端口与安全组
最近更新时间: 2025-01-15 17:01:00
本文介绍与安全组以及端口配置相关的常见用户问题。
- 如果您想了解在控制台中如何新建、配置和进行安全组操作,请参考 配置安全组 和操作指南 > 安全 > 安全组章节。
- 如果您熟练使用腾讯云金融专区服务器API,也可以通过安全组API接口对安全组进行配置和操作。
端口相关
登录实例前,需要放通什么端口?
一般而言,对于 Linux 实例要放通22号端口,对于 Windows 实例需要放通3389号端口。更多适用于其他实例类型的端口请参考 典型场景配置。
云服务器常用端口有哪些?
请参考 服务器常用端口。
为何要开启端口?如何开启某个端口?
您需要在安全组中开放端口后才可以使用端口对应的服务。关于如何配置安全组端口,以及配置的规则,请参考 安全组概述。
为什么修改端口之后服务无法使用?
在修改了服务的端口之后,还需要在对应的安全组,开放对应的端口,否则会导致服务不能使用。
腾讯云金融专区不支持哪些端口?
部分端口存在安全隐患,尽管腾讯云金融专区未做限制,但运营商仍会将其拦截,从而导致无法访问。为避免此情况发生,我们建议您更换端口,不要使用如下端口监听:
| 协议 | 可能会被拦截的端口 |
|---|---|
| TCP | 42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、9996 |
| UDP | 1026、1027、1434、1068、5554、9996、1028、1433、135 - 139 |
安全组相关
安全组中为什么会默认有一条拒绝的规则?
安全组规则,是从上至下依次筛选生效的,之前设置的允许规则通过后,其他的规则默认会被拒绝。若是放通全部端口的,最后的这一条拒绝规则是不生效的,出于安全考虑,我们提供该默认设置。
选择安全组不正确,会对绑定该安全组的实例有何影响?如何解决?
问题隐患
- 远程连接(SSH)Linux 实例、远程登录桌面 Windows 实例可能失败。
- 远程 Ping 该安全组下的 CVM 实例的公网 IP 和内网 IP 可能失败。
- HTTP 访问该安全组下的实例暴露的 Web 服务可能失败。
- 该安全组下实例可能无法访问 Internet 服务。
解决方案
- 若发生以上问题,可以在控制台的安全组管理中重新设置安全组规则。例如,只绑定默认全通安全组。
- 具体设置安全组规则参考 安全组简介。
什么是安全组的方向和策略?
安全组策略方向分为出和入,出方向是指过滤云服务器的出流量,入方向是指过滤云服务器的入流量。 安全组策略分为允许和拒绝流量。
安全组策略的生效顺序是怎样的?
从上至下。流量经过安全组时的策略匹配顺序是从上至下,一但匹配成功则策略生效。
为什么安全组未允许的 IP 依然能访问云服务器 ?
可能有以下原因:
- CVM 可能绑定了多个安全组,特定 IP 在其他安全组中允许。
- 特定 IP 属于审批过的腾讯云金融专区公共服务。
使用了安全组是否意味着不可以使用 iptables?
不是。安全组和 iptables 可以同时使用,您的流量会经过两次过滤,流量的走向如下:
- 出方向:实例上的进程 > iptables > 安全组。
- 入方向:安全组 > iptables > 实例上的进程。
云服务器已经全部退还,为何安全组无法删除?
请查看回收站内是否还有云服务器。安全组绑定了回收站内的云服务器同样无法被删除。
安全组克隆时命名能否与目标区域的安全组相同?
不行。命名需保持与目标地域现有安全组名称不同。
安全组是否支持跨用户克隆?
暂不支持。
安全组跨项目跨地域克隆是否有云 API 支持?
目前为了方便使用控制台的客户,提供了 MC 的支持,暂无直接云 API 支持,您可通过原有的批量导入导出的安全组规则的云 API ,间接达到安全组的跨项目跨地域克隆。
安全组跨项目跨地域克隆,会将安全组管理的云服务器一起复制过去吗?
不会,安全组跨地域克隆,只将原安全组出入口规则克隆,云服务器需另行关联。