安全组基础概念与作用
安全组是阿里云提供的虚拟防火墙,用于控制ECS实例的网络流量。默认情况下仅开放22(SSH)和3389(RDP)端口,其他服务端口需手动配置入站规则。安全组规则分为入方向(外部访问服务器)和出方向(服务器访问外部)两类,支持自定义协议类型、端口范围和授权对象。
配置安全组规则操作步骤
- 登录阿里云控制台,进入ECS管理页面
- 在实例列表中选择目标服务器,进入安全组配置页面
- 点击手动添加入方向规则:
- 协议类型:TCP/UDP等(如HTTP服务选TCP)
- 端口范围:单端口填8888/8888,连续端口填3306/3309
- 授权对象:0.0.0.0/0开放全网访问,或指定IP段
- 保存规则后立即生效,无需重启服务器
服务器防火墙设置方法
完成安全组配置后,需在服务器操作系统内同步放行端口。以CentOS 7为例:
- 执行命令开放端口:
firewall-cmd --zone=public --add-port=80/tcp --permanent - 重载防火墙配置:
firewall-cmd --reload - 验证端口状态:
netstat -ntlp | grep 80
注意事项与常见问题
- 生产环境建议通过IP白名单缩小授权范围,避免使用0.0.0.0/0
- 配置后服务不可用时,需检查安全组规则、服务器防火墙、服务进程状态三层网络过滤
- 修改已有规则可在安全组列表点击修改按钮调整参数
阿里云服务器开放端口需同时配置安全组规则与服务器防火墙,通过分层次网络防护确保服务可用性和安全性。建议遵循最小权限原则,定期审查端口开放状态,结合云监控服务进行异常流量告警。
