核心原则
-
最小权限原则
- 只开放必要端口,禁止全端口开放(如
0.0.0/0 -1/-1)。 - 非必要服务(如 MySQL、Redis)禁止暴露到公网,仅内网访问。
- 只开放必要端口,禁止全端口开放(如
-
限制访问源IP
- SSH(22端口)、RDP(3389端口)等管理端口,仅允许特定IP(如公司IP)访问,避免
0.0.0/0。 - 示例:
45.67.89/32(单个IP)或168.1.0/24(内网段)。
- SSH(22端口)、RDP(3389端口)等管理端口,仅允许特定IP(如公司IP)访问,避免
-
优先级规则
- 安全组规则按优先级顺序生效(如阿里云:数字越小优先级越高)。
- 设置一条拒绝所有的兜底规则(低优先级)。
必备规则配置
入方向规则(Ingress)
| 协议类型 | 端口范围 | 授权对象 | 说明 |
|---|---|---|---|
| TCP | 80 | 0.0.0/0 | HTTP Web服务 |
| TCP | 443 | 0.0.0/0 | HTTPS Web服务 |
| TCP | 22 | 办公网IP/32 | SSH管理(非公网可关闭) |
| TCP | 3389 | 办公网IP/32 | Windows RDP管理 |
| ICMP | -1 | 0.0.0/0 | 允许Ping测试(可选) |
| 自定义TCP | 应用端口 | 负载均衡IP | 仅限前端LB访问后端 |
出方向规则(Egress)
- 默认允许所有出站流量(
0.0.0/0),避免影响服务更新、下载。 - 高安全场景:限制到特定IP(如只允许访问云存储、更新源)。
操作步骤(以阿里云为例)
-
登录控制台
- 进入ECS控制台 → 安全组 → 选择地域。
-
创建安全组
- 点击创建安全组,命名(如
prod-web-sg),选择VPC。
- 点击创建安全组,命名(如
-
添加入站规则
- 进入安全组 → 配置规则 → 入方向 → 添加规则:
规则1:允许HTTP(80)公网访问 规则2:允许HTTPS(443)公网访问 规则3:允许SSH(22)来源=公司IP 规则4:拒绝所有(优先级最低,协议=ALL,端口=-1,源=0.0.0.0/0)
- 进入安全组 → 配置规则 → 入方向 → 添加规则:
-
关联实例
- 在安全组详情页,选择关联实例,绑定目标服务器。
高级安全实践
- 修改默认端口
- 将SSH 22改为非标准端口(如
2222),减少扫描攻击。
- 将SSH 22改为非标准端口(如
- 分层隔离架构
- Web层安全组:开放80/443,关联负载均衡。
- 数据库层安全组:仅允许Web层安全组ID访问3306端口。
- 定期审计
- 检查无用规则(如测试IP)、暴露的高危端口。
- 启用云平台安全组审计工具(如阿里云配置审计)。
避坑指南
- 避免冲突规则:多条允许/拒绝规则时,注意优先级顺序。
- 禁止公网访问数据库:MySQL(3306)、Redis(6379)仅允许内网或跳板机IP。
- ICMP协议:生产环境可关闭Ping(
ICMP -1)防探测。
💡 紧急恢复:若误封IP导致无法登录,通过云控制台VNC连接修改规则。
通过严格遵循最小权限原则、分层隔离和定期审计,可显著提升服务器安全性,实际配置需结合业务需求调整(如游戏服务器需开放UDP端口)。
图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/289150.html
