安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。
安全组具有以下功能特点：一台ECS实例至少属于一个安全组，可以同时加入多个安全组。一个安全组可以管理同一个地域内的多台ECS实例。在没有设置允许访问的安全组规则的情况下，不同安全组内的ECS实例之间默认内网不通。
安全组支持有状态应用。一个有状态的会话连接中，会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如，在会话期内，如果连接的数据包在入方向是允许的，则在出方向也是允许的。

你可以理解成路由器里配置的端口转发
不过安全组可以多个，路由器的话就一层