为云服务器ECS设置了安全组规则后,可能会因规则配置不当导致远程连接失败、服务无法访问,或因授权范围过大而引入安全风险。使用安全组规则检测功能,可以帮助您快速诊断安全组的端口放行策略是否符合预期。
操作步骤
访问ECS控制台-自助问题排查。在页面顶部,选择目标资源所在的资源组和地域。
在自助问题排查页面,单击安全组规则诊断页签下的发起诊断。
在检测实例和检测网卡下拉列表中,选择需要诊断的目标资源。
选择检测方式并执行检测。
一键检测:检测安全组规则是否放行ECS常用端口。
单击开始检测。系统将自动检测以下常用端口和协议的入方向规则:
22:用于远程连接Linux实例(SSH 服务)。
3389:用于远程连接Windows实例(RDP 服务)。
80, 443, 8080:用于对外提供Web服务。
ICMP:用于支持
ping命令测试网络可达性。
自定义检测:检测安全组规则是否允许特定IP与ECS网卡单向访问。
根据检测目标配置参数。以下以检测公网入方向规则为例:
规则方向:选择公网入网方向。
源地址:输入访问来源的公网IP地址。
目的端口:输入需要检测的端口号。
协议类型:选择对应的协议。
单击开始检测。
查看检测结果并采取相应措施。
检测完成后,系统会展示每个检测项的结果。
若结果为已开通:表示安全组规则允许指定流量通过。如业务不通,请排查实例内部防火墙、服务监听状态等其他因素。
若结果为未开通:表示安全组规则拦截了指定流量。可以单击开通端口快速添加一条放行规则。
重要通过开通端口功能自动添加的规则,其源地址可能默认为
0.0.0.0/0,代表允许来自任何IP地址的访问。为保障服务器安全,建议遵循最小授权原则。对于远程管理端口(如 22、3389),可手动修改安全组规则,将源地址设置为具体的IP地址或地址段,避免向全网开放,以防范暴力破解和未授权访问风险。若结果为无法开通:表示安全组规则不允许指定流量通过。可点击检测详情进行查看并手动进行修改调整。