如果您了解ECS實例的常用端口,您可以更準確地添加網絡ACL(Network Access Control List)規則。本文為您介紹ECS實例常用端口及其典型應用。
常用端口列表
常用端口及服務如下表所示。
端口 | 服務 | 說明 |
21 | FTP | FTP服務所開放的端口,用于上傳、下載文件。 |
22 | SSH | SSH端口,用于通過命令行模式使用用戶名密碼驗證連接Linux實例。 |
23 | Telnet | Telnet端口,用于Telnet遠程登錄ECS實例。 |
25 | SMTP | SMTP服務所開放的端口,用于發送郵件。 |
80 | HTTP | 用于HTTP服務提供訪問功能,例如,IIS、Apache、Nginx等服務。 |
110 | POP3 | 用于POP3協議,POP3是電子郵件接收的協議。 |
143 | IMAP | 用于IMAP(Internet Message Access Protocol)協議,IMAP是用于接收電子郵件的協議。 |
443 | HTTPS | 用于HTTPS服務提供訪問功能。HTTPS是一種能提供加密和通過安全端口傳輸的一種協議。 |
1433 | SQL Server | SQL Server的TCP端口,用于供SQL Server對外提供服務。 |
1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪個TCP/IP端口。 |
1521 | Oracle | Oracle通信端口,ECS實例上部署了Oracle SQL需要放行的端口。 |
3306 | MySQL | MySQL數據庫對外提供服務的端口。 |
3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(遠程桌面服務)端口,可以通過這個端口使用軟件連接Windows實例。 |
8080 | 代理端口 | 同80端口,8080端口常用于WWW代理服務,實現網頁瀏覽。 |
自定義網絡ACL
入方向規則和出方向規則顯示了一個僅支持IPv4的VPC的網絡ACL示例。其中:
生效順序1、2、3、4的入方向規則分別為允許HTTP、HTTPS、SSH、RDP數據流進入交換機的規則,出方向響應規則為生效順序3的出方向規則。
生效順序1、2的出方向規則分別為允許HTTP和HTTPS流量離開交換機的規則,入方向響應規則為生效順序5的入方向規則。
生效順序6的入方向規則為拒絕所有入方向IPv4流量,該規則會確保在數據包不匹配任何其他規則時拒絕此數據包。
生效順序4的出方向規則為拒絕所有出方向IPv4流量,該規則會確保在數據包不匹配任何其他規則時拒絕此數據包。
無論是入方向規則還是出方向規則,請確保每一條規則都存在允許響應流量的相應入方向或出方向規則。
表 1. 入方向規則
生效順序 | 協議類型 | 源地址 | 源端口范圍 | 策略 | 說明 |
1 | tcp | 0.0.0.0/0 | 80/80 | 允許 | 允許來自任意IPv4地址的HTTP流量。 |
2 | tcp | 0.0.0.0/0 | 443/443 | 允許 | 允許來自任意IPv4地址的HTTPS流量。 |
3 | tcp | 0.0.0.0/0 | 22/22 | 允許 | 允許來自任意IPv4地址的SSH流量。 |
4 | tcp | 0.0.0.0/0 | 3389/3389 | 允許 | 允許來自任意IPv4地址的RDP流量。 |
5 | tcp | 0.0.0.0/0 | 32768/65535 | 允許 | 允許來自任意IPv4的地址訪問端口范圍為32768~65535的TCP流量。 此端口范圍僅為示例。有關如何選擇適當的臨時端口的更多信息,請參見臨時端口。 |
6 | all | 0.0.0.0/0 | -1/-1 | 拒絕 | 拒絕所有入方向IPv4流量。 |
表 2. 出方向規則
生效順序 | 協議類型 | 目標地址 | 目的端口范圍 | 策略 | 說明 |
1 | tcp | 0.0.0.0/0 | 80/80 | 允許 | 允許出方向IPv4 HTTP流量從交換機流向互聯網。 |
2 | tcp | 0.0.0.0/0 | 443/443 | 允許 | 允許出方向IPv4 HTTPS流量從交換機流向互聯網。 |
3 | tcp | 0.0.0.0/0 | 32768/65535 | 允許 | 允許對互聯網客戶端的出站IPv4響應。 此端口范圍僅為示例。有關如何選擇適當的臨時端口的更多信息,請參見臨時端口。 |
4 | all | 0.0.0.0/0 | -1/-1 | 拒絕 | 拒絕所有出方向IPv4流量。 |
負載均衡的網絡ACL
綁定網絡ACL的交換機中的ECS作為負載均衡SLB的后端服務器時,您需要添加如下網絡ACL規則。
入方向規則
生效順序
協議類型
源地址
源端口范圍
策略
說明
1
SLB監聽協議
允許接入SLB的客戶端IP
SLB監聽端口
允許
在SLB監聽端口上允許來自指定客戶端IP的入方向流量。
2
健康檢查協議
100.64.0.0/10
健康檢查端口
允許
在健康檢查端口上允許來自健康檢查地址的入方向流量。
出方向規則
生效順序
協議類型
目標地址
目的端口范圍
策略
說明
1
all
允許接入SLB的客戶端IP
-1/-1
允許
允許所有流向指定客戶端IP的出方向流量。
2
all
100.64.0.0/10
-1/-1
允許
允許所有流向健康檢查地址的出方向流量。
臨時端口
不同類型的客戶端發起請求時使用的端口不同,您需要根據自己使用的或作為通信目標的客戶端的類型為網絡ACL使用不同的端口范圍。常用客戶端的臨時端口范圍如下。
客戶端 | 端口范圍 |
Linux | 32768/61000 |
Windows Server 2003 | 1025/5000 |
Windows Server 2008及更高版本 | 49152/65535 |
NAT網關 | 1024/65535 |