雲伺服器在使用中網絡通信是第一要素。要做好網絡通信的管理,首要就是配置雲伺服器的安全組(防火牆),放行端口。
各廠商雲伺服器都有這快得設定,舉例一台騰訊雲伺服器的設定做個記錄。
一、環境準備
雲平台----騰訊雲
伺服器----winserver 2008 R2
背景管理位址:https://cloud.tencent.com/login/
其實不區分作業系統,雲伺服器的防火牆設定都是一樣的,放行端口就OK
二、思路設計
伺服器到外部網絡:網絡全通
外部到伺服器做限制:
放行常用windwos遠端端口:3389
放行sql server資料庫遠端端口:1433
其他常用端口:20,21,22,23,80,443等
先預設拒絕所有,在依次開啟需要放行的端口及ip
三、操作流程
1.登入騰訊雲背景--管理控制台
2. 點選進入-雲伺服器管理
3. 左側找到----安全組
4. 進入設定安全組規則
5.先放通出站規則:意思就是雲伺服器到外部網絡的通信,沒特殊要求建議所有
添加規則裡面模闆:
目标:就是目的網段或ip位址 協定端口:單個端口就是端口号,單個協定就是協定名,所有就是ALL 政策:允許/放行 備注:設定一個備注好記
所有通信 ip就是0.0.0.0/0 協定端口:ALL 政策:放行 備注:所有通信
6.入站規則設定:
入站的意思就是從外部的資料包進入雲伺服器,這一塊不能開啟所有!
舉個栗子:當你用雲伺服器,你的IP是公網IP,所有人都可以去挨個ping啊,端口掃描等等這個IP位址。
整個網際網路中有些黑客一直在做一些端口掃描和一些攻擊,是以隻能放通一部分端口與應用。
把常用的應用放通,例如伺服器遠端和FTP;将來源設定成一個公司或者自己網絡的出口(營運商提供的一個固定ip段)。
這樣就隻能在公司或者自己網絡的出口能夠跟雲伺服器進行遠端,FTP上傳下載下傳檔案。
模闆:
一般來說,入站規則預設政策就是防火牆裡面的白名單。預設就是拒絕所有,但是為了安全起見,還行在做政策之前先做一條拒絕所有。
拒絕所有:
關于出口:
如果有公司性質的,出口網段就打營運商電話問,專線一般是一個IP段,子網路遮罩可以百度子網路遮罩電腦來計算。例如10.10.10.1-10/25
如果是個人使用,一般就是ADSL,這種情況就需要每天做政策,因為一直在變。網友有個辦法可以試下,就是打營運商的電話,讓那邊給一個固定的IP位址,看人品了。
ADSL一般不好做,因為一直在變幻,十分麻煩。經部落客測試,聯通的ADSL是做不了出口的,因為一直在變,而移動跟電信ADSL做過是可以的,不過麻煩,要每天來添加。
3389windows遠端允許公司出口:
資料庫sql server允許公司出口:
其他的端口跟上面操作一樣,依次添加即可。
四、注意事項
1.如果出口的子網路遮罩不會的,建議百度一下子網路遮罩電腦計算一下。
2.入站規則這一塊是有順序的,比對政策是從上到下,依次比對。
3.windwos系統建議把伺服器裡面自帶的防火牆關閉,就用這個安全組來做。
4.linux系統建議把iptables,selinux關閉,也使用雲平台的安全組來做。
作者:
部落格園-李宗盛
出處:
https://home.cnblogs.com/u/subsea/
始終相信美好的事情即将發生