雲服務器在使用中網絡通信是第一要素。要做好網絡通信的管理,首要就是配置雲服務器的安全組(防火牆),放行端口。
各廠商雲服務器都有這快得設置,舉例一台騰訊雲服務器的設置做個記錄。
一、環境准備
雲平台----騰訊雲
服務器----winserver 2008 R2
后台管理地址:https://cloud.tencent.com/login/
其實不區分操作系統,雲服務器的防火牆設置都是一樣的,放行端口就OK
二、思路設計
服務器到外部網絡:網絡全通
外部到服務器做限制:
放行常用windwos遠程端口:3389
放行sql server數據庫遠程端口:1433
其他常用端口:20,21,22,23,80,443等
先默認拒絕所有,在依次開啟需要放行的端口及ip
三、操作流程
1.登錄騰訊雲后台--管理控制台
2. 點擊進入-雲服務器管理
3. 左側找到----安全組
4. 進入設置安全組規則
5.先放通出站規則:意思就是雲服務器到外部網絡的通信,沒特殊要求建議所有
添加規則里面模板:
目標:就是目的網段或ip地址 協議端口:單個端口就是端口號,單個協議就是協議名,所有就是ALL 策略:允許/放行 備注:設置一個備注好記
所有通信 ip就是0.0.0.0/0 協議端口:ALL 策略:放行 備注:所有通信
6.入站規則設置:
入站的意思就是從外部的數據包進入雲服務器,這一塊不能開啟所有!
舉個栗子:當你用雲服務器,你的IP是公網IP,所有人都可以去挨個ping啊,端口掃描等等這個IP地址。
整個互聯網中有些黑客一直在做一些端口掃描和一些攻擊,所以只能放通一部分端口與應用。
把常用的應用放通,例如服務器遠程和FTP;將來源設置成一個公司或者自己網絡的出口(運營商提供的一個固定ip段)。
這樣就只能在公司或者自己網絡的出口能夠跟雲服務器進行遠程,FTP上傳下載文件。
模板:
一般來說,入站規則默認策略就是防火牆里面的白名單。默認就是拒絕所有,但是為了安全起見,還行在做策略之前先做一條拒絕所有。
拒絕所有:
關於出口:
如果有公司性質的,出口網段就打運營商電話問,專線一般是一個IP段,子網掩碼可以百度子網掩碼計算器來計算。例如10.10.10.1-10/25
如果是個人使用,一般就是ADSL,這種情況就需要每天做策略,因為一直在變。網友有個辦法可以試下,就是打運營商的電話,讓那邊給一個固定的IP地址,看人品了。
ADSL一般不好做,因為一直在變幻,十分麻煩。經博主測試,聯通的ADSL是做不了出口的,因為一直在變,而移動跟電信ADSL做過是可以的,不過麻煩,要每天來添加。
3389windows遠程允許公司出口:
數據庫sql server允許公司出口:
其他的端口跟上面操作一樣,依次添加即可。
四、注意事項
1.如果出口的子網掩碼不會的,建議百度一下子網掩碼計算器計算一下。
2.入站規則這一塊是有順序的,匹配策略是從上到下,依次匹配。
3.windwos系統建議把服務器里面自帶的防火牆關閉,就用這個安全組來做。
4.linux系統建議把iptables,selinux關閉,也使用雲平台的安全組來做。