ECS安全组管理页面,配置入方向规则:放行80端口(HTTP)、443端口(HTTPS)、22端口(Linux SSH)、3389端口(Windows RDP)等,其他端口设置为禁止。建议为管理端口设置源IP白名单限制。
1. 最小权限原则:只放行业务必须的端口。2. 管理端口限制来源IP。3. 为不同角色创建不同安全组(Web服务器、数据库服务器、管理服务器)。4. 定期审计安全组规则。5. 使用安全组日志记录分析异常访问。
安全组规则放行过宽(如0.0.0.0/0开放22或3389端口)、规则数量过多影响性能、忘记放行业务端口导致服务不可用。