Alibaba Cloud ECS サーバーにセキュリティ グループ ルールを追加する

#セキュリティ グループ ルールの追加

セキュリティ グループ ルール ECS を追加することで、セキュリティ グループを許可または禁止できます。システム内のインスタンスはパブリック ネットワークまたはプライベート ネットワークにアクセスします。

#前提条件

セキュリティ グループ ルールを追加する前に、次の情報を確認してください:

#1. セキュリティ グループが作成されました。特定の操作については、「セキュリティ グループの作成」を参照してください。

2. ECS インスタンスへのパブリックまたはイントラネットのどのアクセスを許可または禁止する必要があるかはすでにわかっています。セキュリティ グループ ルール設定に関するその他の適用例については、「セキュリティ グループの適用例」を参照してください。

#背景情報

セキュリティ グループは、パブリック ネットワークまたはイントラネットからのアクセス要求を許可するかどうかを管理します。セキュリティ上の理由から、ほとんどのセキュリティ グループの受信方向ではアクセス拒否ポリシーが採用されています。デフォルトのセキュリティ グループを使用している場合、またはセキュリティ グループの作成時に Web サーバー Linux テンプレートまたは Web サーバー Windows テンプレートを選択した場合、システムは一部の通信ポートにセキュリティ グループ ルールを自動的に追加します。詳細については、「セキュリティ グループの概要」を参照してください。この記事の内容は次のシナリオに適用されます: 1. アプリケーションが ECS インスタンスが配置されているセキュリティ グループの外部のネットワークと通信する必要があるが、リクエストが開始された後に長い待機状態になる場合、最初にセキュリティ グループ ルールを設定する必要があります。

2. アプリケーションの操作中に一部のリクエスト ソースに悪意のある攻撃があることが判明した場合は、アクセスを拒否するセキュリティ グループ ルールを追加して、分離ポリシーを実装できます。

セキュリティ グループ ルールを追加する前に、次の点を理解してください:

1. セキュリティ グループ ルールは、ネットワーク カードの設定によって異なります。 #クラシック ネットワーク タイプのセキュリティ グループ ルールは、内部ネットワーク カードとパブリック ネットワーク カードを区別します。

# プライベート ネットワーク VPC タイプのセキュリティ グループ ルールでは、イントラネット ネットワーク カードとパブリック ネットワーク カードが区別されません。

プライベート ネットワーク VPC タイプの ECS インスタンスへのパブリック ネットワーク アクセスは、イントラネット ネットワーク カード マッピングを通じて転送されます。したがって、ECS インスタンス内のパブリック ネットワーク カードは表示できず、設定できるのはイントラネット セキュリティ グループ ルールのみですが、セキュリティ グループ ルールはイントラネットとパブリック ネットワークの両方で有効になります。

2. 作成したセキュリティ グループにセキュリティ グループ ルールを追加する前に、送信方向のすべてのアクセスが許可され、受信方向のすべてのアクセスが拒否されます。

3. セキュリティ グループ ルールは、IPv4 セキュリティ グループ ルールと IPv6 セキュリティ グループ ルールをサポートします。

4. 各セキュリティ グループの受信ルールと送信ルールの合計数は 200 を超えることはできません。

5. エンタープライズ セキュリティ グループは、優先順位の設定、セキュリティ グループへの承認、およびアクセスを拒否するセキュリティ グループ ルールの設定をサポートしていません。詳細については、「エンタープライズ セキュリティ グループの概要」を参照してください。

操作手順

1. ECS 管理コンソールにログインします。

2. 左側のナビゲーション バーで、[ネットワークとセキュリティ] > [セキュリティ グループ] を選択します。

3. 上部のステータス バーで、地域を選択します。

4. 承認ルールを設定するセキュリティ グループを見つけて、操作列で [ルールの設定] をクリックします。

5. [セキュリティ グループ ルール] ページで、次のいずれかの方法を選択して操作を完了できます。

方法 1:

ICMP および GRE プロトコルを設定する必要がない場合に適した、ルールを迅速に作成する複数のポートをチェックすることで運用シナリオを完了できます。クイック作成ルールは、SSH 22、telnet 23、HTTP 80、HTTPS 443、MS SQL 1433、Oracle 1521、MySQL 3306、RDP 3389、PostgreSQL 5432、および Redis 6379 のアプリケーション ポート設定を提供します。 1 つ以上のポートを同時に確認したり、TCP/UDP ポートをカスタマイズしたりできます。

[ルールのクイック作成] をクリックします。[ルールのクイック作成] ダイアログ ボックスでネットワーク カードの種類、ルールの方向、ポート範囲などのパラメータを設定する方法の詳細については、「セキュリティ グループ ルールを追加する方法 2」を参照してください。

方法 2:

セキュリティ グループ ルールを追加します。ICMP や GRE プロトコルなど、複数の通信プロトコルを設定する必要があるシナリオに適しています。 。 a. [セキュリティ グループ ルールの追加] をクリックします。

b. (クラシック ネットワーク タイプのセキュリティ グループのみ) ネットワーク カードのタイプを選択します。

イントラネット: ECS インスタンスはパブリック ネットワーク/インターネットにアクセスできないか、パブリック ネットワークにアクセスする必要がありません。

パブリック ネットワーク: ECS インスタンスはパブリック ネットワークにアクセスでき、アプリケーションにインターネット アクセスを提供します。

c. ルールの方向を選択します。

アウトバウンド方向: イントラネット内の他の ECS インスタンスまたはパブリック ネットワーク上のリソースにアクセスする ECS インスタンスを指します。

インバウンド方向: イントラネット内の他の ECS インスタンス、または ECS インスタンスにアクセスするパブリック ネットワーク上のリソースを指します。

d. 認可ポリシーを選択します。

Allow: このポートに対応するアクセス要求を許可します。

Reject: 応答情報を返さずにデータ パケットを直接ドロップします。 2 つのセキュリティ グループのルールが認可ポリシーを除いて同じである場合、認可の拒否が有効になり、許可ポリシーは有効になりません。

e.プロトコル タイプとポート範囲を選択します。

ポート範囲の設定はプロトコルの種類に影響されます。次の表は、作成ページに含まれるプロトコルの種類とポート範囲の関係を示しています。一般的に使用されるポートの詳細については、「共通ポートの一般的なアプリケーション」を参照してください。

#注: パブリック ネットワークの送信方向の STMP ポート 25 はデフォルトで制限されており、セキュリティ グループ ルールを通じて開くことはできません。 STMP ポート 25 を使用する必要がある場合は、セキュリティリスクをご自身で回避した上で、ポート 25 のブロック解除を申請してください。特定の操作については、「ポート 25 のブロック解除への適用」を参照してください。

f. 認可タイプと認可オブジェクトを選択します。

認可オブジェクトの設定は認可タイプに影響され、両者の関係は次のようになります。

#注: セキュリティ上の理由から、クラシック ネットワークのイントラネット受信ルールでは、承認タイプとしてセキュリティ グループ アクセスが優先されます。アドレス セグメント アクセスを選択した場合、単一の IP アドレスのみを認可できます。認可オブジェクトの形式は a.b.c.d/32 のみであり、IPv4 のみがサポートされ、サブネット マスクは /32 である必要があります。

g. 優先度: 値の範囲は 1 ～ 100 です。

注: 優先順位の値が小さいほど、優先順位は高くなります。優先度を設定できるのは共通セキュリティ グループのみです。エンタープライズ セキュリティ グループは優先度の設定をサポートしていません。詳細については、「ルールの優先順位」を参照してください。

h. [OK] をクリックします

実行結果

更新アイコンをクリックして、追加されたセキュリティ グループ ルールを表示します, 追加が完了したことを確認します。セキュリティ グループ ルールへの変更は、セキュリティ グループ内の ECS インスタンスに自動的に適用されます。変更がすぐに有効になるかどうかをテストすることをお勧めします。 ＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃次のステップ＃＃＃＃＃＃＃＃＃＃＃＃ ＃ ##各 ECS インスタンスは少なくとも 1 つのセキュリティ グループに属します。ビジネス ニーズに基づいて ECS インスタンスを 1 つ以上のセキュリティ グループに追加できます。特定の操作については、「セキュリティ グループへの ECS インスタンスの追加」を参照してください。

#関連ドキュメント # AuthorizeSecurityGroup

# AuthorizeSecurityGroupEgress推奨チュートリアル: Windows チュートリアル

以上がAlibaba Cloud ECS サーバーにセキュリティ グループ ルールを追加するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。