腾讯云服务器放行端口–配置安全组

原文链接：

云服务器在使用中网络通信是第一要素。要做好网络通信的管理，首要就是配置云服务器的安全组（防火墙），放行端口。

各厂商云服务器都有这快得设置，举例一台腾讯云服务器的设置做个记录。

一、环境准备

云平台—-腾讯云

服务器—-winserver 2008 R2

后台管理地址：https://cloud.tencent.com/login/

其实不区分操作系统，云服务器的防火墙设置都是一样的，放行端口就OK

二、思路设计

服务器到外部网络：网络全通

外部到服务器做限制：

放行常用windwos远程端口：3389

放行sql server数据库远程端口：1433

其他常用端口：20，21，22，23，80，443等

先默认拒绝所有，在依次开启需要放行的端口及ip

三、操作流程

1.登录腾讯云后台–管理控制台

2. 点击进入-云服务器管理

3. 左侧找到—-安全组

4. 进入设置安全组规则

5.先放通出站规则：意思就是云服务器到外部网络的通信，没特殊要求建议所有

添加规则里面模板：

目标：就是目的网段或ip地址　　协议端口：单个端口就是端口号，单个协议就是协议名，所有就是ALL　　策略：允许/放行　　备注：设置一个备注好记

所有通信 ip就是0.0.0.0/0   协议端口：ALL　　策略：放行　　备注：所有通信

6.入站规则设置：

入站的意思就是从外部的数据包进入云服务器，这一块不能开启所有！

举个栗子：当你用云服务器，你的IP是公网IP，所有人都可以去挨个ping啊，端口扫描等等这个IP地址。

整个互联网中有些黑客一直在做一些端口扫描和一些攻击，所以只能放通一部分端口与应用。

把常用的应用放通，例如服务器远程和FTP；将来源设置成一个公司或者自己网络的出口（运营商提供的一个固定ip段）。

这样就只能在公司或者自己网络的出口能够跟云服务器进行远程，FTP上传下载文件。

模板：

一般来说，入站规则默认策略就是防火墙里面的白名单。默认就是拒绝所有，但是为了安全起见，还行在做策略之前先做一条拒绝所有。

拒绝所有：

关于出口：

如果有公司性质的，出口网段就打运营商电话问，专线一般是一个IP段，子网掩码可以百度子网掩码计算器来计算。例如10.10.10.1-10/25

如果是个人使用，一般就是ADSL，这种情况就需要每天做策略，因为一直在变。网友有个办法可以试下，就是打运营商的电话，让那边给一个固定的IP地址，看人品了。

ADSL一般不好做，因为一直在变幻，十分麻烦。经博主测试，联通的ADSL是做不了出口的，因为一直在变，而移动跟电信ADSL做过是可以的，不过麻烦，要每天来添加。

3389windows远程允许公司出口：

数据库sql server允许公司出口：

其他的端口跟上面操作一样，依次添加即可。

四、注意事项

1.如果出口的子网掩码不会的，建议百度一下子网掩码计算器计算一下。

2.入站规则这一块是有顺序的，匹配策略是从上到下，依次匹配。

3.windwos系统建议把服务器里面自带的防火墙关闭，就用这个安全组来做。

4.linux系统建议把iptables，selinux关闭，也使用云平台的安全组来做。