防火牆是一種虛擬防火牆,通過防火牆規則控制Simple Application Server的入流量,保障Simple Application Server的安全。本文介紹如何為Simple Application Server添加、修改、禁用、啟用和刪除防火牆規則,同時提供防火牆功能預設的連接埠資訊、常見問題以及相關文檔。
功能說明
每台Simple Application Server根據作業系統的防火牆預設允許存取以下連接埠,除預設允許存取的連接埠外,其他連接埠預設是禁用狀態,您可以根據業務需求通過添加防火牆規則允許存取所需連接埠。
TCP協議:
Windows:預設已允許存取TCP協議的3389、80和443連接埠。
Linux:預設已允許存取TCP協議的22、80和443連接埠。
ICMP協議:預設放開所有連接埠(即-1),允許任意源IP地址訪問。
如果您在控制台刪除或者禁用這些預設連接埠,則在防火牆頁面將會顯示類似您在防火牆禁用或刪除了預設的22連接埠允許存取規則,影響遠端連線功能提示資訊,您可以根據需求添加或者啟用對應的連接埠。
使用限制
單台Simple Application Server最多可建立50條防火牆規則。
25連接埠是預設的郵箱服務連接埠,但基於安全考慮,Simple Application Server的25連接埠預設受限。如果您有郵件發送需求,請使用465連接埠。
防火牆只能對Simple Application Server的入流量進行控制,出流量預設允許所有請求。
說明入流量:資料從Simple Application Server外通過公網或內網傳輸至執行個體內產生的流量。
出流量:資料從Simple Application Server內通過公網或內網傳輸至執行個體外產生的流量。
防火牆設定
在左側導覽列,單擊伺服器。
找到待添加防火牆規則的Simple Application Server,單擊伺服器卡片中的執行個體ID。
在防火牆頁面的左上方,單擊添加規則。
在添加防火牆規則對話方塊,完成相關參數的配置後,單擊確認添加。
警告添加防火牆規則時,請您按需配置連接埠範圍和允許訪問的IP地址,遵循最小授權原則,以避免伺服器受到網路攻擊。
如果添加防火牆規則的連接埠、協議、IP地址與已有規則重複時,無論當前已有規則處於啟用或禁用狀態,新規則均會覆蓋已有規則。
選擇預設防火牆規則
您可以直接選擇預設的防火牆規則模板,協助您快速添加防火牆規則。具體的參數配置項說明如下表所示。
參數
說明
應用類型
根據業務需求選擇RDP、FTP、TELNET、MYSQL、全部TCP、全部UDP和全部TCP+UDP。更多資訊,請參見預設連接埠說明。
協議
預設顯示協議,不可更改。
連接埠範圍
預設顯示連接埠,不可更改。
限制IP來源
預設為0.0.0.0/0,即對所有IPv4地址開放。
重要請您按需配置,遵循最小授權原則,避免伺服器受到網路攻擊。
備忘
輸入防火牆規則的備忘資訊,方便後續管理防火牆規則。
操作
單擊添加,可添加多條防火牆規則。
單擊刪除,刪除防火牆規則。
自訂防火牆規則
如果預設的防火牆規則模板不滿足您的業務需求,您可以自訂一條或多條防火牆規則。具體的參數配置項說明如下表所示。
參數
說明
應用類型
預設選擇自訂。
協議
選擇TCP或者UDP協議。
連接埠範圍
連接埠取值範圍為1~65535。支援以下設定方式:
設定單個連接埠
直接輸入允許存取的連接埠號碼即可。例如,您需要允許存取MySQL資料庫監聽的連接埠號碼3306,則連接埠範圍設定為
3306。設定連接埠範圍
可以指定一個斜線(/)分隔的連接埠範圍。例如,您需要允許存取FTP設定檔中手動設定的連接埠範圍20000~30000,則連接埠範圍設定為
20000/30000。
限制IP來源
預設為0.0.0.0/0,即對所有IPv4地址開放。您也可以自訂允許訪問的IPv4地址:
允許單個IPv4地址訪問
填寫單個IPv4地址。例如:192.168.0.100。
允許某個CIDR段內的所有IPv4地址訪問
輸入IPv4 CIDR地址塊,例如:192.168.0.0/24。
備忘
輸入防火牆規則的備忘資訊,方便後續管理防火牆規則。
操作
單擊添加,可添加多條防火牆規則。
單擊刪除,刪除防火牆規則。
修改、禁用、啟用、刪除防火牆規則
添加防火牆規則後,您可以根據業務需求執行以下相關操作。
相關操作 | 說明 | 操作步驟 |
修改防火牆規則 | 如果已建立或者預設添加的防火牆規則不滿足您的業務需求,您可以修改防火牆規則。 |
|
禁用防火牆規則 | 如果需要臨時關閉某個連接埠,可以禁用該連接埠,後續無需再次建立防火牆規則。 重要 禁用防火牆規則可能會導致相應連接埠不可訪問,從而影響業務運行。建議在確保此操作不會影響正常業務的前提下,謹慎使用此功能。 |
|
啟用防火牆規則 | 已禁用的連接埠,後續使用可啟用該連接埠。 |
|
刪除防火牆規則 | 如果已建立的防火牆規則不再使用,您可以刪除防火牆規則。 說明 如果已建立的防火牆規則沒有達到上限50條,建議您暫時禁用防火牆規則,方便後續使用。 |
|
預設連接埠說明
為了便於使用者直接添加防火牆規則,阿里雲預設了常用的防火牆規則,協助您快速添加防火牆規則,具體說明如下表所示。更多常用連接埠,請參見常用連接埠。
應用類型 | 協議 | 連接埠範圍 | 限制IP來源 | 說明 |
HTTP | TCP | 80 | 0.0.0.0/0 重要
| HTTP協議預設連接埠,用於網站服務例如IIS、Apache、Nginx等提供對外訪問。更多資訊,請參見基於CentOS系統鏡像快速部署Apache服務。 |
HTTPS | TCP | 443 | HTTPS加密協議預設連接埠。更多資訊,請參見: | |
RDP | TCP | 3389 | 遠端桌面通訊協定(RDP)預設連接埠,用於通過遠端桌面連線Windows伺服器。更多資訊,請參見遠端連線Windows伺服器。 | |
FTP | TCP | 21 | FTP協議預設連接埠,用於上傳、下載檔案。更多資訊,請參見搭建FTP伺服器(Linux)。 | |
TELNET | TCP | 23 | Telnet預設連接埠。 | |
MySQL | TCP | 3306 | MySQL資料庫預設連接埠。更多資訊,請參見使用DMS串連伺服器中的資料庫。 | |
全部TCP | TCP | 1~65535 | 全部TCP連接埠。 | |
全部UDP | UDP | 1~65535 | 全部UDP連接埠。 | |
全部TCP+UDP | TCP+UDP | 1~65535 | 全部TCP+UDP連接埠。 | |
自訂 | TCP或UDP | 1~65535 | 自訂的連接埠範圍。 |
常見問題
執行以下命令,查看連接埠是否通。
telnet <IP地址> <連接埠>本樣本以80連接埠為例,回顯資訊如下所示:
Windows
連接埠通
連接埠不通
C:\Users\Administrator>telnet 120.55.XX.XX 80 正在串連120.55.XX.XX...無法開啟到主機的串連。 在連接埠 80: 串連失敗
Linux
連接埠通
[root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80 Trying 120.55.XX.XX... Connected to 120.55.XX.XX. Escape character is '^]'.連接埠不通
[root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80 Trying 120.55.XX.XX... telnet: connect to address 120.55.XX.XX: Connection refused
本樣本以排查無法訪問Simple Application Server執行個體中的Nginx服務(預設連接埠為80)為例,排查其他服務時,請替換命令中的服務名和對應的連接埠。
Linux伺服器
本操作以CentOS 7.9為例,其他版本的Linux系統操作可能有所差異。
遠端連線Linux執行個體。
具體操作,請參見遠端連線Linux伺服器。
執行如下命令,查看Nginx服務狀態。
systemctl status nginx如果返回類似如下資訊,則說明Nginx已經啟動。
如果未開啟,請執行如下命令,啟動Nginx服務。
systemctl start nginx
執行如下命令,查看連接埠是否正常被監聽。
netstat -an | grep 80如果返回如下資訊,則說明80連接埠被正常監聽。
如果返回的不是以上資訊,表示80連接埠未處於監聽狀態。
Windows伺服器
本操作以Windows Server 2012為例,其他版本的Windows Server系統操作類似。
遠端連線Windows執行個體。
具體操作,請參見遠端連線Windows伺服器。
選擇開始 > 運行,輸入
service.msc,單擊確定,開啟服務頁面。查看nginx狀態。
如果nginx無狀態,請按右鍵該nginx服務,然後單擊啟動(S)。
如果nginx狀態為正在運行,Nginx已啟動。
在Windows PowerShell中執行如下命令,查看連接埠是否正常被監聽。
netstat -ano | findstr "80"如果返回如下資訊,則說明80連接埠被正常監聽。
如果返回的不是以上資訊,表示80連接埠未處於監聽狀態。
相關文檔
設定防火牆規則後,如果網站或者伺服器串連失敗、輕量伺服器的防火牆不滿足您的業務需求,您可以參考以下文檔: