一、安全组基础配置
在阿里云控制台中创建安全组时,需指定网络类型为经典网络或专有网络,授权策略建议选择自定义策略。入站规则应包含以下要素:
- 协议类型:根据服务需求选择TCP/UDP/ICMP
- 端口范围:单个端口(如80)或连续区间(8000/8010)
- 授权对象:0.0.0.0/0允许所有IP,或指定特定IP段
出站规则建议设置为允许所有流量,避免影响正常服务通信。
二、服务器防火墙规则同步
完成安全组配置后,需在ECS实例操作系统中同步设置防火墙:
- CentOS系统执行:
firewall-cmd --add-port=端口号/tcp --permanent
firewall-cmd --reload - Ubuntu系统执行:
ufw allow 端口号/tcp
ufw reload
建议使用systemctl status firewalld命令检查防火墙状态,避免规则冲突。
三、安全加固建议
为降低安全风险,建议采取以下措施:
- 限制SSH/RDP远程管理端口(22/3389)的访问IP段
- 数据库服务端口(3306/1433)仅对应用服务器开放
- 定期审查未使用的端口规则
四、操作验证流程
完成配置后需执行验证:
- 通过
telnet 公网IP 端口号测试连通性 - 使用
curl http://IP:端口验证Web服务 - 检查阿里云控制台安全组流量监控图表
有效的外网端口映射需要安全组与服务器防火墙的双重配置,建议遵循最小权限原则开放端口,并通过自动化工具定期审计规则有效性。生产环境应结合云防火墙服务实现更细粒度的流量管控。
