阿里云轻量应用服务器-管理防火墙
防火墙是一种虚拟防火墙,通过防火墙规则控制轻量应用服务器的入流量,保障轻量应用服务器的安全。本文介绍如何为轻量应用服务器添加、修改、禁用、启用和删除防火墙规则,同时提供防火墙功能预设的端口信息、常见问题以及相关文档。
功能说明
每台轻量应用服务器根据操作系统的防火墙默认放行以下端口,除默认放行的端口外,其他端口默认是禁用状态,您可以根据业务需求通过添加防火墙规则放行所需端口。
-
TCP协议:
-
Windows:默认已放行TCP协议的3389、80和443端口。
-
Linux:默认已放行TCP协议的22、80和443端口。
-
-
ICMP协议:默认放开所有端口(即-1),允许任意源IP地址访问。
如果您在控制台删除或者禁用这些默认端口,则在防火墙页面将会显示类似您在防火墙禁用或删除了默认的22端口放行规则,影响远程连接功能提示信息,您可以根据需求添加或者启用对应的端口。
使用限制
-
单台轻量应用服务器最多可创建50条防火墙规则。
-
25端口是默认的邮箱服务端口,但基于安全考虑,轻量应用服务器的25端口默认受限。如果您有邮件发送需求,请使用465端口。
-
防火墙只能对轻量应用服务器的入流量进行控制,出流量默认允许所有请求。
-
入流量:数据从轻量应用服务器外通过公网或内网传输至实例内产生的流量。
-
出流量:数据从轻量应用服务器内通过公网或内网传输至实例外产生的流量。
-
防火墙设置
如果您已经创建防火墙模板,可以通过防火墙模板快速设置防火墙规则。具体操作,请参见通过防火墙模板设置防火墙规则。
-
访问轻量应用服务器控制台-服务器。
-
找到待添加防火墙规则的轻量应用服务器,单击服务器卡片中的实例ID。
-
单击防火墙页签,进入防火墙页面。
-
在防火墙页面的左上角,单击添加规则。
-
在添加防火墙规则对话框,完成相关参数的配置后,单击确认添加。
-
添加防火墙规则时,请您按需配置端口范围和允许访问的IP地址,遵循最小授权原则,以避免服务器受到网络攻击。
-
如果添加防火墙规则的端口、协议、IP地址与已有规则重复时,无论当前已有规则处于启用或禁用状态,新规则均会覆盖已有规则。
选择预设防火墙规则自定义防火墙规则如果预设的防火墙规则模板不满足您的业务需求,您可以自定义一条或多条防火墙规则。具体的参数配置项说明如下表所示。
参数
说明
应用类型
默认选择自定义。
协议
选择TCP、UDP或者ICMP协议。
端口范围
端口取值范围为1~65535。支持以下设置方式:
-
设置单个端口
直接输入放行的端口号即可。例如,您需要放行MySQL数据库监听的端口号3306,则端口范围设置为
3306。 -
设置端口范围
可以指定一个斜线(/)分隔的端口范围。例如,您需要放行FTP配置文件中手动配置的端口范围20000~30000,则端口范围设置为
20000/30000。
来源IP
默认为0.0.0.0/0,即对所有IPv4地址开放。您也可以自定义允许访问的IPv4地址:
-
允许单个IPv4地址访问
填写单个IPv4地址。例如:192.168.0.100。
-
允许某个CIDR段内的所有IPv4地址访问
输入IPv4 CIDR地址块,例如:192.168.0.0/24。
备注
输入防火墙规则的备注信息,方便后续管理防火墙规则。
您可以单击新增规则或者
图标,按需添加或者删除防火墙规则。 -
修改、禁用、启用、删除防火墙规则
添加防火墙规则后,您可以根据业务需求执行以下相关操作。
相关操作 |
说明 |
操作步骤 |
|
修改防火墙规则 |
如果已创建或者默认添加的防火墙规则不满足您的业务需求,您可以修改防火墙规则。 |
|
|
禁用防火墙规则 |
如果需要临时关闭某个端口,可以禁用该端口,后续无需再次新建防火墙规则。 禁用防火墙规则可能会导致相应端口不可访问,从而影响业务运行。建议在确保此操作不会影响正常业务的前提下,谨慎使用此功能。 |
|
|
启用防火墙规则 |
已禁用的端口,后续使用可启用该端口。 |
|
|
删除防火墙规则 |
如果已创建的防火墙规则不再使用,您可以删除防火墙规则。 如果已创建的防火墙规则没有达到上限50条,建议您暂时禁用防火墙规则,方便后续使用。 |
删除单条防火墙规则
批量删除防火墙规则
|
预设端口说明
为了便于用户直接添加防火墙规则,阿里云预设了常用的防火墙规则,帮助您快速添加防火墙规则,具体说明如下表所示。更多常用端口,请参见常用端口。
|
应用类型 |
协议 |
端口范围 |
来源IP |
说明 |
|
应用类型 |
协议 |
端口范围 |
来源IP |
说明 |
|
HTTP |
TCP |
80 |
0.0.0.0/0
|
HTTP协议默认端口,用于网站服务例如IIS、Apache、Nginx等提供对外访问。更多信息,请参见基于CentOS系统镜像快速部署Apache服务。 |
|
HTTPS |
TCP |
443 |
HTTPS加密协议默认端口。更多信息,请参见:
|
|
|
RDP |
TCP |
3389 |
远程桌面协议(RDP)默认端口,用于通过远程桌面连接Windows服务器。更多信息,请参见远程连接Windows服务器。 |
|
|
FTP |
TCP |
21 |
FTP协议默认端口,用于上传、下载文件。更多信息,请参见搭建FTP服务器(Linux)。 |
|
|
SSH |
TCP |
22 |
SSH端口,用于通过命令行模式或远程连接软件(例如PuTTY、Xshell、SecureCRT等)连接Linux实例。具体操作,请参见远程连接Linux服务器。 |
|
|
TELNET |
TCP |
23 |
Telnet默认端口。 |
|
|
MySQL |
TCP |
3306 |
MySQL数据库默认端口。更多信息,请参见使用DMS连接服务器中的数据库。 |
|
|
SQLServer |
TCP |
1433 |
SQL Server默认端口。 |
|
|
全部TCP |
TCP |
1~65535 |
全部TCP端口。 |
|
|
全部UDP |
UDP |
1~65535 |
全部UDP端口。 |
|
|
全部TCP+UDP |
TCP+UDP |
1~65535 |
全部TCP+UDP端口。 |
|
|
自定义 |
TCP、UDP或者ICMP |
1~65535 |
自定义的端口范围。 |
