如果您了解ECS实例的常用端口,您可以更准确的添加网络ACL(Network Access Control List)规则。本文为您介绍ECS实例常用端口及常用端口的典型应用。

常用端口列表

常用端口及服务如下表所示。

端口服务说明
21FTPFTP服务所开放的端口,用于上传、下载文件。
22SSHSSH端口,用于通过命令行模式使用用户名密码验证连接Linux实例。
23TelnetTelnet端口,用于Telnet远程登录ECS实例。
25SMTPSMTP服务所开放的端口,用于发送邮件。
80HTTP用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。
110POP3用于POP3协议,POP3是电子邮件接收的协议。
143IMAP用于IMAP(Internet Message Access Protocol)协议,IMAP是用于接收电子邮件的协议。
443HTTPS用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。
1433SQL ServerSQL Server的TCP端口,用于供SQL Server对外提供服务。
1434SQL ServerSQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。
1521OracleOracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。
3306MySQLMySQL数据库对外提供服务的端口。
3389Windows Server Remote Desktop ServicesWindows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。
8080代理端口同80端口,8080端口常用于WWW代理服务,实现网页浏览。

自定义网络ACL

入方向规则出方向规则显示了一个仅支持IPv4的VPC的网络ACL示例。其中:
  • 生效顺序1、2、3、4的入方向规则分别为允许HTTP、HTTPS、SSH、RDP数据流进入交换机的规则,出方向响应规则为生效顺序3的出方向规则。
  • 生效顺序1、2的出方向规则分别为允许HTTP和HTTPS流量离开交换机的规则,入方向响应规则为生效顺序5的入方向规则。
  • 生效顺序6的入方向规则为拒绝所有入方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。
  • 生效顺序4的出方向规则为拒绝所有出方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。
说明 无论是入方向规则还是出方向规则,请确保每一条规则都存在允许响应流量的相应入方向或出方向规则。
表 1. 入方向规则
生效顺序协议类型源地址目的端口范围策略说明
1tcp0.0.0.0/080/80允许允许来自任意IPv4地址的HTTP流量。
2tcp0.0.0.0/0443/443允许允许来自任意IPv4地址的HTTPS流量。
3tcp0.0.0.0/022/22允许允许来自任意IPv4地址的SSH流量。
4tcp0.0.0.0/03389/3389允许允许来自任意IPv4地址的RDP流量。
5tcp0.0.0.0/032768/65535允许允许来自任意IPv4的地址访问端口范围为32768~65535的TCP流量。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口

6all0.0.0.0/0-1/-1拒绝拒绝所有入方向IPv4流量。
表 2. 出方向规则
生效顺序协议类型目标地址目的端口范围策略说明
1tcp0.0.0.0/080/80允许允许出方向IPv4 HTTP流量从交换机流向互联网。
2tcp0.0.0.0/0443/443允许允许出方向IPv4 HTTPS流量从交换机流向互联网。
3tcp0.0.0.0/032768/65535允许允许对互联网客户端的出站IPv4响应。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口

4all0.0.0.0/0-1/-1拒绝拒绝所有出方向IPv4流量。

负载均衡的网络ACL

绑定网络ACL的交换机中的ECS作为负载均衡SLB的后端服务器时,您需要添加如下网络ACL规则。
  • 入方向规则
    生效顺序协议类型源地址目的端口范围策略说明
    1SLB监听协议允许接入SLB的客户端IPSLB监听端口允许在SLB监听端口上允许来自指定客户端IP的入方向流量。
    2健康检查协议100.64.0.0/10健康检查端口允许在健康检查端口上允许来自健康检查地址的入方向流量。
  • 出方向规则
    生效顺序协议类型目标地址目的端口范围策略说明
    1all允许接入SLB的客户端IP-1/-1允许允许所有流向指定客户端IP的出方向流量。
    2all100.64.0.0/10-1/-1允许允许所有流向健康检查地址的出方向流量。

临时端口

不同类型的客户端发起请求时使用的端口不同,您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。
客户端端口范围
Linux32768/61000
Windows Server 20031025/5000
Windows Server 2008及更高版本49152/65535
NAT网关1024/65535