通過瞭解典型應用的預設連接埠,您可以更準確地添加或修改安全性群組規則,以便伺服器通過相應連接埠對外提供服務,滿足您SSH串連執行個體和通過SMTP服務發送郵件等情境下的需求。本文介紹了ECS執行個體的常用連接埠及其應用情境樣本。
背景資訊
在添加安全性群組規則時,您必須指定通訊連接埠或連接埠範圍。安全性群組將根據允許或拒絕策略來決定是否將資料轉寄到ECS執行個體。
例如,當使用Xshell用戶端遠端連線ECS執行個體時,安全性群組會檢測到來自公網或內網的SSH請求。然後,安全性群組會同時檢查傳入請求裝置的IP地址是否在允許允許存取的安全性群組規則範圍內,並且22連接埠是否開放。只有當安全性群組規則匹配並允許允許存取該請求時,才能建立資料通訊。
部分電訊廠商將連接埠25、135、139、444、445、5800、5900等標記為高危連接埠,並預設屏蔽這些連接埠。即使您在安全性群組規則中允許存取了這些連接埠,受限地區的使用者仍無法訪問。因此,建議您考慮使用其他非高危連接埠來承載業務。
更多關於Windows Server系統應用的連接埠說明,請參見《微軟文檔》Windows伺服器系統的服務概述和網路連接埠要求。
常用連接埠
典型應用的預設連接埠如下表所示。
連接埠 | 服務 | 說明 |
21 | FTP | FTP服務所開放的連接埠,用於上傳、下載檔案。 |
22 | SSH | SSH連接埠,用於通過命令列模式或遠端連線軟體(例如PuTTY、Xshell、SecureCRT等)串連Linux執行個體。具體操作,請參見通過密碼認證登入Linux執行個體。 |
23 | Telnet | Telnet連接埠,用於Telnet遠程登入ECS執行個體。 |
25 | SMTP | SMTP服務所開放的連接埠,用於發送郵件。 說明 基於安全考慮,ECS執行個體25連接埠預設受限,建議您使用SSL加密連接埠(通常是465連接埠)來對外發送郵件。 |
53 | DNS | 用於網域名稱解析伺服器(Domain Name Server,簡稱DNS)協議。 說明 如果在安全性群組出方向實行白名單方式,需要允許存取53連接埠(UDP協議)才能實現網域名稱解析。 |
80 | HTTP | 用於HTTP服務提供訪問功能,例如,IIS、Apache、Nginx等服務。 如何排查80連接埠故障,請參見檢查TCP 80連接埠是否正常工作。 |
110 | POP3 | 用於POP3協議,POP3是電子郵件收發的協議。 |
143 | IMAP | 用於IMAP(Internet Message Access Protocol)協議,IMAP是用於接收電子郵件的協議。 |
443 | HTTPS | 用於提供HTTPS服務的訪問功能。HTTPS是一種能提供加密和通過安全連接埠傳輸的協議。 |
1433 | SQL Server | SQL Server的TCP連接埠,用於供SQL Server對外提供服務。 |
1434 | SQL Server | SQL Server的UDP連接埠,用於擷取SQL Server使用的TCP/IP連接埠號碼和IP地址等資訊。 重要 開放UDP連接埠1434僅在需要使用SQL Server瀏覽器服務時才需要。如果不使用SQL Server瀏覽器服務,建議將UDP連接埠1434關閉或限制訪問,以提高安全性。 |
1521 | Oracle | Oracle通訊連接埠,ECS執行個體上部署了Oracle SQL需要允許存取的連接埠。 |
3306 | MySQL | 用於MySQL資料庫對外提供服務的連接埠。 |
3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(遠端桌面服務)連接埠,可以通過這個連接埠使用軟體串連Windows執行個體。具體操作,請參見通過密碼認證登入Windows執行個體。 |
8080 | 代理連接埠 | 與80連接埠類似,8080連接埠通常用於提供 |
137、138、139 | NetBIOS協議 | NetBIOS協議常被用於Windows檔案、印表機共用和Samba。
|
應用情境樣本
下表為部分常用連接埠的應用情境,以及對應的安全性群組規則設定,更多情境舉例請參見安全性群組應用案例。
應用情境 | 網路類型 | 方向 | 策略 | 協議 | 連接埠範圍 | 物件類型 | 授權對象 | 優先順序 |
SSH遠端連線Linux執行個體 | Virtual Private Cloud | 入方向 | 允許 | 自訂TCP | SSH (22) | 位址區段訪問 | 0.0.0.0/0 | 1 |
傳統網路 | 公網入方向 | |||||||
RDP遠端連線Windows執行個體 | Virtual Private Cloud | 入方向 | 允許 | 自訂TCP | RDP (3389) | 位址區段訪問 | 0.0.0.0/0 | 1 |
傳統網路 | 公網入方向 | |||||||
公網Ping ECS執行個體 | Virtual Private Cloud | 入方向 | 允許 | 全部ICMP | -1/-1 | 位址區段訪問或安全性群組訪問 | 根據授與類型填寫 | 1 |
傳統網路 | 公網入方向 | |||||||
ECS執行個體作Web伺服器 | Virtual Private Cloud | 入方向 | 允許 | 自訂TCP | HTTP (80) | 位址區段訪問 | 0.0.0.0/0 | 1 |
傳統網路 | 公網入方向 | |||||||
使用FTP上傳或下載檔案 | Virtual Private Cloud | 入方向 | 允許 | 自訂 TCP | 20/21 | 位址區段訪問 | 指定IP段 | 1 |
傳統網路 | 公網入方向 |