全部產品
Search
文件中心

Simple Application Server:管理防火牆

更新時間:Jun 30, 2024

防火牆是一種虛擬防火牆,通過防火牆規則控制Simple Application Server的入流量,保障Simple Application Server的安全。本文介紹如何為Simple Application Server添加、修改、禁用、啟用和刪除防火牆規則,同時提供防火牆功能預設的連接埠資訊、常見問題以及相關文檔。

功能說明

每台Simple Application Server根據作業系統的防火牆預設允許存取以下連接埠,除預設允許存取的連接埠外,其他連接埠預設是禁用狀態,您可以根據業務需求通過添加防火牆規則允許存取所需連接埠。

  • TCP協議:

    • Windows:預設已允許存取TCP協議的3389、80和443連接埠。

    • Linux:預設已允許存取TCP協議的22、80和443連接埠。

  • ICMP協議:預設放開所有連接埠(即-1),允許任意源IP地址訪問。

如果您在控制台刪除或者禁用這些預設連接埠,則在防火牆頁面將會顯示類似您在防火牆禁用或刪除了預設的22連接埠允許存取規則,影響遠端連線功能提示資訊,您可以根據需求添加或者啟用對應的連接埠。

使用限制

  • 單台Simple Application Server最多可建立50條防火牆規則。

  • 25連接埠是預設的郵箱服務連接埠,但基於安全考慮,Simple Application Server的25連接埠預設受限。如果您有郵件發送需求,請使用465連接埠。

  • 防火牆只能對Simple Application Server的入流量進行控制,出流量預設允許所有請求。

    說明
    • 入流量:資料從Simple Application Server外通過公網或內網傳輸至執行個體內產生的流量。

    • 出流量:資料從Simple Application Server內通過公網或內網傳輸至執行個體外產生的流量。

防火牆設定

  1. 登入Simple Application Server管理主控台

  2. 在左側導覽列,單擊伺服器

  3. 找到待添加防火牆規則的Simple Application Server,單擊伺服器卡片中的執行個體ID。

  4. 防火牆頁面的左上方,單擊添加規則

  5. 添加防火牆規則對話方塊,完成相關參數的配置後,單擊確認添加

    警告
    • 添加防火牆規則時,請您按需配置連接埠範圍和允許訪問的IP地址,遵循最小授權原則,以避免伺服器受到網路攻擊。

    • 如果添加防火牆規則的連接埠、協議、IP地址與已有規則重複時,無論當前已有規則處於啟用或禁用狀態,新規則均會覆蓋已有規則。

    選擇預設防火牆規則

    您可以直接選擇預設的防火牆規則模板,協助您快速添加防火牆規則。具體的參數配置項說明如下表所示。

    參數

    說明

    應用類型

    根據業務需求選擇RDPFTPTELNETMYSQL全部TCP全部UDP全部TCP+UDP。更多資訊,請參見預設連接埠說明

    協議

    預設顯示協議,不可更改。

    連接埠範圍

    預設顯示連接埠,不可更改。

    限制IP來源

    預設為0.0.0.0/0,即對所有IPv4地址開放。

    重要

    請您按需配置,遵循最小授權原則,避免伺服器受到網路攻擊。

    備忘

    輸入防火牆規則的備忘資訊,方便後續管理防火牆規則。

    操作

    • 單擊添加,可添加多條防火牆規則。

    • 單擊刪除,刪除防火牆規則。

    自訂防火牆規則

    如果預設的防火牆規則模板不滿足您的業務需求,您可以自訂一條或多條防火牆規則。具體的參數配置項說明如下表所示。

    參數

    說明

    應用類型

    預設選擇自訂

    協議

    選擇TCP或者UDP協議。

    連接埠範圍

    連接埠取值範圍為1~65535。支援以下設定方式:

    • 設定單個連接埠

      直接輸入允許存取的連接埠號碼即可。例如,您需要允許存取MySQL資料庫監聽的連接埠號碼3306,則連接埠範圍設定為3306

    • 設定連接埠範圍

      可以指定一個斜線(/)分隔的連接埠範圍。例如,您需要允許存取FTP設定檔中手動設定的連接埠範圍20000~30000,則連接埠範圍設定為20000/30000

    限制IP來源

    預設為0.0.0.0/0,即對所有IPv4地址開放。您也可以自訂允許訪問的IPv4地址:

    • 允許單個IPv4地址訪問

      填寫單個IPv4地址。例如:192.168.0.100。

    • 允許某個CIDR段內的所有IPv4地址訪問

      輸入IPv4 CIDR地址塊,例如:192.168.0.0/24。

    備忘

    輸入防火牆規則的備忘資訊,方便後續管理防火牆規則。

    操作

    • 單擊添加,可添加多條防火牆規則。

    • 單擊刪除,刪除防火牆規則。

修改、禁用、啟用、刪除防火牆規則

添加防火牆規則後,您可以根據業務需求執行以下相關操作。

相關操作

說明

操作步驟

修改防火牆規則

如果已建立或者預設添加的防火牆規則不滿足您的業務需求,您可以修改防火牆規則。

  1. 在目標防火牆規則的操作列,單擊修改

  2. 在彈出的修改對話方塊中,根據需求修改協議、連接埠範圍、限制IP來源和備忘。

  3. 單擊確定

禁用防火牆規則

如果需要臨時關閉某個連接埠,可以禁用該連接埠,後續無需再次建立防火牆規則。

重要

禁用防火牆規則可能會導致相應連接埠不可訪問,從而影響業務運行。建議在確保此操作不會影響正常業務的前提下,謹慎使用此功能。

  1. 在目標防火牆規則的操作列,單擊禁用

  2. 在彈出的禁用對話方塊中,單擊確定

啟用防火牆規則

已禁用的連接埠,後續使用可啟用該連接埠。

  1. 在目標防火牆規則的操作列,單擊啟用

  2. 在彈出的啟用對話方塊中,單擊確定

刪除防火牆規則

如果已建立的防火牆規則不再使用,您可以刪除防火牆規則。

說明

如果已建立的防火牆規則沒有達到上限50條,建議您暫時禁用防火牆規則,方便後續使用。

  1. 在目標防火牆規則的操作列,單擊刪除

  2. 在彈出的刪除對話方塊中,單擊確定

預設連接埠說明

為了便於使用者直接添加防火牆規則,阿里雲預設了常用的防火牆規則,協助您快速添加防火牆規則,具體說明如下表所示。更多常用連接埠,請參見常用連接埠

應用類型

協議

連接埠範圍

限制IP來源

說明

HTTP

TCP

80

0.0.0.0/0

重要
  • 預設為0.0.0.0/0,即對所有IPv4地址開放。

  • 請您按需配置,遵循最小授權原則,避免伺服器受到網路攻擊。

HTTP協議預設連接埠,用於網站服務例如IIS、Apache、Nginx等提供對外訪問。更多資訊,請參見基於CentOS系統鏡像快速部署Apache服務

HTTPS

TCP

443

HTTPS加密協議預設連接埠。更多資訊,請參見:

RDP

TCP

3389

遠端桌面通訊協定(RDP)預設連接埠,用於通過遠端桌面連線Windows伺服器。更多資訊,請參見遠端連線Windows伺服器

FTP

TCP

21

FTP協議預設連接埠,用於上傳、下載檔案。更多資訊,請參見搭建FTP伺服器(Linux)

TELNET

TCP

23

Telnet預設連接埠。

MySQL

TCP

3306

MySQL資料庫預設連接埠。更多資訊,請參見使用DMS串連伺服器中的資料庫

全部TCP

TCP

1~65535

全部TCP連接埠。

全部UDP

UDP

1~65535

全部UDP連接埠。

全部TCP+UDP

TCP+UDP

1~65535

全部TCP+UDP連接埠。

自訂

TCP或UDP

1~65535

自訂的連接埠範圍。

常見問題

Q1:伺服器防火牆和作業系統防火牆的區別?

  • Simple Application Server防火牆Simple Application Server提供控制台可視化管理介面,操作方便,但只能用於控制入方向的流量。

  • 作業系統內部防火牆:系統管理員可以通過在作業系統內部設定一定的規則來控制出入方向的流量,但需要熟悉相應的防火牆軟體,例如:Linux的iptables等。對於Linux使用者,還需要熟悉命令列。

Q2:如何查看某個連接埠是否可以telnet通?

執行以下命令,查看連接埠是否通。

telnet <IP地址> <連接埠>

本樣本以80連接埠為例,回顯資訊如下所示:

Windows

  • 連接埠通

    image.png

  • 連接埠不通

    C:\Users\Administrator>telnet 120.55.XX.XX 80
    正在串連120.55.XX.XX...無法開啟到主機的串連。 在連接埠 80: 串連失敗

Linux

  • 連接埠通

    [root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80
    Trying 120.55.XX.XX...
    Connected to 120.55.XX.XX.
    Escape character is '^]'.
  • 連接埠不通

    [root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80
    Trying 120.55.XX.XX...
    telnet: connect to address 120.55.XX.XX: Connection refused

Q3:如何檢查服務狀態及連接埠監聽狀態

本樣本以排查無法訪問Simple Application Server執行個體中的Nginx服務(預設連接埠為80)為例,排查其他服務時,請替換命令中的服務名和對應的連接埠。

Linux伺服器

本操作以CentOS 7.9為例,其他版本的Linux系統操作可能有所差異。

  1. 遠端連線Linux執行個體。

    具體操作,請參見遠端連線Linux伺服器

  2. 執行如下命令,查看Nginx服務狀態。

    systemctl status nginx
    • 如果返回類似如下資訊,則說明Nginx已經啟動。

      2023-06-04_17-06-23..png

    • 如果未開啟,請執行如下命令,啟動Nginx服務。

      systemctl start nginx
  3. 執行如下命令,查看連接埠是否正常被監聽。

    netstat -an | grep 80
    • 如果返回如下資訊,則說明80連接埠被正常監聽。

      image.png

    • 如果返回的不是以上資訊,表示80連接埠未處於監聽狀態。

Windows伺服器

本操作以Windows Server 2012為例,其他版本的Windows Server系統操作類似。

  1. 遠端連線Windows執行個體。

    具體操作,請參見遠端連線Windows伺服器

  2. 選擇開始 > 運行,輸入service.msc,單擊確定,開啟服務頁面。

  3. 查看nginx狀態。

    1. 如果nginx無狀態,請按右鍵該nginx服務,然後單擊啟動(S)

      2023-06-04_19-14-19..png

    2. 如果nginx狀態為正在運行,Nginx已啟動。

  4. 在Windows PowerShell中執行如下命令,查看連接埠是否正常被監聽。

    netstat -ano | findstr "80"
    • 如果返回如下資訊,則說明80連接埠被正常監聽。

      image.png

    • 如果返回的不是以上資訊,表示80連接埠未處於監聽狀態。

Q4:Simple Application Server連接埠不通怎麼辦?

如果伺服器涉及跨境訪問(包括中國香港),可能會受到國際鏈路擁塞,電訊廠商出境路由限制影響,出現網路鏈路擁塞、訪問不穩定、訪問延時過高的情況。跨境鏈路屬於電訊廠商公用網路,鏈路品質問題影響因素較多,電訊廠商短時間內可能難以得到最佳化和改進。

解決方案:

其他連接埠不通的情境,請根據以下可能原因排查:

  1. 使用netstat -tunlp命令查看伺服器中對應連接埠是否有監聽,若當前連接埠無監聽,需要先啟動相應的服務,確保連接埠被監聽。

  2. 伺服器中內部防火牆是否有限制:

    • Ubuntu:使用sudo ufw status命令查看。

    • CentOS 7及更高版本:使用firewall-cmd --list-ports命令查看,如提示ufw或者firewall未運行,需要使用iptables -L;iptables -t nat -L查看防火牆規則。

  3. Simple Application Server控制台中的防火牆是否有添加連接埠允許存取規則。

相關文檔

設定防火牆規則後,如果網站或者伺服器串連失敗、輕量伺服器的防火牆不滿足您的業務需求,您可以參考以下文檔: