# 安全组简介

## 安全组概述

安全组是一种有状态的，具备包过滤能力的虚拟防火墙，可用于不同VPC、同VPC内不同实例之间的网络访问控制；

当前支持实例：云主机、虚拟网卡；



## 安全组初始规则说明

用户启用安全组，但不配置任何安全组规则的情况下，安全组内的实例，入向流量受限，出向流量全放行。



## 安全组规则执行顺序

按照优先级进行匹配 ，先匹配安全组组间优先级 ，再匹配安全组内规则优先级（数字越小，优先级越高）；

**组间优先级**：同一实例下的不同安全组之间的优先级，越小越优，不可重复，取值范围1-5；

**规则优先级**：同一安全组内不同规则之间的优先级，越小越优，不可重复，取值范围1-200；



## 安全组规则模板

默认提供一个通用WEB服务器模板：安全组内实例入方向放通TCP22、3389、80、443端口和ICMP协议，放行所有内网网段，出向流量全放行； 



## 安全组操作流程

安全组操作流程如下图所示：

<!-- image-todo -->



## 安全组和外网防火墙可同时并存

若安全组和外网防火墙并存，则从外网访问安全组内实例的流量，优先经过外网防火墙规则处理，放行后的流量再经安全组规则处理，最终到达安全组实例内；反之，安全组内实例访问外网的流量，优先经过安全组规则处理，放行后再通过外网防火墙规则，都放行后即可访问外网。



## 安全组使用限制

1、支持机型限制：快杰云主机（虚拟机）、虚拟网卡

2、使用限制：

​     1）同一个实例最多绑定5个安全组；

​     2）一个安全组下出向、入向规则最多各50条；

​     3）一个安全组下最多绑定100个实例；

​     4）单个公司ID下，最多可创建50个安全组；



## 安全组其他使用说明

1、安全组只能绑定和自己同VPC下的实例；

2、同一台云主机上的不同网卡，属于完全独立的不同实例，可以绑定不同的安全组；

3、建议VIP只在绑定相同安全组的实例之间漂移；

4、原配置了外网防火墙的云主机，更改安全规则为安全组，需完成主机迁移后，安全组规则才会生效，此时将出现安全组与防火墙规则在该云主机上并存；

5、安全组暂不支持IPv6；