阿里云代理商：新買的ECS網站打不開,阿里云服務器端口怎么開放訪問？

新購買的阿里云ECS或者輕量服務器都是需要添加安全組規(guī)則的，才可以訪問一些特殊端口！

您可以通過添加安全組規(guī)則，允許或禁止安全組內的ECS實例對公網或私網的訪問。

前提條件

添加安全組規(guī)則之前，您已經規(guī)劃好ECS實例需要允許或禁止哪些公網或內網的訪問。更多有關安全組規(guī)則設置的應用案例，請參見安全組應用案例。

背景信息

安全組負責管理是否放行來自公網或者內網的訪問請求。為安全起見，安全組入方向大多采取拒絕訪問策略。如果您使用的是默認安全組，則系統(tǒng)會給部分通信端口自動添加安全組規(guī)則。

本文內容適用于以下場景：

當您的應用需要與ECS實例所在安全組之外的網絡相互通信，但請求發(fā)起后進入長時間等待狀態(tài)，您需要優(yōu)先設置安全組規(guī)則。

當您在運營應用的過程中發(fā)現部分請求來源有惡意攻擊行為，您可以添加拒絕訪問的安全組規(guī)則實行隔離策略。

添加安全組規(guī)則之前，請了解以下內容：

普通安全組在未添加任何安全組規(guī)則之前，出方向允許所有訪問，入方向拒絕所有訪問。

企業(yè)安全組在未添加任何安全組規(guī)則之前，出方向和入方向都拒絕所有訪問。同時不支持授權給其他安全組。

安全組規(guī)則支持IPv4安全組規(guī)則和IPv6安全組規(guī)則。

說明 IPv6正在公測中，如果您需要支持IPv6安全組規(guī)則，請?zhí)峤还珳y申請試用，可用地域以實際購買頁面為準。

每個安全組的入方向規(guī)則與出方向規(guī)則的總數不能超過200條。

更多信息，請參見安全組概述。

操作步驟

進入安全組頁面。

登錄ECS管理控制臺。

在左側導航欄，選擇網絡與安全 > 安全組。

在頂部菜單欄左上角處，選擇地域。

找到目標安全組，在操作列中，單擊配置規(guī)則。

選擇安全組規(guī)則的規(guī)則方向。

網絡類型選擇規(guī)則方向

專有網絡VPC

入方向：同時控制公網和內網入方向

出方向：同時控制公網和內網出方向

經典網絡

公網入方向

公網出方向

入方向：內網入方向

出方向：內網出方向

在安全組規(guī)則頁面上，添加安全組規(guī)則。

方式一：快速添加安全組規(guī)則

適用于快速設置常用的TCP協(xié)議規(guī)則，您單擊快速添加后，只需要設置授權策略、授權對象，并選中一個或多個端口便能完成。

方式二：手動添加安全組規(guī)則

支持自定義配置授權策略、優(yōu)先級、協(xié)議類型等信息。具體操作，如下所示。

單擊手動添加。

在規(guī)則列表中，配置新增的安全組規(guī)則。

名稱描述

授權策略

允許：放行該端口相應的訪問請求。

拒絕：直接丟棄數據包，不會返回任何回應信息。

如果兩個安全組規(guī)則其他都相同只有授權策略不同，則拒絕授權生效，允許策略不生效。

優(yōu)先級優(yōu)先級數值越小，優(yōu)先級越高，取值范圍為1~100。

協(xié)議類型協(xié)議類型包括：

全部：支持全部協(xié)議類型。

自定義TCP：支持TCP協(xié)議。

自定義UDP：支持UDP協(xié)議。

全部ICMP（IPv4）：支持ICMP（IPv4）協(xié)議。

全部ICMP（IPv6）：支持ICMP（IPv6）協(xié)議。

全部GRE：支持GRE協(xié)議。

關于協(xié)議類型和端口范圍的更多信息，請參見添加安全組規(guī)則或常用端口。

端口范圍協(xié)議類型為自定義TCP或自定義UDP時，可手動設置端口訪問。多個端口范圍以英文半角逗號分隔，例如22/23,443/443。

授權對象支持以下方式設置授權對象。

IP地址

設置單一IP地址，例如192.168.0.100、2408:4321:180:1701:94c7:bc38:3bfa:。

CIDR地址塊：

設置IP地址段，例如192.168.0.0/24、2408:4321:180:1701:94c7:bc38:3bfa:***/128。關于CIDR介紹，請參見什么是CIDR？。

安全組

安全組訪問只對內網有效。授權本賬號或其他賬號下某個安全組中的ECS實例訪問本安全組中的ECS實例，實現內網互通。

說明 企業(yè)安全組不支持授權安全組訪問。

本賬號授權：填寫同賬號下的目標安全組ID。如果是專有網絡VPC類型的安全組，目的安全組必須在同一個專有網絡VPC中。

跨賬號授權：填寫目標阿里云賬號ID和目標安全組ID（格式為目標阿里云賬號ID/目標安全組ID）。在賬號管理 > 安全設置里查看阿里云賬號ID。

設置注意事項如下：

支持多組授權對象，用英文半角逗號（,）隔開，最多支持10組授權對象。

如果填寫0.0.0.0/0（或::/0）表示所有IP地址的訪問，設置時請務必謹慎。

出于安全性考慮，經典網絡的內網入方向規(guī)則，授權對象優(yōu)先使用安全組。如果使用IP地址，則只能授權單一IP地址，不能使用CIDR地址塊。

描述安全組規(guī)則描述信息。

在規(guī)則的操作列中，單擊保存。

以下示例演示了如何在安全組添加安全組規(guī)則。添加安全組規(guī)則

執(zhí)行結果

添加完成后，在安全組規(guī)則列表中查看已添加的安全組規(guī)則。安全組規(guī)則的變更會自動應用到安全組內的ECS實例上，建議您立即測試是否生效。刷新安全組

常見問題

問題：為什么我配置安全組后還無法訪問服務？

控制臺安全組放行某個端口，只能說明安全組沒有限制這個端口的訪問，不能說明這個端口已經開啟。 如需外網訪問ECS服務器的端口需要滿足以下三個必要條件：

安全組規(guī)則放行該端口。

對應端口的程序軟件是啟動運行狀態(tài)，并且監(jiān)聽地址為0.0.0.0（您可通過執(zhí)行netstat -ano |findstr 端口號命令來檢測端口是否處于監(jiān)聽狀態(tài)）。

已關閉ECS實例內部防火墻，或者防火墻已放行該端口。

設置安全組規(guī)則后如果發(fā)現業(yè)務無法訪問，您需要排查業(yè)務服務是否啟動、服務端口和安全組規(guī)則是否一致等問題。更多信息，請參見安全組常見問題處理。

問題：為什么我無法使用SMTP 25自建郵箱服務器？

公網出方向的SMTP端口25默認受限，無法通過安全組規(guī)則打開。如果您需要使用SMTP 25端口，請自行規(guī)避安全風險，然后申請解封端口25。具體操作，請參見申請解封端口25。

問題：安全組中協(xié)議和端口之間是什么關系？

安全組中協(xié)議和端口信息如下表所示。更多端口信息，請參見常用端口。

協(xié)議類型端口顯示范圍應用場景

全部-1/-1，表示不限制端口。不支持設置?？捎糜谕耆ハ嘈湃蔚膽脠鼍?。

全部 ICMP（IPv4）-1/-1，表示不限制端口。不支持設置。使用ping程序檢測ECS實例之間的通信狀況。

全部 ICMP（IPv6）-1/-1，表示不限制端口。不支持設置。使用ping6程序檢測ECS實例之間的通信狀況。

全部 GRE-1/-1，表示不限制端口。不支持設置。用于VPN服務。

自定義 TCP自定義端口范圍，有效的端口值是1 ~ 65535。

必須采用<開始端口>/<結束端口>的格式。例如80/80表示端口80，1/22表示1到22端口。

可用于允許或拒絕一個或幾個連續(xù)的端口。

自定義 UDP自定義端口范圍，有效的端口值是1 ~ 65535。

必須采用<開始端口>/<結束端口>的格式。例如80/80表示端口80，1/22表示1到22端口。

可用于允許或拒絕一個或幾個連續(xù)的端口。

TCP協(xié)議中常用應用和端口如下表所示。

服務場景協(xié)議類型端口顯示范圍說明

連接服務器SSH22/22用于SSH遠程連接到Linux實例。連接ECS實例后您能修改端口號，具體操作，請參見修改服務器默認遠程端口。

TELNET23/23用于Telnet遠程登錄ECS實例。

RDP3389/3389用于通過遠程桌面協(xié)議連接到Windows實例。連接ECS實例后您能修改端口號，具體操作，請參見修改服務器默認遠程端口。

網站服務HTTP80/80ECS實例作為網站或Web應用服務器。

HTTPS443/443ECS實例作為支持HTTPS協(xié)議的網站或Web應用服務器。

數據庫MS SQL1433/1433ECS實例作為MS SQL服務器。

Oracle1521/1521ECS實例作為Oracle SQL服務器。

MySQL3306/3306ECS實例作為MySQL服務器。

PostgreSQL5432/5432ECS實例作為PostgreSQL服務器。

Redis6379/6379ECS實例作為Redis服務器。