一、安全组基础概念
安全组是阿里云提供的虚拟防火墙,通过定义入站/出站规则控制ECS实例的网络流量。每个安全组包含多个规则项,支持TCP、UDP、ICMP等多种协议类型,可精确设置端口范围和授权对象。
- 支持最大100条入方向规则和100条出方向规则
- 规则优先级范围1-100,数值越小优先级越高
- 支持IPv4/IPv6双协议栈管理
二、端口开放操作步骤
- 登录ECS控制台,选择目标实例所在的地域
- 通过左侧导航进入网络与安全 > 安全组管理界面
- 点击目标安全组ID进入规则配置页,选择入方向页签
- 点击「手动添加」按钮设置新规则:
- 协议类型:选择TCP/UDP/自定义
- 端口范围:单个端口填”80/80″,范围填”8000/8100″
- 授权对象:0.0.0.0/0(全部IP)或指定IP段
- 完成配置后无需重启立即生效
三、防火墙联动配置
完成安全组设置后需同步配置系统防火墙:
# CentOS 7+ 示例 firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload # Windows Server 示例 New-NetFirewallRule -DisplayName "HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
建议安全组规则与系统防火墙保持策略一致,避免出现规则冲突。
四、安全策略与最佳实践
- 遵循最小开放原则,非必要端口保持关闭
- 生产环境避免使用0.0.0.0/0授权,建议配置IP白名单
- 定期使用
telnet [IP] [PORT]命令验证端口状态 - 关键服务建议修改默认端口号(如SSH 22改为高端口)
- 启用云防火墙服务实现流量日志审计
通过合理配置安全组规则与系统防火墙的双重防护,既可保障业务网络连通性,又能有效防范网络层攻击。建议每月执行安全组规则审计,及时清理过期规则,结合云监控服务实现异常流量告警。
