安全组问题

安全组中为什么会默认有一条拒绝的规则？
安全组规则，是从上至下依次筛选生效的，之前设置的允许规则通过后，其他的规则默认会被忽略。若是放通全部端口的，最后的这一条拒绝规则是不生效的，出于安全考虑，我们提供该默认设置。
选择安全组不正确，会对绑定该安全组的实例有何影响？如何解决？
问题隐患
远程连接（SSH）Linux 实例、远程登录桌面 Windows 实例可能失败。
远程 Ping 该安全组下的 CVM 实例的公网 IP 和内网 IP 可能失败。
HTTP 访问该安全组下的实例暴露的 Web 服务可能失败。
解决方案
若发生以上问题，可以在控制台的安全组管理中重新设置安全组规则。例如，只绑定默认全通安全组。
具体设置安全组规则参考 安全组概述。
什么是安全组的方向和策略？
安全组策略方向分为出和入，出方向是指过滤云服务器的出流量，入方向是指过滤云服务器的入流量。
安全组策略分为允许和拒绝流量。
安全组策略的生效顺序是怎样的？
从上至下。流量经过安全组时的策略匹配顺序是从上至下，一但匹配成功则策略生效。
为什么安全组未允许的 IP 依然能访问云服务器 ？
可能有以下原因：
CVM 可能绑定了多个安全组，特定 IP 在其他安全组中允许。
特定 IP 属于审批过的云平台公共服务。
使用了安全组是否意味着不可以使用 iptables？
不是。安全组和 iptables 可以同时使用，您的流量会经过两次过滤，流量的走向如下：
出方向：实例上的进程 > iptables > 安全组。
入方向：安全组 > iptables > 实例上的进程。
安全组克隆时命名能否与目标区域的安全组相同？
不行。命名需保持与目标地域现有安全组名称不同。
安全组是否支持跨用户克隆？
暂不支持。
安全组跨项目跨地域克隆，会将安全组管理的云服务器一起复制过去吗？
不会，安全组跨地域克隆，只将原安全组出入口规则克隆，云服务器需另行关联。
什么是安全组？
安全组是一种虚拟防火墙，具备有状态的数据包过滤功能，用于设置云服务器、负载均衡、云数据库等实例的网络访问控制，控制实例级别的出入流量，是重要的网络安全隔离手段。 每台云服务器实例至少属于一个安全组，在创建实例的时候必须指定安全组。同一安全组内的云服务器实例之间网络互通，不同安全组的云服务器实例之间默认内网不通，可以授权两个安全组之间互访。详情请参见 安全组概述。
为什么要在创建云服务器实例时选择安全组？
在创建云服务器实例之前，必须选择安全组来划分应用环境的安全域，授权安全组规则进行合理的网络安全隔离。
创建云服务器实例前，未创建安全组怎么办？
如果您在创建云服务器实例前，未创建安全组，您可以选择新建安全组。
新建安全组提供以下规则，请根据实际需求放通 IP/端口。
ICMP：放通 ICMP 协议，允许公网 Ping 服务器。
TCP:80：放通80端口，允许通过 HTTP 访问 Web 服务。
TCP:22：放通22端口，允许 SSH 远程连接 Linux 云服务器。
TCP:443：放通443端口，允许通过 HTTPS 访问 Web 服务。
TCP:3389：放通3389端口，允许 RDP 远程连接 Windows 云服务器。
放通内网：放通内网，允许不同云资源间内网互通（IPv4）。