安全组的默认规则

1)     系统自动为客户创建的安全组（System Created Security Group）。

a)     经典网络下默认安全组的默认网络访问控制规则为：

l  内网入方向deny all，出方向accept all；

l  公网出方向、入方向均授权0.0.0.0/0全通，即对internet accept all。

b)     专有网络（VPC）下默认安全组的默认网络访问控制规则为：

l  内网出方向、入方向均授权0.0.0.0/0全通，即允许和VPC内其他任何实例双向互访。

2)     客户自己创建的安全组，在没有添加任务安全组规则之前，内网、公网默认规则均为出方向accept all，入方向deny all。

应用场景举例

场景1：同一个地域内，同一个账号下，经典网络下通过安全组规则设置云服务器之间内网互通。

方案1：同一个安全组下的云服务器默认是内网互通的。不同的安全组下云服务器默认是内网不通的。可以把云服务器放入到相同的安全组中，就可以满足内网都互通了。

方案2：如果云服务器不在同一个安全组内，两个安全组互相内网授权安全组访问类型的安全组规则。

 步骤1.创建两个安全组

 步骤2：将云服务器分别移入对应的安全组

 点击管理实例，进入管理该安全组下的实例列表，点击移入安全组，选中需要的实例。

两个安全组下都移入了对应的云服务器。

步骤三：添加安全组规则，分别允许其他安全组可以通过内网入方向访问。

具体的授权协议根据实际应用来确定。

步骤四：登录云服务器可以进行互相访问

比如：ping 云服务器的内网地址

场景2：同一个地域内，不同账号下，经典网络下通过安全组规则设置两台云服务器之间内网互通。比如：UserA的用户在杭州有一台经典网络的ECS云服务器InstanceA（内网IP：A.A.A.A），InstanceA所属的安全组为GroupA，UserB的用户在杭州有一台经典网络的ECS云服务器InstanceB(内网IP:B.B.B.B)，InstanceB所属的安全组为GroupB。那么怎么通过安全组配置实现InstanceA和InstanceB在内网上互通。

   步骤1.UserA为GroupA添加一条这样的规则：

在内网入方向上授权B.B.B.B的IP可以访问GroupA下的所有ECS云服务器。

   步骤2.UserB为GroupB添加一条这样的规则：

 在内网入方向上授权A.A.A.A的IP可以访问GroupB下的所有ECS云服务器。

 经过这两步的设置即可。