ZStack Cloud 4.7.21支持两种授权对象类型：按IP地址/段授权或按安全组授权。两种类型只能选择其一，不可同时选择。

按IP地址/段授权时，可同时填写多种地址格式，包括：IP地址、IP范围（起始IP-结束IP）、CIDR，一条规则下，可添加至多10个IP地址/段，有效提升配置灵活性。

安全规则协议为TCP或UDP时需设置授权端口，ZStack Cloud 4.7.21支持同时填写多个端口和端口范围，一条规则下最多可填写10个端口/端口范围。

如图 2所示：

在之前版本中，用户需先将安全组加载到三层网络后，才能绑定该网络上的网卡，即在绑定流程中，三层网络是必选参数。ZStack Cloud 4.7.21去除三层网络必选限制，安全组可直接绑定到任意网卡，但用户仍可通过选择三层网络快速筛选所需的网卡。

在之前版本中，已支持一张网卡绑定多个安全组。ZStack Cloud 4.7.21开始，支持为多个安全组设置优先级，网卡将优先匹配优先级较高的安全组下的规则。

ZStack Cloud 4.7.21开始，网卡绑定安全组后，默认拒绝其他所有入方向流量、允许其他所有出方向流量，用户可按需调整该默认策略，用于控制未被安全组规定的流量。