什么是五元组规则？阿里云安全组五元组规则详细介绍

2024阿里云优惠活动

什么是五元组规则？阿里云安全组五元组规则详细说明：

什么是五元组规则？

五元组是通信术语，五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议的五个量集合。

例如：192.168.1.1 10000 TCP 121.14.88.76 80就构成了一个五元组，源IP地址为192.168.1.1，源端口号为10000，协议为TCP，目的IP地址为：121.14.88.76，目的端口号为80。

阿里云安全组用于设置单台或多台ECS实例的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分安全域。安全组五元组规则能精确控制源IP、源端口、目的IP、目的端口以及传输层协议。

在最初涉及安全组规则时，

安全组入规则只支持：源IP地址、目的端口、传输层协议；
安全组出规则只支持：目的IP地址、目的端口、传输层协议。

在多数应用场景下，该安全组规则简化了设置，但存在如下弊端：

无法限定入规则的源端口范围，默认放行所有源端口；
无法限定入规则的目的IP地址，默认放行安全组下的所有IP地址；
无法限定出规则的源端口范围，默认放行所有源端口；
无法限定出规则的源IP地址，默认放行安全组下的所有IP地址。

五元组规则完全兼容原有的安全组规则，能更精确的控制源IP地址、源端口、目的IP地址、目的端口以及传输层协议。
五元组出规则示例：

源IP地址：172.16.1.0/32
源端口：22
目的IP：10.0.0.1/32
目的端口：不限制
传输层协议：TCP
授权策略：Drop

示例中的出规则表示禁止172.16.1.0/32通过22端口对10.0.0.1/32发起TCP访问。

阿里云用户可以使用OpenAPI设置五元组规则。

增加安全组入规则，请参见 AuthorizeSecurityGroup；

增加安全组出规则，请参见 AuthorizeSecurityGroupEgress；

删除安全组入规则，请参见 RevokeSecurityGroup；

删除安全组出规则，请参见 RevokeSecurityGroupEgress。

参数说明，在授权或解除授权时，各参数的含义如下表所示：

参数	入规则中各参数含义	出规则中各参数含义
SecurityGroupId	当前入规则所属的安全组ID，即目的安全组ID。	当前出规则所属的安全组ID，即源安全组ID。
DestCidrIp	目的IP范围，可选参数。如果指定DestCidrIp，则可以更精细地控制入规则生效的目的IP范围；如果不指定DestCidrIp，则入规则生效的IP范围就是SecurityGroupId这个安全组下的所有IP。	目的IP，DestGroupId与DestCidrIp二者必选其一，如果二者都指定，则DestCidrIp优先级高。
PortRange	目的端口范围，必选参数	目的端口范围，必选参数。
DestGroupId	不允许输入。目的安全组ID一定是SecurityGroupId。	目的安全组ID。DestGroupId与DestCidrIp二者必选其一，如果二者都指定，则DestCidrIp优先级高。
SourceGroupId	源安全组ID，SourceGroupId与SourceCidrIp二者必选其一，如果二者都指定，则SourceCidrIp优先级高。	不允许输入，出规则的源安全组ID一定是SecurityGroupId。
SourceCidrIp	源IP范围，SourceGroupId与SourceCidrIp二者必选其一，如果二者都指定，则SourceCidrIp优先级高。	源IP范围，可选参数。如果指定SourceCidrIp，则会更精细地限定出规则生效的源IP。如果不指定SourceCidrIp，则生效的源IP就是SecurityGroupId这个安全组下的所有IP。
SourcePortRange	源端口范围，可选参数，不填则不限制源端口。	源端口范围，可选参数，不填则不限制源端口。