ECS彈性雲伺服器常用埠、安全組
彈性雲伺服器常用埠
彈性雲伺服器常用埠如 表1 所示。您可以透過配置安全組規則放通彈性雲伺服器對應的埠,詳情請參見 新增安全組規則 。
|
協議 |
埠 |
說明 |
|---|---|---|
|
FTP |
21 |
FTP服務上傳和下載檔案。 |
|
SSH |
22 |
遠端連線Linux彈性雲伺服器。 |
|
Telnet |
23 |
使用Telnet協議遠端登入彈性雲伺服器。 |
|
HTTP |
80 |
使用HTTP協議訪問網站。 |
|
POP3 |
110 |
使用POP3協議接收郵件。 |
|
IMAP |
143 |
使用IMAP協議接收郵件。 |
|
HTTPS |
443 |
使用HTTPS服務訪問網站。 |
|
SQL Server |
1433 |
SQL Server的TCP埠,用於供SQL Server對外提供服務。 |
|
SQL Server |
1434 |
SQL Server的UDP埠,用於返回SQL Server使用了哪個TCP/IP埠。 |
|
Oracle |
1521 |
Oracle通訊埠,彈性雲伺服器上部署了 Oracle SQL需要放行的埠。 |
|
MySQL |
3306 |
MySQL資料庫對外提供服務的埠。 |
|
Windows Server Remote Desktop Services |
3389 |
Windows遠端桌面服務埠,透過這個埠可以連線Windows彈性雲伺服器。 |
|
代理 |
8080 |
8080 埠常用於WWW代理服務,實現網頁瀏覽。如果您使用了8080埠,訪問網站或使用代理伺服器時,需要在IP地址後面加上:8080。安裝 Apache Tomcat 服務後,預設服務埠為8080。 |
|
NetBIOS |
137、138、139 |
NetBIOS協議常被用於 Windows 檔案、印表機共享和Samba。
|
無法訪問公有云某些埠
問題現象: 訪問公有云特定埠,在部分地區部分運營商無法訪問,而其它埠訪問正常。
問題分析: 部分運營商判斷如下表的埠為高危埠,預設被遮蔽。
|
協議 |
埠 |
|---|---|
|
TCP |
42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 5554 5800 5900 9996 |
|
UDP |
135~139 1026 1027 1028 1068 1433 1434 5554 9996 |
解決方案: 建議您修改敏感埠為其它非高危埠來承載業務。
新增安全組規則
操作場景
安全組建立後,您可以在安全組中設定出方向、入方向規則,這些規則會對安全組內部的彈性雲伺服器出入方向網路流量進行訪問控制,當彈性雲伺服器加入該安全組後,即受到這些訪問規則的保護。
- 入方向:指從外部訪問安全組規則下的彈性雲伺服器。
- 出方向:指安全組規則下的彈性雲伺服器訪問安全組外的例項。
操作步驟
- 登入管理控制檯。
-
在管理控制檯左上角單擊
,選擇區域和專案。
- 在系統首頁,選擇“網路 > 虛擬私有云”。
- 在左側導航樹選擇“訪問控制 > 安全組”。
- 在安全組介面,單擊操作列的“配置規則”,進入安全組詳情介面。
-
在入方向規則頁籤,單擊“新增規則”,新增入方向規則。
單擊“+”可以依次增加多條入方向規則。圖1 新增入方向規則
表1 入方向引數說明 引數
說明
取值樣例
協議/應用
網路協議。目前支援“All”、“TCP”、“UDP”、“ICMP”和“GRE”等協議。
TCP
埠和源地址
埠:允許遠端地址訪問彈性雲伺服器指定埠,取值範圍為:1~65535。常用埠請參見 彈性雲伺服器常用埠 。
22或22-30
源地址:可以是IP地址、安全組。例如:
- xxx.xxx.xxx.xxx/32(IPv4地址)
- xxx.xxx.xxx.0/24(子網)
- 0.0.0.0/0(任意地址)
0.0.0.0/0
default
描述
安全組規則的描述資訊,非必填項。
描述資訊內容不能超過255個字元,且不能包含“<”和“>”。
-
-
在出方向規則頁籤,單擊“新增規則”,新增出方向規則。
單擊“+”可以依次增加多條出方向規則。
圖2 新增出方向規則
表2 出方向引數說明 引數
說明
取值樣例
協議/應用
網路協議。目前支援“All”、“TCP”、“UDP”、“ICMP”和“GRE”等協議。
TCP
埠和目的地址
埠:允許彈性雲伺服器訪問遠端地址的指定埠,取值範圍為:1~65535。常用埠請參見 彈性雲伺服器常用埠 。
22或22-30
目的地址:可以是IP地址、安全組。例如:
- xxx.xxx.xxx.xxx/32(IPv4地址)
- xxx.xxx.xxx.0/24(子網)
- 0.0.0.0/0(任意地址)
0.0.0.0/0
default
描述
安全組規則的描述資訊,非必填項。
描述資訊內容不能超過255個字元,且不能包含“<”和“>”。
-
- 單擊“確定”。
結果驗證
安全組規則配置完成後,我們需要驗證對應的規則是否生效。假設您在彈性雲伺服器上部署了網站,希望使用者能透過HTTP(80埠)訪問到您的網站,您新增了一條入方向規則,如 表3 所示。
|
方向 |
協議/應用 |
埠 |
源地址 |
|---|---|---|---|
|
入方向 |
TCP |
80 |
0.0.0.0/0 |
Linux彈性雲伺服器
Linux彈性雲伺服器上驗證該安全組規則是否生效的步驟如下所示。
- 登入彈性雲伺服器。
-
執行如下命令檢視TCP 80埠是否被監聽。
netstat -an | grep 80
如果返回結果如 圖3 所示,說明TCP 80埠已開通。
圖3 Linux TCP 80埠驗證結果
-
在瀏覽器位址列裡輸入“http://彈性雲伺服器的彈性公網IP地址”。
如果訪問成功,說明安全組規則已經生效。
Windows 彈性雲伺服器
Windows彈性雲伺服器上驗證該安全組規則是否生效的步驟如下所示。
- 登入彈性雲伺服器。
- 選擇“開始 > 附件 > 命令提示符”。
-
執行如下命令檢視TCP 80埠是否被監聽。
netstat -an | findstr 80
如果返回結果如 圖4 所示,說明TCP 80埠已開通。
圖4 Windows TCP 80埠驗證結果
-
在瀏覽器位址列裡輸入“http://彈性雲伺服器的彈性公網IP地址”。
如果訪問成功,說明安全組規則已經生效。
安全組配置示例
介紹常見的安全組配置示例。如下示例中,出方向預設全通,僅介紹入方向規則配置方法。
- 不同安全組內的彈性雲伺服器內網互通
- 僅允許特定 IP 地址遠端連線彈性雲伺服器
- SSH遠端連線Linux彈性雲伺服器
- RDP遠端連線Windows彈性雲伺服器
- 公網ping ECS彈性雲伺服器
- 彈性雲伺服器作Web伺服器
- 彈性雲伺服器作DNS伺服器
- 使用FTP上傳或下載檔案
您需要提前準備好安全組,可以是預設的安全組,也可以是自定義建立的安全組,具體操作請參見 建立安全組 、 新增安全組規則 。
常用埠介紹請參見 彈性雲伺服器常用埠 。
不同安全組內的彈性雲伺服器內網互通
-
場景舉例:
在同一個VPC內,使用者需要將某個安全組內一臺彈性雲伺服器上的資源複製到另一個安全組內的彈性雲伺服器上時, 使用者可以將兩臺彈性雲伺服器設定為內網互通後再複製資源。
-
安全組配置方法:
由於同一個VPC內,在同一個安全組內的彈性雲伺服器預設互通,無需配置。但是,在不同安全組內的彈性雲伺服器預設無法通訊,此時需要新增安全組規則,使得不同安全組內的彈性雲伺服器內網互通。
在兩臺彈性雲伺服器所在安全組中分別新增一條入方向安全組規則,放通來自另一個安全組內的例項的訪問,實現內網互通,安全組規則如下所示。
方向
協議/應用
埠
源地址
入方向
設定內網互通時使用的協議型別
設定埠範圍
另一個安全組的ID
僅允許特定 IP 地址遠端連線彈性雲伺服器
-
場景舉例:
為了防止彈性雲伺服器被網路攻擊,使用者可以修改遠端登入埠號,並設定安全組規則只允許特定的IP地址遠端登入到彈性雲伺服器。
-
安全組配置方法:
以僅允許特定IP地址(例如,192.168.20.2)透過SSH協議訪問Linux作業系統的彈性雲伺服器的22埠為例,安全組規則如下所示。
方向
協議/應用
埠
源地址
入方向
SSH(22)
22
IPv4 CIDR或者另一個安全組的ID。
例如:192.168.20.2/32
SSH遠端連線Linux彈性雲伺服器
-
場景舉例:
建立好Linux彈性雲伺服器後,為了透過SSH遠端連線到彈性雲伺服器,您可以新增安全組規則。
說明:
預設安全組中已經配置了該條規則,如您使用預設安全組,無需重複配置。
-
安全組配置方法:
方向
協議/應用
埠
源地址
入方向
SSH(22)
22
0.0.0.0/0
RDP遠端連線Windows彈性雲伺服器
-
場景舉例:
建立好Windows彈性雲伺服器後,為了透過RDP遠端連線彈性雲伺服器,您可以新增安全組規則。
說明:
預設安全組中已經配置了該條規則,如您使用預設安全組,無需重複配置。
-
安全組配置方法:
方向
協議/應用
埠
源地址
入方向
RDP(3389)
3389
0.0.0.0/0
公網ping ECS彈性雲伺服器
-
場景舉例:
建立好彈性雲伺服器後,為了使用ping程式測試彈性雲伺服器之間的通訊狀況,您需要新增安全組規則。
-
安全組配置方法:
方向
協議/應用
埠
源地址
入方向
ICMP
全部
0.0.0.0/0
彈性雲伺服器作Web伺服器
-
場景舉例:
如果您在彈性雲伺服器上部署了網站,即彈性雲伺服器作Web伺服器用,希望使用者能透過HTTP或HTTPS服務訪問到您的網站,您需要在彈性雲伺服器所在安全組中新增以下安全組規則。
-
安全組配置方法:
方向
協議/應用
埠
源地址
入方向
HTTP(80)
80
0.0.0.0/0
入方向
HTTPS(443)
443
0.0.0.0/0
彈性雲伺服器作DNS伺服器
-
場景舉例:
如果您將彈性雲伺服器設定為DNS伺服器,則必須確保TCP和UDP資料可透過53 埠 訪問您的DNS伺服器。 您需要在彈性雲伺服器所在安全組中新增以下安全組規則。
-
安全組配置方法:
方向
協議/應用
埠
源地址
入方向
TCP
53
0.0.0.0/0
入方向
UDP
53
0.0.0.0/0
使用FTP上傳或下載檔案
-
場景舉例:
如果您需要使用FTP軟體向彈性雲伺服器上傳或下載檔案,您需要新增安全組規則。
-
安全組配置方法:
方向
協議/應用
埠
源地址
入方向
TCP
20-21
0.0.0.0/0
預設安全組和規則
系統會為每個使用者預設建立一個安全組,預設安全組的規則是在出方向上的資料包文全部放行,入方向訪問受限,安全組內的彈性雲伺服器無需新增規則即可互相訪問。
如 圖1 所示。
預設安全組規則如 表1 所示:
|
方向 |
協議 |
埠範圍 |
目的地址/源地址 |
說明 |
|---|---|---|---|---|
|
出方向 |
全部 |
全部 |
目的地址:0.0.0.0/0 |
允許所有出站流量的資料包文透過。 |
|
入方向 |
全部 |
全部 |
源地址:當前安全組 ID (例如:sg- xxxxx ) |
僅允許安全組內的彈性雲伺服器彼此通訊,丟棄其他入站流量的全部資料包文。 |
|
入方向 |
TCP |
22 |
源地址 :0.0.0.0/0 |
允許所有IP地址透過SSH遠端連線到Linux彈性雲伺服器。 |
|
入方向 |
TCP |
3389 |
源地址 :0.0.0.0/0 |
允許所有IP地址透過RDP遠端連線到Windows彈性雲伺服器。 |
About Me
|
........................................................................................................................ ● 本文作者:小麥苗,部分內容整理自網路,若有侵權請聯絡小麥苗刪除 ● 本文在itpub( http://blog.itpub.net/26736162 )、部落格園( http://www.cnblogs.com/lhrbest )和個人weixin公眾號( xiaomaimiaolhr )上有同步更新 ● 本文itpub地址: http://blog.itpub.net/26736162 ● 本文部落格園地址: http://www.cnblogs.com/lhrbest ● 本文pdf版、個人簡介及小麥苗雲盤地址: http://blog.itpub.net/26736162/viewspace-1624453/ ● 資料庫筆試面試題庫及解答: http://blog.itpub.net/26736162/viewspace-2134706/ ● DBA寶典今日頭條號地址: ........................................................................................................................ ● QQ群號: 230161599 (滿) 、618766405 ● weixin群:可加我weixin,我拉大家進群,非誠勿擾 ● 聯絡我請加QQ好友 ( 646634621 ) ,註明新增緣由 ● 於 2019-07-01 06:00 ~ 2019-07-31 24:00 在西安完成 ● 最新修改時間:2019-07-01 06:00 ~ 2019-07-31 24:00 ● 文章內容來源於小麥苗的學習筆記,部分整理自網路,若有侵權或不當之處還請諒解 ● 版權所有,歡迎分享本文,轉載請保留出處 ........................................................................................................................ ● 小麥苗的微店 : ● 小麥苗出版的資料庫類叢書 : http://blog.itpub.net/26736162/viewspace-2142121/ ● 小麥苗OCP、OCM、高可用網路班 : http://blog.itpub.net/26736162/viewspace-2148098/ ● 小麥苗騰訊課堂主頁 : https://lhr.ke.qq.com/ ........................................................................................................................ 使用 weixin客戶端 掃描下面的二維碼來關注小麥苗的weixin公眾號( xiaomaimiaolhr )及QQ群(DBA寶典)、新增小麥苗weixin, 學習最實用的資料庫技術。
........................................................................................................................ |
|
|
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26736162/viewspace-2650063/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 雲伺服器ECS安全:ECS安全組實踐(一)伺服器
- 彈性雲伺服器(Elastic Cloud Server,ECS)伺服器ASTCloudServer
- 使用OpenApi彈性管理雲伺服器ECSAPI伺服器
- 雲伺服器ECS使用OpenAPI管理ECS:使用OpenAPI彈性建立ECS例項伺服器API
- 雲伺服器ECS彈性變配能力總覽伺服器
- 華為雲彈性雲伺服器ECS搭建FTP服務實踐伺服器FTP
- 安全組常用的埠
- 雲伺服器ECS安全>ECS資料安全最佳實踐伺服器
- websocket的埠,阿里雲伺服器安全組開放埠Web阿里伺服器
- 阿里雲ECS彈性裸金屬(神龍)伺服器為雙11保駕護航阿里伺服器
- 使用TAG標籤對雲伺服器ECS的分組和管理伺服器
- ECS彈性網路卡+彈性公網IP配置最佳實踐之策略路由路由
- ECS控制檯雲資源分組管理新姿勢—全域性標籤
- 雲伺服器ECS和輕雲伺服器區別伺服器
- 雲伺服器ECS是什麼?伺服器
- 什麼是雲伺服器ECS伺服器
- 阿里雲ECS伺服器CentOS7上系統安全加固阿里伺服器CentOS
- 捷訊技術分享雲伺服器ECS常用的應用場景?伺服器
- 降低彈性雲伺服器成本,聊聊宿主機管理伺服器
- 阿里雲ECS雲伺服器新手上路阿里伺服器
- ECS修改 Linux 伺服器預設遠端埠Linux伺服器
- 彈性雲伺服器是什麼,大家怎樣租用雲伺服器才可靠?伺服器
- windowsserver2008阿里雲ECS伺服器安全設定WindowsServer阿里伺服器
- 雲伺服器 ECS 有哪些優勢?伺服器
- 阿里雲伺服器ECS選型阿里伺服器
- 查詢雲伺服器ECS的映象伺服器
- 阿里雲伺服器ECS配置LNMP阿里伺服器LNMP
- 雲伺服器的“彈性”體現在哪些方面?伺服器
- 伺服器常用埠介紹伺服器
- 伺服器埠怎麼查 雲伺服器埠修改伺服器
- 阿里雲伺服器ECS配置及LAMP環境搭建及配置(新手攻略第一彈)阿里伺服器LAMP
- 雲伺服器埠和防火牆埠配置伺服器防火牆
- 【乾貨】阿里雲ECS設定的安全組沒有生效的解決方法阿里
- 阿里雲伺服器 ECS 選購指南阿里伺服器
- DATEGE:阿里雲國際雲伺服器ecs建站流程阿里伺服器
- 雲同學大白話第1期:雲伺服器ECS伺服器
- 【推薦】如何使用好阿里雲的網路安全隔離?深入分享阿里雲ECS安全組實踐經驗阿里
- 輕雲伺服器、虛擬主機、雲伺服器ECS的區別?伺服器