通过了解典型应用的默认端口,您可以更准确地添加或修改安全组规则,以便服务器通过相应端口对外提供服务,满足您SSH连接实例和通过SMTP服务发送邮件等场景下的需求。本文介绍了ECS实例的常用端口及其应用场景示例。
背景信息
在添加安全组规则时,您必须指定通信端口或端口范围。安全组将根据允许或拒绝策略来决定是否将数据转发到ECS实例。
例如,当使用Xshell客户端远程连接ECS实例时,安全组会检测到来自公网或内网的SSH请求。然后,安全组会同时检查传入请求设备的IP地址是否在允许放行的安全组规则范围内,并且22端口是否开放。只有当安全组规则匹配并允许放行该请求时,才能建立数据通信。
部分运营商将端口25、135、139、444、445、5800、5900等标记为高危端口,并默认屏蔽这些端口。即使您在安全组规则中放行了这些端口,受限地区的用户仍无法访问。因此,建议您考虑使用其他非高危端口来承载业务。
更多关于Windows Server系统应用的端口说明,请参见《微软文档》Windows服务器系统的服务概述和网络端口要求。
常用端口
典型应用的默认端口如下表所示。
端口 | 服务 | 说明 |
21 | FTP | FTP服务所开放的端口,用于上传、下载文件。 |
22 | SSH | SSH端口,用于通过命令行模式或远程连接软件(例如PuTTY、Xshell、SecureCRT等)连接Linux实例。具体操作,请参见通过密码认证登录Linux实例。 |
23 | Telnet | Telnet端口,用于Telnet远程登录ECS实例。 |
25 | SMTP | SMTP服务所开放的端口,用于发送邮件。 说明 基于安全考虑,ECS实例25端口默认受限,建议您使用SSL加密端口(通常是465端口)来对外发送邮件。具体操作,请参见使用SSL加密465端口发送邮件。 |
53 | DNS | 用于域名解析服务器(Domain Name Server,简称DNS)协议。 说明 如果在安全组出方向实行白名单方式,需要放行53端口(UDP协议)才能实现域名解析。 |
80 | HTTP | 用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。 如何排查80端口故障,请参见检查TCP 80端口是否正常工作。 |
110 | POP3 | 用于POP3协议,POP3是电子邮件收发的协议。 |
143 | IMAP | 用于IMAP(Internet Message Access Protocol)协议,IMAP是用于接收电子邮件的协议。 |
443 | HTTPS | 用于提供HTTPS服务的访问功能。HTTPS是一种能提供加密和通过安全端口传输的协议。 |
1433 | SQL Server | SQL Server的TCP端口,用于供SQL Server对外提供服务。 |
1434 | SQL Server | SQL Server的UDP端口,用于获取SQL Server使用的TCP/IP端口号和IP地址等信息。 重要 开放UDP端口1434仅在需要使用SQL Server浏览器服务时才需要。如果不使用SQL Server浏览器服务,建议将UDP端口1434关闭或限制访问,以提高安全性。 |
1521 | Oracle | Oracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。 |
3306 | MySQL | 用于MySQL数据库对外提供服务的端口。 |
3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。具体操作,请参见通过密码认证登录Windows实例。 |
8080 | 代理端口 | 与80端口类似,8080端口通常用于提供 |
137、138、139 | NetBIOS协议 | NetBIOS协议常被用于Windows文件、打印机共享和Samba。
|
应用场景示例
下表为部分常用端口的应用场景,以及对应的安全组规则设置,更多场景举例请参见安全组应用案例。
应用场景 | 网络类型 | 方向 | 策略 | 协议 | 端口范围 | 对象类型 | 授权对象 | 优先级 |
SSH远程连接Linux实例 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | SSH (22) | 地址段访问 | 0.0.0.0/0 | 1 |
经典网络 | 公网入方向 | |||||||
RDP远程连接Windows实例 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | RDP (3389) | 地址段访问 | 0.0.0.0/0 | 1 |
经典网络 | 公网入方向 | |||||||
公网Ping ECS实例 | 专有网络VPC | 入方向 | 允许 | 全部ICMP | -1/-1 | 地址段访问或安全组访问 | 根据授权类型填写 | 1 |
经典网络 | 公网入方向 | |||||||
ECS实例作Web服务器 | 专有网络VPC | 入方向 | 允许 | 自定义TCP | HTTP (80) | 地址段访问 | 0.0.0.0/0 | 1 |
经典网络 | 公网入方向 | |||||||
使用FTP上传或下载文件 | 专有网络VPC | 入方向 | 允许 | 自定义 TCP | 20/21 | 地址段访问 | 指定IP段 | 1 |
经典网络 | 公网入方向 |