ECS彈性雲伺服器常用埠、安全組

lhrbest發表於2019-07-10


彈性雲伺服器常用埠


彈性雲伺服器常用埠如 表1 所示。您可以透過配置安全組規則放通彈性雲伺服器對應的埠,詳情請參見 新增安全組規則

表1  彈性雲伺服器常用埠

協議

說明

FTP

21

FTP服務上傳和下載檔案。

SSH

22

遠端連線Linux彈性雲伺服器。

Telnet

23

使用Telnet協議遠端登入彈性雲伺服器。

HTTP

80

使用HTTP協議訪問網站。

POP3

110

使用POP3協議接收郵件。

IMAP

143

使用IMAP協議接收郵件。

HTTPS

443

使用HTTPS服務訪問網站。

SQL Server

1433

SQL Server的TCP埠,用於供SQL Server對外提供服務。

SQL Server

1434

SQL Server的UDP埠,用於返回SQL Server使用了哪個TCP/IP埠。

Oracle

1521

Oracle通訊埠,彈性雲伺服器上部署了 Oracle SQL需要放行的埠。

MySQL

3306

MySQL資料庫對外提供服務的埠。

Windows Server Remote Desktop Services

3389

Windows遠端桌面服務埠,透過這個埠可以連線Windows彈性雲伺服器。

代理

8080

8080 埠常用於WWW代理服務,實現網頁瀏覽。如果您使用了8080埠,訪問網站或使用代理伺服器時,需要在IP地址後面加上:8080。安裝 Apache Tomcat 服務後,預設服務埠為8080。

NetBIOS

137、138、139

NetBIOS協議常被用於 Windows 檔案、印表機共享和Samba。

  • 137、138:UDP埠,透過網路上的芳鄰傳輸檔案時使用的埠。
  • 139:透過這個埠進入的連線試圖獲得 NetBIOS/S M B 服 務。

無法訪問公有云某些埠

問題現象: 訪問公有云特定埠,在部分地區部分運營商無法訪問,而其它埠訪問正常。

問題分析: 部分運營商判斷如下表的埠為高危埠,預設被遮蔽。

表2  高危埠

協議

TCP

42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 5554 5800 5900 9996

UDP

135~139 1026 1027 1028 1068 1433 1434 5554 9996

解決方案: 建議您修改敏感埠為其它非高危埠來承載業務。



新增安全組規則

操作場景

安全組建立後,您可以在安全組中設定出方向、入方向規則,這些規則會對安全組內部的彈性雲伺服器出入方向網路流量進行訪問控制,當彈性雲伺服器加入該安全組後,即受到這些訪問規則的保護。

  • 入方向:指從外部訪問安全組規則下的彈性雲伺服器。
  • 出方向:指安全組規則下的彈性雲伺服器訪問安全組外的例項。

預設安全組規則請參見 預設安全組和規則 。常用的安全組規則配置示例請參見 安全組配置示例簡介

操作步驟

  1. 登入管理控制檯。
  2. 在管理控制檯左上角單擊 ECS彈性雲伺服器常用埠、安全組 ,選擇區域和專案。
  3. 在系統首頁,選擇“網路 > 虛擬私有云”。
  4. 在左側導航樹選擇“訪問控制 > 安全組”。
  5. 在安全組介面,單擊操作列的“配置規則”,進入安全組詳情介面。
  6. 在入方向規則頁籤,單擊“新增規則”,新增入方向規則。
    單擊“+”可以依次增加多條入方向規則。
    圖1  新增入方向規則  
    ECS彈性雲伺服器常用埠、安全組

    表1  入方向引數說明

    引數

    說明

    取值樣例

    協議/應用

    網路協議。目前支援“All”、“TCP”、“UDP”、“ICMP”和“GRE”等協議。

    TCP

    埠和源地址

    埠:允許遠端地址訪問彈性雲伺服器指定埠,取值範圍為:1~65535。常用埠請參見 彈性雲伺服器常用埠

    22或22-30

    源地址:可以是IP地址、安全組。例如:

    • xxx.xxx.xxx.xxx/32(IPv4地址)
    • xxx.xxx.xxx.0/24(子網)
    • 0.0.0.0/0(任意地址)

    0.0.0.0/0

    default

    描述

    安全組規則的描述資訊,非必填項。

    描述資訊內容不能超過255個字元,且不能包含“<”和“>”。

    -

  7. 在出方向規則頁籤,單擊“新增規則”,新增出方向規則。

    單擊“+”可以依次增加多條出方向規則。

    圖2  新增出方向規則  
    ECS彈性雲伺服器常用埠、安全組

    表2  出方向引數說明

    引數

    說明

    取值樣例

    協議/應用

    網路協議。目前支援“All”、“TCP”、“UDP”、“ICMP”和“GRE”等協議。

    TCP

    埠和目的地址

    埠:允許彈性雲伺服器訪問遠端地址的指定埠,取值範圍為:1~65535。常用埠請參見 彈性雲伺服器常用埠

    22或22-30

    目的地址:可以是IP地址、安全組。例如:

    • xxx.xxx.xxx.xxx/32(IPv4地址)
    • xxx.xxx.xxx.0/24(子網)
    • 0.0.0.0/0(任意地址)

    0.0.0.0/0

    default

    描述

    安全組規則的描述資訊,非必填項。

    描述資訊內容不能超過255個字元,且不能包含“<”和“>”。

    -

  8. 單擊“確定”。

結果驗證

安全組規則配置完成後,我們需要驗證對應的規則是否生效。假設您在彈性雲伺服器上部署了網站,希望使用者能透過HTTP(80埠)訪問到您的網站,您新增了一條入方向規則,如 表3 所示。

表3  安全組規則

方向

協議/應用

源地址

入方向

TCP

80

0.0.0.0/0

Linux彈性雲伺服器

Linux彈性雲伺服器上驗證該安全組規則是否生效的步驟如下所示。

  1. 登入彈性雲伺服器。
  2. 執行如下命令檢視TCP 80埠是否被監聽。
    netstat -an | grep 80
    

    如果返回結果如 圖3 所示,說明TCP 80埠已開通。

    圖3  Linux TCP 80埠驗證結果  
    ECS彈性雲伺服器常用埠、安全組
  3. 在瀏覽器位址列裡輸入“http://彈性雲伺服器的彈性公網IP地址”。

    如果訪問成功,說明安全組規則已經生效。

Windows 彈性雲伺服器

Windows彈性雲伺服器上驗證該安全組規則是否生效的步驟如下所示。

  1. 登入彈性雲伺服器。
  2. 選擇“開始 > 附件 > 命令提示符”。
  3. 執行如下命令檢視TCP 80埠是否被監聽。
    netstat -an | findstr 80
    

    如果返回結果如 圖4 所示,說明TCP 80埠已開通。

    圖4  Windows TCP 80埠驗證結果  
    ECS彈性雲伺服器常用埠、安全組
  4. 在瀏覽器位址列裡輸入“http://彈性雲伺服器的彈性公網IP地址”。

    如果訪問成功,說明安全組規則已經生效。


安全組配置示例



介紹常見的安全組配置示例。如下示例中,出方向預設全通,僅介紹入方向規則配置方法。

您需要提前準備好安全組,可以是預設的安全組,也可以是自定義建立的安全組,具體操作請參見 建立安全組 新增安全組規則

常用埠介紹請參見 彈性雲伺服器常用埠

不同安全組內的彈性雲伺服器內網互通

  • 場景舉例:

    在同一個VPC內,使用者需要將某個安全組內一臺彈性雲伺服器上的資源複製到另一個安全組內的彈性雲伺服器上時, 使用者可以將兩臺彈性雲伺服器設定為內網互通後再複製資源。

  • 安全組配置方法:

    由於同一個VPC內,在同一個安全組內的彈性雲伺服器預設互通,無需配置。但是,在不同安全組內的彈性雲伺服器預設無法通訊,此時需要新增安全組規則,使得不同安全組內的彈性雲伺服器內網互通。

    在兩臺彈性雲伺服器所在安全組中分別新增一條入方向安全組規則,放通來自另一個安全組內的例項的訪問,實現內網互通,安全組規則如下所示。

    方向

    協議/應用

    源地址

    入方向

    設定內網互通時使用的協議型別

    設定埠範圍

    另一個安全組的ID

僅允許特定 IP 地址遠端連線彈性雲伺服器

  • 場景舉例:

    為了防止彈性雲伺服器被網路攻擊,使用者可以修改遠端登入埠號,並設定安全組規則只允許特定的IP地址遠端登入到彈性雲伺服器。

  • 安全組配置方法:

    以僅允許特定IP地址(例如,192.168.20.2)透過SSH協議訪問Linux作業系統的彈性雲伺服器的22埠為例,安全組規則如下所示。

    方向

    協議/應用

    源地址

    入方向

    SSH(22)

    22

    IPv4 CIDR或者另一個安全組的ID。

    例如:192.168.20.2/32

SSH遠端連線Linux彈性雲伺服器

  • 場景舉例:

    建立好Linux彈性雲伺服器後,為了透過SSH遠端連線到彈性雲伺服器,您可以新增安全組規則。

    ECS彈性雲伺服器常用埠、安全組   說明:

    預設安全組中已經配置了該條規則,如您使用預設安全組,無需重複配置。

  • 安全組配置方法:

    方向

    協議/應用

    源地址

    入方向

    SSH(22)

    22

    0.0.0.0/0

RDP遠端連線Windows彈性雲伺服器

  • 場景舉例:

    建立好Windows彈性雲伺服器後,為了透過RDP遠端連線彈性雲伺服器,您可以新增安全組規則。

    ECS彈性雲伺服器常用埠、安全組   說明:

    預設安全組中已經配置了該條規則,如您使用預設安全組,無需重複配置。

  • 安全組配置方法:

    方向

    協議/應用

    源地址

    入方向

    RDP(3389)

    3389

    0.0.0.0/0

公網ping ECS彈性雲伺服器

  • 場景舉例:

    建立好彈性雲伺服器後,為了使用ping程式測試彈性雲伺服器之間的通訊狀況,您需要新增安全組規則。

  • 安全組配置方法:

    方向

    協議/應用

    源地址

    入方向

    ICMP

    全部

    0.0.0.0/0

彈性雲伺服器作Web伺服器

  • 場景舉例:

    如果您在彈性雲伺服器上部署了網站,即彈性雲伺服器作Web伺服器用,希望使用者能透過HTTP或HTTPS服務訪問到您的網站,您需要在彈性雲伺服器所在安全組中新增以下安全組規則。

  • 安全組配置方法:

    方向

    協議/應用

    源地址

    入方向

    HTTP(80)

    80

    0.0.0.0/0

    入方向

    HTTPS(443)

    443

    0.0.0.0/0

彈性雲伺服器作DNS伺服器

  • 場景舉例:

    如果您將彈性雲伺服器設定為DNS伺服器,則必須確保TCP和UDP資料可透過53 訪問您的DNS伺服器。 您需要在彈性雲伺服器所在安全組中新增以下安全組規則。

  • 安全組配置方法:

    方向

    協議/應用

    源地址

    入方向

    TCP

    53

    0.0.0.0/0

    入方向

    UDP

    53

    0.0.0.0/0

使用FTP上傳或下載檔案

  • 場景舉例:

    如果您需要使用FTP軟體向彈性雲伺服器上傳或下載檔案,您需要新增安全組規則。

    ECS彈性雲伺服器常用埠、安全組   說明:

    您需要在彈性雲伺服器上先安裝FTP伺服器程式,再檢視20、21埠是否正常工作。安裝FTP伺服器的操作請參見 搭建FTP站點(Windows) 搭建FTP站點(Linux)

  • 安全組配置方法:

    方向

    協議/應用

    源地址

    入方向

    TCP

    20-21

    0.0.0.0/0



預設安全組和規則


系統會為每個使用者預設建立一個安全組,預設安全組的規則是在出方向上的資料包文全部放行,入方向訪問受限,安全組內的彈性雲伺服器無需新增規則即可互相訪問。

圖1 所示。

圖1  預設安全組  
ECS彈性雲伺服器常用埠、安全組

預設安全組規則如 表1 所示:

表1  預設安全組規則

方向

協議

埠範圍

目的地址/源地址

說明

出方向

全部

全部

目的地址:0.0.0.0/0

允許所有出站流量的資料包文透過。

入方向

全部

全部

源地址:當前安全組 ID (例如:sg- xxxxx )

僅允許安全組內的彈性雲伺服器彼此通訊,丟棄其他入站流量的全部資料包文。

入方向

TCP

22

源地址 :0.0.0.0/0

允許所有IP地址透過SSH遠端連線到Linux彈性雲伺服器。

入方向

TCP

3389

源地址 :0.0.0.0/0

允許所有IP地址透過RDP遠端連線到Windows彈性雲伺服器。





About Me

........................................................................................................................

● 本文作者:小麥苗,部分內容整理自網路,若有侵權請聯絡小麥苗刪除

● 本文在itpub( http://blog.itpub.net/26736162 )、部落格園( http://www.cnblogs.com/lhrbest )和個人weixin公眾號( xiaomaimiaolhr )上有同步更新

● 本文itpub地址: http://blog.itpub.net/26736162

● 本文部落格園地址: http://www.cnblogs.com/lhrbest

● 本文pdf版、個人簡介及小麥苗雲盤地址: http://blog.itpub.net/26736162/viewspace-1624453/

● 資料庫筆試面試題庫及解答: http://blog.itpub.net/26736162/viewspace-2134706/

● DBA寶典今日頭條號地址:

........................................................................................................................

● QQ群號: 230161599 (滿) 、618766405

● weixin群:可加我weixin,我拉大家進群,非誠勿擾

● 聯絡我請加QQ好友 646634621 ,註明新增緣由

● 於 2019-07-01 06:00 ~ 2019-07-31 24:00 在西安完成

● 最新修改時間:2019-07-01 06:00 ~ 2019-07-31 24:00

● 文章內容來源於小麥苗的學習筆記,部分整理自網路,若有侵權或不當之處還請諒解

● 版權所有,歡迎分享本文,轉載請保留出處

........................................................................................................................

小麥苗的微店

小麥苗出版的資料庫類叢書 http://blog.itpub.net/26736162/viewspace-2142121/

小麥苗OCP、OCM、高可用網路班 http://blog.itpub.net/26736162/viewspace-2148098/

小麥苗騰訊課堂主頁 https://lhr.ke.qq.com/

........................................................................................................................

使用 weixin客戶端 掃描下面的二維碼來關注小麥苗的weixin公眾號( xiaomaimiaolhr )及QQ群(DBA寶典)、新增小麥苗weixin, 學習最實用的資料庫技術。

........................................................................................................................

歡迎與我聯絡

 

 



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26736162/viewspace-2650063/,如需轉載,請註明出處,否則將追究法律責任。

相關文章