缘由

最近公司规模缩减，原有的托管在 IDC 机房的服务器，都被处理掉了，所有代码都迁移到了阿里云的云服务器上了。

因为是小公司，只有一台应用服务器，所以在原有的服务器维护中，会对很多来源的 IP 通过 IPSec 进行禁用，以降低不必要的访问造成资源浪费。

但是，在迁移到云服务器后，发现 IPSec 好像不太起作用，然后发现阿里云自身提供了安全组设置，基本上就和 IPSec 一样的，所以，就简单了解了一下。

CSDN 文盲老顾的博客，https://blog.csdn.net/superwfei
老顾的个人社区，https://bbs.csdn.net/forums/bfba6c5031e64c13aa7c60eebe858a5f?category=10003&typeId=3364713

安全组

在进入阿里云的 云服务器Ecs 管理后，在网络与安全下有一个安全组，就相当于 IPSec的防火墙设置了。

然后，我们就可以创建一个新的安全组了。

在创建规则的时候，记得选择网络，即可对安全组生效范围进行设置了，如果没有选择网络，那么安全组是无法生效的哦。

多个安全组各司其职

安全组是可以设置多个的，每个安全组设置可以倾向一个方面，用来管理各种请求的处理。

例如老顾这里的这样，用多个安全组来进行管理。最下边的，是允许访问的 IP 地址集合，比如在家办公的 IP，公司的 IP，云服务器内网的 IP 之类的。

而由于老顾的资源很少，所以无法承载大并发的问题，所以老顾对一些无效，或者没有意义的访问都进行了拒绝访问，比如来自华为云的请求，比如来自搜狗蜘蛛的请求（垃圾搜索引擎，已经好多年没见人维护过了），比如来自阿里云其他网段的请求。

再来就是中间的，对于访问较少的时候，手动设置为允许访问，当并发过大的时候，或者有重要活动的时候，为了保证稳定而手动设置为拒绝访问的 IP 地址，比如百度之类的。

一些常见的IP段

百度 IP 段

58.48.28.0/24		只能确定 58.48.28.229 是百度的，在设置 robots 的地方，如果禁用了这个 229 的 IP，那么百度 Robots 检查更新后，下边的校验会异常，无法进行访问。
116.179.32.0/24		使用 nslookup 对 116.179.32.64 进行反查，可以返回反查信息 baiduspider-116-179-32-64.crawl.baidu.com
220.181.108.0/24	使用 nslookup 对 220.181.108.64 进行反查，可以返回反查信息 baiduspider-220-181-108-64.crawl.baidu.com
220.181.51.0/24		据说是百度蜘蛛，UserAgent 是这样没错，而且网上也都这么说，就当是吧
116.179.33.0/24		
116.179.37.0/24

使用 /24 作为掩码，是不想一个一个的写具体 IP 地址，没啥意义，毕竟整个 IP 段基本上就是同一个机房内的 IP 地址，确定其中一个为某个大厂的 IP 后，那么就可以确定整个 IP 段就是 IDC 或自建机房提供的了。

华为云 IP 段

140.210.128.0/17		只有前半段可以 nslookup 反查，所以掩码 17
139.9.0.0/16
124.71.0.0/16
124.70.0.0/16
123.249.0.0/17
122.9.0.0/16
120.46.0.0/16
119.3.0.0/16
116.63.0.0/16
114.116.0.0/16
1.95.0.0/16
1.94.0.0/16
1.92.0.0/16

搜狗蜘蛛 IP 段

111.202.101.0/24
61.135.159.0/24
123.183.224.0/24
123.126.68.0/24
123.126.50.0/24
49.7.20.0/24
49.7.21.0/24

阿里云 IP 段

47.96.0.0/16
47.99.0.0/16
121.40.211.0/24
121.40.99.0/24
120.26.121.0/24
120.26.120.0/24
120.55.115.0/24
47.101.159.0/24
47.98.99.0/24

。。。

当然，这些 IP 地址并不完整，只是老顾现在已经禁止访问的一些地址罢了，甚至腾讯云的 IP 地址老顾这里完全没有收录 ^v，大家根据自己需要对一些会造成访问压力的 IP 地址进行禁用吧。

可惜的是，阿里云的安全组设置，必须点进去，对每个项设置拒绝或允许，而不能像 IPSec 一样，对整个安全组设置成统一的拒绝或允许，或者设置安全局是否启用，有一点小遗憾。