安全组基础概念
安全组作为ECS实例的虚拟防火墙,通过入站/出站规则控制网络流量,其状态检测机制可自动放行反向流量。建议将安全组视为白名单机制,默认拒绝所有流量,仅开放必要端口。
安全组配置步骤
- 登录ECS控制台,进入「网络与安全」-「安全组」
- 创建新安全组,选择专有网络类型
- 添加入站规则:
- HTTP/HTTPS:开放80/443端口,授权对象0.0.0.0/0
- SSH远程:开放22端口,建议限制访问IP段
- 验证安全组是否关联目标ECS实例
网站部署实践
通过Xshell连接服务器后,推荐使用宝塔面板简化部署流程:
| 组件 | 安装指令 |
|---|---|
| Apache | yum install httpd -y |
| PHP | yum install php php-fpm -y |
| MySQL | yum install mariadb-server -y |
多站点部署需在Web服务器配置文件中创建多个虚拟主机,并绑定不同域名。
常见端口规范
- 生产环境建议禁用22端口远程登录,改用VPC内网连接
- 数据库服务端口(3306/1433)仅允许内网访问
- 使用NAT网关实现外网访问内网资源
合理的安全组配置需遵循最小权限原则,结合防火墙与Web服务器软件的双重防护。网站部署后应通过telnet命令验证端口开放状态,并定期审计安全组规则。
