ECS弹性云服务器常用端口、安全组

弹性云服务器常用端口

弹性云服务器常用端口如 表1 所示。您可以通过配置安全组规则放通弹性云服务器对应的端口，详情请参见 添加安全组规则 。

表1  弹性云服务器常用端口

协议	端口	说明
FTP	21	FTP服务上传和下载文件。
SSH	22	远程连接Linux弹性云服务器。
Telnet	23	使用Telnet协议远程登录弹性云服务器。
HTTP	80	使用HTTP协议访问网站。
POP3	110	使用POP3协议接收邮件。
IMAP	143	使用IMAP协议接收邮件。
HTTPS	443	使用HTTPS服务访问网站。
SQL Server	1433	SQL Server的TCP端口，用于供SQL Server对外提供服务。
SQL Server	1434	SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。
Oracle	1521	Oracle通信端口，弹性云服务器上部署了 Oracle SQL需要放行的端口。
MySQL	3306	MySQL数据库对外提供服务的端口。
Windows Server Remote Desktop Services	3389	Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云服务器。
代理	8080	8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上：8080。安装 Apache Tomcat 服务后，默认服务端口为8080。
NetBIOS	137、138、139	NetBIOS协议常被用于 Windows 文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得 NetBIOS/S M B 服 务。

无法访问公有云某些端口

问题现象： 访问公有云特定端口，在部分地区部分运营商无法访问，而其它端口访问正常。

问题分析： 部分运营商判断如下表的端口为高危端口，默认被屏蔽。

表2  高危端口

协议	端口
TCP	42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 5554 5800 5900 9996
UDP	135~139 1026 1027 1028 1068 1433 1434 5554 9996

解决方案： 建议您修改敏感端口为其它非高危端口来承载业务。

添加安全组规则

操作场景

安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的弹性云服务器出入方向网络流量进行访问控制，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。

• 入方向：指从外部访问安全组规则下的弹性云服务器。
• 出方向：指安全组规则下的弹性云服务器访问安全组外的实例。

默认安全组规则请参见 默认安全组和规则 。常用的安全组规则配置示例请参见 安全组配置示例简介 。

操作步骤

1. 登录管理控制台。
2. 在管理控制台左上角单击 ，选择区域和项目。
3. 在系统首页，选择“网络 > 虚拟私有云”。
4. 在左侧导航树选择“访问控制 > 安全组”。
5. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。
6. 在入方向规则页签，单击“添加规则”，添加入方向规则。
   单击“+”可以依次增加多条入方向规则。

   图1  添加入方向规则  
   

   表1  入方向参数说明

   参数	说明	取值样例
   协议/应用	网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。	TCP
   端口和源地址	端口：允许远端地址访问弹性云服务器指定端口，取值范围为：1～65535。常用端口请参见 弹性云服务器常用端口 。	22或22-30
   	源地址：可以是IP地址、安全组。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址）	0.0.0.0/0 default
   描述	安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-

7. 在出方向规则页签，单击“添加规则”，添加出方向规则。

   单击“+”可以依次增加多条出方向规则。

   图2  添加出方向规则  
   

   表2  出方向参数说明

   参数	说明	取值样例
   协议/应用	网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。	TCP
   端口和目的地址	端口：允许弹性云服务器访问远端地址的指定端口，取值范围为：1～65535。常用端口请参见 弹性云服务器常用端口 。	22或22-30
   	目的地址：可以是IP地址、安全组。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址）	0.0.0.0/0 default
   描述	安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-

8. 单击“确定”。

结果验证

安全组规则配置完成后，我们需要验证对应的规则是否生效。假设您在弹性云服务器上部署了网站，希望用户能通过HTTP（80端口）访问到您的网站，您添加了一条入方向规则，如 表3 所示。

表3  安全组规则

方向	协议/应用	端口	源地址
入方向	TCP	80	0.0.0.0/0

Linux弹性云服务器

Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

1. 登录弹性云服务器。
2. 运行如下命令查看TCP 80端口是否被监听。

   netstat -an | grep 80
   

   如果返回结果如 图3 所示，说明TCP 80端口已开通。

   图3  Linux TCP 80端口验证结果  
   
3. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

   如果访问成功，说明安全组规则已经生效。

Windows 弹性云服务器

Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示。

1. 登录弹性云服务器。
2. 选择“开始 > 附件 > 命令提示符”。
3. 运行如下命令查看TCP 80端口是否被监听。

   netstat -an | findstr 80
   

   如果返回结果如 图4 所示，说明TCP 80端口已开通。

   图4  Windows TCP 80端口验证结果  
   
4. 在浏览器地址栏里输入“http://弹性云服务器的弹性公网IP地址”。

   如果访问成功，说明安全组规则已经生效。

安全组配置示例

介绍常见的安全组配置示例。如下示例中，出方向默认全通，仅介绍入方向规则配置方法。

• 不同安全组内的弹性云服务器内网互通
• 仅允许特定 IP 地址远程连接弹性云服务器
• SSH远程连接Linux弹性云服务器
• RDP远程连接Windows弹性云服务器
• 公网ping ECS弹性云服务器
• 弹性云服务器作Web服务器
• 弹性云服务器作DNS服务器
• 使用FTP上传或下载文件

您需要提前准备好安全组，可以是默认的安全组，也可以是自定义创建的安全组，具体操作请参见 创建安全组 、 添加安全组规则 。

常用端口介绍请参见 弹性云服务器常用端口 。

不同安全组内的弹性云服务器内网互通

• 场景举例：

  在同一个VPC内，用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时， 用户可以将两台弹性云服务器设置为内网互通后再拷贝资源。

• 安全组配置方法：

  由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云服务器内网互通。

  在两台弹性云服务器所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。

  方向	协议/应用	端口	源地址
  入方向	设置内网互通时使用的协议类型	设置端口范围	另一个安全组的ID

仅允许特定 IP 地址远程连接弹性云服务器

• 场景举例：

  为了防止弹性云服务器被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云服务器。

• 安全组配置方法：

  以仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例，安全组规则如下所示。

  方向	协议/应用	端口	源地址
  入方向	SSH（22）	22	IPv4 CIDR或者另一个安全组的ID。 例如：192.168.20.2/32

SSH远程连接Linux弹性云服务器

• 场景举例：

  创建好Linux弹性云服务器后，为了通过SSH远程连接到弹性云服务器，您可以添加安全组规则。

    说明：

  默认安全组中已经配置了该条规则，如您使用默认安全组，无需重复配置。

• 安全组配置方法：

  方向	协议/应用	端口	源地址
  入方向	SSH（22）	22	0.0.0.0/0

RDP远程连接Windows弹性云服务器

• 场景举例：

  创建好Windows弹性云服务器后，为了通过RDP远程连接弹性云服务器，您可以添加安全组规则。

    说明：

  默认安全组中已经配置了该条规则，如您使用默认安全组，无需重复配置。

• 安全组配置方法：

  方向	协议/应用	端口	源地址
  入方向	RDP（3389）	3389	0.0.0.0/0

公网ping ECS弹性云服务器

• 场景举例：

  创建好弹性云服务器后，为了使用ping程序测试弹性云服务器之间的通讯状况，您需要添加安全组规则。

• 安全组配置方法：

  方向	协议/应用	端口	源地址
  入方向	ICMP	全部	0.0.0.0/0

弹性云服务器作Web服务器

• 场景举例：

  如果您在弹性云服务器上部署了网站，即弹性云服务器作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要在弹性云服务器所在安全组中添加以下安全组规则。

• 安全组配置方法：

  方向	协议/应用	端口	源地址
  入方向	HTTP（80）	80	0.0.0.0/0
  入方向	HTTPS（443）	443	0.0.0.0/0

弹性云服务器作DNS服务器

• 场景举例：

  如果您将弹性云服务器设置为DNS服务器，则必须确保TCP和UDP数据可通过53 端口 访问您的DNS服务器。 您需要在弹性云服务器所在安全组中添加以下安全组规则。

• 安全组配置方法：

  方向	协议/应用	端口	源地址
  入方向	TCP	53	0.0.0.0/0
  入方向	UDP	53	0.0.0.0/0

使用FTP上传或下载文件

• 场景举例：

  如果您需要使用FTP软件向弹性云服务器上传或下载文件，您需要添加安全组规则。

    说明：

  您需要在弹性云服务器上先安装FTP服务器程序，再查看20、21端口是否正常工作。安装FTP服务器的操作请参见 搭建FTP站点（Windows） 、 搭建FTP站点（Linux） 。

• 安全组配置方法：

  方向	协议/应用	端口	源地址
  入方向	TCP	20-21	0.0.0.0/0

父主题：   安全组

默认安全组和规则

系统会为每个用户默认创建一个安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的弹性云服务器无需添加规则即可互相访问。

如 图1 所示。

图1  默认安全组  

默认安全组规则如 表1 所示：

表1  默认安全组规则

方向	协议	端口范围	目的地址/源地址	说明
出方向	全部	全部	目的地址：0.0.0.0/0	允许所有出站流量的数据报文通过。
入方向	全部	全部	源地址：当前安全组 ID (例如：sg- xxxxx )	仅允许安全组内的弹性云服务器彼此通信，丢弃其他入站流量的全部数据报文。
入方向	TCP	22	源地址 ：0.0.0.0/0	允许所有IP地址通过SSH远程连接到Linux弹性云服务器。
入方向	TCP	3389	源地址 ：0.0.0.0/0	允许所有IP地址通过RDP远程连接到Windows弹性云服务器。

父主题：   安全组

---

---

About Me

........................................................................................................................ ● 本文作者：小麦苗，部分内容整理自网络，若有侵权请联系小麦苗删除 ● 本文在itpub（ http://blog.itpub.net/26736162 ）、博客园（ http://www.cnblogs.com/lhrbest ）和个人weixin公众号（ xiaomaimiaolhr ）上有同步更新 ● 本文itpub地址： http://blog.itpub.net/26736162 ● 本文博客园地址： http://www.cnblogs.com/lhrbest ● 本文pdf版、个人简介及小麦苗云盘地址： http://blog.itpub.net/26736162/viewspace-1624453/ ● 数据库笔试面试题库及解答： http://blog.itpub.net/26736162/viewspace-2134706/ ● DBA宝典今日头条号地址： http://www.toutiao.com/c/user/6401772890/#mid=1564638659405826 ........................................................................................................................ ● QQ群号： 230161599 （满） 、618766405 ● weixin群：可加我weixin，我拉大家进群，非诚勿扰 ● 联系我请加QQ好友 （ 646634621 ） ，注明添加缘由 ● 于 2019-07-01 06:00 ~ 2019-07-31 24:00 在西安完成 ● 最新修改时间：2019-07-01 06:00 ~ 2019-07-31 24:00 ● 文章内容来源于小麦苗的学习笔记，部分整理自网络，若有侵权或不当之处还请谅解 ● 版权所有，欢迎分享本文，转载请保留出处 ........................................................................................................................ ● 小麦苗的微店 ： https://weidian.com/s/793741433?wfr=c&ifr=shopdetail ● 小麦苗出版的数据库类丛书 ： http://blog.itpub.net/26736162/viewspace-2142121/ ● 小麦苗OCP、OCM、高可用网络班 ： http://blog.itpub.net/26736162/viewspace-2148098/ ● 小麦苗腾讯课堂主页 ： https://lhr.ke.qq.com/ ........................................................................................................................ 使用 weixin客户端 扫描下面的二维码来关注小麦苗的weixin公众号（ xiaomaimiaolhr ）及QQ群（DBA宝典）、添加小麦苗weixin， 学习最实用的数据库技术。 ........................................................................................................................

 

 

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/26736162/viewspace-2650063/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/26736162/viewspace-2650063/