服务器安全组是什么？

傲来云

当我们购买云服务器（如阿里云、腾讯云、AWS、华为云）时，平台都会让你配置一个叫“安全组”的东西。很多新手不知道它的作用，其实安全组就是云服务器最基础、最重要的一层安全防护。下面用最简单的方式带你快速了解它。

一、安全组是什么？
安全组（Security Group）是云平台提供的虚拟防火墙，用来控制服务器能被哪些人、哪些 IP、哪些端口访问。
可以把它理解成：不给允许就不让进的门卫。只有安全组放行的端口和 IP 才能访问你的服务器。

二、安全组主要控制什么？
安全组通常包含两类规则：
1. 入方向（Inbound）
控制“外面能不能访问你”。例子：
开 22 端口 → 才能 SSH 登录服务器
开 80/443 → 外网才能访问你的网站
不开 3306 → 外网不能访问你的 MySQL

2. 出方向（Outbound）
控制“你能不能访问外面”。大部分情况下云平台默认全部放行即可。

三、安全组和防火墙有什么关系？
它们都能限制访问，但位置不一样：

功能	安全组	系统防火墙（iptables/firewalld）
生效位置	云平台网络层	服务器内部
生效时间	时时生效，无需登录服务器	需要在系统中配置
默认规则	默认拒绝未允许的访问	因系统而异

你可以把它们理解成：
安全组 = 第一层防护（云端）
系统防火墙 = 第二层防护（服务器内部）
两个同时开是最安全的。

四、最常用的安全组规则示例
开放 SSH（远程管理）

1. 端口：22
   
2. 协议：TCP
   
3. 来源：自己的固定 IP

复制代码

最好不要对所有人开放（0.0.0.0/0），容易遭受暴力破解。

开放网站访问

1. 端口：80 / 443
   
2. 协议：TCP
   
3. 来源：0.0.0.0/0

复制代码

这样全网都能访问。

数据库端口（建议不要暴露公网）

1. 端口：3306 (MySQL)
   
2. 来源：内网网段 或 仅允许某一台服务器

复制代码

五、一句话总结
安全组就是：云服务器的流量白名单 —— 没在规则里就进不来。想让外网访问什么，就放行什么端口；不想让人访问的，就关掉端口。