通過了解典型應用的默認端口,您可以更準確地添加或修改安全組規則,以便服務器通過相應端口對外提供服務,滿足您SSH連接實例和通過SMTP服務發送郵件等場景下的需求。本文介紹了ECS實例的常用端口及其應用場景示例。
背景信息
在添加安全組規則時,您必須指定通信端口或端口范圍。安全組將根據允許或拒絕策略來決定是否將數據轉發到ECS實例。
例如,當使用Xshell客戶端遠程連接ECS實例時,安全組會檢測到來自公網或內網的SSH請求。然后,安全組會同時檢查傳入請求設備的IP地址是否在允許放行的安全組規則范圍內,并且22端口是否開放。只有當安全組規則匹配并允許放行該請求時,才能建立數據通信。
部分運營商將端口25、135、139、444、445、5800、5900等標記為高危端口,并默認屏蔽這些端口。即使您在安全組規則中放行了這些端口,受限地區的用戶仍無法訪問。因此,建議您考慮使用其他非高危端口來承載業務。
更多關于Windows Server系統應用的端口說明,請參見《微軟文檔》Windows服務器系統的服務概述和網絡端口要求。
常用端口
典型應用的默認端口如下表所示。
端口 | 服務 | 說明 |
21 | FTP | FTP服務所開放的端口,用于上傳、下載文件。 |
22 | SSH | SSH端口,用于通過命令行模式或遠程連接軟件(例如PuTTY、Xshell、SecureCRT等)連接Linux實例。具體操作,請參見通過密碼認證登錄Linux實例。 |
23 | Telnet | Telnet端口,用于Telnet遠程登錄ECS實例。 |
25 | SMTP | SMTP服務所開放的端口,用于發送郵件。 說明 基于安全考慮,ECS實例25端口默認受限,建議您使用SSL加密端口(通常是465端口)來對外發送郵件。具體操作,請參見使用SSL加密465端口發送郵件。 |
53 | DNS | 用于域名解析服務器(Domain Name Server,簡稱DNS)協議。 說明 如果在安全組出方向實行白名單方式,需要放行53端口(UDP協議)才能實現域名解析。 |
80 | HTTP | 用于HTTP服務提供訪問功能,例如,IIS、Apache、Nginx等服務。 如何排查80端口故障,請參見檢查TCP 80端口是否正常工作。 |
110 | POP3 | 用于POP3協議,POP3是電子郵件收發的協議。 |
143 | IMAP | 用于IMAP(Internet Message Access Protocol)協議,IMAP是用于接收電子郵件的協議。 |
443 | HTTPS | 用于提供HTTPS服務的訪問功能。HTTPS是一種能提供加密和通過安全端口傳輸的協議。 |
1433 | SQL Server | SQL Server的TCP端口,用于供SQL Server對外提供服務。 |
1434 | SQL Server | SQL Server的UDP端口,用于獲取SQL Server使用的TCP/IP端口號和IP地址等信息。 重要 開放UDP端口1434僅在需要使用SQL Server瀏覽器服務時才需要。如果不使用SQL Server瀏覽器服務,建議將UDP端口1434關閉或限制訪問,以提高安全性。 |
1521 | Oracle | Oracle通信端口,ECS實例上部署了Oracle SQL需要放行的端口。 |
3306 | MySQL | 用于MySQL數據庫對外提供服務的端口。 |
3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(遠程桌面服務)端口,可以通過這個端口使用軟件連接Windows實例。具體操作,請參見通過密碼認證登錄Windows實例。 |
8080 | 代理端口 | 與80端口類似,8080端口通常用于提供 |
137、138、139 | NetBIOS協議 | NetBIOS協議常被用于Windows文件、打印機共享和Samba。
|
應用場景示例
下表為部分常用端口的應用場景,以及對應的安全組規則設置,更多場景舉例請參見安全組應用案例。
應用場景 | 網絡類型 | 方向 | 策略 | 協議 | 端口范圍 | 對象類型 | 授權對象 | 優先級 |
SSH遠程連接Linux實例 | 專有網絡VPC | 入方向 | 允許 | 自定義TCP | SSH (22) | 地址段訪問 | 0.0.0.0/0 | 1 |
經典網絡 | 公網入方向 | |||||||
RDP遠程連接Windows實例 | 專有網絡VPC | 入方向 | 允許 | 自定義TCP | RDP (3389) | 地址段訪問 | 0.0.0.0/0 | 1 |
經典網絡 | 公網入方向 | |||||||
公網Ping ECS實例 | 專有網絡VPC | 入方向 | 允許 | 全部ICMP | -1/-1 | 地址段訪問或安全組訪問 | 根據授權類型填寫 | 1 |
經典網絡 | 公網入方向 | |||||||
ECS實例作Web服務器 | 專有網絡VPC | 入方向 | 允許 | 自定義TCP | HTTP (80) | 地址段訪問 | 0.0.0.0/0 | 1 |
經典網絡 | 公網入方向 | |||||||
使用FTP上傳或下載文件 | 專有網絡VPC | 入方向 | 允許 | 自定義 TCP | 20/21 | 地址段訪問 | 指定IP段 | 1 |
經典網絡 | 公網入方向 |