阿里云安全组设置,端口放行操作方法

前言:阿里云安全组介绍

阿里云或者其他的腾讯云等都带有安全组,但是阿里云的安全组默认是开启的,而腾讯云安全组默认是关闭的。

阿里云安全组相当于是一道防火墙,但是相对于系统的防火墙,阿里云安全组更能方便的进行设置,可以限制某些端口的访问,和某些端口限制哪些IP可以访问,并且就算服务器有恶意程序,他可能有权修改系统的防火墙配置,但修改不了安全组,因为安全组是独立于系统的。所以合理的使用安全组而不应该是直接关闭。

通常群里问安全组可能都是问如何放行某些端口,其实安全组还可以设置更多,比如:设置某些端口只能特定的IP访问,限制某些IP访问服务器等。
限制某些IP访问全部端口和协议,这样就是把IP加入了黑名单,且配合IP范围可以封禁动态IP,因为运营商分配IP通常是有规律的,你可以封禁他可能使用的那一范围的IP。

阿里云安全组操作步骤

由于阿里云安全组的操作是图形化的,不像linux那样的命令容易写教程,这里主要看图文介绍吧

找到安全组的入口

首先阿里云的安全组可以很灵活的运用,一个服务器可以加入多个安全组,一个安全组也可以同时运用于多个服务器以及云数据库,云应用等。进入安全组界面的方式也会有很多,因此我们这里将围绕着服务器来介绍如何找到安全组入口并设置。

1、找到要设置安全组的那台云服务器(ECS),点击ECS实例的名称进入管理页面。

阿里云安全组设置,端口放行操作方法

2、进入安全组后会看到如下图所示的界面

阿里云安全组设置,端口放行操作方法

如上图显示的规则,有三个页面,1 表示入网规则,2表示出网规则,3是本实例所加入的安全组。
其中1和2是展现当前实例所套用的生效规则的页面,这里面不能修改,只是展示给你看,让你知道该实例套用了那些规则,这些规则可能是由一个安全组设置的,也可能是由多个安全组设置的。

3、打开安全组的设置界面

阿里云安全组设置,端口放行操作方法

切换到安全组列表,这里列出了本服务器所使用所有安全组,通常只有一个。点击右面的【配置规则】连接就进入了安全组的设置页面。下面一节主要介绍设置。

设置安全组规则

安全组术语介绍

阿里云安全组设置,端口放行操作方法
  • 出入网方向:这句话可以理解为是谁主动要连接到谁的哪一个端口,注意这里不是指的谁向谁传输数据,一旦连接数据传输就是双向的,这里只是所得谁主动的要去连接谁。
    • 入网规则: 外界发起主动请求到本服务器,比如:有个用户输入了一个网址,这就是入网规则,即 外界有个电脑发起了80端口的连接请求到本服务器。
    • 出网规则:我们在服务器中主动连接别的服务器,比如:我们在服务器的浏览器中输入的一个网址www.baidu.com,即:我们的服务器主动发起了一个80端口的连接请求到百度网站服务器。
  • 协议:这里的协议比较多,具体内容自己百度,不过我们涉及的协议也就是TCP或者UDP,下面的那些是预定义端口,ICMP这个说一下,如果想让自己的服务器隐藏端口,可以关闭这个,这样外界ping 服务器IP的时候会没有回应,但是不妨碍其他功能。
  • 端口范围:电脑的端口范围是1到65535,我们在设置规则时可以设置一个范围值如:1/100(设置1-100)、80/80(设置80这一个端口)、-1/-1(这个是特殊值表示全部端口和全部协议)
  • 授权对象:即表示允许或拒绝哪一个或者哪一个IP端的连接。其中0.0.0.0/0表示全部IP,注:具体IP段表示法,在本页最下方。
  • 授权类型:这里我们常用的也就是IPv4,安全组间的通讯授权,那得很大的公司很多的部门协作时才会用的到吧。

一般我们设置规则时,出网规则是全部放行的,也就是不做任何限制。我们只设置入网规则即可。

设置安全组规则演示

第一步点击添加安全组按钮

阿里云安全组设置,端口放行操作方法

下面是一些常用规则的演示

  1. 设置端口全开,相当于没有安全组这个功能:
  2. 设置开放宝塔面板的规则,如宝塔面板的端口是8888:
  3. 设置mysql的端口如3306时,可以这样设置:
  4. 如果mysql的端口不是3306而是3309时,可以这样设置:
  5. 设置安全组的范围端口,比如某游戏需要放行6110、6102、8101、8160、8161、8162时,出于方便我们可以直接设置端口范围:

阿里云安全组设置总结

  1. 我们进入安全组时,先找到要设置安全组的云服务器(ECS)实例的页面,在左侧列表中选择【本实例安全组】进入,这样当有多个安全组时不容易出错。
  2. 我们一般仅仅需要设置入方向,出方向全部放行,而且阿里云安全组默认的就是出方向全部放行,入方向仅允许常用远程连接等必要端口开启。
  3. 不管是游戏还是网站,我们使用的协议都是TCP的,可能有些游戏会使用 UDP 但是这种不多。像一些常用的端口如:443(https)、80(http)、22(ssh)、3389(windows远程桌面)、21(ftp)、3306(mysql)、1433(sql server)等都有预设,我们可以直接选择,如果你自定义了这些端口的话,那么既可以选择自定义TCP,然后指定你自定义的端口就可以了。
  4. ICMP协议,在设置时你会发现他只有全部ICMP可选,不能选择自定ICMP,这个ICMP主要就是测试网络是否通畅的,比如 ping 某个端口,阿里云默认规则时放行ICMP的,也就是你的服务器可以ping通,你可以删除这条规则,你的服务器就不能被 ping 通 了,这样有助于隐藏真实端口。

附录:IP段(IP范围)表示方法

什么是IP范围,IP段其实是我自己认为可以这么叫的,不知道对不对,但我们可能需要限制或允许某些IP范围如:192.168.0.1~192.168.0.255这些范围内的IP访问,或者范围再大一点我们限制或允许IP范围:192.168.0.0~192.168.255.255这些。但是我们发现这其中是有规律的,就是IP的四段当中某些段相同。

简单说明,方便理解和操作

IP我们看到的样子是这样的:127.0.0.1,这是一个IP的通常写法,它是分成了4段,每段有0-255,这些数字,先不要理解这是为什么。先记住,每段占用8bit(位)

既然IP分4段,且每段占用8bit(位),那么我们可以这样的来写IP段:

  1. 192.168.0.0/24 表示:192.168.0.0~192.168.0.255(后面的24表示固定前三段即8*3)
  2. 192.168.0.0/16 表示:192.168.0.0~192.168.255.255 (后面的16表示固定前二段即8*2)
  3. 192.0.0.0/8 表示:192.0.0.0~192.255.255.255(后面的8表示固定前一段即8*1)
  4. 0.0.0.0/0 表示:全部的IP地址

上面的这些表示斜杠前面是IP,斜杠后面是固定范围,如果是固定2个段就是8*2 即16,如果是仅限制192开头的所有IP ,就是8

深入了解IP范围表示方法

我们所说的IP通常是IPv4,IPv6也是差不多虽然写法不同范围不同但是在计算机中他们是用二级制表示的。设置安全组其实用不着了解太多,如果需要了解更多可以看下面的文章:

ip段/数字,如192.168.0.1/24是什么意思?

IP地址和子网划分学习笔记之《子网掩码详解》

原创文章,作者:静默雨夜,如若转载,请注明出处:https://game.cangyoudao.cn/archives/1080

发表评论

登录后才能评论

评论列表(2条)