跳到主要内容

安全组

功能介绍

安全组用于统一管理“谁可以认证”和“认证后哪些 IP 可以临时放行”。它不是传统静态白名单的替代品,而是一套动态授权机制:用户通过 Web 服务认证成功后,当前 IP 会获得一条运行时授权;Web 服务和端口转发可以按规则使用这条授权。

注意

请使用 Lucky 版本>=v3.0.0 beta7 ,2026/07/05 日期后的编译版本

安全组的核心优势

  • 统一管理用户认证
    本地用户、第三方认证映射、可授予的安全组都集中在“安全组”模块维护,不需要每个 Web 子规则单独配置账号。

  • 支持 Web 子规则间免重复登录
    安全组可开启“允许已认证 IP 跨 Web 子规则免登录”。开启后,同一 IP 已经拥有该安全组的有效授权时,访问同组 Web 子规则可以跳过网页登录页。

  • 给端口转发提供动态白名单能力
    端口转发没有网页登录入口,但可以使用 Web 认证产生的安全组授权。用户先在 Web 入口完成认证,当前 IP 随后就可以临时访问端口转发服务,不必手工维护复杂白名单。

Web 服务里怎么用

如果目的是统一登录账号,在 Web 子规则的认证设置中选择“安全组凭据”,绑定安全组,并开启“网页登录”或“基本认证”。认证成功后,系统会签发运行时授权。

需要特别注意:Web 子规则启用认证后,安全组放行不再参与认证后的业务 IP 放行判断。此时安全组主要负责认证凭据、授权签发、登录前判断和免登录判断。

如果未启用“网页登录”或“基本认证”,安全组放行仍可参与 Web 子规则的 IP 过滤:

  • 不参与放行:只按原有 IP 过滤规则判断。
  • 严格模式:IP 过滤通过,并且当前 IP 拥有安全组有效授权。
  • 授权补充:IP 过滤通过,或当前 IP 拥有安全组有效授权,满足任一条件即可访问。

跨 Web 子规则免登录怎么理解

这个功能依赖安全组里的“允许已认证 IP 跨 Web 子规则免登录”开关。它只复用“同一安全组 + 同一 IP”的运行时授权,不共享浏览器会话。

  • 适合场景:多个后台入口共用同一批管理员,用户在一个入口登录后,访问另一个同组入口不想重复登录。

  • 注意事项:公司出口、代理出口、多人共用同一公网 IP 的环境要谨慎开启,因为判断粒度是 IP。

端口转发里怎么用

端口转发无法自己完成网页登录认证,所以它只使用已有安全组授权。常见做法是:

  1. 创建一个 Web 服务认证入口,使用安全组凭据。
  2. 用户先访问这个 Web 入口并完成认证。
  3. 当前 IP 获得安全组运行时授权。
  4. 端口转发规则绑定同一个安全组。
  5. 端口转发按“严格模式”或“授权补充”判断是否允许连接。

端口转发中的模式含义:

  • 严格模式:端口转发自己的 IP 过滤通过,并且当前 IP 有安全组授权。
  • 授权补充:端口转发自己的 IP 过滤通过,或者当前 IP 有安全组授权。
  • 有流量时刷新有效期:连接持续有数据时刷新授权有效期,避免用户正在使用时授权过早过期。

推荐配置

  • 普通统一登录:Web 子规则使用安全组凭据,开启网页登录,按需开启跨子规则免登录。

  • 动态端口白名单:准备一个 Web 登录入口签发授权,端口转发选择“授权补充”,用户登录后当前 IP 自动获得访问资格。

  • 高安全场景:端口转发选择“严格模式”,同时保留静态 IP 过滤,要求来源 IP 和认证授权同时满足。

提示

一句话总结:Web 服务用安全组统一认证和签发授权;端口转发用安全组把已认证 IP 动态补进访问范围。