應用通過伺服器的連接埠對外提供服務,通過瞭解典型應用的預設連接埠,您可以更準確地添加或修改安全性群組規則。本章節介紹了ECS執行個體的常用連接埠及其應用情境。
背景資訊
添加安全性群組規則時,您必須指定通訊連接埠或連接埠範圍,然後安全性群組根據允許或拒絕策略決定是否轉寄資料到ECS執行個體。例如,使用Xshell用戶端遠端連線ECS執行個體時,當安全性群組檢測到從公網或內網有SSH請求,會同時檢查入方向上發送請求的裝置的IP地址是否在允許允許存取的安全性群組規則中、22連接埠是否開啟,只有匹配到的安全性群組規則允許允許存取該請求時,方才建立資料通訊。
說明 部分電訊廠商判斷連接埠25、135、139、444、445、5800、5900等為高危連接埠,並預設屏蔽。即使您添加的安全性群組規則允許存取了這些連接埠,在受限地區仍無法訪問。建議您修改為其它非高危連接埠承載業務。
更多關於Windows Server系統應用的連接埠說明,請參見 《微軟文檔》Windows伺服器系統的服務概述和網路連接埠要求。
常用連接埠
典型應用的預設連接埠如下表所示。
連接埠 | 服務 | 說明 |
21 | FTP | FTP服務所開放的連接埠,用於上傳、下載檔案。 |
22 | SSH | SSH連接埠,用於通過命令列模式或遠端連線軟體(例如PuTTY、Xshell、SecureCRT等)串連Linux執行個體。詳情請參見通過密碼認證登入Linux執行個體。 |
23 | Telnet | Telnet連接埠,用於Telnet遠程登入ECS執行個體。 |
25 | SMTP | SMTP服務所開放的連接埠,用於發送郵件。 基於安全考慮,ECS執行個體25連接埠預設受限,建議您使用SSL加密連接埠(通常是465連接埠)來對外發送郵件。 |
53 | DNS | 用於網域名稱解析伺服器(Domain Name Server,簡稱DNS)協議。 如果在安全性群組出方向實行白名單方式,需要允許存取53連接埠(UDP協議)才能實現網域名稱解析。 |
80 | HTTP | 用於HTTP服務提供訪問功能,例如,IIS、Apache、Nginx等服務。 如何排查80連接埠故障,請參見檢查TCP 80連接埠是否正常工作。 |
110 | POP3 | 用於POP3協議,POP3是電子郵件收發的協議。 |
143 | IMAP | 用於IMAP(Internet Message Access Protocol)協議,IMAP是用於電子郵件的接收的協議。 |
443 | HTTPS | 用於HTTPS服務提供訪問功能。HTTPS是一種能提供加密和通過安全連接埠傳輸的一種協議。 |
1433 | SQL Server | SQL Server的TCP連接埠,用於供SQL Server對外提供服務。 |
1434 | SQL Server | SQL Server的UDP連接埠,用於返回SQL Server使用了哪個TCP/IP連接埠。 |
1521 | Oracle | Oracle通訊連接埠,ECS執行個體上部署了Oracle SQL需要允許存取的連接埠。 |
3306 | MySQL | MySQL資料庫對外提供服務的連接埠。 |
3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(遠端桌面服務)連接埠,可以通過這個連接埠使用軟體串連Windows執行個體。詳情請參見通過密碼認證登入Windows執行個體。 |
8080 | 代理連接埠 | 同80連接埠一樣,8080連接埠常用於WWW代理服務,實現網頁瀏覽。如果您使用了8080連接埠,訪問網站或使用Proxy 伺服器時,需要在IP地址後面加上:8080 。安裝Apache Tomcat服務後,預設服務連接埠為8080。 |
137、138、139 | NetBIOS協議 |
|
常用連接埠的應用情境樣本
下表為部分連接埠的應用情境,以及對應的安全性群組規則設定,更多情境舉例請參見安全性群組應用案例。
應用情境 | 網路類型 | 方向 | 策略 | 協議 | 連接埠範圍 | 物件類型 | 授權對象 | 優先順序 |
SSH遠端連線Linux執行個體 | Virtual Private Cloud | 入方向 | 允許 | 自訂TCP | SSH (22) | 位址區段訪問 | 0.0.0.0/0 | 1 |
傳統網路 | 公網入方向 | |||||||
RDP遠端連線Windows執行個體 | Virtual Private Cloud | 入方向 | 允許 | 自訂TCP | RDP (3389) | 位址區段訪問 | 0.0.0.0/0 | 1 |
傳統網路 | 公網入方向 | |||||||
公網Ping ECS執行個體 | Virtual Private Cloud | 入方向 | 允許 | 全部ICMP | -1/-1 | 位址區段訪問或安全性群組訪問 | 根據授與類型填寫 | 1 |
傳統網路 | 公網入方向 | |||||||
ECS執行個體作Web伺服器 | Virtual Private Cloud | 入方向 | 允許 | 自訂TCP | HTTP (80) | 位址區段訪問 | 0.0.0.0/0 | 1 |
傳統網路 | 公網入方向 | |||||||
使用FTP上傳或下載檔案 | Virtual Private Cloud | 入方向 | 允許 | 自訂 TCP | 20/21 | 位址區段訪問 | 指定IP段 | 1 |
傳統網路 | 公網入方向 |