配置阿里云 ECS 服务器的安全组是保障服务器安全的重要步骤,它相当于服务器的虚拟防火墙,控制着入站和出站的网络流量。以下是新手配置安全组的详细步骤:
一、登录阿里云控制台并找到安全组
- 打开浏览器,访问阿里云官网,登录你的阿里云账号。
- 点击控制台右上角的「控制台」,进入阿里云管理控制台。
- 在左侧导航栏中,依次选择「产品与服务」→「弹性计算」→「云服务器 ECS」,进入 ECS 管理页面。
- 在左侧菜单中找到「网络与安全」→「安全组」,进入安全组管理页面。
二、创建安全组(若尚未创建)
如果是新购的 ECS 实例,可能需要先创建安全组:
- 在安全组管理页面,点击右上角的「创建安全组」按钮。
- 配置安全组基本信息:
- 点击「确定」,安全组创建完成。
三、将安全组绑定到 ECS 实例
创建安全组后,需绑定到具体的 ECS 实例才能生效:
- 在安全组列表中,找到刚创建的安全组,点击操作列的「绑定实例」。
- 在弹出的窗口中,勾选需要绑定该安全组的 ECS 实例(可通过实例名称或 ID 搜索)。
- 点击「确定」,完成绑定(一个实例可绑定多个安全组,规则取交集)。
四、配置安全组规则(核心步骤)
安全组规则分为「入方向」(控制外部访问服务器的流量)和「出方向」(控制服务器访问外部的流量),新手重点配置入方向规则即可(出方向默认允许所有流量)。
添加入方向规则(以常用场景为例)
- 在安全组列表中,点击目标安全组的「配置规则」,进入规则配置页面。
- 点击「入方向」→「手动添加」,按以下场景添加规则:
场景 1:允许远程连接服务器
- Linux 服务器(SSH 连接):端口范围:22/22(SSH 默认端口)授权对象:填写允许连接的 IP(如你的本地公网 IP,格式113.xxx.xxx.xxx/32;测试时可填0.0.0.0/0允许所有 IP,生产环境不推荐)优先级:默认 1(数值越小优先级越高)描述:可选(如 “允许 SSH 远程连接”)
- Windows 服务器(远程桌面):端口范围:3389/3389(远程桌面默认端口)授权对象:同 Linux,建议限制特定 IP
场景 2:允许访问 Web 服务
- 若部署了网站(如 Nginx、Apache),需开放:
场景 3:允许访问 MySQL 数据库(远程连接)
- 若需远程连接 MySQL,开放:
场景 4:允许 ping 服务器(测试网络连通性)
- ping 基于 ICMP 协议,需单独配置:
- 每条规则配置完成后,点击「确定」保存。
五、配置出方向规则(可选)
出方向规则控制服务器主动访问外部的流量,默认规则为「允许所有出方向流量」,新手一般无需修改。若需限制(如禁止服务器访问外部特定 IP):
- 在规则配置页面,点击「出方向」→「手动添加」。
- 填写端口范围、目标 IP(授权对象),选择「拒绝」策略,点击「确定」。
六、验证安全组规则是否生效
- 远程连接测试:用 SSH(Linux)或远程桌面(Windows)连接服务器,若能成功连接,说明 22/3389 端口规则生效。
- Web 访问测试:部署简单网页后,用公网 IP 访问,若能打开,说明 80/443 端口规则生效。
- 端口开放检查:可通过在线工具(如端口检测)输入服务器公网 IP 和端口,检查是否开放。
七、安全组配置注意事项
- 最小权限原则:只开放必需的端口,如 Web 服务仅开放 80/443,避免开放不必要的端口(如 3306 不对外网开放)。
- 限制 IP 范围:远程连接端口(22/3389)尽量限制为固定 IP,避免使用
0.0.0.0/0(允许所有 IP)。 - 定期检查规则:删除不再使用的规则,避免冗余配置带来安全风险。
- 多安全组组合:一个实例可绑定多个安全组,规则取所有安全组的交集,可按功能拆分规则(如一个安全组管远程连接,一个管 Web 服务)。
- 通过以上步骤,新手可以完成安全组的基础配置。安全组是服务器的第一道防线,合理配置能有效降低被攻击的风险。如果配置后出现访问问题,可优先检查安全组规则是否正确开放了对应端口。