云服务器端口配置与安全防护指南
一、端口配置基础概念
网络端口是云服务器与外部通信的逻辑通道,常见服务端口包括HTTP(80)、HTTPS(443)、SSH(22)等。配置端口需遵循最小开放原则,仅暴露必要的服务接口。
| 服务类型 | 端口号 | 协议 |
|---|---|---|
| 网页服务 | 80/443 | TCP |
| 数据库 | 3306/5432 | TCP |
| 远程连接 | 22/3389 | TCP |
二、安全组配置方法
云平台安全组作为第一层防护屏障,需按业务需求设置入站/出站规则。以阿里云为例,配置流程包含:
- 登录ECS控制台选择目标实例
- 进入安全组配置界面创建新规则
- 设置协议类型(TCP/UDP/ICMP)
- 指定授权对象(IP地址段或安全组)
- 验证规则生效性
三、防火墙设置流程
主机防火墙作为第二层防护,推荐使用firewalld工具进行管理。典型操作步骤包括:
sudo firewall-cmd --permanent --add-port=8889/tcp
sudo firewall-cmd --reload
sudo firewall-cmd --list-ports
需注意同时配置IPv4和IPv6规则,并定期检查冗余规则。
四、最佳实践建议
- 采用分层防护:安全组+主机防火墙双重验证
- 修改默认SSH端口,禁用root远程登录
- 启用流量日志记录功能
- 每季度进行规则审计
