备案控制台
探索云世界
开发者社区 安全 文章 正文

阿里云服务器如何开放开放202140000端口 服务器开放端口的方法

2018-08-12 7026
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
推荐场景:
部署并使用Docker 快速搭建云上博客 搭建微信小程序
云服务器ECS,u1 2核4GB 1个月
推荐场景:
搭建2048小游戏 搭建turtle画布 搭建wiki知识库
简介: 阿里云服务器无法开通FTP,如何开放20,21,40000端口? 服务器开放端口的方法 如何配置安全组的入网规则配置安全组教程 如何配置安全组的入网规则配置安全组教程 在云端安全组提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,是重要的安全隔离手段。

阿里服务无法开通FTP,如何开放20,21,40000端口?服务器开放端口的方法


如何配置安全组的入网规则配置安全组教程

如何配置安全组的入网规则配置安全组教程

在云端安全组提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,是重要的安全隔离手段。创建 ECS 实例时,您必须选择一个安全组。您还可以添加安全组规则,对某个安全组下的所有 ECS 实例的出方向和入方向进行网络控制。 
本文主要介绍如何配置安全组的入网规则。 
 
安全组相关的信息 
 
 
在配置安全组的入网规则之前,您应已经了解以下安全组相关的信息:

 
 
安全组实践的基本建议 
 
 
在开始安全组的实践之前,下面有一些基本的建议:

  • 最重要的规则:安全组应作为白名单使用。
  • 开放应用出入规则时应遵循“最小授权”原则,例如,您可以选择开放具体的端口(如 80 端口)。
  • 不应使用一个安全组管理所有应用,因为不同的分层一定有不同的需求。
  • 对于分布式应用来说,不同的应用类型应该使用不同的安全组,例如,您应对 Web、Service、Database、Cache 层使用不同的安全组,暴露不同的出入规则和权限。
  • 没有必要为每个实例单独设置一个安全组,控制管理成本。
  • 优先考虑 VPC 网络。
  • 不需要公网访问的资源不应提供公网 IP。
  • 尽可能保持单个安全组的规则简洁。因为一个实例最多可以加入 5 个安全组,一个安全组最多可以包括 100 个安全组规则,所以一个实例可能同时应用数百条安全组规则。您可以聚合所有分配的安全规则以判断是否允许流入或留出,但是,如果单个安全组规则很复杂,就会增加管理的复杂度。所以,应尽可能地保持单个安全组的规则简洁。
  • [backcolor=transparent]调整线上的安全组的出入规则是比较危险的动作。如果您无法确定,不应随意更新安全组出入规则的设置。阿里的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则,您应先克隆一个安全组,再在克隆的安全组上进行调试,从而避免直接影响线上应用。

 
 
设置安全组的入网规则 
 
 
以下是安全组的入网规则的实践建议。 
 
不要使用 0.0.0.0/0 的入网规则 
 
 
允许全部入网访问是经常犯的错误。使用 0.0.0.0/0 意味着所有的端口都对外暴露了访问权限。这是非常不安全的。正确的做法是,先拒绝所有的端口对外开放。安全组应该是白名单访问。例如,如果您需要暴露 Web 服务,默认情况下可以只开放 80、8080 和 443 之类的常用TCP端口,其它的端口都应关闭。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"80"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"80"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  2. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"8080"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"8080"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  3. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"443"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"443"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
 
关闭不需要的入网规则 
 
 
如果您当前使用的入规则已经包含了 0.0.0.0/0,您需要重新审视己的应用需要对外暴露的端口和服务。如果确定不想让某些端口直接对外提供服务,您可以加一条拒绝的规则。比如,如果您的服务器上安装了 MySQL 数据库服务,默认情况下您不应该将 3306 端口暴露到公网,此时,您可以添加一条拒绝规则,如下所示,并将其优先级设为100,即优先级最低。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0.0.0.0/0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"drop"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]100[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
上面的调整会导致所有的端口都不能访问 3306 端口,极有可能会阻止您正常的业务需求。此时,您可以通过授权另外一个安全组的资源进行入规则访问。 
 
授权另外一个安全组入网访问 
 
 
不同的安全组按照最小原则开放相应的出入规则。对于不同的应用分层应该使用不同的安全组,不同的安全组应有相应的出入规则。 
例如,如果是分布式应用,您会区分不同的安全组,但是,不同的安全组可能网络不通,此时您不应该直接授权 IP 或者 CIDR 网段,而是直接授权另外一个安全组 ID 的所有的资源都可以直接访问。比如,您的应用对 Web、Database 分别创建了不同的安全组:sg-web 和 sg-database。在sg-database 中,您可以添加如下规则,授权所有的 sg-web 安全组的资源访问您的 3306 端口。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"3306"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceGroupId"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"sg-web"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"Policy"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"accept"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
 
授权另外一个 CIDR 可以入网访问 
 
 
经典网络中,因为网段不太可控,建议您使用安全组 ID 来授信入网规则。 
VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。

  1. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"icmp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"-1"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"-1"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"10.0.0.0/24"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  2. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"tcp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"65535"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"10.0.0.0/24"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],
  3. [backcolor=transparent]          [backcolor=transparent]{[backcolor=transparent] [backcolor=transparent]"IpProtocol"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"udp"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"FromPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"0"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"ToPort"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"65535"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]"SourceCidrIp"[backcolor=transparent] [backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"10.0.0.0/24"[backcolor=transparent],[backcolor=transparent] [backcolor=transparent]Priority[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]2[backcolor=transparent]}[backcolor=transparent] [backcolor=transparent],

 
 
变更安全组规则步骤和说明 
 
 
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。 
[backcolor=transparent]注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。

  • 新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
  • 如果授权类型为 [backcolor=transparent]安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
  • 如果授权类型为 [backcolor=transparent]地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。

 
具体操作指引请参见 经典网络内网实例互通设置方法

文章标签:
云服务器 ECS
专有网络VPC
网络协议
安全
关键词:
阿里云服务器
阿里云云服务器 ECS
云服务器云服务器 ECS
开放端口
端口开放
相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
推荐码发放
目录
相关文章
游客km5tgzjfur5hk
|
1天前
|
弹性计算 运维 安全
阿里云ecs使用体验
整了台服务器部署项目上线
游客km5tgzjfur5hk
7 1
云小帮
|
1天前
|
存储 小程序 数据库
阿里云学生云服务器申请,阿里云送每个大学生一台云服务器
2024年,阿里云为学生提供免费7个月的学生服务器,包括2核2G配置、1M带宽和独立IP。学生需通过学信网认证,完成任务可额外获得6个月免费时长。申请流程包括注册阿里云账号、实名认证和学生认证。此外,学生可免费领取300元无门槛优惠券,在阿里云高校计划中使用。学生服务器可用于建站、部署等多种场景。详细信息和申请入口见官方链接。
云小帮
18 0
游客km5tgzjfur5hk
|
3天前
|
弹性计算
阿里云ECS的使用心得
本文主要讲述了我是如何了解到ECS,使用ECS的一些经验,以及自己的感悟心得
游客km5tgzjfur5hk
18 1
游客wmen2wljmyuqy
|
9天前
|
应用服务中间件 Linux 开发工具
如何在阿里云服务器快速搭建部署Nginx环境
以下是内容的摘要: 本文档主要介绍了在阿里云上购买和配置服务器的步骤,包括注册阿里云账号、实名认证、选择和购买云服务器、配置安全组、使用Xshell和Xftp进行远程连接和文件传输,以及安装和配置Nginx服务器的过程。在完成这些步骤后,你将能够在服务器上部署和运行自己的网站或应用。
游客wmen2wljmyuqy
86 1
游客koxsy2lzz7wl4
|
14天前
|
弹性计算 应用服务中间件 Linux
阿里云ECS服务器上从零开始搭建nginx服务器
阿里云ECS服务器上从零开始搭建nginx服务器
游客koxsy2lzz7wl4
98 2
游客koxsy2lzz7wl4
|
14天前
|
域名解析 网络协议 应用服务中间件
阿里云服务器配置免费https服务
阿里云服务器配置免费https服务
游客koxsy2lzz7wl4
98 6
兮叶William
|
16天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
兮叶William
35 14
周梦康
|
19天前
|
弹性计算 前端开发 Java
使用阿里云 mqtt serverless 版本超低成本快速实现 webscoket 长链接服务器
使用阿里云 MQTT Serverless 可轻松实现弹性伸缩的 WebSocket 服务,每日成本低至几元。适用于小程序消息推送的 MQTT P2P 模式。前端需注意安全,避免 AK 泄露,采用一机一密方案。后端通过调用 `RegisterDeviceCredential` API 发送消息。示例代码包括 JavaScript 前端连接和 Java 后端发送。
周梦康
185 0
蓝易云
|
4月前
|
Ubuntu 关系型数据库 MySQL
百度搜索:蓝易云【ubuntu20.4服务器安装mysql社区版并开放3306端口】
现在,你已经在Ubuntu 20.04服务器上成功安装了MySQL社区版,并且已经开放了3306端口,可以通过该端口访问MySQL服务器了。请确保在生产环境中设置安全措施,例如设置强密码、限制访问等,以保护数据库的安全性。
蓝易云
96 2
sunrr
|
3月前
|
Java Nacos Docker
在集成nacos时,端口9848报错但服务器的这个端口是开放的
在集成nacos时,端口9848报错但服务器的这个端口是开放的【1月更文挑战第14天】【1月更文挑战第67篇】
sunrr
228 1

热门文章

最新文章

  • 1
    Linux基础与服务器架构综合小实践
  • 2
    服务器中常用的几个资源监控工具整理
  • 3
    ECS独立站问题之建立独立站如何解决
  • 4
    ECS迁移问题之跨账号迁移ECS如何解决
  • 5
    ECS网页问题之认证实验考不了如何解决
  • 6
    ecs服务器shell常用脚本练习(十)
  • 7
    ecs服务器shell常用脚本练习(九)
  • 8
    ecs服务器shell常用脚本练习(六)
  • 9
    ecs服务器shell常用脚本练习(二)
  • 10
    ecs服务器shell常用脚本练习(四)
  • 1
    【问题篇】springboot项目通过数据库限制实例端口号
    19
  • 2
    端口扫描神器:御剑 保姆级教程(附链接)
    98
  • 3
    端口扫描神器:Masscan 保姆级教程(附链接)
    111
  • 4
    nacos常见问题之集成nacos时 端口9848报错如何解决
    266
  • 5
    宝塔面板放行阿里云端口命令操作教程
    200
  • 6
    使用 firewall-cmd 管理 Linux 防火墙端口
    138
  • 7
    服务器中如何检查端口是否开放
    237
  • 8
    微力私人网盘通过cpolar端口映射,成功实现远程访问本地电脑!
    40
  • 9
    window查看端口占用并关闭对应进程
    81
  • 10
    端口扫描 -- Masscan
    69

    • 相关课程

    更多
  • 5分钟玩转阿里云容器服务
  • 阿里云认证系列精品课程 - 云计算ACP

    • 相关电子书

    更多
  • 阿里云云原生 Serverless 技术实践营 PPT 演讲
  • 阿里云产品十月刊
  • 基于阿里云构建博学谷平台实时湖仓

    • 相关实验场景

    更多
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 使用阿里云Elasticsearch体验信息检索加速
  • 使用阿里云Elasticsearch快速搭建可观测系统
  • 重温童年的“五子棋”,赢取专属阿里云Serverless证书
  • 基于AT模组连接阿里云物联网平台
  • 基于阿里云短信服务的防机器人验证
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)