云服务器安全组多端口配置实践指南
一、安全组优先级机制解析
安全组规则优先级采用数值越大优先级越高的机制,当需要同时设置允许和拒绝规则时,建议将允许规则设置为更高优先级。例如允许80端口的规则应设置为优先级99,而拒绝所有端口的规则设置为优先级100,确保允许规则优先生效。
二、多端口配置流程详解
主流云平台配置流程包含以下步骤:
- 登录云服务器控制台,进入安全组管理界面
- 新建入方向规则,选择TCP/UDP协议类型
- 输入端口范围(如80,443,3306)或连续端口段(如8000-9000)
- 设置授权对象为0.0.0.0/0或特定IP地址段
- 确认规则优先级高于默认拒绝规则
三、服务器内部防火墙联动
除安全组外,需同步配置操作系统防火墙:
- Linux系统:使用firewalld或iptables工具
firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload
- Windows系统:通过高级安全防火墙新建入站规则
安全组与系统防火墙形成双重防护,任何一方的限制都会阻断访问。
四、安全风险控制建议
| 端口类型 | 建议策略 |
|---|---|
| 管理端口(SSH 22/RDP 3389) | 限制来源IP地址段 |
| 数据库端口(3306,5432) | 禁止公网开放 |
| Web服务端口(80,443) | 配置WAF防护 |
避免开放全端口(1-65535),建议采用最小化开放原则,定期审计端口使用情况。
