安全组
功能介绍
安全组用于统一管理“谁可以认证”和“认证后哪些 IP 可以临时放行”。它不是传统静态白名单的替代品,而是一套动态授权机制:用户通过 Web 服务认证成功后,当前 IP 会获得一条运行时授权;Web 服务和端口转发可以按规则使用这条授权。
请使用 Lucky 版本>=v3.0.0 beta7 ,2026/07/05 日期后的编译版本
安全组的核心优势
-
统一管理用户认证
本地用户、第三方认证映射、可授予的安全组都集中在“安全组”模块维护,不需要每个 Web 子规则单独配置账号。 -
支持 Web 子规则间免重复登录
安全组可开启“允许已认证 IP 跨 Web 子规则免登录”。开启后,同一 IP 已经拥有该安全组的有效授权时,访问同组 Web 子规则可以跳过网页登录页。 -
给端口转发提供动态白名单能力
端口转发没有网页登录入口,但可以使用 Web 认证产生的安全组授权。用户先在 Web 入口完成认证,当前 IP 随后就可以临时访问端口转发服务,不必手工维护复杂白名单。
Web 服务里怎么用
如果目的是统一登录账号,在 Web 子规则的认证设置中选择“安全组凭据”,绑定安全组,并开启“网页登录”或“基本认证”。认证成功后,系统会签发运行时授权。
需要特别注意:Web 子规则启用认证后,安全组放行不再参与认证后的业务 IP 放行判断。此时安全组主要负责认证凭据、授权签发、登录前判断和免登录判断。
如果未启用“网页登录”或“基本认证”,安全组放行仍可参与 Web 子规则的 IP 过滤:
- 不参与放行:只按原有 IP 过滤规则判断。
- 严格模式:IP 过滤通过,并且当前 IP 拥有安全组有效授权。
- 授权补充:IP 过滤通过,或当前 IP 拥有安全组有效授权,满足任一条件即可访问。
跨 Web 子规则免登录怎么理解
这个功能依赖安全组里的“允许已认证 IP 跨 Web 子规则免登录”开关。它只复用“同一安全组 + 同一 IP”的运行时授权,不共享浏览器会话。
-
适合场景:多个后台入口共用同一批管理员,用户在一个入口登录后,访问另一个同组入口不想重复登录。
-
注意事项:公司出口、代理出口、多人共用同一公网 IP 的环境要谨慎开启,因为判断粒度是 IP。
端口转发里怎么用
端口转发无法自己完成网页登录认证,所以它只使用已有安全组授权。常见做法是:
- 创建一个 Web 服务认证入口,使用安全组凭据。
- 用户先访问这个 Web 入口并完成认证。
- 当前 IP 获得安全组运行时授权。
- 端口转发规则绑定同一个安全组。
- 端口转发按“严格模式”或“授权补充”判断是否允许连接。
端口转发中的模式含义:
- 严格模式:端口转发自己的 IP 过滤通过,并且当前 IP 有安全组授权。
- 授权补充:端口转发自己的 IP 过滤通过,或者当前 IP 有安全组授权。
- 有流量时刷新有效期:连接持续有数据时刷新授权有效期,避免用户正在使用时授权过早过期。
推荐配置
-
普通统一登录:Web 子规则使用安全组凭据,开启网页登录,按需开启跨子规则免登录。
-
动态端口白名单:准备一个 Web 登录入口签发授权,端口转发选择“授权补充”,用户登录后当前 IP 自动获得访问资格。
-
高安全场景:端口转发选择“严格模式”,同时保留静态 IP 过滤,要求来源 IP 和认证授权同时满足。
一句话总结:Web 服务用安全组统一认证和签发授权;端口转发用安全组把已认证 IP 动态补进访问范围。