幻灯片-王先生笔记

服务器的安全组规则设置建议

安全组是服务器使用(租用)者能看到最底层的(网络层)防火墙了,相当于租用服务器最大且可控的保护伞。配置好后,最大的用处就是可以隔绝大部分中等危险系数的网络攻击。所以,设置安全组很重要!本文小编给大家带来偏小白向的设置攻略。包含详细的出站数据入站数据设置建议、TCP协议和UDP协议简介、常见端口开关选择。

简述

防火墙(安全组)非彼防火墙(应用层防火墙),安全组可以管理端口是否开放,以及服务器数据信息是否可以通过端口协议出入。是服务器最底层的基础且重要的功能,可以有效隔绝大部分非法网络攻击。

入数据和出数据

入站(入数据):外人访问服务器,访问其中的服务,如:用户访问服务器中的网页;从服务器下载文件
出站(出数据):服务器向外发送请求,如:访问其他服务器的api接口;服务器发送邮件

图片[1]-服务器的安全组规则设置建议-王先生笔记

TCP协议和UDP协议

两种传输协议类型的区别:
1.tcp是面向连接的,udp是无连接的。
2.tcp是可靠传输 且慢,udp是不可靠传输 且快。
3.tcp是面向报文传输,udp是面向字节流传输。

这样说可能不明确,我们用适用场景开区分

名称场景
TCP文件上传下载、邮件收发、浏览网页等
UDP域名查询、语音(视频)通话、视频直播、隧道网络等
图片[2]-服务器的安全组规则设置建议-王先生笔记
不比速度,对比UDP和TCP的行为

了解应用场景后,简单了解一下两种攻击者常用的攻击手段

cc的一种攻击方式,与一直刷新网页不同。恶意的程序通过TCP连接服务器,如果攻击者的恶意程序循环伪造不可访问的源IP地址,发送SYN报文给服务器,服务器收到请求后回复给攻击者SYN-ACK报文,攻击者不回复或者说因为有假IP收不到报文)与服务器建立成千上万的连接,慢慢就会导致服务器资源耗尽而崩溃或者占满连接数量导致无法正常访问。

DoS攻击手段的一种,一般常用流量型的攻击手段,无需与服务器建立连接,也不确定数据包的内容,直接发送大量大型数据包给服务器。服务器接收数据包,占满宽带,导致拒绝正常请求服务。

图片[3]-服务器的安全组规则设置建议-王先生笔记

端口

一般情况下,只需要开放正在使用的端口即可。如果有未使用的端口,且是开放状态,很有可能会受到攻击。毕竟下一层防火墙不一定有防御手段。

我们来了解一下搭建网站常见的端口以及简述

端口间述
20-21FTP文件传输协议默认端口
22Linux服务器的ssh(shell)登陆端口
23Telnet服务端口
25SMTP本地(自建邮局)发信端口
53DNS服务器默认端口
80网页HTTP协议默认端口
110POP3本地(自建邮局)收信端口
443网页HTTPS加密协议默认端口
888phpMyAdmin数据库管理后台
3306MySQL服务端口
3389Windows服务器桌面连接端口
ICMPICMP是公网ping服务
8888宝塔板面默认端口
3312康乐面板默认端口

推荐设置

网站放通端口建议

出/入 TCP端口:80、443、22或3389、20-21、8888或3312、ICMP

网站常用其他端口及开启建议

3306是数据库端口(以及Redis:3679、Memcached:11211、MS SQL:1433、Postgre SQL:1433、Oracle:1521),如果你的服务器是用来给其他服务器做数据库的,那么可以开启tcp-入方向。如果是本地使用端口,为了数据库安全,一般不开启外网访问

888是数据库管理后台,如果你给服务器安装了管理器,可以开启tcp-入方向,如果不使用时,可以关闭端口

53是DNS服务器的默认端口,用于解析域名的服务器,网站一般用不到,有需要的话可以tcp/udp-出/入方向开启

21是FTP文件传输的功能默认端口,如果你需要方便管理自己的网站文件,可以开启tcp-入方向

25是SMTP邮局服务器用的端口,不过一般服务器商会关闭25端口,如果未关闭,且需要使用,可以开启tcp-出/入方向

温馨提示:本文最后更新于2022-09-22 20:25:54,某些文章具有时效性,若有错误或已失效,请在下方留言或加入QQ群:399019539联系群主。
友情赞助

如果你喜欢我的内容,可以赞助我哦!你的一点点心意,是我不断前进的动力!
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容