一、端口配置基础
在BCC实例创建阶段,需特别注意网络配置选项的选择:
- 选择与业务匹配的地域和可用区,建议生产环境启用多可用区部署
- 推荐使用VPC进行网络隔离,按业务划分不同子网
- 默认关闭所有入站端口,按需开放特定协议端口
| 服务类型 | 协议 | 默认端口 |
|---|---|---|
| Web服务 | HTTP/HTTPS | 80/443 |
| 数据库 | TCP | 3306/5432 |
| SSH连接 | TCP | 22 |
二、安全组策略配置
安全组作为虚拟防火墙,需遵循最小权限原则进行配置:
- 创建独立安全组,按业务类型划分访问规则
- 入站规则建议采用CIDR范围限制,生产环境禁止0.0.0.0/0开放
- 出站规则建议设置为拒绝所有,按需添加白名单
典型Web服务器安全组配置应包含:仅开放80/443端口,SSH访问限定管理IP段
三、防火墙配置指南
系统级防火墙需与安全组配合使用,建议配置步骤:
- CentOS系统使用firewalld服务管理端口
- 添加永久规则:
firewall-cmd --permanent --add-port=80/tcp - 启用连接追踪:
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1200
四、端口监控与审计
通过以下方式实现端口使用监控:
- 启用云监控服务,设置异常端口访问告警
- 定期使用
netstat -tuln检查监听端口 - 分析安全组操作日志,追踪规则变更记录
五、安全最佳实践
综合建议采取以下安全措施:
- SSH服务改用非标准端口并禁用密码登录
- 数据库服务禁止公网直接访问,通过跳板机连接
- 每季度执行端口扫描和渗透测试
- 启用WAF防护Web应用层攻击
通过合理配置安全组规则、强化系统防火墙、建立持续监控机制三个维度的协同防护,可有效提升BCC云服务器的端口安全性。建议结合业务实际需求制定动态安全策略,并定期验证防护措施的有效性
