安全组基础操作原理
阿里云安全组作为虚拟防火墙,通过设置入方向和出方向规则实现端口流量控制。每个ECS实例必须关联至少一个安全组,默认规则仅允许ICMP协议和SSH 22端口入站访问。
- HTTP 80/TCP
网页服务 - HTTPS 443/TCP
加密传输 - MySQL 3306/TCP
数据库连接
端口开放详细步骤
- 登录ECS管理控制台,选择目标实例所在区域
- 进入实例详情页,切换至【安全组】标签页
- 点击【管理规则】进入规则配置界面
- 选择入方向规则类型,点击【手动添加】按钮
- 设置协议类型、端口范围和授权对象(0.0.0.0/0表示全开放)
端口范围设置规范
端口范围支持三种格式:单个端口(如80)、连续端口(3306/3389)、协议分离设置(TCP/UDP)。需特别注意:
- FTP服务需同时开放21端口和被动模式端口段
- Windows远程桌面默认使用3389/TCP
- 数据库服务建议限制授权IP段
操作注意事项
开放端口时应遵循最小权限原则,避免使用全端口开放策略。建议在修改安全组规则前进行以下检查:
- 服务器本地防火墙是否放行对应端口
- 服务进程是否正常监听目标端口
- 网络ACL是否存在冲突规则
完成配置后可通过telnet命令或在线端口检测工具验证连通性。
通过合理配置安全组规则,既可保障云服务器必要服务的网络可达性,又能有效降低安全风险。建议定期审计安全组规则,及时清理过期配置,并开启云防火墙进行威胁防护。
