一、开放端口前的准备
在开放端口前需确认以下要素:需开放的端口号、协议类型(TCP/UDP)、授权对象范围。建议通过netstat -tuln命令查看当前服务器端口占用情况,避免与现有服务冲突。
二、安全组配置流程
- 登录阿里云控制台,进入ECS实例详情页
- 选择实例所属安全组,点击「管理规则」进入配置界面
- 在入方向规则中添加新条目:
- 协议类型:选择TCP/UDP/自定义
- 端口范围:单个端口填80/80,范围填3306/3389
- 授权对象:建议最小化授权(如指定IP段)
安全组规则生效时间为即时生效,无需重启服务器。
三、系统防火墙设置
CentOS 7系统需同步配置firewalld:
firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload
Windows系统需在「高级安全防火墙」中新建入站规则。
四、安全配置建议
- 避免开放全端口(0.0.0.0/0)
- 高危端口(如22、3389)建议限制源IP
- 定期审计安全组规则并清理冗余条目
- 启用云防火墙进行威胁检测
五、端口开放验证
使用telnet 公网IP 端口或nc -zv IP地址 端口命令测试连通性。建议通过阿里云「安全组检测」工具进行规则校验。
通过安全组与系统防火墙的双重配置,结合最小授权原则,可有效实现端口的受控开放。建议每月执行安全审计,及时更新安全组规则以应对业务变化。
