tencent cloud

云服务器

动态与公告
产品动态
公共镜像更新动态
操作系统官方停止维护计划
产品公告
产品简介
云服务器概述
产品优势
基本概念
地域和可用区
新手指引
Service Regions and Service Providers
产品计费
计费概述
计费方式
计费项
转换计费方式
购买实例
变配费用说明
欠费说明
快速入门
通过自定义配置购买 Linux 云服务器
通过自定义配置购买 Windows 云服务器
用户指南
操作指南总览
使用限制总览
实例
竞价实例
预留实例
镜像
存储
备份与恢复
网络
安全
密码/密钥
监控与告警
运维管理
便捷功能
迁移服务器
在线迁移
迁移咨询
故障处理
无法登录云服务器问题处理思路
Windows 实例登录相关故障
Linux 实例登录相关故障
其他实例登录相关故障
实例运行故障
Linux 实例内存故障
网络故障
实践教程
云服务器选型建议
搭建环境
搭建网站
搭建应用
搭建可视化界面
本地文件上传到云服务器
网络性能测试
其他实践教程
API 文档
History
Introduction
API Category
Making API Requests
Region APIs
Instance APIs
Cloud Hosting Cluster APIs
Image APIs
Instance Launch Template APIs
Placement Group APIs
Key APIs
Security Group APIs
Network APIs
Data Types
Error Codes
安全与合规
访问管理
网络
常见问题
地域和可用区相关
计费相关
实例相关
存储相关
镜像相关
服务器迁移相关
网络相关
安全相关
操作系统相关
运维和监控相关
访问管理相关
NTP 服务相关
应用场景相关
服务协议
CVM Service Level Agreements
Red Hat Enterprise Linux 镜像服务协议
Public IP Service Level Agreement
词汇表
文档云服务器用户指南 安全安全组安全组应用案例

安全组应用案例

PDF
聚焦模式
字号
最后更新时间: 2025-12-22 11:02:04
安全组的设置用来管理云服务器是否可以被访问,您可以通过配置安全组的入站和出站规则,设置您的服务器是否可以被访问以及访问其他网络资源。 默认情况下,安全组的入站规则和出站规则如下:
为了数据安全,安全组的入规则为拒绝策略,禁止外部网络的远程访问。如果您需要您的云服务器被外部访问,则需要放通相应端口的入站规则。
安全组的出站规则用于设置您的云服务器是否可以访问外部网络资源。如果您选择 “放通全部端口” 或 “放通22,80,443,3389端口和 ICMP 协议”,安全组出站规则为全部放通。如果您选择自定义安全组规则,出站规则默认为全部拒绝,您需要放通相应端口的出站规则来访问外部网络资源。

常见应用场景

本文介绍了几个常见的安全组应用场景,如果以下场景可以满足您的需求,可直接按照场景中的推荐配置进行安全组的设置。

场景一:允许 SSH 远程连接 Linux 云服务器

案例:您创建了一台 Linux 云服务器,并希望可以通过 SSH 远程连接到云服务器。 解决方法添加入站规则 时,在 “类型” 中选择 “Linux 登录”,开通22号协议端口,放通 Linux SSH 登录。 您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 SSH 远程连接到云服务器的 IP 来源。
方向
类型
来源
协议端口
策略
入方向
Linux 登录
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
TCP:22
允许

场景二:允许 RDP 远程连接 Windows 云服务器

案例:您创建了一台 Windows 云服务器,并希望可以通过 RDP 远程连接到云服务器。 解决方法添加入站规则 时,在 “类型” 中选择 “Windows 登录”,开通3389号协议端口,放通 Windows 远程登录。 您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 RDP 远程连接到云服务器的 IP 来源。
方向
类型
来源
协议端口
策略
入方向
Windows 登录
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
TCP:3389
允许

场景三:允许公网 Ping 服务器

案例:您创建了一台云服务器,希望可以测试这台云服务器和其他云服务器之间的通信状态是否正常。 解决方法:使用 ping 程序进行测试。即在 添加入站规则 时,将 “类型” 选择为 “Ping”,开通 ICMP 协议端口,允许其他云服务器通过 ICMP 协议访问该云服务器。 您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置允许通过 ICMP 协议访问该云服务器的 IP 来源。
方向
类型
来源
协议端口
策略
入方向
Ping
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
ICMP
允许

场景四:Telnet 远程登录

案例:您希望可以通过 Telnet 远程登录云服务器。 解决方法:如需通过 Telnet 远程登录云服务器,则需在 添加入站规则 时,配置以下安全组规则:
方向
类型
来源
协议端口
策略
入方向
自定义
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
TCP:23
允许

场景五:放通 Web 服务 HTTP 或 HTTPS 访问

案例:您搭建了一个网站,希望用户可以通过 HTTP 或者 HTTPS 的方式访问您搭建的网站。 解决方法:如需通过通过 HTTP 或者 HTTPS 的方式访问网站,则需在 添加入站规则 时,根据实际需求配置以下安全组规则:
允许公网上的所有 IP 访问该网站
方向
类型
来源
协议端口
策略
入方向
HTTP(80)
0.0.0.0/0
TCP:80
允许
入方向
HTTPS(443)
0.0.0.0/0
TCP:443
允许
允许公网上的部分 IP 访问该网站
方向
类型
来源
协议端口
策略
入方向
HTTP(80)
允许访问您网站的 IP 或 IP 地址段
TCP:80
允许
入方向
HTTPS(443)
允许访问您网站的 IP 或 IP 地址段
TCP:443
允许

场景六:允许外部 IP 访问指定端口

案例:您部署业务后,希望指定的业务端口(例如:1101)可以被外部访问。 解决方法添加入站规则 时,在 “类型” 中选择 “自定义”,开通1101号协议端口,允许外部访问指定的业务端口。 您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),允许访问指定的业务端口的 IP 来源。
方向
类型
来源
协议端口
策略
入方向
自定义
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
TCP:1101
允许

场景七:拒绝外部 IP 访问指定端口

案例:您部署业务后,希望指定的业务端口(例如:1102)不被外部访问。 解决方法添加入站规则 时,在 “类型” 中选择 “自定义”,配置1102号协议端口,将 “策略” 设置为 “拒绝”,拒绝外部访问指定的业务端口。
方向
类型
来源
协议端口
策略
入方向
自定义
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
TCP:1102
拒绝

场景八:只允许云服务器访问特定外部 IP

案例:您希望您的云服务器只能访问外部特定的 IP 地址。 解决方法:参考如下配置,增加如下两条出方向的安全组规则。
允许实例访问特定公网 IP 地址
禁止实例以任何协议访问所有公网 IP 地址
说明:
允许访问的规则优先级应高于拒绝访问的规则优先级。
方向
类型
来源
协议端口
策略
出方向
自定义
允许云服务器访问的特定公网 IP 地址
需使用的协议类型和端口
允许
出方向
自定义
0.0.0.0/0
ALL
拒绝

场景九:拒绝云服务器访问特定外部 IP

案例:您不希望您的云服务器可以访问外部特定的 IP 地址。 解决方法:参考如下配置,添加安全组规则。
方向
类型
来源
协议端口
策略
出方向
自定义
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
ALL
拒绝

场景十:使用 FTP 上传或下载文件

案例:您需要使用 FTP 软件向云服务器上传或下载文件 解决方法:参考如下配置,添加安全组规则。
方向
类型
来源
协议端口
策略
入方向
自定义
0.0.0.0/0
TCP:20-21
允许

多场景组合

在实际的场景中,可能需要根据业务需求配置多个安全组规则。例如,同时配置入站或者出站规则。一台云服务器可以绑定一个或多个安全组,当云服务器绑定多个安全组时,多个安全组将按照从上到下依次匹配执行。您可以随时调整安全组的优先级。

上一篇: 导出安全组规则下一篇: 服务器常用端口

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈