您可以通过添加安全组规则，允许或禁止安全组内的云服务器实例对公网或私网的访问。

背景信息

安全组负责管理是否放行来自公网或者内网的访问请求。为安全起见，从云资源访问外部时，大多拒绝访问。如果您使用的是默认安全组，则系统会给部分通信端口自动添加安全组规则。

前提条件

• 安全组在未添加任何安全组规则之前，从云资源访问外部允许所有访问，从外部访问云资源拒绝所有访问。
• 优先级的取值范围为0~100，数值越小，代表优先级越高。
• 同类型规则间依赖优先级决定最终执行的规则。当vm加入了多个安全组时，多个安全组会从高到低依次匹配规则。最终生效的安全组规则如下：
  • 如果两条安全组规则只有授权策略不同：目前是随机生效。
  • 如果两条安全组规则只有优先级不同：优先级高的规则生效。

操作步骤

1. 登录 QingCloud 管理控制台，选择产品与服务 > 安全服务 > 安全组，进入安全组页签。

2. 在云服务器页签中，点击需要添加规则的安全组。

   

3. 进入安全组规则页面，点击添加规则。

   

4. 输入安全组规则的相关信息，如优先级，协议类型，规则方向等，如下表所示。

名称	描述
名称	安全组规则的名称。
优先级	优先级数值越小，优先级越高，取值范围为1~100。
方向	上行规则： 指的是从云资源访问外部。上行规则和端口默认放行。为保证安全，对于 Windows 云服务器系统判定了一些高危端口，默认将其加入了安全组并禁止。 说明: 对于 Windows 云服务器，系统默认限制了几个“上行安全组”规则： 协议 TCP：端口3389/1433/445/135/139 协议 UDP：端口1434/445/135/137/138 Windows 云服务器向外发起 远程桌面连接，您需要在安全组中放行规则 tcp 上行 3389 端口 Windows 云服务器向外发起 SQL Server 连接，您需要在安全组中放行规则 tcp 上行 1433 端口 下行规则： 指从外部访问云资源。 说明: 未配置的下行规则和端口默认拒绝访问。TCP 端口 445 / 5554 / 9996 是病毒“震荡波”所使用的端口，可能会被 IDC 屏蔽，为保证资源正常访问，建议使用其他端口。
行为	允许：放行该端口相应的访问请求。 拒绝：直接丢弃数据包，不会返回任何回应信息。 说明： 如果两个安全组规则其他都相同只有行为不同，则拒绝生效，允许不生效。
协议	协议类型包括： ALL：支持全部协议类型。 TCP：支持 TCP 协议。 UDP：支持 UDP 协议。 ICMP：支持 ICMP 协议。 GRE：支持 GRE 协议。 ESP：支持 ESP 协议。 AH：支持 AH 协议。 IPIP：支持 IPIP 协议。 VRRP：支持 VRRP 协议。 IPV6：支持 ICP6 协议。 IPV6-ICMP：仅支持 ICMP（IPV6） 协议。 IPENCAP：支持 IPENCAP 协议。
端口范围	协议类型为自定义TCP或自定义UDP时，可手动设置起始端口和结束端口访问。
IP	在下行规则中需要填写源 IP，在上行规则中需要填写目标IP，例如 192.168.9.1/24 或 fe80::5054:a8ff:fe81:a71e/64 等，不填表示所有IP地址。

5. 点击提交，完成安全组规则添加。