动态与公告

产品动态

产品公告

产品简介

产品概述

产品优势

使用场景

技术原理

产品对比

使用约束

Service Regions and Service Providers

购买指南

计费概述

计费项

CLB 资源包

购买方式

欠费说明

产品属性选择

快速入门

域名化负载均衡快速入门

负载均衡快速入门

IPv6 负载均衡快速入门

CentOS 下部署 Nginx

CentOS 下部署 Java Web

操作指南

负载均衡实例

负载均衡监听器

后端服务器

健康检查

证书管理

日志管理

监控告警

访问管理

传统型负载均衡

实践教程

部署证书到负载均衡（双向认证）

负载均衡开启 Gzip 配置及检测方法说明

HTTPS 转发配置入门指南

如何获取客户端真实 IP

负载均衡配置监控告警最佳实践

产品高可用说明

均衡算法选择与权重配置示例

配置 WAF 对负载均衡的监听域名进行 Web 安全防护

配置 IAP 对负载均衡的域名和路径的web访问进行身份验证

配置 IAP 对负载均衡的域名和路径的程序化访问进行身份验证

运维指南

客户端 timewait 过多解决方案

负载均衡HTTPS服务性能测试

压力测试常见问题

CLB 证书操作权限问题

故障处理

UDP 健康检查出现异常

API 文档

History

Introduction

API Category

Instance APIs

Listener APIs

Backend Service APIs

Target Group APIs

Redirection APIs

Other APIs

Classic CLB APIs

Load Balancing APIs

Making API Requests

Data Types

Error Codes

CLB API 2017

常见问题

计费相关

负载均衡配置相关

健康检查异常排查

HTTPS 相关

WS/WSS 协议支持相关

HTTP/2 协议支持相关

默认域名阻断提示

服务等级协议

联系我们

词汇表

配置负载均衡安全组

PDF

聚焦模式

字号

最后更新时间： 2025-12-10 14:48:29

创建负载均衡（CLB）后，您可以配置 CLB 的安全组来隔离公网流量。本文将介绍如何配置不同模式的 CLB 安全组。
使用限制
每个 CLB 最多绑定5个安全组，如需提升配额请前往 配额管理，提交配额申请。
单个安全组的规则数量上限为512条。此限制指安全组中配置的入方向规则、出方向规则及后端参数模板（ipm/ipmg/ppm/ppmg）展开后的规则，所有规则数量总和不得超过512条。
跨地域绑定2.0和混合云部署，不支持安全组默认放通，请在后端服务器上放通 Client IP 和服务端口。
内网 CLB 绑定 EIP 后，新增 CLB 上的安全组对来自 EIP 与内网 CLB 的流量生效。存量 CLB 上的安全组对来自 EIP 的流量不生效，对来自内网 CLB 的流量生效。如存量实例需对来自 EIP 的流量生效，请提交 工单申请。
安全组默认放通只对本 VPC 内弹性网卡或者 CVM 类型的后端服务器生效，绑定 PaaS 服务（例如 CDB）作为后端服务器时，不支持安全组默认放通。
传统型内网负载均衡和基础网络的内网负载均衡不支持绑定安全组。
传统型内网负载均衡和基础网络的负载均衡不支持安全组默认放通功能。
黑石 2.0 服务器不支持安全组默认放通。
背景信息
安全组是一种虚拟防火墙，具备状态的数据包过滤功能，控制实例级别的出入流量，详情请参见 安全组概述。
CLB 安全组为绑定在 CLB 实例上的安全组，CVM 安全组为绑定在 CVM 上的安全组，二者限制的对象不同。CLB的安全组配置，主要有如下两种模式：
﻿开启安全组默认放通﻿
﻿关闭安全组默认放通﻿
说明：
默认情况下，IPv4 CLB、NAT64安全组默认放通为关闭状态，可在控制台开启 / 关闭。
默认情况下，IPv6 CLB 安全组默认放通为开启状态，且无法关闭。
开启安全组默认放通
﻿
开启安全组默认放通后：
如果您希望指定固定 Client IP 访问，CLB 安全组需放通 Client IP 和监听端口，后端 CVM 的安全组不必再放通 Client IP 和服务端口。来自 CLB 的访问流量仅需通过 CLB 的安全组，后端云服务器会默认放通来自 CLB 的流量，后端云服务器不必对外暴露端口。
来自公网 IP（包括普通公网 IP 和 EIP）的流量，依然要经过 CVM 的安全组。
若 CLB 实例不配置安全组，则放通所有流量：CLB 实例的 VIP 上，仅配置了监听器的端口才能被访问，因此监听端口将放通所有 IP 的流量。
若需拒绝某个 Client IP 的流量，必须在 CLB 的安全组中拒绝访问；在 CVM 的安全组中拒绝某个 IP 的访问将不对来自 CLB 的流量生效，只对来自公网 IP（包括普通公网 IP 和 EIP）的流量生效。
关闭安全组默认放通
﻿
关闭安全组默认放通后：
如果您希望指定固定 Client IP 访问，CLB 安全组需放通 Client IP 和监听端口，后端 CVM 的安全组也需放通 Client IP 和服务端口。即通过 CLB 的业务流量会经过 CLB 安全组和 CVM 安全组的双重检查。
来自公网 IP（包括普通公网 IP 和 EIP）的流量，依然要经过CVM的安全组。
若 CLB 实例不配置安全组，则仅放通经过 CVM 安全组的流量。
若需拒绝某个 Client IP 的流量，可以在 CLB 和 CVM 其中任何一个的安全组中拒绝访问。
关闭安全组默认放通的情况下，为保障健康检查功能，在 CVM 的安全组上需做如下配置：
1. 配置公网负载均衡
您需要在后端 CVM 的安全组上放通 CLB 的 VIP，CLB 使用 VIP 来探测后端 CVM 的健康状态。
2. 配置内网负载均衡
对于内网负载均衡（原“应用型内网负载均衡”），如果您的 CLB 属于 VPC 网络，您需要在后端 CVM 的安全组上放通 CLB 的 VIP（用作健康检查）；如果您的 CLB 属于基础网络，无需在后端 CVM 的安全组上配置，默认放通健康检查 IP。
对于传统型内网负载均衡，如果实例创建于2016年12月5日前且网络类型为 VPC 网络，则需要在后端 CVM 的安全组上放通 CLB 的 VIP（用作健康检查）；其他类型的传统型内网 CLB，无需在后端 CVM 的安全组上配置，默认放通健康检查 IP。
操作步骤
如下公网 CLB 的安全组配置示例，欲实现 CLB 上仅允许业务流量从80端口进入，并由 CVM 的8080端口提供服务，且不限制 Client IP，支持任意 IP 的访问。
注意：
本例使用公网 CLB，需要在后端 CVM 的安全组上放通 CLB 的 VIP 来做健康检查，当前 0.0.0.0/0 为任意 IP，已包括 CLB 的 VIP。
步骤1：创建负载均衡和监听器，绑定云服务器
详情请参见 负载均衡快速入门 。本次创建 HTTP:80 监听器，并绑定后端 CVM，后端 CVM 的服务端口为 8080。
﻿
步骤2：配置 CLB 安全组
1. 配置负载均衡安全组规则
在 安全组控制台 上配置安全组规则，在入站规则中放通所有 IP（即为0.0.0.0/0）的80端口，并拒绝其他端口的流量。
说明：
安全组规则，是从上至下依次筛选生效的，之前设置的允许规则通过后，其他的规则默认会被拒绝，请注意配置顺序，详见 安全组规则说明。
安全组有入站规则和出站规则，上述配置限制的是入站流量，因此配置均为入站规则的配置，出站规则无需特殊配置。
﻿
2. 将安全组绑定 CLB
2.1 登录 负载均衡控制台。
2.2 在实例管理页面找到目标 CLB 实例，单击实例 ID。
2.3 在实例详情页面单击安全组页签，在已绑定安全组模块单击绑定。
2.4 在弹出的配置安全组窗口中，选择对应绑定到 CLB 上的安全组，单击确定。 
﻿

 CLB 安全组配置完成，对于访问 CLB 的流量，仅允许80端口的访问。
步骤3：配置安全组默认放通
您可以选择开启或关闭安全组默认放通，不同选择配置如下：
方式一：开启安全组默认放通，后端云服务器不必对外暴露端口。
说明：
传统型内网负载均衡和基础网络的负载均衡不支持安全组默认放通功能。
方式二：关闭安全组默认放通，CVM 的安全组上也需放通 Client IP（本例中即为0.0.0.0/0）。
方式一：开启安全组默认放通
1. 登录 负载均衡控制台。
2. 在实例管理页面找到目标 CLB 实例，单击实例 ID。
3. 在实例详情页面，单击安全组页签。
4. 在安全组页面，单击按钮
﻿
启用默认放通。
5. 启用默认放通功能后，将仅验证规则预览中的安全组规则。
方式二：关闭安全组默认放通
关闭默认放通，则需在 CVM 的安全组上也放通 Client IP。对于通过 CLB 访问 CVM 的业务流量，仅允许从 CLB 的 80 端口进入，并由 CVM 的 8080 端口提供服务。
说明：
允许放通某个 Client IP 的流量，需要在 CLB 和 CVM 两个安全组上都放通，如果 CLB 上没有配置安全组，则仅需放通 CVM 上的安全组。
1. 配置云服务器安全组规则
对于访问后端 CVM 的流量，通过配置云服务器安全组，限制仅允许服务端口的访问。
在 安全组控制台 上配置安全组策略，在入站规则中放通所有 IP 的 8080 端口，为保障远程登录主机和 Ping 服务，在安全组上须放通 22、3389 和 ICMP 服务。
2. 将安全组绑定 CVM
2.1 在 云服务器控制台上，单击 CLB 绑定的 CVM 的 ID，进入详情页。
2.2 选择安全组标签页，在已绑定安全组模块单击绑定。
2.3 在弹出的配置安全组窗口中，选择对应绑定到 CVM 上的安全组，单击确定。