1.安全组把它理解为 4 层防火墙即可,非常有用; 2.配置安全组策略的时候,不要使用默认安全组,建议单独创建一个安全组,原因是,默认安全组里面的策略会应用到所有的 ECS ,但是实际上,每个 ECS 的策略会有不同。 租户单独创建的安全组的默认规则: 内网、外网默认规则均为出方向 accept all ,入方向 deny all 。 3.一定要搞清楚默认策略规则; 4.启用安全组策略的时候先添加策略,然后在配置默认策略为 deny all ,这样操作的好处是:不会造成业务中断。 5.安全防护策略的思路是:最小化,最小化,最小化,不信任,不信任,不信任,记住这点你的安全一定不会太差!