阿里云
FIFA
发表主题 回复主题
  • 2507阅读
  • 1回复

[教程]安全组详解,新手必看教程

级别: 论坛版主
发帖
3546
云币
2132
— 本帖被 不靠谱贝贝 设置为精华(2017-11-30) —
前言
不论你是新手还是已经对此有些了解,推荐再看一遍,因为安全组的设置选项就如图那些东西,但是我们可以通过规则做的事情就有很多了。
安全组顾名思义是为了安全所做的一些配置,类似我们的防火墙,可以对流量进行一些简单的控制,这里可以提前了解一个,我们的不少童鞋说我去主机结果不通,或者怎么样子,那我们就要知道ping的意义,是为了测试网络可达,它用的是ICMP协议,如果在安全组你没有添加或者把它拒绝,那你觉得会ping通吗?
q&wv{  
s! sG)AR.J  
可以通过图中的规则了解,我们的常用服务就是上面的这些,那我们开始认识一下这些到底是干啥用的吧。 M:K4o%  
twPD'X!r  
一、快速添加规则 |c,'0V,"cH  
r9^~I  
1.规则方向 ]5eZLXM  
9z?B@;lMc  
分为入方向和出方向两种 Ymg,NkiP0  
入方向是数据进来的方向,出方向是数据出去的方向 V%J_iY/BUb  
UTuOean ]'  
2.授权策略 DEpn>   
!f8]gTzN  
|\q@XCGei  
=$vy_UN  
当我们选择好你数据是进来还是出去的时候,是不是就要知道这个数据是让允许还是拒绝出去尼,在这里就可以进行控制了。 %0eVm   
5' 3H$%dC  
p!cNn7{;  
3. 常用端口 CK} _xq2b  
bRc~e@  
Ns`:=  
如果说IP地址是我们的门牌号,那么端口就是你从哪个门进去了。 Cv1CRmqq%  
我们普遍使用的是上面那么“门”那就要了解这些门是干啥的了。 )%(H'omvl  
SSH的端口是22,通常是用于远程登录所用,注意你的服务器是Linux的系统哦(除了Windows系统之外的那些),只有Linux的系统才能使用SSH登录。SSH默认都是安装好的,我们不需要什么额外的操作,那么如何使用SSH进行登录尼? -gLU>I7wV  
https://bbs.aliyun.com/read/571061.html .?-]+ -J?`  
NiH.Pv)Oa'  
Telnet是提供的远程终端服务,一般Windows连接Windows,在命令行模式下进行登录,不过现在高版本的系统要己去安装这个服务,默认你本地电脑是没有的。自己不太常用这个。 ~C;gEE-  
VWE`wan<  
HTTP服务超文本传输协议 端口80 也就是我们天天看的网站访问时使用的协议,这个当然要允许了 J k FZd  
$T}Dn[.  
HTTPS是http的加强版,如果你想网站不被运营商什么的挂上广告或者被监听可以配置一个https的,它需要SSL。 ~-2q3U Py  
CKRnkTTiV  
MS SQL数据库如果是这个就需要开启了 r*4@S~;  
wE09%  
Oracle 同样是数据库 "Bbd[ZI8  
5JRj'G0I  
MYSQL 还是数据库 }h_= n>  
,zH\&D$>u  
RDP这个就是Windows远程连接桌面使用的协议了3389,有时候被人恶意扫描也是这个端口。 bjGQ04da  
AoN |&o  
PostgreSQL这个只在kali上用过同样是数据库 :l?/]K  
5NAB^&{Z<X  
i?pC[Ao-_  
Redis日志型的数据库  k8ej.  
[^E{Yz=8,  
! V;glx[  
4.自定义端口 @c#M^:9Dc  
#`{L_n$c  
dW>$C_`?  
TCP  UDP协议 }=JuC+#~n  
TCP传输控制协议 可靠的连接 速度不如UDP快 .LHzaeJCX  
UDP 用户数据报协议 不可靠的无连接传输协议,速度快,通常音频类等需要快速传输的是这个协议 >4eZ%</D5  
21----- (tcp )FTP文件传输协议22------(tcp)SSH安全登录、网络间传送(SCP)和端口重定向220/tcp IMAP3 443/tcp HTTPS /"OJ~e_%  
i5^U1K\M  
DNS UDP @jevY81)  
/A~+32 B  
'2.11cM3  
5.授权类型 2k3yf_N  
&C7HG^;W9  
y1 53ax  
sOLR*=F{  
如果是第一次选择地址段访问,来设置,当多个服务器需要设置的时候选择安全组访问可以添加之前设置好的安全组规则,比较省事。 uA2-&smw  
j8"2K^h=  
gR:21*&cz  
6.授权对象 bZsg7[: C  
Ffp<|2T2_  
Rk.GrLp  
GcYT<pwN6  
也就是你允许哪个网段的人来连接,比如想你自己的1.1.1.1的IP地址访问某服务,可以衰弱1.1.1.1/32. v<U +&D{  
Co#_Cyxg=9  
\4e6\6 +  
=q-HR+  
私有地址范围
10.0.0.0~10.255.255.255
172.16.0.0~172.31.255.255
192.168.0.0~192.168.255.255
特殊地址
127.0.0.0 ~127.255.255.255  本地环回网段   测试本地连通性
0.0.0.0           所有网络   缺省路由
255.255.255.255  有限广播地址    只能在本网段广播
hPHrq{YZ  
192.168.1.0/24的网段
A:100  我们要划分一百台IP地址给我们其他的服务器
pe1_E KU  
2n-2>100公式
n=7主机位是7
主机位:7
网络位:25  32-7=25
~NtAr1  
大家可以联系试试
10.0.0.0/8的网段划分2W个ip
Z'I0e9Jw  
答案
32-15=17网络位
10.0.0.0/17网段
10.0.0.0网络地址
10.0.127.255广播地址
10.0.0.1-10.0.127.254可使用范围
@)YQiE$  
#Qp.O@e  
H\Jpw  
如果想让任意范围的都可以访问尼,0.0.0.0/0 ';z5]O~  
?hQ,'M2  
|ozlaj  
7.规则优先级 axW4 cS ?  
1#3 Qa{i  
`b{.K,  
0w_2E  
数字越小越优先匹配 a~-^$Fzgy  
%aszZP  
Hf'yRKACj  
8.描述 UUt631  
r2*'5jk_  
: a4FO  
这里可以备注规则匹配的什么。 i Y2%_b!5  
]3E':JM@  
6GD Uo}.  
一、添加安全组规则 E+&]96*Lby  
V!S B9t`E  
U "qO&;m  
(qP !x 2j  
我们的ICMP如果不允许是不能ping通的,这也解释了为什么有的网站不能ping因为把这个icmp协议给顾虑了。另外里面的GRE是隧道,在VPN中会用到。 (pjmE7 `"P  
L^`oJ9k!  
diLjUC`69  
三、导入导出规则 2,>q(M6,EA  
%V$ujun`  
DT=!  
通过我们的导入导出规则可以很方便的将你的配置给其他人或者导出进行备份都是很不错的选择 n]B)\D+V^  
[^gSWU  
IpxFME%!  
C%P"Ds=w0N  
[ 此帖被我的中国在2017-11-30 15:31重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +1
平步青云¥ 云币 +1 你是我偶像 11-30
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 11-30
你是我偶像
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个