ITPub博客

首页 > 云计算 > 公有云实践 > ECS弹性云服务器常用端口、安全组

ECS弹性云服务器常用端口、安全组

原创 公有云实践 作者:lhrbest 时间:2019-07-10 09:58:20 0 删除 编辑


弹性云服务器常用端口


弹性云服务器常用端口如 表1 所示。您可以通过配置安全组规则放通弹性云服务器对应的端口,详情请参见 添加安全组规则

表1  弹性云服务器常用端口

协议

端口

说明

FTP

21

FTP服务上传和下载文件。

SSH

22

远程连接Linux弹性云服务器。

Telnet

23

使用Telnet协议远程登录弹性云服务器。

HTTP

80

使用HTTP协议访问网站。

POP3

110

使用POP3协议接收邮件。

IMAP

143

使用IMAP协议接收邮件。

HTTPS

443

使用HTTPS服务访问网站。

SQL Server

1433

SQL Server的TCP端口,用于供SQL Server对外提供服务。

SQL Server

1434

SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。

Oracle

1521

Oracle通信端口,弹性云服务器上部署了 Oracle SQL需要放行的端口。

MySQL

3306

MySQL数据库对外提供服务的端口。

Windows Server Remote Desktop Services

3389

Windows远程桌面服务端口,通过这个端口可以连接Windows弹性云服务器。

代理

8080

8080 端口常用于WWW代理服务,实现网页浏览。如果您使用了8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080。安装 Apache Tomcat 服务后,默认服务端口为8080。

NetBIOS

137、138、139

NetBIOS协议常被用于 Windows 文件、打印机共享和Samba。

  • 137、138:UDP端口,通过网上邻居传输文件时使用的端口。
  • 139:通过这个端口进入的连接试图获得 NetBIOS/S M B 服 务。

无法访问公有云某些端口

问题现象: 访问公有云特定端口,在部分地区部分运营商无法访问,而其它端口访问正常。

问题分析: 部分运营商判断如下表的端口为高危端口,默认被屏蔽。

表2  高危端口

协议

端口

TCP

42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 5554 5800 5900 9996

UDP

135~139 1026 1027 1028 1068 1433 1434 5554 9996

解决方案: 建议您修改敏感端口为其它非高危端口来承载业务。



添加安全组规则

操作场景

安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的弹性云服务器出入方向网络流量进行访问控制,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。

  • 入方向:指从外部访问安全组规则下的弹性云服务器。
  • 出方向:指安全组规则下的弹性云服务器访问安全组外的实例。

默认安全组规则请参见 默认安全组和规则 。常用的安全组规则配置示例请参见 安全组配置示例简介

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击 ,选择区域和项目。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在左侧导航树选择“访问控制 > 安全组”。
  5. 在安全组界面,单击操作列的“配置规则”,进入安全组详情界面。
  6. 在入方向规则页签,单击“添加规则”,添加入方向规则。
    单击“+”可以依次增加多条入方向规则。
    图1  添加入方向规则  

    表1  入方向参数说明

    参数

    说明

    取值样例

    协议/应用

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    TCP

    端口和源地址

    端口:允许远端地址访问弹性云服务器指定端口,取值范围为:1~65535。常用端口请参见 弹性云服务器常用端口

    22或22-30

    源地址:可以是IP地址、安全组。例如:

    • xxx.xxx.xxx.xxx/32(IPv4地址)
    • xxx.xxx.xxx.0/24(子网)
    • 0.0.0.0/0(任意地址)

    0.0.0.0/0

    default

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  7. 在出方向规则页签,单击“添加规则”,添加出方向规则。

    单击“+”可以依次增加多条出方向规则。

    图2  添加出方向规则  

    表2  出方向参数说明

    参数

    说明

    取值样例

    协议/应用

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    TCP

    端口和目的地址

    端口:允许弹性云服务器访问远端地址的指定端口,取值范围为:1~65535。常用端口请参见 弹性云服务器常用端口

    22或22-30

    目的地址:可以是IP地址、安全组。例如:

    • xxx.xxx.xxx.xxx/32(IPv4地址)
    • xxx.xxx.xxx.0/24(子网)
    • 0.0.0.0/0(任意地址)

    0.0.0.0/0

    default

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  8. 单击“确定”。

结果验证

安全组规则配置完成后,我们需要验证对应的规则是否生效。假设您在弹性云服务器上部署了网站,希望用户能通过HTTP(80端口)访问到您的网站,您添加了一条入方向规则,如 表3 所示。

表3  安全组规则

方向

协议/应用

端口

源地址

入方向

TCP

80

0.0.0.0/0

Linux弹性云服务器

Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

  1. 登录弹性云服务器。
  2. 运行如下命令查看TCP 80端口是否被监听。
    netstat -an | grep 80
    

    如果返回结果如 图3 所示,说明TCP 80端口已开通。

    图3  Linux TCP 80端口验证结果  
  3. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。

Windows 弹性云服务器

Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

  1. 登录弹性云服务器。
  2. 选择“开始 > 附件 > 命令提示符”。
  3. 运行如下命令查看TCP 80端口是否被监听。
    netstat -an | findstr 80
    

    如果返回结果如 图4 所示,说明TCP 80端口已开通。

    图4  Windows TCP 80端口验证结果  
  4. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

    如果访问成功,说明安全组规则已经生效。


安全组配置示例



介绍常见的安全组配置示例。如下示例中,出方向默认全通,仅介绍入方向规则配置方法。

您需要提前准备好安全组,可以是默认的安全组,也可以是自定义创建的安全组,具体操作请参见 创建安全组 添加安全组规则

常用端口介绍请参见 弹性云服务器常用端口

不同安全组内的弹性云服务器内网互通

  • 场景举例:

    在同一个VPC内,用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时, 用户可以将两台弹性云服务器设置为内网互通后再拷贝资源。

  • 安全组配置方法:

    由于同一个VPC内,在同一个安全组内的弹性云服务器默认互通,无需配置。但是,在不同安全组内的弹性云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的弹性云服务器内网互通。

    在两台弹性云服务器所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通,安全组规则如下所示。

    方向

    协议/应用

    端口

    源地址

    入方向

    设置内网互通时使用的协议类型

    设置端口范围

    另一个安全组的ID

仅允许特定 IP 地址远程连接弹性云服务器

  • 场景举例:

    为了防止弹性云服务器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到弹性云服务器。

  • 安全组配置方法:

    以仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例,安全组规则如下所示。

    方向

    协议/应用

    端口

    源地址

    入方向

    SSH(22)

    22

    IPv4 CIDR或者另一个安全组的ID。

    例如:192.168.20.2/32

SSH远程连接Linux弹性云服务器

  • 场景举例:

    创建好Linux弹性云服务器后,为了通过SSH远程连接到弹性云服务器,您可以添加安全组规则。

      说明:

    默认安全组中已经配置了该条规则,如您使用默认安全组,无需重复配置。

  • 安全组配置方法:

    方向

    协议/应用

    端口

    源地址

    入方向

    SSH(22)

    22

    0.0.0.0/0

RDP远程连接Windows弹性云服务器

  • 场景举例:

    创建好Windows弹性云服务器后,为了通过RDP远程连接弹性云服务器,您可以添加安全组规则。

      说明:

    默认安全组中已经配置了该条规则,如您使用默认安全组,无需重复配置。

  • 安全组配置方法:

    方向

    协议/应用

    端口

    源地址

    入方向

    RDP(3389)

    3389

    0.0.0.0/0

公网ping ECS弹性云服务器

  • 场景举例:

    创建好弹性云服务器后,为了使用ping程序测试弹性云服务器之间的通讯状况,您需要添加安全组规则。

  • 安全组配置方法:

    方向

    协议/应用

    端口

    源地址

    入方向

    ICMP

    全部

    0.0.0.0/0

弹性云服务器作Web服务器

  • 场景举例:

    如果您在弹性云服务器上部署了网站,即弹性云服务器作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云服务器所在安全组中添加以下安全组规则。

  • 安全组配置方法:

    方向

    协议/应用

    端口

    源地址

    入方向

    HTTP(80)

    80

    0.0.0.0/0

    入方向

    HTTPS(443)

    443

    0.0.0.0/0

弹性云服务器作DNS服务器

  • 场景举例:

    如果您将弹性云服务器设置为DNS服务器,则必须确保TCP和UDP数据可通过53 端口 访问您的DNS服务器。 您需要在弹性云服务器所在安全组中添加以下安全组规则。

  • 安全组配置方法:

    方向

    协议/应用

    端口

    源地址

    入方向

    TCP

    53

    0.0.0.0/0

    入方向

    UDP

    53

    0.0.0.0/0

使用FTP上传或下载文件

  • 场景举例:

    如果您需要使用FTP软件向弹性云服务器上传或下载文件,您需要添加安全组规则。

      说明:

    您需要在弹性云服务器上先安装FTP服务器程序,再查看20、21端口是否正常工作。安装FTP服务器的操作请参见 搭建FTP站点(Windows) 搭建FTP站点(Linux)

  • 安全组配置方法:

    方向

    协议/应用

    端口

    源地址

    入方向

    TCP

    20-21

    0.0.0.0/0



默认安全组和规则


系统会为每个用户默认创建一个安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的弹性云服务器无需添加规则即可互相访问。

图1 所示。

图1  默认安全组  

默认安全组规则如 表1 所示:

表1  默认安全组规则

方向

协议

端口范围

目的地址/源地址

说明

出方向

全部

全部

目的地址:0.0.0.0/0

允许所有出站流量的数据报文通过。

入方向

全部

全部

源地址:当前安全组 ID (例如:sg- xxxxx )

仅允许安全组内的弹性云服务器彼此通信,丢弃其他入站流量的全部数据报文。

入方向

TCP

22

源地址 :0.0.0.0/0

允许所有IP地址通过SSH远程连接到Linux弹性云服务器。

入方向

TCP

3389

源地址 :0.0.0.0/0

允许所有IP地址通过RDP远程连接到Windows弹性云服务器。





About Me

........................................................................................................................

● 本文作者:小麦苗,部分内容整理自网络,若有侵权请联系小麦苗删除

● 本文在itpub( http://blog.itpub.net/26736162 )、博客园( http://www.cnblogs.com/lhrbest )和个人weixin公众号( xiaomaimiaolhr )上有同步更新

● 本文itpub地址: http://blog.itpub.net/26736162

● 本文博客园地址: http://www.cnblogs.com/lhrbest

● 本文pdf版、个人简介及小麦苗云盘地址: http://blog.itpub.net/26736162/viewspace-1624453/

● 数据库笔试面试题库及解答: http://blog.itpub.net/26736162/viewspace-2134706/

● DBA宝典今日头条号地址: http://www.toutiao.com/c/user/6401772890/#mid=1564638659405826

........................................................................................................................

● QQ群号: 230161599 (满) 、618766405

● weixin群:可加我weixin,我拉大家进群,非诚勿扰

● 联系我请加QQ好友 646634621 ,注明添加缘由

● 于 2019-07-01 06:00 ~ 2019-07-31 24:00 在西安完成

● 最新修改时间:2019-07-01 06:00 ~ 2019-07-31 24:00

● 文章内容来源于小麦苗的学习笔记,部分整理自网络,若有侵权或不当之处还请谅解

● 版权所有,欢迎分享本文,转载请保留出处

........................................................................................................................

小麦苗的微店 https://weidian.com/s/793741433?wfr=c&ifr=shopdetail

小麦苗出版的数据库类丛书 http://blog.itpub.net/26736162/viewspace-2142121/

小麦苗OCP、OCM、高可用网络班 http://blog.itpub.net/26736162/viewspace-2148098/

小麦苗腾讯课堂主页 https://lhr.ke.qq.com/

........................................................................................................................

使用 weixin客户端 扫描下面的二维码来关注小麦苗的weixin公众号( xiaomaimiaolhr )及QQ群(DBA宝典)、添加小麦苗weixin, 学习最实用的数据库技术。

........................................................................................................................

欢迎与我联系

 

 



来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26736162/viewspace-2650063/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
QQ:646634621| 网名:小麦苗| 微信公众号:xiaomaimiaolhr| 11g OCM| QQ群:618766405 微信群:私聊| 《数据库笔试面试宝典》作者| OCP、OCM、高可用(RAC+DG+OGG)网络班开讲啦,有需要的小伙伴可以私聊我。

注册时间:2012-09-23

  • 博文量
    1355
  • 访问量
    8263012