1、概述

云防火墙（安全组）是比格云平台上专为云主机提供的软件防火墙，为每个连接公网的云主机提供访问控制策略，提高发布到外网的云主机访问安全性。用户可以自定义多个不同策略的云防火墙，为不同业务分组的云主机提供不同的访问控制策略。

虽然多台云主机可共享同一组安全策略，但在实际部署时，我们会为每台云主机独立部署一个云防火墙，从而提高整个系统的安全性与可靠性。用户可在控制台上对云防火墙进行配置，无需登录到资源内部调整，即可实现对云主机资源的外网访问控制。

云防火墙支持批量操作。为用户提供DDoS防护，自动清洗攻击流量，抵御最高可达20G的SYN Flood，UDP Flood，ICMP Flood等DDoS攻击，保障云主机和负载均衡的可用性。

2、功能

默认情况下，云主机缺省包含一定的防火墙安全规则，允许/禁止其他机器访问自己的某一个端口或服务，每条安全规则包含两个信息：来源和端口号。

举例：如果要让所有人都可以访问某台机器的http服务，我们要向“所有来源”开放“80”端口。如果只想让自己的另外机器来访问本地的MySQL服务，我们要向来自“x.x.x.x”的机器开放“3306”端口。

为了使用方便，我们已经为您创建了云防火墙安全策略 “default”，默认default策略开启三个协议端口(SSH、RDP、ICMP Echo)，default策略不可修改，如有需求，可以建立新的云防火墙，然后在申请云主机时选择新建的云防火墙，这样你就可以使用新的云防火墙了。 需要注意的是：云防火墙只对本组中云主机起作用，目前可以修改云防火墙的内容，也支持云主机更换云防火墙，相应操作如下：

- 创建防火墙

通过控制台云防火墙项选择添加云防火墙，输入云防火墙名称，选择添加端口，这里可以添加常用的端口（常用端口将允许所有用户访问），添加完毕后，选择确认添加，如下：

针对自定义端口添加，需要选择对应的协议TCP/UDP/ICMP，开放的端口，以及定义可访问的源IP，如下：

- 修改云防火墙

新添加的防火墙，可进行编辑修改，如添加新的规则，删除已有规则等, 选择对应的防火墙名称，点击修改云防火墙即可。（防火墙名称不可修改）

- 更改应用于云主机上的云防火墙

绑定云主机到防火墙，需要通过控制台点击对应的云主机，选网络配置，更改云防火墙，如下：

您可以通过此方法，绑定和修改云主机使用相应的云防火墙。

- 删除云防火墙

删除云防火墙只能对自定义的防火墙进行删除，默认的default防火墙不能删除，同时针对自定义的防火墙进行删除时，需要确保当前防火墙没有应用在云主机上才可删除，如下：