1、确定应用需求(选什么端口)
2、配置安全组(如何开放端口)
3、检查主机防火墙(最终放行)
第一步:确定应用需求 - 如何选择端口号?
选择端口号主要依据您要在云主机上运行什么服务。
A. 常用服务默认端口(公认端口:1-1023)
这些端口有公认的用途,建议遵循惯例,方便管理。
网站服务 (Web Service)
HTTP:80 - 用于普通的HTTP网站。
HTTPS:443 - 用于加密的HTTPS网站。这是搭建网站必开的端口。
远程连接管理
SSH:22 - 用于Linux系统的安全远程命令行管理。这是管理Linux主机的生命线,但为了安全,强烈建议修改为非常用端口。
RDP:3389 - 用于Windows系统的远程桌面连接。同样,管理Windows主机必开,但也建议修改。
文件传输
FTP:21 (控制端口) 和20 (数据端口) - 用于文件传输协议。
SFTP:22 - 基于SSH的文件传输,更安全。
数据库
MySQL:3306
Redis:6379
MongoDB:27017
PostgreSQL:5432
注意 数据库端口绝对不要对公网开放,只应允许特定IP(如您的应用服务器IP)或内网IP访问。
B. 自定义服务端口(注册端口:1024-49151)
如果您部署的是自定义应用(如自己开发的网站、游戏服务端、内部API等),应该从这部分端口号中选择。
推荐范围800065535
选择建议
避免使用非常知名的端口,如8080(常被用作HTTP代理或备用Web端口)、8888等,以减少被自动化脚本扫描攻击的风险。
* 可以选择一个对您有特殊意义的、容易记忆的数字,例如3000,5000,9000 等。
C. 动态或私有端口(49152-65535)
通常为客户端程序使用,服务端一般不会选用。
第二步:核心配置 - 在移动云控制台设置【安全组】
安全组是云平台的虚拟防火墙,是保护云主机的第一道也是最重要的一道防线。 端口能否从外网访问,完全由安全组规则决定。
1、登录移动云控制台。
2、 进入计算 ->云主机 页面。
3、 找到您要配置的云主机实例,点击实例名称进入详情页。
4、 在详情页中,找到安全组 选项卡。
5、 点击配置规则,您会看到当前安全组的入站和出站规则。
这是最关键的一步,您需要添加规则来“放行”您在第一步选定的端口。
规则方向入方向
动作允许
协议端口
精确端口 如果您只开放一个端口,例如443,直接填写即可。
连续端口 如果需要开放一个范围的端口,格式为起始端口/结束端口,如8000/8100。
常用协议 也可以直接选择下拉菜单中的HTTP (80),HTTPS (443),SSH (22) 等,系统会自动填充。
授权对象(源地址)这是安全的关键!
对公网完全开放 填写0.0.0.0/0。这意味着全世界的IP都可以尝试访问这个端口,请谨慎使用! 通常仅用于Web服务(80, 443)。
对特定IP开放(推荐用于管理端口) 如果您只希望从您的公司或家庭的IP地址通过SSH(22端口)管理服务器,就填写您公司的公网IP,如123.123.123.123/32,这极大地提升了安全性。
仅对内网开放 填写移动云的VPC内网网段,如10.0.0.0/8,适用于数据库端口等内部服务。
示例规则:
| 规则方向 | 优先级 | 动作 | 协议 | 端口范围 | 授权对象 | 说明 |
| 入方向 | 1 | 允许 | TCP | 80 | 0.0.0.0/0 | 允许所有IP访问HTTP网站 |
| 入方向 | 1 | 允许 | TCP | 443 | 0.0.0.0/0 | 允许所有IP访问HTTPS网站 |
| 入方向 | 1 | 允许 | TCP | 22 | 您的公网IP/32 | 仅允许您的IP通过SSH连接 |
| 入方向 | 1 | 允许 | TCP | 3306 | 您的云主机内网IP段 | 仅允许内网其他主机访问MySQL |
第三步:最终检查 - 配置云主机内部的防火墙
安全组配置好后,数据包已经到达您的云主机操作系统,还需要确保主机内部的防火墙没有阻止该端口。
Linux系统(如CentOS, Ubuntu)
* 主流系统通常使用firewalld 或iptables。
检查状态systemctl status firewalld
如果防火墙开启且严格模式,需要放行端口
firewall-cmd --permanent --add-port=80/tcp (放行80端口)
firewall-cmd --reload (重载配置)
简易做法(仅用于测试或内网环境) 如果确认安全组足够安全,可以直接关闭防火墙:systemctl stop firewalld &&systemctl disable firewalld。生产环境不推荐。
Windows系统
* 进入控制面板 ->Windows Defender 防火墙 ->高级设置。
* 创建入站规则,选择端口,然后指定您需要开放的TCP或UDP端口号。
1、最小权限原则: 只开放绝对必要的端口,不需要的端口一律关闭。
2、限制访问源IP: 对于管理端口(SSH的22,RDP的3389),务必设置为只允许您信任的IP地址访问(如公司、家庭的固定IP),千万不要设置为0.0.0.0/0。
3、修改默认端口: 将SSH(22)或RDP(3389)等默认管理端口修改为一个高端口(如5xxxx),可以有效减少被暴力破解的扫描和攻击。
4、安全组优先: 尽量在安全组层面实现访问控制,这比操作系统的防火墙更高效,且不消耗主机资源。
5、流程验证: 配置完成后,务必使用telnet <您的公网IP> <端口号> 或在线端口扫描工具测试端口是否真正通畅。
遵循以上步骤,您就可以安全、正确地完成移动云主机端口的选取和配置工作了。
文章摘自:https://idc.huochengrm.cn/zj/16628.html
评论