端口与安全组
最近更新时间: 2024-06-12 15:06:00
本文介绍与安全组以及端口配置相关的常见用户问题。
如果您想了解在控制台中如何新建、配置和进行安全组操作,请参考 配置安全组 和【操作指南】>【安全】>【安全组】章节。
如果您熟练使用腾讯云金融专区服务器API,也可以通过安全组API接口对安全组进行配置和操作。
端口相关
登录实例前,需要放通什么端口?
一般而言,对于 Linux 实例要放通22号端口,对于 Windows 实例需要放通3389号端口。更多适用于其他实例类型的端口请参考 典型场景配置。
云服务器常用端口有哪些?
请参考 服务器常用端口。
为何要开启端口?如何开启某个端口?
您需要在安全组中开放端口后才可以使用端口对应的服务。关于如何配置安全组端口,以及配置的规则,请参考 安全组概述。
为什么修改端口之后服务无法使用?
在修改了服务的端口之后,还需要在对应的安全组,开放对应的端口,否则会导致服务不能使用。
腾讯云金融专区不支持哪些端口?
部分端口存在安全隐患,尽管腾讯云金融专区未做限制,但运营商仍会将其拦截,从而导致无法访问。为避免此情况发生,我们建议您更换端口,不要使用如下端口监听:
| 协议 | 可能会被拦截的端口 |
|---|---|
| TCP | 42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、9996 |
| UDP | 1026、1027、1434、1068、5554、9996、1028、1433、135 - 139 |
安全组相关
安全组中为什么会默认有一条拒绝的规则?
安全组规则,是从上至下依次筛选生效的,之前设置的允许规则通过后,其他的规则默认会被拒绝。若是放通全部端口的,最后的这一条拒绝规则是不生效的,出于安全考虑,我们提供该默认设置。
选择安全组不正确,会对绑定该安全组的实例有何影响?如何解决?
问题隐患
远程连接(SSH)Linux 实例、远程登录桌面 Windows 实例可能失败。
远程 Ping 该安全组下的 CVM 实例的公网 IP 和内网 IP 可能失败。
HTTP 访问该安全组下的实例暴露的 Web 服务可能失败。
该安全组下实例可能无法访问 Internet 服务。
解决方案
若发生以上问题,可以在控制台的安全组管理中重新设置安全组规则。例如,只绑定默认全通安全组。
具体设置安全组规则参考 安全组简介。
什么是安全组的方向和策略?
安全组策略方向分为出和入,出方向是指过滤云服务器的出流量,入方向是指过滤云服务器的入流量。 安全组策略分为允许和拒绝流量。
安全组策略的生效顺序是怎样的?
从上至下。流量经过安全组时的策略匹配顺序是从上至下,一但匹配成功则策略生效。
为什么安全组未允许的 IP 依然能访问云服务器 ?
可能有以下原因:
CVM 可能绑定了多个安全组,特定 IP 在其他安全组中允许。
特定 IP 属于审批过的腾讯云金融专区公共服务。
使用了安全组是否意味着不可以使用 iptables?
不是。安全组和 iptables 可以同时使用,您的流量会经过两次过滤,流量的走向如下:
出方向:实例上的进程 > iptables > 安全组。
入方向:安全组 > iptables > 实例上的进程。
云服务器已经全部退还,为何安全组无法删除?
请查看回收站内是否还有云服务器。安全组绑定了回收站内的云服务器同样无法被删除。
安全组克隆时命名能否与目标区域的安全组相同?
不行。命名需保持与目标地域现有安全组名称不同。
安全组是否支持跨用户克隆?
暂不支持。
安全组跨项目跨地域克隆是否有云 API 支持?
目前为了方便使用控制台的客户,提供了 MC 的支持,暂无直接云 API 支持,您可通过原有的批量导入导出的安全组规则的云 API ,间接达到安全组的跨项目跨地域克隆。
安全组跨项目跨地域克隆,会将安全组管理的云服务器一起复制过去吗?
不会,安全组跨地域克隆,只将原安全组出入口规则克隆,云服务器需另行关联。