安全組端口設(shè)置注意事項(xiàng)

安全組設(shè)置說明：http://www.shinetop.cn/faq/list.asp?unid=1430 

當(dāng)服務(wù)器ftp、數(shù)據(jù)庫或者遠(yuǎn)程端口遭受到黑客暴力破解的時(shí)候，可以利用安全組進(jìn)行設(shè)置攔截。

例如mysql、sqlserver被暴力破解，但外網(wǎng)又需要進(jìn)行使用，這時(shí)可以利用安全組先設(shè)置全網(wǎng)禁止3306（mysql端口）、1433（sqlserver端口）連接，然后再單獨(dú)設(shè)置允許連接的IP，其他端口設(shè)置也是一樣的原理。但需要注意允許連接的優(yōu)先級(jí)數(shù)字一定要比拒絕的大，否則設(shè)置無效。

例如下圖規(guī)則是允許某個(gè)IP段進(jìn)行遠(yuǎn)程，其他全部阻止連接。

注意服務(wù)器內(nèi)部本身也有一層防火墻（操作系統(tǒng)自帶防火墻），例如默認(rèn)情況下我司3306是不能連接的，要先保證服務(wù)器本身沒有限制，安全組才會(huì)有效果。

我司服務(wù)器常用端口：

21（ftp端口）

80（網(wǎng)站web端口）

3306（mysql端口）

1433（sqlserver端口）

3389（windows系統(tǒng)遠(yuǎn)程端口）

8080（我司W(wǎng)DCP系統(tǒng)默認(rèn)端口）

22000（我司彈性云linux系統(tǒng)端口）

33890（我司彈性云windows遠(yuǎn)程默認(rèn)端口）

33000-33003（我司服務(wù)器ftp被動(dòng)端口，ftp被動(dòng)模式連接時(shí)系統(tǒng)自身使用）

20000-20500（我司彈性云WDCP系統(tǒng)ftp被動(dòng)端口，ftp被動(dòng)模式連接時(shí)系統(tǒng)自身使用）

注意：攔截端口的時(shí)候，根據(jù)自己的需求放行以上對應(yīng)應(yīng)用端口，否則將導(dǎo)致對應(yīng)服務(wù)不能正常使用。

案例：

1、全網(wǎng)禁ping。

2、禁止某個(gè)IP（IP段）訪問。

3、設(shè)置只允許某個(gè)IP（IP段）遠(yuǎn)程服務(wù)器。

4、設(shè)置只允許某個(gè)IP（IP段）連接ftp。