安全组

虚拟防火墙用于控制弹性算力实例的入站和出站流量，以提高安全性。虚拟防火墙提供状态包检测 (SPI) 和包过滤功能。您可以使用虚拟防火墙及其规则在云中定义安全域。

限制

实用建议

• 如果您不创建虚拟防火墙，系统会为您的实例应用一个默认虚拟防火墙，该防火墙允许到 TCP 端口 22（Linux）、TCP 端口 3389（Windows）和 ICMP 协议的入站连接，以及允许所有流量的出站连接以实现远程登录。

• 您可以添加规则以允许特定目标或源在特定端口上的访问。

• 添加虚拟防火墙规则时遵循最小授权原则。例如，要允许 Linux 实例的端口 22 连接，建议您添加一条规则，仅允许来自特定 IP 地址的访问，而不是所有 IP 地址 (0.0.0.0/0)。

• 确保每个虚拟防火墙具有简单明了的规则。单个实例可以加入多个虚拟防火墙，单个虚拟防火墙可以有多个规则。如果一个实例应用了大量规则，管理会变得复杂，可能会引入未预见的风险。

• 将具有不同用途的实例加入不同的虚拟防火墙，并分别维护应用于这些实例的虚拟防火墙规则。例如，您可以将接受互联网访问的实例加入一个虚拟防火墙。然后，在此虚拟防火墙中，添加规则以允许仅用于提供外部服务的端口（如端口 80 和 443）的入站访问。同时，为了确保这些可通过互联网访问的实例不提供其他服务（如 MySQL 和 Redis），建议您在无法从互联网访问的实例上部署内部服务，并将这些实例加入另一个虚拟防火墙。

• 不要修改生产环境中使用的虚拟防火墙。对虚拟防火墙的所有更改都会自动应用于该虚拟防火墙内的实例。在更改虚拟防火墙之前，您可以在测试环境中克隆、修改和调试它，以确保更改不会中断相关实例之间的通信。

• 为虚拟防火墙指定可识别的名称和描述，以便于搜索和管理。