安全组端口设置注意事项

安全组设置说明：https://www.west.cn/faq/list.asp?unid=1430 

当服务器ftp、数据库或者远程端口遭受到黑客暴力破解的时候，可以利用安全组进行设置拦截。

例如mysql、sqlserver被暴力破解，但外网又需要进行使用，这时可以利用安全组先设置全网禁止3306（mysql端口）、1433（sqlserver端口）连接，然后再单独设置允许连接的IP，其他端口设置也是一样的原理。但需要注意允许连接的优先级数字一定要比拒绝的大，否则设置无效。

例如下图规则是允许某个IP段进行远程，其他全部阻止连接。

注意服务器内部本身也有一层防火墙（操作系统自带防火墙），例如默认情况下我司3306是不能连接的，要先保证服务器本身没有限制，安全组才会有效果。

我司服务器常用端口：

21（ftp端口）

80（网站web端口）

3306（mysql端口）

1433（sqlserver端口）

3389（windows系统远程端口）

8080（我司WDCP系统默认端口）

22000（我司弹性云linux系统端口）

33890（我司弹性云windows远程默认端口）

33000-33003（我司服务器ftp被动端口，ftp被动模式连接时系统自身使用）

20000-20500（我司弹性云WDCP系统ftp被动端口，ftp被动模式连接时系统自身使用）

注意：拦截端口的时候，根据自己的需求放行以上对应应用端口，否则将导致对应服务不能正常使用。

案例：

1、全网禁ping。

2、禁止某个IP（IP段）访问。

3、设置只允许某个IP（IP段）远程服务器。

4、设置只允许某个IP（IP段）连接ftp。