- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
企业安全组是一种全新的安全组控制平面,可以取代云服务器控制台的安全组管理界面。对安全组的配置逻辑进行了重新设计,维护了统一的访问控制管理页面,极大优化了安全组的使用体验。云防火墙提供基于五元组的规则配置界面,并通过智能转换算法自动下发安全组策略,大幅简化了安全组的配置操作。
企业安全组特点
大幅简化了安全组的配置操作,并保留五元组规则的使用习惯。
更加方便的支持 VPC 间、子网间及专线接入的访问控制。
提供安全组的访问控制日志,方便回溯阻断情况和日常排障。
无需改变网络架构,对网络稳定性没有任何影响,在网络性能方面也不产生额外的瓶颈。
企业安全组规则
企业安全组基于云服务器安全组的底层架构进行开发,所以受限于安全组的底层功能实现和资源配额。
规则的组成部分
访问源和访问目的:根据入站或出站的方向不同,可以是 IP 地址、CIDR 地址块、实例、子网或私有网络。
目的端口:目的端口号。当协议类型为 ICMP 或 ANY 时,此项无需配置。
协议类型:目前支持 TCP、UDP 和 ICMP。ANY 代表全部已支持的协议。
策略:规则命中后,所执行的操作。
放行策略,放行命中规则的流量,不记录访问控制日志。
阻断策略,拦截命中规则的流量,记录访问控制日志。
规则的优先级
安全组规则具有优先级,规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,列表底端规则优先级最低。
执行顺序是从高优先级向低优先级进行逐条匹配,规则命中后,则不再匹配后续规则。
入站规则和出站规则,分属不同的规则列表,优先级互不影响。
自动双向下发
为了提高安全组的配置效率,企业安全组提供了“自动双向下发”功能。在内网对内网的双向阻断或放行的场景中,不再需要在两个方向配置两条一模一样的规则。使用这个功能可以自动实现这种操作,降低规则配置的工作量。
当访问源地址填写为实例、子网或私有网络地址时,可通过“自动双向下发”功能,自动配置一条相同的出站规则(执行顺序为最高)。
注意:
只适用于内网到内网的通信场景。
例如,假设有两个实例,实例1的 IP 为 IP1,实例2的 IP 为 IP2。
用户对实例1和实例2分别配置了 deny all 的安全组,此时想要对实例1到实例2的访问做单向放行,需要手动配置两条安全组规则:
实例1,出站方向对 IP2 放行。
实例2,入站方向对 IP1 放行。
日志
安全组阻断日志
企业安全组操作日志
企业安全组操作日志 用于记录某个账号在企业安全组页面中进行的操作。
是
否
本页内容是否解决了您的问题?