常用端口
常用端口及服务如下表所示。
| 端口 | 服务 | 说明 |
|---|---|---|
| 21 | FTP | FTP服务所开放的端口,用于上传、下载文件。 |
| 22 | SSH | SSH端口,用于通过命令行模式使用用户名密码验证连接Linux实例。 |
| 23 | Telnet | Telnet端口,用于Telnet远程登录ECS实例。 |
| 25 | SMTP | SMTP服务所开放的端口,用于发送邮件。 |
| 80 | HTTP | 用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。 |
| 110 | POP3 | 用于POP3协议,POP3是电子邮件接收的协议。 |
| 143 | IMAP | 用于IMAP(Internet Message Access Protocol)协议,IMAP是用于接收电子邮件的协议。 |
| 443 | HTTPS | 用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。 |
| 1433 | SQL Server | SQL Server的TCP端口,用于供SQL Server对外提供服务。 |
| 1434 | SQL Server | SQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。 |
| 1521 | Oracle | Oracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。 |
| 3306 | MySQL | MySQL数据库对外提供服务的端口。 |
| 3389 | Windows Server Remote Desktop Services | Windows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。 |
| 8080 | 代理端口 | 同80端口,8080端口常用于WWW代理服务,实现网页浏览。 |
自定义网络ACL
假设您需要指定子网内的某个弹性云服务器做Web服务器,您需要在入方向需要放通HTTP 80和HTTPS 443端口,出方向全部放通。当您启用网络ACL时防护时,需要配置相应的网络ACL规则。
| 方向 | 动作 | 协议 | 源地址 | 源端口范围 | 目的地址 | 目的端口范围 | 说明 |
|---|---|---|---|---|---|---|---|
| 入方向 | 允许 | TCP | 0.0.0.0/0 | 1-65535 | 0.0.0.0/0 | 80 | 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口。 |
| 入方向 | 允许 | TCP | 0.0.0.0/0 | 1-65535 | 0.0.0.0/0 | 443 | 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口。 |
| 出方向 | 允许 | 全部 | 0.0.0.0/0 | 全部 | 0.0.0.0/0 | 全部 | 允许子网内所有出站流量的数据报文通过。 |
网络ACL相当于一个额外的保护层,如果您的安全组规则配置不当,网络ACL规则也仅允许HTTP 80和HTTPS 443的访问,拒绝其他的入站访问流量。
注意对于地域资源池来说,无论是入方向规则还是出方向规则,请确保每个方向都存在允许响应流量出入的规则。
临时端口
不同类型的客户端发起请求时使用的端口不同,您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。
| 客户端 | 端口范围 |
|---|---|
| Linux | 32768-61000 |
| Windows Server 2003 | 1025-5000 |
| Windows Server 2008及更高版本 | 49152-65535 |
