阿里云安全組概述

阿里云服務(wù)器安全組設(shè)置規(guī)則分享，阿里云服務(wù)器安全組如何放行端口設(shè)置教程

在購(gòu)買(mǎi)阿里云ECS服務(wù)器的時(shí)候，阿里云會(huì)要求客戶(hù)設(shè)置安全組，如果不設(shè)置，阿里云會(huì)指定默認(rèn)的安全組。那么，這個(gè)安全組是什么呢？顧名思義，就是為了服務(wù)器安全設(shè)置的。安全組其實(shí)就是一個(gè)虛擬的防火墻，可以讓用戶(hù)從端口、IP的維度來(lái)篩選對(duì)應(yīng)服務(wù)器的訪(fǎng)問(wèn)者，從而形成一個(gè)云上的安全域。

很多朋友購(gòu)買(mǎi)了阿里云服務(wù)器，安裝了某些服務(wù)后發(fā)現(xiàn)死活連不上，也沒(méi)有任何報(bào)錯(cuò)，最終發(fā)現(xiàn)原來(lái)是安全組的鍋。如果你也有類(lèi)似情況，不妨檢查下安全組是否已經(jīng)放行端口。

購(gòu)買(mǎi)時(shí)默認(rèn)安全組

不知道安全組的用戶(hù)在新購(gòu)服務(wù)器上部署網(wǎng)站，常常會(huì)發(fā)現(xiàn)不能正常訪(fǎng)問(wèn)。這是因?yàn)樵谫?gòu)買(mǎi)阿里云ECS服務(wù)器的時(shí)候，阿里云默認(rèn)安全組只放行了ICMP協(xié)議、SSH 22端口、RDP 3389端口三個(gè)端口，訪(fǎng)問(wèn)網(wǎng)站的80或443端口并沒(méi)有放行。

如果需要網(wǎng)站訪(fǎng)問(wèn)，那么用戶(hù)在購(gòu)買(mǎi)ECS服務(wù)器的時(shí)候需要勾選http80端口和https 443端口。

購(gòu)買(mǎi)后配置安全組

那么購(gòu)買(mǎi)之后需要怎么更改安全組配置呢。我們以這臺(tái)服務(wù)器為例，如何開(kāi)放http 80 端口。

首先，需要在阿里云的控制臺(tái)找到對(duì)應(yīng)的ecs服務(wù)器實(shí)例。點(diǎn)擊這個(gè)實(shí)例的管理進(jìn)入實(shí)例的詳情界面，然后進(jìn)入本實(shí)例的安全組，再點(diǎn)擊配置規(guī)則。

我們已經(jīng)看到了默認(rèn)的三條規(guī)則，我們點(diǎn)擊添加安全組規(guī)則。

現(xiàn)在這臺(tái)服務(wù)器是專(zhuān)用網(wǎng)絡(luò)的，那這邊的網(wǎng)卡類(lèi)型的話(huà)就內(nèi)網(wǎng)。如果您是一個(gè)經(jīng)典網(wǎng)絡(luò)的服務(wù)器，那么還需要選擇外網(wǎng)入方向來(lái)設(shè)置。

協(xié)議類(lèi)型，我們選擇自定義的TCP；

端口范圍，這里要求填寫(xiě)的是一個(gè)范圍，所以我們要寫(xiě)80/80。

授權(quán)對(duì)象，這里我們要讓所有人都可以訪(fǎng)問(wèn)，所以我們要寫(xiě)0.0.0.0/0

優(yōu)先級(jí)，填一到一百的數(shù)字，數(shù)字越小，優(yōu)先級(jí)越高好了。

點(diǎn)擊確定我們?cè)诎踩M里的80端口就已經(jīng)打開(kāi)了。除了以上場(chǎng)景，安全組還用于設(shè)置內(nèi)網(wǎng)互通攔截特定的IP和端口，只允許特定的IP來(lái)登錄服務(wù)器，或者只允許讀取訪(fǎng)問(wèn)公網(wǎng)上的某個(gè)特定的IP。

常見(jiàn)默認(rèn)端口

• 
  
• 22：SSH（安全登錄）、SCP（文件傳輸）、端口號(hào)重定向
  
• 21：FTP（文件傳輸）協(xié)議代理服務(wù)器常用端口
  
• 39000/40000：FTP被動(dòng)模式常用端口
  
• 80/8080/3128/8081/9098：HTTP協(xié)議代理服務(wù)器常用端口號(hào)
  
• 443：HTTPS（securely transferring web pages）服務(wù)器，默認(rèn)端口號(hào)為443/tcp 443/udp
  
• 1080：SOCKS代理協(xié)議服務(wù)器常用端口號(hào)
  
• 23：Telnet（不安全的文本傳送）
  
• 69(udp)：TFTP（Trivial File Transfer Protocol）
  
• 25：SMTP Simple Mail Transfer Protocol（E-mail），默認(rèn)端口號(hào)
  
• 110：POP3 Post Office Protocol（E-mail）
  
• 9080：Webshpere應(yīng)用程序
  
• 9090：webshpere管理工具
  
• 3389：windows RDP遠(yuǎn)程登錄
  
• 1521：Oracle數(shù)據(jù)庫(kù)
  
• 3306：MySQL
  
• 11211：MEMCACHED
  
• 5432：PostgreSQL
  
• 1433：MS SQL
  
• 6379：Redis
  
• 8888：寶塔面板初始端口
  
• 888：寶塔面板phpmysql端口
  

細(xì)說(shuō)安全組配置規(guī)則

放行一個(gè)TCP端口

以阿里云國(guó)際版為例，阿里云國(guó)際版似乎沒(méi)有經(jīng)典網(wǎng)絡(luò)，網(wǎng)卡都是內(nèi)網(wǎng)IP，因此安全組也更加簡(jiǎn)化。在云服務(wù)器ECS管理 - 網(wǎng)絡(luò)和安全 - 安全組 - 配置規(guī)則。

下圖演示放行一個(gè)TCP 8989端口，類(lèi)型一般選擇自定義TCP，端口范圍填寫(xiě)8989/8989，授權(quán)對(duì)象填寫(xiě)0.0.0.0/0。如果您不太清楚，一般按照?qǐng)D示填寫(xiě)即可。

放行一段端口范圍(8080到9000)

如果您需要放行一個(gè)端口范圍，比如8080-9000之間的端口需要全部放行，端口范圍那里填寫(xiě)8080/9000即可。阿里云國(guó)內(nèi)版經(jīng)典網(wǎng)絡(luò)安全組大同小異，國(guó)內(nèi)版網(wǎng)卡類(lèi)型需要選擇公網(wǎng)入方向。

放行所有端口？（不推薦）

服務(wù)器內(nèi)沒(méi)安裝防火墻的情況下，放行所有端口是非常危險(xiǎn)的，請(qǐng)謹(jǐn)慎操作。協(xié)議類(lèi)型選擇全部，其它保持不變。

注意事項(xiàng)

端口范圍：必填項(xiàng)

如果添加一個(gè)端口，如 8080 端口， 8080/8080

如果添加一個(gè)范圍的端口，如 8080 至 9000 端口， 8080/9000

授權(quán)對(duì)象：即允許訪(fǎng)問(wèn)的 ip

允許所有 ip 對(duì)服務(wù)器進(jìn)行訪(fǎng)問(wèn) 0.0.0.0/0

允許單一 ip 對(duì)服務(wù)器進(jìn)行訪(fǎng)問(wèn)

允許單一 ip 段對(duì)服務(wù)器進(jìn)行訪(fǎng)問(wèn)

添加允許多個(gè) ip 對(duì)服務(wù)器進(jìn)行訪(fǎng)問(wèn)，ip 之間用逗號(hào)（,）分隔

也可以對(duì)同一端口號(hào)添加多條 授權(quán) ip

總結(jié)

目前不僅僅阿里云有安全組，國(guó)外的大量服務(wù)器也上線(xiàn)了安全組功能，安全組其實(shí)非常簡(jiǎn)單，但是很容易被忽略。

如果您的服務(wù)無(wú)法正常使用一般需要檢查服務(wù)是否啟動(dòng)、服務(wù)器內(nèi)防火墻是否放行、安全組等。