典型应用

如果您了解ECS实例的常用端口,您可以更准确地添加网络ACL(Network Access Control List)规则。本文为您介绍ECS实例常用端口及其典型应用。

常用端口列表

常用端口及服务如下表所示。

端口

服务

说明

21

FTP

FTP服务所开放的端口,用于上传、下载文件。

22

SSH

SSH端口,用于通过命令行模式使用用户名密码验证连接Linux实例。

23

Telnet

Telnet端口,用于Telnet远程登录ECS实例。

25

SMTP

SMTP服务所开放的端口,用于发送邮件。

80

HTTP

用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。

110

POP3

用于POP3协议,POP3是电子邮件接收的协议。

143

IMAP

用于IMAP(Internet Message Access Protocol)协议,IMAP是用于接收电子邮件的协议。

443

HTTPS

用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。

1433

SQL Server

SQL Server的TCP端口,用于供SQL Server对外提供服务。

1434

SQL Server

SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。

1521

Oracle

Oracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。

3306

MySQL

MySQL数据库对外提供服务的端口。

3389

Windows Server Remote Desktop Services

Windows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。

8080

代理端口

同80端口,8080端口常用于WWW代理服务,实现网页浏览。

自定义网络ACL

入方向规则出方向规则显示了一个仅支持IPv4的VPC的网络ACL示例。其中:

  • 生效顺序1、2、3、4的入方向规则分别为允许HTTP、HTTPS、SSH、RDP数据流进入交换机的规则,出方向响应规则为生效顺序3的出方向规则。

  • 生效顺序1、2的出方向规则分别为允许HTTP和HTTPS流量离开交换机的规则,入方向响应规则为生效顺序5的入方向规则。

  • 生效顺序6的入方向规则为拒绝所有入方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。

  • 生效顺序4的出方向规则为拒绝所有出方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。

说明

无论是入方向规则还是出方向规则,请确保每一条规则都存在允许响应流量的相应入方向或出方向规则。

表 1. 入方向规则

生效顺序

协议类型

源地址

源端口范围

策略

说明

1

tcp

0.0.0.0/0

80/80

允许

允许来自任意IPv4地址的HTTP流量。

2

tcp

0.0.0.0/0

443/443

允许

允许来自任意IPv4地址的HTTPS流量。

3

tcp

0.0.0.0/0

22/22

允许

允许来自任意IPv4地址的SSH流量。

4

tcp

0.0.0.0/0

3389/3389

允许

允许来自任意IPv4地址的RDP流量。

5

tcp

0.0.0.0/0

32768/65535

允许

允许来自任意IPv4的地址访问端口范围为32768~65535的TCP流量。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口

6

all

0.0.0.0/0

-1/-1

拒绝

拒绝所有入方向IPv4流量。

表 2. 出方向规则

生效顺序

协议类型

目标地址

目的端口范围

策略

说明

1

tcp

0.0.0.0/0

80/80

允许

允许出方向IPv4 HTTP流量从交换机流向互联网。

2

tcp

0.0.0.0/0

443/443

允许

允许出方向IPv4 HTTPS流量从交换机流向互联网。

3

tcp

0.0.0.0/0

32768/65535

允许

允许对互联网客户端的出站IPv4响应。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口

4

all

0.0.0.0/0

-1/-1

拒绝

拒绝所有出方向IPv4流量。

负载均衡的网络ACL

绑定网络ACL的交换机中的ECS作为负载均衡SLB的后端服务器时,您需要添加如下网络ACL规则。

  • 入方向规则

    生效顺序

    协议类型

    源地址

    源端口范围

    策略

    说明

    1

    SLB监听协议

    允许接入SLB的客户端IP

    SLB监听端口

    允许

    在SLB监听端口上允许来自指定客户端IP的入方向流量。

    2

    健康检查协议

    100.64.0.0/10

    健康检查端口

    允许

    在健康检查端口上允许来自健康检查地址的入方向流量。

  • 出方向规则

    生效顺序

    协议类型

    目标地址

    目的端口范围

    策略

    说明

    1

    all

    允许接入SLB的客户端IP

    -1/-1

    允许

    允许所有流向指定客户端IP的出方向流量。

    2

    all

    100.64.0.0/10

    -1/-1

    允许

    允许所有流向健康检查地址的出方向流量。

临时端口

不同类型的客户端发起请求时使用的端口不同,您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。

客户端

端口范围

Linux

32768/61000

Windows Server 2003

1025/5000

Windows Server 2008及更高版本

49152/65535

NAT网关

1024/65535