如果您了解ECS实例的常用端口,您可以更准确的添加网络ACL规则。本文为您介绍ECS实例常用端口及常用端口的典型应用。

常用端口列表

常用端口及服务如下表所示。

端口 服务 说明
21 FTP FTP服务所开放的端口,用于上传、下载文件。
22 SSH SSH端口,用于通过命令行模式使用用户名密码验证连接Linux实例。
23 Telnet Telnet端口,用于Telnet远程登录ECS实例。
25 SMTP SMTP服务所开放的端口,用于发送邮件。
80 HTTP 用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。
110 POP3 用于POP3协议,POP3是电子邮件收发的协议。
143 IMAP 用于IMAP(Internet Message Access Protocol)协议,IMAP是用于接收电子邮件的协议。
443 HTTPS 用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。
1433 SQL Server SQL Server的TCP端口,用于供SQL Server对外提供服务。
1434 SQL Server SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。
1521 Oracle Oracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。
3306 MySQL MySQL数据库对外提供服务的端口。
3389 Windows Server Remote Desktop Services Windows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。
8080 代理端口 同80端口,8080端口常用于WWW代理服务,实现网页浏览。

自定义网络ACL

表 1表 2显示了一个仅支持IPv4的VPC的网络ACL示例。其中:
  • 生效顺序1、2、3、4的入方向规则分别为允许HTTP、HTTPS、SSH、RDP数据流进入交换机的规则,出方向响应规则为生效顺序3的出方向规则。
  • 生效顺序1、2的出方向规则分别为允许HTTP和HTTPS流量离开交换机的规则,入方向响应规则为生效顺序5的入方向规则。
  • 生效顺序6的入方向规则为拒绝所有入方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。
  • 生效顺序4的出方向规则为拒绝所有出方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。
说明 无论是入方向规则还是出方向规则,请确保每一条规则都存在允许响应流量的相应入方向或出方向规则。
表 1. 入方向规则
生效顺序 协议类型 源地址 目的端口范围 策略 说明
1 tcp 0.0.0.0/0 80/80 允许 允许来自任意IPv4地址的入方向HTTP流量。
2 tcp 0.0.0.0/0 443/443 允许 允许来自任意IPv4地址的入方向HTTPS流量。
3 tcp 0.0.0.0/0 22/22 允许 允许来自任意IPv4地址的入方向SSH流量。
4 tcp 0.0.0.0/0 3389/3389 允许 允许来自任意IPv4地址的入方向RDP流量。
5 tcp 0.0.0.0/0 32768/65535 允许 允许来自互联网的入方向返回IPv4流量。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口

6 all 0.0.0.0/0 -1/-1 拒绝 拒绝所有入方向IPv4流量。
表 2. 出方向规则
生效顺序 协议类型 目标地址 目的端口范围 策略 说明
1 tcp 0.0.0.0/0 80/80 允许 允许出方向IPv4 HTTP流量从交换机流向互联网。
2 tcp 0.0.0.0/0 443/443 允许 允许出方向IPv4 HTTPS流量从交换机流向互联网。
3 tcp 0.0.0.0/0 32768/65535 允许 允许对互联网客户端的出站IPv4响应。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口

4 all 0.0.0.0/0 -1/-1 拒绝 拒绝所有出方向IPv4流量。

负载均衡的网络ACL

绑定网络ACL的交换机中的ECS作为负载均衡SLB的后端服务器时,您需要添加如下网络ACL规则。
  • 入方向规则
    生效顺序 协议类型 源地址 目的端口范围 策略 说明
    1 SLB监听协议 允许接入SLB的客户端IP SLB监听端口 允许 在SLB监听端口上允许来自指定客户端IP的入方向流量。
    2 健康检查协议 100.64.0.0/10 健康检查端口 允许 在健康检查端口上允许来自健康检查地址的入方向流量。
  • 出方向规则
    生效顺序 协议类型 目标地址 目的端口范围 策略 说明
    1 all 允许接入SLB的客户端IP -1/-1 允许 允许所有流向指定客户端IP的出方向流量。
    2 all 100.64.0.0/10 -1/-1 允许 允许所有流向健康检查地址的出方向流量。

临时端口

不同类型的客户端发起请求时使用的端口不同,您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。
客户端 端口范围
Linux 32768/61000
Windows Server 2003 1025/5000
Windows Server 2008及更高版本 49152/65535
NAT网关 1024/65535