提升阿里云服务器ECS实例的安全性的五种方法之设置安全组

背景信息

我们可以把一个阿里云服务器实例等同于一台虚拟机，本地维护的虚拟机一般会做虚拟机实例级别的安全防护，以防止虚拟机被攻击和入侵等。同样的，云上的ECS实例也需要做安全性防护。除了置身于阿里云自身的安全平台外，用户也需要根据实际的需求进一步定制化安全，总之阿里云服务器ECS实例的安全是需要阿里云和用户共同构建的。

阿里云服务器ECS实例没有设置安全防护有以下风险：

如果ECS实例没有设置安全防护，可能会带来许多不良的影响。可能的风险有：

阿里云服务器可能会遭受到DDoS而导致业务中断。

阿里云服务器可能会受到Web入侵而导致网页被篡改、挂马。

阿里云服务器可能被注入而导致信息和数据泄漏等，影响ECS的使用，使其无法正常提供服务。
 

您可以通过以下方式提高ECS实例的安全性：

1、设置安全组

2、开启DDoS基础防护服务

3、接入云安全中心

4、安装安骑士

5、接入Web应用防火墙
 

今天我们先一起讨论学习设置安全组如何提高ECS实例的安全性。
 

设置安全组的作用如下：

安全组实际是一种虚拟防火墙，具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。安全组规则可以允许或者禁止与安全组相关联的云服务器ECS实例的公网和内网的入出方向的访问。

如果没有正确设置安全组或者安全组规则过于开放，则降低了访问的限制级别，存在安全隐患。
 

如何为ECS实例设置安全组：

登录阿里云服务器ECS管理控制台。

在左侧导航栏，单击网络与安全 > 安全组。

在顶部状态栏处，选择地域。

找到要配置授权规则的安全组，在操作列中，单击配置规则。

单击添加安全组规则。

在弹出的对话框中，分别设置网络类型、规则方向、授权策略、协议类型、端口范围、授权类型、授权对象和优先级。

例如：只允许特定IP远程登录到ECS实例，只需要在公网入方向配置规则即可。以Linux服务器为例，设置只让特定IP访问22端口。

添加一条公网入方向安全组规则。规则内容如下：

授权策略选择允许。

协议类型选择自定义 TCP。

端口范围设置为22/22。

授权类型选择IPv4地址段访问。

授权对象设置为允许远程连接的IP地址段，格式为x.x.x.x/xx，即IP地址/子网掩码。本示例中的地址段为10.x.x.x/32。优先级为1。

再添加一条公网入方向安全组规则。规则内容如下：

授权策略选择拒绝。

协议类型选择自定义 TCP。

端口范围设置为22/22。

授权类型选择IPv4地址段访问。

授权对象设置为0.0.0.0/0。优先级为2。

单击确定 。
 

设置安全组规则后，可以实现以下效果：

来自IP 10.x.x.x访问22端口优先执行优先级为1的允许规则。

来自其他IP访问22端口优先执行优先级为2的拒绝规则。

更多参考https://help.aliyun.com/document_detail/51849.html?spm=a2c4g.11174359.6.1031.23cf148cpMdacO