華為雲帳號安全認證 華為雲ECS安全組規則配置

什麼是安全組？為什麼需要配置？

安全組的基本概念

說到安全組，你可以把它想像成你家門口的智能保安系統。沒錯，就是那個能辨認熟人、攔截陌生人、還能設定特定時間開放的「智慧門禁」！在華為雲環境中，安全組就是雲伺服器（ECS）的網絡防火牆，負責管控進出流量的規則集合。它就像一座城門，只有符合規定的車輛才能進出，其他一律擋在門外。

如果你的伺服器沒有配置安全組，等於把大門敞開，任由四面八方的流量自由出入。想想看，黑客就像那些不請自來的「訪客」，可能趁機溜進來竊取數據或發起攻擊。因此，正確配置安全組規則，是保護雲上資產的第一步。

為什麼安全組對ECS安全如此重要？

舉個例子，如果你的網站伺服器公開了所有端口，黑客可能會掃描到弱密碼的SSH服務，直接入侵系統。但若只開放80和443端口給HTTP/HTTPS，其他端口全部關閉，攻擊面就大大縮小。這就像你家裝了防盜門，但只留了個小窗給快遞員送東西，其他地方都鎖緊，安全係數自然提升。

華為雲的安全組規則是「默認拒絕所有」的，也就是說，除非你明確允許，否則任何流量都會被攔截。這種設計非常嚴謹，但很多新手會誤以為「既然沒設定規則就應該能上線」，結果導致服務無法訪問。因此，了解如何正確添加規則至關重要。

華為雲ECS安全組配置步驟

進入控制台操作流程

第一步，打開華為雲控制台，點擊「雲服務器ECS」。在左側導航欄找到「安全組」，點擊進入。這裡會看到你已有的安全組列表，如果沒有，就點「創建安全組」。創建時需要填寫名稱和描述，建議用有辨識度的名字，比如「Web-Server-SG」，避免用「sg1」之類的無意義名稱。

接下來，切換到「規則管理」頁籤，這裡就是配置具體規則的地方。華為雲的安全組分為入方向和出方向規則，入方向控制外部訪問你的伺服器，出方向控制你的伺服器訪問外部。大多數情況下，入方向的規則配置更重要，因為它直接影響外部能不能訪問你的服務。

創建或編輯安全組規則

點擊「添加規則」按鈕，會彈出配置窗口。這裡需要設定幾個關鍵參數：

• 協議類型：TCP、UDP、ICMP或全部。常見的HTTP是TCP 80端口，HTTPS是TCP 443端口，SSH是TCP 22端口。
• 端口範圍：如果只開放單一端口，填寫如「22/22」；若開放範圍則填「1000/2000」。
• 源地址：這是最關鍵的一項！一般建議只允許特定IP或IP段訪問，例如「192.168.1.100/32」代表只允許這個IP，「0.0.0.0/0」代表所有IP都可以訪問，但這風險極高，除非必要否則別用！

舉例來說，要開放SSH服務給自己的辦公室IP（114.25.25.100），就填協議TCP，端口22，源地址114.25.25.100/32。這樣只有你的電腦能連SSH，其他人都被攔住。

常見規則類型解析

除了基本的入站規則，還有一些進階應用：

• 內網通訊規則：如果多臺ECS在內網互通，可以設定源地址為內網CIDR段，比如「172.16.0.0/12」，這樣同VPC的機器可以互相訪問，但外部無法進入。
• ICMP規則：允許ping測試，對故障排查很有幫助，但建議限制源地址，例如只允許管理IP段。
• 出方向規則：默認通常是允許全部，但如果你的伺服器不需要外網訪問，可以限制，例如只允許訪問特定的NTP服務器（123端口）或軟件更新源。

實用安全組規則範例

開放HTTP/HTTPS服務

假設你架設了一個網站，需要讓用戶訪問。這時要創建兩條規則：

• 協議TCP，端口80，源地址0.0.0.0/0（或指定地區的IP段，如中國區IP）
• 協議TCP，端口443，源地址0.0.0.0/0

但要注意，如果網站有WAF（Web應用防火牆），可以將安全組的源地址限制為WAF的IP段，這樣能防止直接攻擊伺服器。華為雲的WAF有固定IP，查閱文檔即可獲取。

僅允許特定IP訪問SSH

SSH是黑客最常攻擊的入口之一，務必嚴格管控。規則設置如下：

• 華為雲帳號安全認證 協議TCP，端口22，源地址「你的辦公室IP/32」

例如，你的公司IP是203.0.113.10，就填203.0.113.10/32。如果需要從多個地點連接，可以加多條規則，但切記不要用0.0.0.0/0！有人說「我用跳板機」，那跳板機的IP也得明確設定，而不是把所有IP都開了。

限制內網通信規則

如果有多臺ECS組成應用集群，例如前端Web伺服器和後端數據庫，應該只允許Web伺服器訪問數據庫的特定端口。例如數據庫用3306端口，規則設置為：

• 協議TCP，端口3306，源地址「Web伺服器的私有IP段」，例如172.16.1.0/24

這樣數據庫只能被Web伺服器訪問，其他機器都無法連接，大幅減少攻擊面。

配置安全組的常見誤區與注意事項

避免全開端口的風險

華為雲帳號安全認證 新手最容易犯的錯誤就是把所有端口都開放，源地址填0.0.0.0/0。這就像把家門鎖打開，還貼上「歡迎任意人進來」的標語！曾有客戶因為誤設安全組，導致伺服器被挖礦木馬入侵，結果每天收到高額電費賬單——因為黑客用你的機器挖礦！

華為雲官方建議：除非必要，否則不要開放所有端口。例如，數據庫服務只開放給應用伺服器，管理端口只開放給管理員IP，這樣才能把風險降到最低。

規則優先級與疊加效應

安全組規則有優先級之分，數字越小優先級越高。當多條規則匹配時，優先級高的會先執行。例如，你有一條允許192.168.1.0/24訪問22端口的規則（優先級1），又有一條拒絕所有IP的規則（優先級2），那麼即使有其他IP，只要符合192.168.1.0/24就會被允許，其他都被擋住。

但要注意，華為雲的安全組規則是「允許優先」，也就是說只要有一條允許的規則匹配，流量就會通過，後面的拒絕規則不會生效。因此規則的順序和優先級設置必須謹慎，避免產生意料之外的結果。

定期審查安全組規則

很多企業一開始配置好安全組後就忘記檢查，結果半年後發現某些規則早已過時。例如，某個員工離職後，他的IP還在白名單裡；或者原本用來測試的臨時規則，忘了關閉。

建議每季度審查一次安全組規則，刪除無用的條目。華為雲控制台提供規則列表，可以輕鬆查看。另外，可以利用華為雲的「雲安全中心」服務，自動檢測異常流量和配置風險，讓安全維護更省心。

總結：安全組是你的雲上「守護神」

配置安全組看似簡單，但細節決定成敗。記住這幾句話：能限制的端口就限制，能指定的IP就指定，定期檢查別偷懶。當你把每條規則都當成一扇門鎖，仔細檢查是否該關緊，你的ECS就能像裝了防彈玻璃的銀行金庫，穩如泰山。

最後送大家一句話：「安全不是一勞永逸的事，而是每天都要做的功課。」下次當你點擊「添加規則」時，想想「這真的需要開嗎？是不是有更安全的方式？」——這就是安全組配置的真諦。