阿里云国际站(Alibaba Cloud International)服务器的防火墙防护主要涉及两个层面:网络安全组(Security Group) 和操作系统内置防火墙(如iptables/firewalld)。以下是详细使用指南和防护建议:
一、网络安全组(Security Group)
网络安全组是阿里云提供的虚拟防火墙,用于控制ECS实例的入站和出站流量。
使用步骤:
-
登录控制台
进入 阿里云国际站控制台 → 选择 ECS → 安全组。
-
创建安全组
-
点击 创建安全组,选择VPC网络,按需设置规则(如允许HTTP/HTTPS端口)。
-
建议为不同服务(Web、数据库等)创建独立安全组。
-
-
配置规则(关键步骤)
-
入方向规则 :控制外部访问ECS的流量。
示例:协议类型 端口范围 授权对象 说明 TCP 80/80 0.0.0.0/0 允许所有IP访问HTTP TCP 443/443 0.0.0.0/0 允许HTTPS TCP 22/22 你的办公IP 仅限SSH远程管理 ICMP -1/-1 0.0.0.0/0 可选,允许Ping测试 - 出方向规则:默认允许所有出站流量,建议按需限制(如仅开放必要端口)。
-
-
绑定ECS实例
在安全组页面,将规则应用到目标ECS实例。
二、操作系统防火墙(以Linux为例)
网络安全组为基础防护,操作系统防火墙提供更精细的控制。
常见工具:
-
iptables(传统工具)
bash
# 查看规则 iptables -L -n # 开放端口示例(SSH) iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 保存规则(CentOS 6) service iptables save -
firewalld(CentOS 7+/RHEL)
bash
# 开放HTTP端口 firewall-cmd --permanent --add-service=http firewall-cmd --reload # 查看开放端口 firewall-cmd --list-all -
UFW(Ubuntu/Debian)
bash
# 启用UFW ufw enable # 允许SSH ufw allow 22/tcp
三、综合防护策略
-
最小权限原则
-
仅开放必要的端口(如Web服务器开80/443,数据库不公开外网)。
-
避免使用
0.0.0.0/0开放高危端口(如SSH、数据库端口)。
-
-
分层防御
-
网络层:使用安全组过滤流量,结合VPC网络隔离。
-
系统层:启用操作系统防火墙,定期更新规则。
-
-
安全加固建议
-
修改SSH默认端口:减少暴力破解风险。
-
使用密钥登录SSH:禁用密码认证。
-
启用阿里云云防火墙(付费服务):提供IPS/IDS、Web应用防护等高级功能。
-
定期审计规则:清理无用规则,监控异常流量(通过云监控或日志服务)。
-
四、常见场景配置示例
场景1:Web服务器防护
-
安全组规则:开放80、443,限制22端口仅管理员IP访问。
-
系统防火墙:关闭无关端口,启用fail2ban防暴力破解。
场景2:数据库服务器(内网访问)
-
安全组规则:仅允许应用服务器IP访问3306(MySQL)端口。
-
系统防火墙:绑定监听IP为内网地址(如
172.x.x.x)。
五、故障排查
-
端口不通
-
检查安全组规则是否生效(控制台查看)。
-
验证操作系统防火墙是否放行端口。
-
使用
telnet <IP> <端口>或nc -zv <IP> <端口>测试连通性。
-
-
规则优先级
- 安全组规则始终优先于操作系统防火墙。若安全组拒绝,系统防火墙无法放行。
六、进阶防护(付费服务)
-
云防火墙(Cloud Firewall):提供南北向和东西向流量监控、入侵防御(IPS)、虚拟补丁等功能。
-
安全中心(Security Center):支持漏洞扫描、基线检查、威胁检测等。
通过结合网络安全组 和操作系统防火墙,并遵循最小开放原则,可显著提升服务器安全性。对于企业级需求,建议进一步采用阿里云的安全增值服务(如云防火墙、DDoS防护)构建纵深防御体系。