阿里云 ECS 服务器的安全组设置

阿里云 ECS 服务器的安全组设置

缘由

最近公司规模缩减,原有的托管在 IDC 机房的服务器,都被处理掉了,所有代码都迁移到了阿里云的云服务器上了。

因为是小公司,只有一台应用服务器,所以在原有的服务器维护中,会对很多来源的 IP 通过 IPSec 进行禁用,以降低不必要的访问造成资源浪费。

但是,在迁移到云服务器后,发现 IPSec 好像不太起作用,然后发现阿里云自身提供了安全组设置,基本上就和 IPSec 一样的,所以,就简单了解了一下。

CSDN 文盲老顾的博客https://blog.csdn.net/superwfei
老顾的个人社区https://bbs.csdn.net/forums/bfba6c5031e64c13aa7c60eebe858a5f?category=10003&typeId=3364713

安全组

在进入阿里云的 云服务器Ecs 管理后,在网络与安全下有一个安全组,就相当于 IPSec的防火墙设置了。

然后,我们就可以创建一个新的安全组了。

在创建规则的时候,记得选择网络,即可对安全组生效范围进行设置了,如果没有选择网络,那么安全组是无法生效的哦。

多个安全组各司其职

安全组是可以设置多个的,每个安全组设置可以倾向一个方面,用来管理各种请求的处理。

例如老顾这里的这样,用多个安全组来进行管理。最下边的,是允许访问的 IP 地址集合,比如在家办公的 IP,公司的 IP,云服务器内网的 IP 之类的。

而由于老顾的资源很少,所以无法承载大并发的问题,所以老顾对一些无效,或者没有意义的访问都进行了拒绝访问,比如来自华为云的请求,比如来自搜狗蜘蛛的请求(垃圾搜索引擎,已经好多年没见人维护过了),比如来自阿里云其他网段的请求。

再来就是中间的,对于访问较少的时候,手动设置为允许访问,当并发过大的时候,或者有重要活动的时候,为了保证稳定而手动设置为拒绝访问的 IP 地址,比如百度之类的。

一些常见的IP段

百度 IP 段

58.48.28.0/24		只能确定 58.48.28.229 是百度的,在设置 robots 的地方,如果禁用了这个 229 的 IP,那么百度 Robots 检查更新后,下边的校验会异常,无法进行访问。
116.179.32.0/24		使用 nslookup 对 116.179.32.64 进行反查,可以返回反查信息 baiduspider-116-179-32-64.crawl.baidu.com
220.181.108.0/24	使用 nslookup 对 220.181.108.64 进行反查,可以返回反查信息 baiduspider-220-181-108-64.crawl.baidu.com
220.181.51.0/24		据说是百度蜘蛛,UserAgent 是这样没错,而且网上也都这么说,就当是吧
116.179.33.0/24		
116.179.37.0/24

使用 /24 作为掩码,是不想一个一个的写具体 IP 地址,没啥意义,毕竟整个 IP 段基本上就是同一个机房内的 IP 地址,确定其中一个为某个大厂的 IP 后,那么就可以确定整个 IP 段就是 IDC 或自建机房提供的了。

华为云 IP 段

140.210.128.0/17		只有前半段可以 nslookup 反查,所以掩码 17
139.9.0.0/16
124.71.0.0/16
124.70.0.0/16
123.249.0.0/17
122.9.0.0/16
120.46.0.0/16
119.3.0.0/16
116.63.0.0/16
114.116.0.0/16
1.95.0.0/16
1.94.0.0/16
1.92.0.0/16

搜狗蜘蛛 IP 段

111.202.101.0/24
61.135.159.0/24
123.183.224.0/24
123.126.68.0/24
123.126.50.0/24
49.7.20.0/24
49.7.21.0/24

阿里云 IP 段

47.96.0.0/16
47.99.0.0/16
121.40.211.0/24
121.40.99.0/24
120.26.121.0/24
120.26.120.0/24
120.55.115.0/24
47.101.159.0/24
47.98.99.0/24

。。。

当然,这些 IP 地址并不完整,只是老顾现在已经禁止访问的一些地址罢了,甚至腾讯云的 IP 地址老顾这里完全没有收录 ^v^,大家根据自己需要对一些会造成访问压力的 IP 地址进行禁用吧。

可惜的是,阿里云的安全组设置,必须点进去,对每个项设置拒绝或允许,而不能像 IPSec 一样,对整个安全组设置成统一的拒绝或允许,或者设置安全局是否启用,有一点小遗憾。

相关推荐
weixin_437398216 分钟前
Linux扩展——shell编程
linux·运维·服务器·bash
小林熬夜学编程15 分钟前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
Hacker_Fuchen17 分钟前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星19 分钟前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
冷心笑看丽美人37 分钟前
探秘 DNS 服务器:揭开域名解析的神秘面纱
linux·运维·服务器·dns
wenxiaocsdn42 分钟前
某科技局国产服务器PVE虚拟化技术文档
运维·服务器
独行soc8 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
远游客07139 小时前
centos stream 8下载安装遇到的坑
linux·服务器·centos
独行soc10 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
LIKEYYLL11 小时前
GNU Octave:特性、使用案例、工具箱、环境与界面
服务器·gnu