防火墙可以对轻量应用服务器的网络访问进行控制,用于在云端划分安全域。本文将介绍如何为轻量应用服务器添加防火墙规则,并介绍防火墙功能预设的端口信息。

背景信息

每台轻量应用服务器的防火墙默认放行了22端口(SSH服务)、80端口(HTTP服务)以及443端口(HTTPS加密访问服务),除默认放行的端口,其它端口默认是禁用状态。您可以通过添加防火墙规则来放行更多端口。

如果您新建规则的端口及协议与已有规则重复,无论当前已有规则处于启用或禁用状态,新规则均会覆盖已有规则。

如果您想临时关闭某个端口,请使用禁用功能,免于开放对应端口时再新建防火墙规则。

使用限制

  • 单台轻量应用服务器最多可创建50条防火墙规则。
  • 轻量应用服务器的25端口不能对外发送邮件。如果您有邮件发送需求,请使用465端口。

添加防火墙规则

警告 添加防火墙规则时,设置的端口范围和允许访问的IP地址请您按需配置,避免服务器受到网络攻击。
  1. 登录轻量应用服务器管理控制台
  2. 在左侧导航栏,单击服务器列表
  3. 找到待添加防火墙规则的轻量应用服务器,单击服务器卡片。
  4. 在左侧导航栏,选择安全 > 防火墙
    如果您之前没有添加过防火墙规则,可以在防火墙页面查看到已经默认放行的80、443、22端口。
  5. 防火墙页面的右上角,单击添加规则
  6. 添加防火墙规则对话框,完成应用类型、协议以及端口范围等配置,然后单击确定
    具体的配置项说明如下表所示:
    配置项 说明
    应用类型
    您可以直接选择预设的防火墙规则,也可以自定义防火墙规则。说明如下:
    • 如果预设的防火墙规则适用于您的业务需求,您可以直接选择目标规则,无需手动配置协议以及端口范围。关于阿里云预设的防火墙规则说明,请参见防火墙预设端口说明
    • 如果您需要自定义一条或多条防火墙规则,需要将应用类型设置为自定义,然后自行添配置协议以及端口范围。
    协议
    • 当您选择阿里云预设的防火墙规则时,无需手动设置协议。
    • 当您自定义防火墙规则时,需要设置协议类型,支持选择TCP协议或者UDP协议。
    端口范围
    • 当您选择阿里云预设的防火墙规则时,无需手动设置端口范围。
    • 当您自定义防火墙规则时,需要设置端口范围。端口取值范围:1~65535。支持以下设置方式:
      • 单个端口。例如,您需要放行Oracle数据库监听的端口号1521,则端口范围设置为1521
      • 端口范围。例如,您需要放行FTP配置文件中手动配置的端口范围20000~30000,则端口范围设置为20000/30000
    限制IP来源 您可以填写需要限制的单个IPv4地址,或通过填写CIDR段限制指定的IPv4地址范围。默认为0.0.0.0/0,即对所有IPv4地址开放。
    备注 防火墙规则的描述信息,方便后续管理防火墙规则。
    如果需要同时添加多条规则,请单击添加规则
    配置完成后,如下图所示,您可以在防火墙页面查看已添加的防火墙规则。2021-12-20_11-50-46

禁用和启用端口

您如果需要临时关闭或开启某个端口,可以参考以下操作禁用或启用该端口,无需再次新建规则。

  1. 登录轻量应用服务器管理控制台
  2. 找到待禁用端口的轻量应用服务器,单击服务器卡片。
  3. 在左侧导航栏,选择安全 > 防火墙
  4. 在需要禁用端口所在操作列,单击禁用
  5. 在弹出的禁用对话框,确认端口相关信息并根据需要填写备注信息。然后单击确定
    说明 禁用防火墙规则默认禁用端口,限制IP来源会默认设置为0.0.0.0/0,且不支持修改。
    如果需要重新开启该端口,请在端口所在操作列,单击启用即可。

防火墙预设端口说明

应用类型 协议 端口范围 说明
HTTP TCP 80 HTTP协议默认端口
HTTPS TCP 443 HTTPS加密协议默认端口
SSH TCP 22 SSH协议默认端口
FTP TCP 21 FTP协议默认端口
TELNET TCP 23 Telnet默认端口
MySQL TCP 3306 MySQL数据库默认端口
全部TCP TCP 1~65535 全部TCP端口
全部UDP UDP 1~65535 全部UDP端口
全部TCP+UDP TCP+UDP 1~65535 全部TCP+UDP端口
自定义 TCP或UDP 1~65535 自定义的端口范围