应用通过服务器的端口对外提供服务,通过了解典型应用的默认端口,您可以更准确地添加或修改安全组规则。本章节介绍了ECS实例的常用端口及其应用场景。
背景信息
添加安全组规则时,您必须指定通信端口或端口范围,然后安全组根据允许或拒绝策略决定是否转发数据到ECS实例。例如,使用Xshell客户端远程连接ECS实例时,当安全组检测到从公网或内网有SSH请求,会同时检查入方向上发送请求的设备的IP地址是否在允许放行的安全组规则中、22端口是否开启,只有匹配到的安全组规则允许放行该请求时,方才建立数据通信。
说明 **: 部分运营商判断端口25、135、139、444、445、5800、5900等为高危端口,并默认屏蔽。即使您添加的安全组规则放行了这些端口,在受限地区仍无法访问。建议您修改为其它非高危端口承载业务。
常用端口
典型应用的默认端口如下表所示。
| 端口 | 服务 | 说明 |
|---|---|---|
| 21 | FTP | FTP服务所开放的端口,用于上传、下载文件。 |
| 22 | SSH | SSH端口,用于通过命令行模式或远程连接软件(例如PuTTY、Xshell、SecureCRT等)连接Linux实例。 |
| 23 | Telnet | Telnet端口,用于Telnet远程登录ECS实例。 |
| 25 | SMTP | SMTP服务所开放的端口,用于发送邮件。基于安全考虑,ECS实例25端口默认受限 |
|---|---|---|
| 53 | DNS | 用于域名解析服务器(Domain Name Server,简称DNS)协议。如果在安全组出方向实行白名单方式,需要放行53端口(UDP协议)才能实现域名解析。 |
| 80 | HTTP | 用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。 |
| 110 | POP3 | 用于POP3协议,POP3是电子邮件收发的协议。 |
| 143 | IMAP | 用于IMAP(Internet Message Access Protocol)协议,IMAP是用于电子邮件的接收的协议。 |
| 443 | HTTPS | 用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。 |
| 1433 | SQL Server | SQL Server的TCP端口,用于供SQL Server对外提供服务。 |
| 1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。 |
| 1521 | Oracle | |
| ------ | Oracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。 | |
| 3306 | MySQL | MySQL数据库对外提供服务的端口。 |
| 3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。 |
常用端口的应用场景示例
下表为部分端口的应用场景,以及对应的安全组规则设置
| 应用场景 | 网络类型 | 方向 | 策略 | 协议 | 端口范围 | 对象类型 | 授权对象 | 优先级 |
|---|---|---|---|---|---|---|---|---|
| SSH远程连接Linux实例 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | SSH (22) | 地址段访问 | 0.0.0.0/0 | 1 |
| 经典网络 | 公网入方向 | |||||||
| RDP远程连接Windows实例 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | RDP (3389) | 地址段访问 | 0.0.0.0/0 | 1 |
| 经典网络 | 公网入方向 | |||||||
| 公网Ping ECS实例 | 专有网络VPC | 入方向 | 允许 | 全部ICMP | -1/-1 | 地址段访问或安全组访问 | 根据授权类型填写 | 1 |
| 经典网络 | 公网入方向 | |||||||
| ECS实例作Web服务器 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | HTTP (80) | 地址段访问 | 0.0.0.0/0 | 1 |
| 经典网络 | 公网入方向 | |||||||
| 使用FTP上传或下载文件 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | 20/21 | 地址段访问 | 指定IP段 | |
| 经典网络 | 公网入方向 | |||||||
| - | ---- | ----- | - | - | - |
