腾讯云服务器默认开放全部端口,端口全部开放,存在安全风险。我们可针对访问特殊端口,如mysql数据库的3306端口、宝塔面板的8888端口、ftp的21端口、SSH远程登录Linux的22端口、HTTP的80端口、HTTPS的443端口、Windows远程桌面服务3389端口等,需要设置安全组进行自定义端口开放。
根据本文内容,可完成以下腾讯云服务器端口策略操作:
①开放需要的自定义端口,见 02 自定义安全组配置流程;
②开放云服务器部署 Web 服务需使用的22、80、443、3389端口和 ICMP 协议,见03 常用模板安全组配置流程;
③取消云服务器默认的开放全部端口策略,见04 取消云服务器默认的开放全部端口策略。
01 安全组概述 (1)安全组的概念安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。简单说,就是管理端口,预防安全风险。
(2)特点①安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内。
②关联了同一安全组的实例间默认不会互通,您需要添加相应的允许规则。
③安全组是有状态的,对于您已允许的入站流量,都将自动允许其流出,反之亦然。
④您可以随时修改安全组的规则,新规则立即生效。
(3)组成部分安全组规则包括如下组成部分:
来源:源数据(入站)或目标数据(出站)的 IP。
协议类型和协议端口:协议类型如 TCP、UDP 等。
策略:允许或拒绝。
(4)安全组模板新建安全组时,您可以选择腾讯云为您提供的两种安全组模版:
①放通全部端口模版:将会放通所有出入站流量。
②放通常用端口模板:将会放通 TCP 22端口(Linux SSH登录),80、443端口(Web服务),3389端口(Windows 远程登录)、ICMP协议(Ping)、放通内网。
02 自定义安全组配置流程安全组的使用流程如下图所示:
(1)创建自定义安全组①登录腾讯云服务器控制台的安全组
【https://console.cloud.tencent.com/cvm/securitygroup】
②点击创建,模板选择“自定义”,名称自己命名,如“MySQL端口”,备注选填,点击确定。
点击立即设置规则,进行安全组规则设置。
(2)添加自定义安全组规则①进入安全组规则界面:
②点击添加规则,点击完成。此处只是允许所有IPv4地址入站,如果需要所有IPv6地址入站,来源写“::/0”,协议端口写“TCP:3306”,策略写“允许”,即可。
其中,来源写IP地址,规则如下:
单个IPv4地址或IPv4 地址范围:用CIDR表示法(如203.0.113.0、203.0.113.0/24或者0.0.0.0/0,其中0.0.0.0/0代表匹配所有 IPv4 地址)。
单个IPv6地址或IPv6地址范围:用CIDR表示法(如FF05::B5、FF05:B5::/60、::/0或者0::0/0,其中::/0或者0::0/0代表匹配所有IPv6地址)。
其中,协议端口写具体要自定义协议类型和端口范围,协议类型支持TCP、UDP、ICMP、ICMPv6及GRE,协议端口支持格式如下,
单个端口,如TCP:3306。
多个离散端口,如TCP:80,443。
连续端口,如TCP:3306-20000。
所有端口,如TCP:ALL。
(3)关联自定义安全组①点击关联实例。
②点击新增关联,然后选择云服务器,点击确定,完成。
③完成自定义安全组设置,如下图:
03 常用模板安全组配置流程 (1)创建模板安全组
①登录腾讯云服务器控制台的安全组【https://console.cloud.tencent.com/cvm/securitygroup】
②点击创建,模板选择“放通22,80,443,3389端口和ICMP协议”,其他不需要改,点击确定。
(2)关联模板安全组①点击管理实例,进行安全组规则设置。
②点击新增关联,然后选择云服务器,点击确定,完成。
③完成模板安全组设置,如下图。
04 取消云服务器默认的开放全部端口策略 (1)登录腾讯云服务器控制台的安全组网址为:【https://console.cloud.tencent.com/cvm/securitygroup】
(2)点击默认安全组的管理实例。 (3)选择对应云服务器实例,点击移除安全组。 (4)完成取消云服务器默认的开放全部端口策略。
本文是根据https://cloud.tencent.com/document/product/215/20089,精简出操作步骤,如需要最详细步骤,可点击链接查看。