一、安全组基础概念
阿里云虚拟主机的端口管理依赖于安全组规则,安全组作为虚拟防火墙可控制实例的入站/出站流量。每个安全组包含多个访问规则,支持TCP/UDP协议及端口范围定义,默认拒绝所有非显式允许的流量。
安全组配置需遵循最小权限原则,例如Web服务仅需开放80(HTTP)/443(HTTPS)端口,数据库服务则需限定特定IP访问3306端口。授权对象使用CIDR格式,0.0.0.0/0表示允许所有来源。
二、通过控制台添加端口
- 登录阿里云控制台,进入ECS实例管理页面
- 选择目标实例,点击「安全组」进入规则配置界面
- 点击「添加安全组规则」,选择协议类型(TCP/UDP)
- 输入端口范围(单个端口如80,范围如8000-8080)
- 设置授权对象和优先级,保存规则生效
| 服务类型 | 协议 | 端口 |
|---|---|---|
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
| SSH | TCP | 22 |
三、服务器内部防火墙配置
Linux系统需同步配置iptables或firewalld,例如使用以下命令开放8080端口:
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reloadWindows服务器可通过「高级安全防火墙」创建入站规则,指定端口范围与允许连接类型。需注意安全组规则与系统防火墙同时生效时的优先级关系。
四、端口连通性测试
- 使用
telnet 公网IP 端口号验证TCP连接 - 通过在线端口扫描工具检测开放状态
- 查看云监控中的网络流量数据确认规则生效
若端口未正常开放,建议按「安全组规则→系统防火墙→服务监听状态」顺序排查,同时检查VPC网络ACL设置。
端口配置需兼顾安全组与系统防火墙的双层防护,遵循按需开放原则。建议将常用端口规则封装为安全组模板,便于多实例快速部署。定期审计端口使用情况可有效降低安全风险。
