ECS彈性雲服務器經常使用端口、安全組

彈性雲服務器經常使用端口

彈性雲服務器經常使用端口如 表1 所示。您能夠經過配置安全組規則放通彈性雲服務器對應的端口，詳情請參見 添加安全組規則 。

     表1     

彈性雲服務器經常使用端口

協議	端口	說明
FTP	21	FTP服務上傳和下載文件。
SSH	22	遠程鏈接Linux彈性雲服務器。
Telnet	23	使用Telnet協議遠程登陸彈性雲服務器。
HTTP	80	使用HTTP協議訪問網站。
POP3	110	使用POP3協議接收郵件。
IMAP	143	使用IMAP協議接收郵件。
HTTPS	443	使用HTTPS服務訪問網站。
SQL Server	1433	SQL Server的TCP端口，用於供SQL Server對外提供服務。
SQL Server	1434	SQL Server的UDP端口，用於返回SQL Server使用了哪一個TCP/IP端口。
Oracle	1521	Oracle通訊端口，彈性雲服務器上部署了 Oracle SQL須要放行的端口。
MySQL	3306	MySQL數據庫對外提供服務的端口。
Windows Server Remote Desktop Services	3389	Windows遠程桌面服務端口，經過這個端口能夠鏈接Windows彈性雲服務器。
代理	8080	8080 端口經常使用於WWW代理服務，實現網頁瀏覽。若是您使用了8080端口，訪問網站或使用代理服務器時，須要在IP地址後面加上：8080。安裝 Apache Tomcat 服務後，默認服務端口爲8080。
NetBIOS	13七、13八、139	NetBIOS協議常被用於 Windows 文件、打印機共享和Samba。 13七、138：UDP端口，經過網上鄰居傳輸文件時使用的端口。 139：經過這個端口進入的鏈接試圖得到 NetBIOS/S M B 服 務。

沒法訪問公有云某些端口

問題現象： 訪問公有云特定端口，在部分地區部分運營商沒法訪問，而其它端口訪問正常。

問題分析： 部分運營商判斷以下表的端口爲高危端口，默認被屏蔽。

表2     

高危端口

協議	端口
TCP	42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 5554 5800 5900 9996
UDP	135~139 1026 1027 1028 1068 1433 1434 5554 9996

解決方案： 建議您修改敏感端口爲其它非高危端口來承載業務。

添加安全組規則

操做場景

安全組建立後，您能夠在安全組中設置出方向、入方向規則，這些規則會對安全組內部的彈性雲服務器出入方向網絡流量進行訪問控制，當彈性雲服務器加入該安全組後，即受到這些訪問規則的保護。

• 入方向：指從外部訪問安全組規則下的彈性雲服務器。
• 出方向：指安全組規則下的彈性雲服務器訪問安全組外的實例。

默認安全組規則請參見 默認安全組和規則 。經常使用的安全組規則配置示例請參見 安全組配置示例簡介 。

操做步驟

1. 登陸管理控制檯。
2. 在管理控制檯左上角單擊 ，選擇區域和項目。
3. 在系統首頁，選擇「網絡 > 虛擬私有云」。
4. 在左側導航樹選擇「訪問控制 > 安全組」。
5. 在安全組界面，單擊操做列的「配置規則」，進入安全組詳情界面。
6. 在入方向規則頁籤，單擊「添加規則」，添加入方向規則。

   單擊「+」能夠依次增長多條入方向規則。

    圖1   添加入方向規則        
        

   
   

   表1         

   入方向參數說明

   參數	說明	取值樣例
   協議/應用	網絡協議。目前支持「All」、「TCP」、「UDP」、「ICMP」和「GRE」等協議。	TCP
   端口和源地址	端口：容許遠端地址訪問彈性雲服務器指定端口，取值範圍爲：1～65535。經常使用端口請參見 彈性雲服務器經常使用端口 。	22或22-30
   源地址：能夠是IP地址、安全組。例如：	0.0.0.0/0 default
   描述	安全組規則的描述信息，非必填項。 描述信息內容不能超過255個字符，且不能包含「<」和「>」。	-

• xxx.xxx.xxx.xxx/32（IPv4地址）
• xxx.xxx.xxx.0/24（子網）
• 0.0.0.0/0（任意地址）

在出方向規則頁籤，單擊「添加規則」，添加出方向規則。

單擊「+」能夠依次增長多條出方向規則。

 圖2   添加出方向規則        
   

表2         

出方向參數說明

參數	說明	取值樣例
協議/應用	網絡協議。目前支持「All」、「TCP」、「UDP」、「ICMP」和「GRE」等協議。	TCP
端口和目的地址	端口：容許彈性雲服務器訪問遠端地址的指定端口，取值範圍爲：1～65535。經常使用端口請參見 彈性雲服務器經常使用端口 。	22或22-30
目的地址：能夠是IP地址、安全組。例如：	0.0.0.0/0 default
描述	安全組規則的描述信息，非必填項。 描述信息內容不能超過255個字符，且不能包含「<」和「>」。	-

• xxx.xxx.xxx.xxx/32（IPv4地址）
• xxx.xxx.xxx.0/24（子網）
• 0.0.0.0/0（任意地址）

單擊「肯定」。

結果驗證

安全組規則配置完成後，咱們須要驗證對應的規則是否生效。假設您在彈性雲服務器上部署了網站，但願用戶能經過HTTP（80端口）訪問到您的網站，您添加了一條入方向規則，如 表3 所示。

 表3 

安全組規則

方向	協議/應用	端口	源地址
入方向	TCP	80	0.0.0.0/0

Linux彈性雲服務器

Linux彈性雲服務器上驗證該安全組規則是否生效的步驟以下所示。

1. 登陸彈性雲服務器。
2. 運行以下命令查看TCP 80端口是否被監聽。

   netstat -an | grep 80

      

   若是返回結果如 圖3 所示，說明TCP 80端口已開通。

                圖3   Linux TCP 80端口驗證結果        
      

3. 在瀏覽器地址欄裏輸入「http://彈性雲服務器的彈性公網IP地址」。

   若是訪問成功，說明安全組規則已經生效。

Windows 彈性雲服務器

Windows彈性雲服務器上驗證該安全組規則是否生效的步驟以下所示。

1. 登陸彈性雲服務器。
2. 選擇「開始 > 附件 > 命令提示符」。
3. 運行以下命令查看TCP 80端口是否被監聽。

   netstat -an | findstr 80

      

   若是返回結果如 圖4 所示，說明TCP 80端口已開通。

                圖4   Windows TCP 80端口驗證結果        
      

4. 在瀏覽器地址欄裏輸入「http://彈性雲服務器的彈性公網IP地址」。

   若是訪問成功，說明安全組規則已經生效。

安全組配置示例

介紹常見的安全組配置示例。以下示例中，出方向默認全通，僅介紹入方向規則配置方法。

• 不一樣安全組內的彈性雲服務器內網互通
• 僅容許特定 IP 地址遠程鏈接彈性雲服務器
• SSH遠程鏈接Linux彈性雲服務器
• RDP遠程鏈接Windows彈性雲服務器
• 公網ping ECS彈性雲服務器
• 彈性雲服務器做Web服務器
• 彈性雲服務器做DNS服務器
• 使用FTP上傳或下載文件

您須要提早準備好安全組，能夠是默認的安全組，也能夠是自定義建立的安全組，具體操做請參見 建立安全組 、 添加安全組規則 。

經常使用端口介紹請參見 彈性雲服務器經常使用端口 。

不一樣安全組內的彈性雲服務器內網互通

• 場景舉例：

  在同一個VPC內，用戶須要將某個安全組內一臺彈性雲服務器上的資源拷貝到另外一個安全組內的彈性雲服務器上時， 用戶能夠將兩臺彈性雲服務器設置爲內網互通後再拷貝資源。

• 安全組配置方法：

  因爲同一個VPC內，在同一個安全組內的彈性雲服務器默認互通，無需配置。可是，在不一樣安全組內的彈性雲服務器默認沒法通訊，此時須要添加安全組規則，使得不一樣安全組內的彈性雲服務器內網互通。

  在兩臺彈性雲服務器所在安全組中分別添加一條入方向安全組規則，放通來自另外一個安全組內的實例的訪問，實現內網互通，安全組規則以下所示。

  方向	協議/應用	端口	源地址
  入方向	設置內網互通時使用的協議類型	設置端口範圍	另外一個安全組的ID

僅容許特定 IP 地址遠程鏈接彈性雲服務器

• 場景舉例：

  爲了防止彈性雲服務器被網絡***，用戶能夠修改遠程登陸端口號，並設置安全組規則只容許特定的IP地址遠程登陸到彈性雲服務器。

• 安全組配置方法：

  以僅容許特定IP地址（例如，192.168.20.2）經過SSH協議訪問Linux操做系統的彈性雲服務器的22端口爲例，安全組規則以下所示。

  方向	協議/應用	端口	源地址
  入方向	SSH（22）	22	IPv4 CIDR或者另外一個安全組的ID。 例如：192.168.20.2/32

SSH遠程鏈接Linux彈性雲服務器

• 場景舉例：

  建立好Linux彈性雲服務器後，爲了經過SSH遠程鏈接到彈性雲服務器，您能夠添加安全組規則。

          說明：      

  默認安全組中已經配置了該條規則，如您使用默認安全組，無需重複配置。

• 安全組配置方法：

  方向	協議/應用	端口	源地址
  入方向	SSH（22）	22	0.0.0.0/0

RDP遠程鏈接Windows彈性雲服務器

• 場景舉例：

  建立好Windows彈性雲服務器後，爲了經過RDP遠程鏈接彈性雲服務器，您能夠添加安全組規則。

          說明：      

  默認安全組中已經配置了該條規則，如您使用默認安全組，無需重複配置。

• 安全組配置方法：

  方向	協議/應用	端口	源地址
  入方向	RDP（3389）	3389	0.0.0.0/0

公網ping ECS彈性雲服務器

• 場景舉例：

  建立好彈性雲服務器後，爲了使用ping程序測試彈性雲服務器之間的通信情況，您須要添加安全組規則。

• 安全組配置方法：

  方向	協議/應用	端口	源地址
  入方向	ICMP	所有	0.0.0.0/0

彈性雲服務器做Web服務器

• 場景舉例：

  若是您在彈性雲服務器上部署了網站，即彈性雲服務器做Web服務器用，但願用戶能經過HTTP或HTTPS服務訪問到您的網站，您須要在彈性雲服務器所在安全組中添加如下安全組規則。

• 安全組配置方法：

  方向	協議/應用	端口	源地址
  入方向	HTTP（80）	80	0.0.0.0/0
  入方向	HTTPS（443）	443	0.0.0.0/0

彈性雲服務器做DNS服務器

• 場景舉例：

  若是您將彈性雲服務器設置爲DNS服務器，則必須確保TCP和UDP數據可經過53 端口 訪問您的DNS服務器。 您須要在彈性雲服務器所在安全組中添加如下安全組規則。

• 安全組配置方法：

  方向	協議/應用	端口	源地址
  入方向	TCP	53	0.0.0.0/0
  入方向	UDP	53	0.0.0.0/0

使用FTP上傳或下載文件

• 場景舉例：

  若是您須要使用FTP軟件向彈性雲服務器上傳或下載文件，您須要添加安全組規則。

          說明：      

  您須要在彈性雲服務器上先安裝FTP服務器程序，再查看20、21端口是否正常工做。安裝FTP服務器的操做請參見 搭建FTP站點（Windows） 、 搭建FTP站點（Linux） 。

• 安全組配置方法：

  方向	協議/應用	端口	源地址
  入方向	TCP	20-21	0.0.0.0/0

父主題：       安全組

默認安全組和規則

系統會爲每一個用戶默認建立一個安全組，默認安全組的規則是在出方向上的數據報文所有放行，入方向訪問受限，安全組內的彈性雲服務器無需添加規則便可互相訪問。

如 圖1 所示。

 圖1   默認安全組  
 

默認安全組規則如 表1 所示：

 表1 

默認安全組規則

方向	協議	端口範圍	目的地址/源地址	說明
出方向	所有	所有	目的地址：0.0.0.0/0	容許全部出站流量的數據報文經過。
入方向	所有	所有	源地址：當前安全組 ID (例如：sg- xxxxx )	僅容許安全組內的彈性雲服務器彼此通訊，丟棄其餘入站流量的所有數據報文。
入方向	TCP	22	源地址 ：0.0.0.0/0	容許全部IP地址經過SSH遠程鏈接到Linux彈性雲服務器。
入方向	TCP	3389	源地址 ：0.0.0.0/0	容許全部IP地址經過RDP遠程鏈接到Windows彈性雲服務器。

父主題：       安全組

---

---

About Me

........................................................................................................................ ● 本文做者：小麥苗，部份內容整理自網絡，如有侵權請聯繫小麥苗刪除 ● 本文在itpub（ http://blog.itpub.net/26736162 ）、博客園（ http://www.cnblogs.com/lhrbest ）和我的weixin公衆號（ xiaomaimiaolhr ）上有同步更新 ● 本文itpub地址： http://blog.itpub.net/26736162 ● 本文博客園地址： http://www.cnblogs.com/lhrbest ● 本文pdf版、我的簡介及小麥苗雲盤地址： http://blog.itpub.net/26736162/viewspace-1624453/ ● 數據庫筆試面試題庫及解答： http://blog.itpub.net/26736162/viewspace-2134706/ ● DBA寶典今日頭條號地址： http://www.toutiao.com/c/user/6401772890/#mid=1564638659405826 ........................................................................................................................ ● QQ羣號： 230161599 （滿） 、618766405 ● weixin羣：可加我weixin，我拉你們進羣，非誠勿擾 ● 聯繫我請加QQ好友 （ 646634621 ） ，註明添加原因 ● 於 2019-07-01 06:00 ~ 2019-07-31 24:00 在西安完成 ● 最新修改時間：2019-07-01 06:00 ~ 2019-07-31 24:00 ● 文章內容來源於小麥苗的學習筆記，部分整理自網絡，如有侵權或不當之處還請諒解 ● 版權全部，歡迎分享本文，轉載請保留出處 ........................................................................................................................ ● 小麥苗的微店 ： https://weidian.com/s/793741433?wfr=c&ifr=shopdetail ● 小麥苗出版的數據庫類叢書 ： http://blog.itpub.net/26736162/viewspace-2142121/ ● 小麥苗OCP、OCM、高可用網絡班 ： http://blog.itpub.net/26736162/viewspace-2148098/ ● 小麥苗騰訊課堂主頁 ： https://lhr.ke.qq.com/ ........................................................................................................................ 使用 weixin客戶端 掃描下面的二維碼來關注小麥苗的weixin公衆號（ xiaomaimiaolhr ）及QQ羣（DBA寶典）、添加小麥苗weixin， 學習最實用的數據庫技術。 ........................................................................................................................

 

 

來自 「 ITPUB博客 」 ，連接：http://blog.itpub.net/26736162/viewspace-2650063/，如需轉載，請註明出處，不然將追究法律責任。