一、安全组基础概念
安全组是阿里云提供的虚拟防火墙,通过定义入站/出站规则控制ECS实例的网络流量。每个实例必须至少关联一个安全组,默认安全组仅允许内网通信,公网访问需手动配置。
核心功能包括:
- 基于协议类型(TCP/UDP/ICMP)过滤流量
- 支持端口范围与IP地址段授权
- 规则优先级按数字升序执行
二、配置安全组操作流程
通过控制台开放端口的完整步骤:
- 登录阿里云官网进入ECS控制台
- 在实例列表选择目标服务器,点击「安全组」选项卡
- 点击「配置规则」进入安全组管理界面
- 选择「手动添加」入方向规则,填写协议类型和端口范围:
- Web服务常用TCP:80/443端口
- 数据库建议限定IP段开放3306/6379端口
- 授权对象设置为0.0.0.0/0时允许公网访问,保存后立即生效
三、开放端口注意事项
关键安全建议:
- 避免全端口开放(1/65535),按最小权限原则配置
- 生产环境建议使用自定义安全组而非默认组
- 定期检查未使用的历史规则
| 服务类型 | 协议 | 端口范围 |
|---|---|---|
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
| MySQL | TCP | 3306 |
通过合理配置安全组规则,可在保证业务需求的同时有效降低网络攻击风险。建议结合云监控服务定期审计端口使用情况,并通过RAM账号进行权限隔离管理。
