開發與維運

如何設置阿里雲服務器安全組?阿里雲安全組規則詳細解說

2020-07-03

image.png

阿里雲安全組概述

阿里雲服務器安全組設置規則分享,阿里雲服務器安全組如何放行端口設置教程

在購買阿里雲ECS服務器的時候,阿里雲會要求客戶設置安全組,如果不設置,阿里雲會指定默認的安全組。那麼,這個安全組是什麼呢?顧名思義,就是為了服務器安全設置的。安全組其實就是一個虛擬的防火牆,可以讓用戶從端口、IP的維度來篩選對應服務器的訪問者,從而形成一個雲上的安全域。

很多朋友購買了阿里雲服務器,安裝了某些服務後發現死活連不上,也沒有任何報錯,最終發現原來是安全組的鍋。如果你也有類似情況,不妨檢查下安全組是否已經放行端口。

購買時默認安全組

不知道安全組的用戶在新購服務器上部署網站,常常會發現不能正常訪問。這是因為在購買阿里雲ECS服務器的時候,阿里雲默認安全組只放行了ICMP協議、SSH 22端口、RDP 3389端口三個端口,訪問網站的80或443端口並沒有放行。

image.png

如果需要網站訪問,那麼用戶在購買ECS服務器的時候需要勾選http80端口和https 443端口。

購買後配置安全組

那麼購買之後需要怎麼更改安全組配置呢。我們以這臺服務器為例,如何開放http 80 端口。

image.png

首先,需要在阿里雲的控制檯找到對應的ecs服務器實例。點擊這個實例的管理進入實例的詳情界面,然後進入本實例的安全組,再點擊配置規則。

image.png

我們已經看到了默認的三條規則,我們點擊添加安全組規則。

image.png

現在這臺服務器是專用網絡的,那這邊的網卡類型的話就內網。如果您是一個經典網絡的服務器,那麼還需要選擇外網入方向來設置。

協議類型,我們選擇自定義的TCP;

端口範圍,這裡要求填寫的是一個範圍,所以我們要寫80/80。

授權對象,這裡我們要讓所有人都可以訪問,所以我們要寫0.0.0.0/0

優先級,填一到一百的數字,數字越小,優先級越高好了。

點擊確定我們在安全組裡的80端口就已經打開了。除了以上場景,安全組還用於設置內網互通攔截特定的IP和端口,只允許特定的IP來登錄服務器,或者只允許讀取訪問公網上的某個特定的IP。

常見默認端口

  • 22:SSH(安全登錄)、SCP(文件傳輸)、端口號重定向
  • 21:FTP(文件傳輸)協議代理服務器常用端口
  • 39000/40000:FTP被動模式常用端口
  • 80/8080/3128/8081/9098:HTTP協議代理服務器常用端口號
  • 443:HTTPS(securely transferring web pages)服務器,默認端口號為443/tcp 443/udp
  • 1080:SOCKS代理協議服務器常用端口號
  • 23:Telnet(不安全的文本傳送)
  • 69(udp):TFTP(Trivial File Transfer Protocol)
  • 25:SMTP Simple Mail Transfer Protocol(E-mail),默認端口號
  • 110:POP3 Post Office Protocol(E-mail)
  • 9080:Webshpere應用程序
  • 9090:webshpere管理工具
  • 3389:windows RDP遠程登錄
  • 1521:Oracle數據庫
  • 3306:MySQL
  • 11211:MEMCACHED
  • 5432:PostgreSQL
  • 1433:MS SQL
  • 6379:Redis
  • 8888:寶塔面板初始端口
  • 888:寶塔面板phpmysql端口

細說安全組配置規則

放行一個TCP端口

以阿里雲國際版為例,阿里雲國際版似乎沒有經典網絡,網卡都是內網IP,因此安全組也更加簡化。在雲服務器ECS管理 - 網絡和安全 - 安全組 - 配置規則。

下圖演示放行一個TCP 8989端口,類型一般選擇自定義TCP,端口範圍填寫8989/8989,授權對象填寫0.0.0.0/0。如果您不太清楚,一般按照圖示填寫即可。

image.png

放行一段端口範圍(8080到9000)

如果您需要放行一個端口範圍,比如8080-9000之間的端口需要全部放行,端口範圍那裡填寫8080/9000即可。阿里雲國內版經典網絡安全組大同小異,國內版網卡類型需要選擇公網入方向。

image.png

放行所有端口?(不推薦)

服務器內沒安裝防火牆的情況下,放行所有端口是非常危險的,請謹慎操作。協議類型選擇全部,其它保持不變。

image.png

注意事項

端口範圍:必填項

如果添加一個端口,如 8080 端口, 8080/8080

image.png

如果添加一個範圍的端口,如 8080 至 9000 端口, 8080/9000

image.png

授權對象:即允許訪問的 ip

允許所有 ip 對服務器進行訪問 0.0.0.0/0

image.png

允許單一 ip 對服務器進行訪問

image.png

允許單一 ip 段對服務器進行訪問

image.png

添加允許多個 ip 對服務器進行訪問,ip 之間用逗號(,)分隔

image.png

也可以對同一端口號添加多條 授權 ip

image.png

總結

目前不僅僅阿里雲有安全組,國外的大量服務器也上線了安全組功能,安全組其實非常簡單,但是很容易被忽略。

如果您的服務無法正常使用一般需要檢查服務是否啟動、服務器內防火牆是否放行、安全組等。

Leave a Reply

Your email address will not be published. Required fields are marked *