如何对轻量应用服务器防火墙进行管理？

防火墙作为轻量应用服务器的重要安全组件，通过定制化的规则控制入站流量，有效保护服务器免受未经授权的访问。本文档详细介绍了如何管理和调整防火墙规则，包括添加、修改、禁用、启用和删除规则的操作流程，并提供了预设端口信息、常见问题解答及相关文档链接。

使用限制

• 单台轻量应用服务器最多支持50条防火墙规则。
• 25端口默认受限，推荐使用465端口进行邮件服务。
• 防火墙仅控制入站流量，出站流量默认允许。

入站与出站流量定义

• 入站流量：从外部网络传输至服务器的数据流。
• 出站流量：从服务器内部传输至外部的数据流。

防火墙设置

每台轻量应用服务器默认放行特定端口，其余端口则处于禁用状态。默认放行端口如下：

• Windows：3389、80、443端口。
• Linux：22、80、443端口。

添加防火墙规则

1. 登录轻量应用服务器管理控制台。
2. 在左侧导航栏选择“服务器”。
3. 定位至目标服务器，点击实例ID。
4. 进入“防火墙”页面。
5. 点击“添加规则”，配置相关参数后保存。

注意事项

• 设置端口范围和允许访问的IP地址时，请遵循最小权限原则，以增强安全性。
• 新规则会覆盖已有规则，无论原有规则的状态。

选择预设防火墙规则

• 应用类型：选择预设的服务类型，如RDP、FTP等，请参见预设端口说明。
• 协议：默认显示，不可更改。
• 端口范围：默认显示，不可更改。
• 限制IP来源：默认为0.0.0.0/0，即对所有IPv4地址开放。请按需配置。
• 备注：输入规则描述，便于后续管理。

自定义防火墙规则

• 应用类型：选择“自定义”。
• 协议：选择TCP或UDP。
• 端口范围：支持单个端口或端口范围设置，端口取值范围为1~65535，可以指定斜线（/）分隔的端口范围，如20000/30000。
• 限制IP来源：默认为0.0.0.0/0，支持自定义IPv4地址或CIDR段。
• 备注：输入规则描述。

修改、禁用、启用、删除防火墙规则

• 修改防火墙规则：在目标规则的操作列点击“修改”，更新规则后保存。
• 禁用防火墙规则：在目标规则的操作列点击“禁用”，确认后生效。
• 启用防火墙规则：在目标规则的操作列点击“启用”，确认后生效。
• 删除防火墙规则：在目标规则的操作列点击“删除”，确认后移除规则。

预设端口说明

为了简化防火墙规则的配置过程，阿里云预设了常用的服务端口，详情如下：

• HTTP：TCP 80端口，用于网站服务，参见基于CentOS系统镜像快速部署Apache服务。
• HTTPS：TCP 443端口，用于加密通信，参见：启用HTTPS加密访问Node.js环境安装SSL证书WordPress环境上安装SSL证书。
• RDP：TCP 3389端口，用于远程桌面连接，参见远程连接Windows服务器。
• FTP：TCP 21端口，用于文件传输，参见搭建FTP服务器（Linux）。
• TELNET：TCP 23端口，用于远程登录。
• MySQL：TCP 3306端口，用于数据库服务，参见使用DMS连接服务器中的数据库。
• 全部TCP：TCP 1~65535端口。
• 全部UDP：UDP 1~65535端口。
• 全部TCP+UDP：TCP+UDP 1~65535端口。
• 自定义：支持自定义端口范围。

更多参见常用端口

常见问题

服务器防火墙与操作系统防火墙的区别

• 轻量应用服务器防火墙：提供图形化界面，便于管理，但仅控制入站流量。
• 操作系统内部防火墙：由系统管理员配置，支持双向流量控制，但需要熟悉相关命令。

如何检查端口是否可达

使用telnet命令测试端口连通性：

telnet <IP地址> <端口>

window下

端口通

端口不通

C:\Users\Administrator>telnet 120.55.XX.XX 80

正在连接120.55.XX.XX...无法打开到主机的连接。 在端口 80: 连接失败

linux下

端口通

[root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80

Trying 120.55.XX.XX...

Connected to 120.55.XX.XX.

Escape character is '^]'.

端口不通

[root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80

Trying 120.55.XX.XX...

telnet: connect to address 120.55.XX.XX: Connection refused

如何检查服务状态及端口监听状态

• Linux服务器：使用systemctl status <服务名>和netstat -an | grep <端口>命令。
• Windows服务器：通过服务管理器检查服务状态，使用netstat -ano | findstr "<端口>"命令检查端口监听状态。

端口不通的处理方法

• 跨境访问问题：建议迁移至中国内地地域服务器，参见轻量应用服务器之间的数据迁移和退款说明。
• 轻量服务器不支持更换IP来实现更改链路。如果使用的是香港地域的服务器，您可以尝试使用云服务器ECS+精品EIP的组合方式。精品EIP通过底层网络直接传输到中国内地（但跨境问题依旧存在，无法保证根本解决）。请参见轻量应用服务器数据迁移至ECS实例（通过共享镜像）、申请EIP和将EIP绑定至ECS实例。
• 其他端口不通：检查服务是否启动、内部防火墙设置及防火墙规则配置。

相关文档

• 远程连接FAQ
• 与云服务器ECS对比
• 安全组概述