安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。

系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在上行规则（从云资源访问外部）的数据报文全部放行，下行规则（从外部访问云资源）访问受限，安全组内的云服务器无需添加规则即可互相访问。

您可以根据需要创建自定义的安全组，或使用默认安全组。

• 系统为每个用户提供了一个缺省安全组（ID 之后带有星标），默认打开 22 端口。
• 初始状态下，每个安全组都不包含任何规则，即任何端口都是封闭的，您需要建立规则以打开相应的端口。
• 您可以借助 “IP/端口集合” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP/端口集合”，并且在安全组规则中进行添加，实现批量管理功能。
• 安全组可以绑定的实例类型为 vpc、lb、nat、app 集群。

下行规则

未配置的下行规则和端口默认拒绝访问。TCP 端口 445、5554、9996 是病毒“震荡波”所使用的端口，可能会被 IDC 屏蔽，为保证资源正常访问，建议使用其他端口。

上行规则

上行规则和端口默认放行。系统判定了一些高危端口，默认将其加入了安全组并禁止。 对于 Windows 云服务器，系统默认限制了几个“上行安全组”规则：

• 协议 TCP，端口3389、1433、445、135、139
• 协议 UDP，端口1434、445、135、137、138

Windows 云服务器向外发起远程桌面连接，您需要在安全组中放行规则 TCP 上行 3389 端口。

Windows 云服务器向外发起 SQL Server 连接，您需要在安全组中放行规则 TCP 上行 1433 端口。