AI 助理
文档备案控制台
开发者社区 安全 文章 正文

阿里云服务器如何开放开放202140000端口 服务器开放端口的方法

2018-08-12 7286
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 阿里云服务器无法开通FTP,如何开放20,21,40000端口? 服务器开放端口的方法 如何配置安全组的入网规则配置安全组教程 如何配置安全组的入网规则配置安全组教程 在云端安全组提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,是重要的安全隔离手段。

阿里服务无法开通FTP,如何开放20,21,40000端口?服务器开放端口的方法


如何配置安全组的入网规则配置安全组教程

如何配置安全组的入网规则配置安全组教程

在云端安全组提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,是重要的安全隔离手段。创建 ECS 实例时,您必须选择一个安全组。您还可以添加安全组规则,对某个安全组下的所有 ECS 实例的出方向和入方向进行网络控制。 
本文主要介绍如何配置安全组的入网规则。 
 
安全组相关的信息 
 
 
在配置安全组的入网规则之前,您应已经了解以下安全组相关的信息:

 
 
安全组实践的基本建议 
 
 
在开始安全组的实践之前,下面有一些基本的建议:

  • 最重要的规则:安全组应作为白名单使用。
  • 开放应用出入规则时应遵循“最小授权”原则,例如,您可以选择开放具体的端口(如 80 端口)。
  • 不应使用一个安全组管理所有应用,因为不同的分层一定有不同的需求。
  • 对于分布式应用来说,不同的应用类型应该使用不同的安全组,例如,您应对 Web、Service、Database、Cache 层使用不同的安全组,暴露不同的出入规则和权限。
  • 没有必要为每个实例单独设置一个安全组,控制管理成本。
  • 优先考虑 VPC 网络。
  • 不需要公网访问的资源不应提供公网 IP。
  • 尽可能保持单个安全组的规则简洁。因为一个实例最多可以加入 5 个安全组,一个安全组最多可以包括 100 个安全组规则,所以一个实例可能同时应用数百条安全组规则。您可以聚合所有分配的安全规则以判断是否允许流入或留出,但是,如果单个安全组规则很复杂,就会增加管理的复杂度。所以,应尽可能地保持单个安全组的规则简洁。
  • [backcolor=transparent]调整线上的安全组的出入规则是比较危险的动作。如果您无法确定,不应随意更新安全组出入规则的设置。阿里的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则,您应先克隆一个安全组,再在克隆的安全组上进行调试,从而避免直接影响线上应用。

 
 
设置安全组的入网规则 
 
 
以下是安全组的入网规则的实践建议。 
 
不要使用 0.0.0.0/0 的入网规则 
 
 
允许全部入网访问是经常犯的错误。使用 0.0.0.0/0 意味着所有的端口都对外暴露了访问权限。这是非常不安全的。正确的做法是,先拒绝所有的端口对外开放。安全组应该是白名单访问。例如,如果您需要暴露 Web 服务,默认情况下可以只开放 80、8080 和 443 之类的常用TCP端口,其它的端口都应关闭。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"80"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"80"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  2. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"8080"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"8080"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  3. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"443"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"443"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
 
关闭不需要的入网规则 
 
 
如果您当前使用的入规则已经包含了 0.0.0.0/0,您需要重新审视己的应用需要对外暴露的端口和服务。如果确定不想让某些端口直接对外提供服务,您可以加一条拒绝的规则。比如,如果您的服务器上安装了 MySQL 数据库服务,默认情况下您不应该将 3306 端口暴露到公网,此时,您可以添加一条拒绝规则,如下所示,并将其优先级设为100,即优先级最低。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"drop"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]100[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
上面的调整会导致所有的端口都不能访问 3306 端口,极有可能会阻止您正常的业务需求。此时,您可以通过授权另外一个安全组的资源进行入规则访问。 
 
授权另外一个安全组入网访问 
 
 
不同的安全组按照最小原则开放相应的出入规则。对于不同的应用分层应该使用不同的安全组,不同的安全组应有相应的出入规则。 
例如,如果是分布式应用,您会区分不同的安全组,但是,不同的安全组可能网络不通,此时您不应该直接授权 IP 或者 CIDR 网段,而是直接授权另外一个安全组 ID 的所有的资源都可以直接访问。比如,您的应用对 Web、Database 分别创建了不同的安全组:sg-web 和 sg-database。在sg-database 中,您可以添加如下规则,授权所有的 sg-web 安全组的资源访问您的 3306 端口。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceGroupId"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"sg-web"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
 
授权另外一个 CIDR 可以入网访问 
 
 
经典网络中,因为网段不太可控,建议您使用安全组 ID 来授信入网规则。 
VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"icmp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"-1"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"-1"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"10.0.0.0/24"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  2. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"65535"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"10.0.0.0/24"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  3. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"udp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"65535"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"10.0.0.0/24"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
 
变更安全组规则步骤和说明 
 
 
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。 
[backcolor=transparent]注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。

  • 新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
  • 如果授权类型为 [backcolor=transparent]安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
  • 如果授权类型为 [backcolor=transparent]地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。

 
具体操作指引请参见 经典网络内网实例互通设置方法

文章标签:
云服务器 ECS
专有网络VPC
网络协议
安全
关键词:
云服务器云服务器 ECS
阿里云云服务器 ECS
云服务器 ECS方法
云服务器 ECS阿里云服务器
端口云服务器 ECS
相关实践学习
通义万相文本绘图与人像美化
本解决方案展示了如何利用自研的通义万相AIGC技术在Web服务中实现先进的图像生成。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
推荐码发放
目录
相关文章
coder一枚
|
5月前
|
弹性计算 搜索推荐 异构计算
阿里云服务器多少钱一年?亲自整理ECS、轻量和GPU服务器租赁价格表
2025年阿里云服务器优惠汇总:轻量应用服务器2核2G 38元/年起,ECS 2核2G 99元/年,2核4G 199元/年,4核16G 89元/月,8核32G 160元/月,香港轻量25元/月起,新老用户同享,续费同价。
coder一枚
1557 158
程序员在线
|
5月前
|
弹性计算 运维 安全
阿里云轻量应用服务器与云服务器ECS啥区别?新手帮助教程
阿里云轻量应用服务器适合个人开发者搭建博客、测试环境等低流量场景,操作简单、成本低;ECS适用于企业级高负载业务,功能强大、灵活可扩展。二者在性能、网络、镜像及运维管理上差异显著,用户应根据实际需求选择。
程序员在线
447 10
程序媛在线
|
5月前
|
弹性计算 运维 安全
区别及选择指南:阿里云轻量应用服务器与ECS云服务器有什么区别?
阿里云轻量应用服务器适合个人开发者、学生搭建博客、测试环境,易用且性价比高;ECS功能更强大,适合企业级应用如大数据、高流量网站。根据需求选择:轻量入门首选,ECS专业之选。
程序媛在线
373 2
小陈写代码
|
5月前
|
弹性计算 运维 安全
阿里云轻量应用服务器38元1年和云服务器99元1年怎么选?二者性能区别及选择参考
在阿里云当下的活动中,38元/年的轻量应用服务器与99元/年的云服务器ECS成为众多新用户的关注焦点。但是有部分用户并不是很清楚二者之间的区别,因此就不知道应该如何选择。接下来,笔者将为您详细剖析ECS云服务器与轻量应用服务器的差异,以供您参考和选择。
小陈写代码
568 4
阿里云轻量应用服务器38元1年和云服务器99元1年怎么选?二者性能区别及选择参考
云服务器小助手
|
5月前
|
存储 弹性计算 网络协议
超详细的阿里云服务器购买流程,ECS自定义购买配置教程
本文详细图解阿里云ECS服务器自定义购买全流程,涵盖付费模式、地域选择、网络配置、实例规格、镜像、存储、安全组及登录设置等核心步骤,助您轻松掌握专业级云服务器搭建方法。
云服务器小助手
1064 10
程序媛在线
|
5月前
|
弹性计算 搜索推荐 异构计算
租用阿里云服务器一年要多少钱?ECS、轻量和GPU服务器租赁价格,手动整理
2025年10月阿里云服务器优惠持续,轻量应用服务器200M带宽38元起/年,ECS 2核2G 99元/年、2核4G 199元/年,4核16G 89元/月,8核32G 160元/月,香港轻量25元/月起,新老同享,续费不涨价。
程序媛在线
1139 2
程序媛在线
|
5月前
|
存储 弹性计算 网络协议
阿里云服务器ECS是什么?ECS介绍、云服务器创建及使用教程
阿里云ECS是安全可靠、弹性灵活的云计算服务,支持多种实例规格与操作系统,可快速创建和管理云服务器。本文详解ECS介绍、购买流程(含付费模式、地域、网络、存储等设置)及使用教程,助您轻松上手云服务器。
程序媛在线
642 4
翼龙云TG_yilongcloud
|
5月前
|
运维 安全 Ubuntu
阿里云渠道商:服务器操作系统怎么选?
阿里云提供丰富操作系统镜像,涵盖Windows与主流Linux发行版。选型需综合技术兼容性、运维成本、安全稳定等因素。推荐Alibaba Cloud Linux、Ubuntu等用于Web与容器场景,Windows Server支撑.NET应用。建议优先选用LTS版本并进行测试验证,通过标准化镜像管理提升部署效率与一致性。
翼龙云TG_yilongcloud
584 4
程序员在线
|
5月前
|
弹性计算 ice
阿里云4核8g服务器多少钱一年?1个月和1小时价格,省钱购买方法分享
阿里云4核8G服务器价格因实例类型而异,经济型e实例约159元/月,计算型c9i约371元/月,按小时计费最低0.45元。实际购买享折扣,1年最高可省至1578元,附主流ECS实例及CPU型号参考。
程序员在线
602 8

热门文章

最新文章

  • 1
    通过rinetd实现端口转发,同时访问阿里云RDS的内外网
  • 2
    oracle默认监听端口更改
  • 3
    SecureCRT远程端口转发不生效的解决方法
  • 4
    修改远程桌面连接的端口号
  • 5
    解决 wcf HTTP 无法注册 另一应用程序正在使用 TCP 端口 80
  • 6
    使用AdvancedInstaller打包web工程设置tomcat端口的方法
  • 7
    Windows 安全保护机制下对端口的操作
  • 8
    nginx中配置不输入端口(指定地址)访问项目的方法
  • 9
    腾讯云主机上部署端口敲门Knock服务
  • 10
    【云原生 | 11】Docker之端口映射与容器互联
  • 1
    阿里云服务器多少钱一年?亲自整理ECS、轻量和GPU服务器租赁价格表
    1557
  • 2
    阿里云轻量应用服务器实例:通用型、多公网IP型、CPU优化、国际及容量型区别对比
    978
  • 3
    阿里云服务器2核4G/4核8G/8核16G配置价格、可选实例区别与选型指南参考
    1555
  • 4
    阿里云渠道商:服务器操作系统怎么选?
    584
  • 5
    阿里云轻量应用服务器38元1年和云服务器99元1年怎么选?二者性能区别及选择参考
    568
  • 6
    硅谷GPU单节点服务器:技术解析与应用全景
    310
  • 7
    阿里云渠道商:云服务器价格有什么变动?
    217
  • 8
    阿里云渠道商:如何挑选阿里云服务器配置?
    225
  • 9
    阿里云服务器五代至九代实例规格详解及性能提升对比,场景适配与选择指南参考
    500
  • 10
    租用阿里云服务器一年要多少钱?ECS、轻量和GPU服务器租赁价格,手动整理
    1139

    • 相关课程

    更多
  • ECS上云入门三部曲
  • 服务器硬件基础
  • Linux Web服务器Nginx搭建与配置
  • 7天玩转云服务器
  • 云服务器选型、迁云最佳实践
  • 云服务器ECS基本操作

    • 相关电子书

    更多
  • 如何运维千台以上游戏云服务器
  • 网站/服务器取证 实践与挑战
  • ECS块储存产品全面解析
    • 下一篇
    计网 - 图解OSI 七层模型 和 TCP/IP 四层模型