阿里云国际站安全组配置完全指南:守住服务器的第一道门
安全组是什么?为什么重要?
安全组是云服务器的虚拟防火墙,控制谁能访问你的服务器、能访问哪些端口。如果把服务器比作房子,安全组就是大门。门开得太大,坏人容易进来;门开得太小,自己进出也不方便。本文教你如何配置安全组,既保证业务畅通,又防止被攻击。
一、安全组的基本概念
1.1 安全组的规则
每条安全组规则包含:
方向:入站(别人访问你)或出站(你访问别人)
协议:TCP、UDP、ICMP等
端口:端口号或范围
来源/目标:IP地址或安全组
1.2 安全组的特点
有状态:允许入站后,出站自动允许;反之亦然
默认拒绝:未明确允许的流量都会被拒绝
可多个:一个实例可以绑定多个安全组,规则取并集
二、常用端口及用途
端口 | 协议 | 用途 |
22 | TCP | SSH远程登录(Linux) |
3389 | TCP | RDP远程桌面(Windows) |
80 | TCP | HTTP网站访问 |
443 | TCP | HTTPS加密网站 |
3306 | TCP | MySQL数据库 |
5432 | TCP | PostgreSQL数据库 |
6379 | TCP | Redis缓存 |
27017 | TCP | MongoDB数据库 |
8080 | TCP | 常见应用备用端口 |
三、配置安全组的最佳实践
3.1 只开放必要端口
不要为了方便,把1-65535全部开放。只开放业务必需的端口,其他全部拒绝。
3.2 限制来源IP
对于管理端口(SSH、RDP),尽可能限制来源IP:
公司办公网络:只允许公司公网IP
个人开发:只允许你家的IP
团队协作:使用堡垒机统一入口
配置示例:
入站规则:SSH,来源IP:203.0.113.5/32(仅此IP可登录)
3.3 使用安全组引用
对于数据库端口,不要用IP地址,而用安全组引用。例如:
Web服务器的安全组:sg-web
数据库的安全组:sg-db
在sg-db中设置入站规则:允许来自sg-web的3306端口
这样,只有Web服务器能访问数据库,其他任何IP都不行。
3.4 定期审计安全组规则
删除不再使用的规则
检查是否有过于宽松的规则(如0.0.0.0/0开放22端口)
及时收紧临时开放的端口
四、实战:为Web服务器配置安全组
4.1 需求
一台Web服务器,需要:
管理员通过SSH登录(公司IP:203.0.113.5)
用户访问网站(80和443端口)
Web服务器需要访问数据库(3306端口)
4.2 配置步骤
创建安全组web-sg:
入站规则:
协议 | 端口 | 来源 | 说明 |
TCP | 22 | 203.0.113.5/32 | 仅公司IP可SSH |
TCP | 80 | 0.0.0.0/0 | 所有人可访问网站 |
TCP | 443 | 0.0.0.0/0 | 所有人可访问HTTPS |
TCP | 3306 | sg-db | 允许访问数据库(在数据库安全组中配置) |
出站规则:默认全部允许(或根据需要限制)
4.3 应用到实例
创建或修改ECS实例时,在“安全组”中选择web-sg。
五、安全组常见错误与修正
5.1 错误:开放0.0.0.0/0到22端口
风险:任何人都可以尝试SSH登录,容易被暴力破解。
修正:将来源改为公司IP,或使用堡垒机。
5.2 错误:开放0.0.0.0/0到3306端口
风险:数据库暴露在公网,易被攻击。
修正:改为安全组引用,或限制为特定IP。
5.3 错误:开放了不必要的端口
风险:增加攻击面。
修正:定期审计,删除无用规则。
5.4 错误:忘记开放80或443端口
现象:网站打不开。
修正:添加入站规则,允许80和443。
六、安全组与网络ACL的区别
特性 | 安全组 | 网络ACL |
层级 | 实例级 | 子网级 |
状态 | 有状态 | 无状态 |
规则 | 仅允许 | 允许+拒绝 |
顺序 | 所有规则评估 | 按编号顺序 |
默认行为 | 拒绝所有入站 | 允许所有入站和出站 |
七、结语
安全组是第一道防线,配置好了能挡住大部分攻击。记住:只开必要端口、限制来源IP、定期审计。如果不确定怎么配,可以找代理商帮忙,他们有丰富的安全经验。
如果需要更深入咨询了解可以联系全球代理上TG:@jinniuge 他们在云平台领域有更专业的知识和建议,他们有国际阿里云,国际腾讯云,国际华为云,aws亚马逊,谷歌云一级代理的渠道,客服1V1服务,支持免实名、免备案、免绑卡。开通即享专属VIP优惠、充值秒到账、官网下单享双重售后支持。不懂找他们就对了。