云服务器安全组是什么?
安全组(Security Group)是云服务器最重要的网络安全防护机制,相当于一台虚拟防火墙。它通过设置入站和出站规则,控制进出云服务器的网络流量,是保护服务器安全的第一道防线。
2026 年,网络安全威胁日益严峻,正确配置安全组是每台云服务器上线前的必做操作。本文将从安全组原理、常用端口、配置步骤、最佳实践四个维度,帮你构建安全的网络环境。
安全组工作原理
入站规则(Inbound)
定义:控制从外部访问云服务器的流量
默认策略:拒绝所有入站连接(最安全)
配置原则:只开放必要的端口,最小权限原则
出站规则(Outbound)
定义:控制云服务器访问外部的流量
默认策略:允许所有出站连接
配置原则:一般无需限制,特殊场景可配置
规则优先级
优先级数字越小,优先级越高
匹配到第一条规则后即生效,不再继续匹配
建议将允许规则放在前面,拒绝规则放在后面
常用端口速查表
| 端口 | 协议 | 用途 | 开放建议 |
|---|---|---|---|
| 22 | TCP | SSH(Linux 远程连接) | 仅对管理 IP 开放 |
| 3389 | TCP | RDP(Windows 远程桌面) | 仅对管理 IP 开放 |
| 80 | TCP | HTTP(网站访问) | 对 0.0.0.0/0 开放 |
| 443 | TCP | HTTPS(加密网站访问) | 对 0.0.0.0/0 开放 |
| 3306 | TCP | MySQL 数据库 | 禁止公网,仅内网访问 |
| 5432 | TCP | PostgreSQL 数据库 | 禁止公网,仅内网访问 |
| 6379 | TCP | Redis 缓存 | 禁止公网,仅内网访问 |
| 27017 | TCP | MongoDB 数据库 | 禁止公网,仅内网访问 |
| 21 | TCP | FTP 文件传输 | 建议用 SFTP 替代 |
| 25 | TCP | SMTP 邮件发送 | 云服务商默认封锁 |
主流云服务商安全组配置
阿里云安全组
入口:控制台 → 云服务器 ECS → 网络与安全 → 安全组
规则数量:每个安全组最多 100 条规则
优先级:1-100,数字越小优先级越高
特点:支持安全组嵌套,可关联多个安全组
腾讯云安全组
入口:控制台 → 云服务器 CVM → 安全组
规则数量:每个安全组最多 100 条规则
优先级:支持自定义优先级
特点:支持端口范围批量配置,模板丰富
华为云安全组
入口:控制台 → 弹性云服务器 ECS → 安全组
规则数量:每个安全组最多 100 条规则
优先级:默认规则优先级最低
特点:支持安全组规则复制,便于批量管理
百度智能云安全组
入口:控制台 → 云服务器 BCC → 安全组
规则数量:每个安全组最多 100 条规则
优先级:按添加顺序匹配
特点:配置简单,适合新手
安全组配置步骤(以阿里云为例)
步骤 1:创建安全组
登录阿里云控制台
进入"云服务器 ECS" → "网络与安全" → "安全组"
点击"创建安全组",选择地域和网络类型
设置安全组名称,如"web-server-sg"
步骤 2:配置入站规则
点击安全组 ID,进入"配置规则"
点击"手动添加",填写规则信息:
优先级:1(高优先级)
策略:允许
协议类型:TCP
端口范围:80/80(或 1/65535 全端口,不推荐)
授权对象:0.0.0.0/0(所有 IP)或指定 IP 段
描述:如"允许 HTTP 访问"
步骤 3:关联云服务器
进入云服务器实例详情页
点击"更多" → "网络和安全组" → "分配安全组"
选择刚创建的安全组,确认分配
每台云服务器可关联最多 5 个安全组
步骤 4:验证配置
使用 telnet 或 nc 命令测试端口连通性
例如:telnet 服务器 IP 80
能连接表示规则生效,连接失败需检查配置
不同场景安全组配置方案
场景 1:个人博客/企业官网
| 端口 | 协议 | 授权对象 | 说明 |
|---|---|---|---|
| 80 | TCP | 0.0.0.0/0 | HTTP 访问 |
| 443 | TCP | 0.0.0.0/0 | HTTPS 访问 |
| 22 | TCP | 个人 IP/32 | SSH 管理 |
场景 2:电商网站/高安全要求
| 端口 | 协议 | 授权对象 | 说明 |
|---|---|---|---|
| 80 | TCP | 0.0.0.0/0 | HTTP 访问 |
| 443 | TCP | 0.0.0.0/0 | HTTPS 访问 |
| 22 | TCP | 办公 IP/32 | 仅办公网络可 SSH |
| 3306 | TCP | 内网网段 | 仅内网访问数据库 |
场景 3:游戏服务器
| 端口 | 协议 | 授权对象 | 说明 |
|---|---|---|---|
| 游戏端口 | TCP/UDP | 0.0.0.0/0 | 如 25565(Minecraft) |
| 22 | TCP | 管理 IP/32 | SSH 管理 |
场景 4:数据库服务器
| 端口 | 协议 | 授权对象 | 说明 |
|---|---|---|---|
| 3306 | TCP | 内网网段 | 仅应用服务器可访问 |
| 22 | TCP | 跳板机 IP/32 | 仅跳板机可 SSH |
| ICMP | - | 内网网段 | 内网 Ping 检测 |
安全组最佳实践
1. 最小权限原则
只开放必要的端口,不要开放 1-65535 全端口
管理端口(22/3389)仅对特定 IP 开放
数据库端口禁止公网访问
2. 定期审计规则
每月检查安全组规则,删除过期规则
检查是否有过于宽松的授权对象(如 0.0.0.0/0)
记录规则变更日志
3. 使用安全组模板
为常见场景创建安全组模板(Web、数据库、应用)
新服务器直接套用模板,减少配置错误
模板定期更新,保持安全基线
4. 多层防护
安全组 + 系统防火墙(iptables/firewalld)双重防护
关键服务器通过跳板机访问
配合云防火墙/WAF 提供更细粒度控制
5. 监控与告警
开启安全组流量日志
配置异常访问告警(如大量失败连接)
定期分析日志,发现潜在威胁
常见问题 FAQ
Q1:安全组和系统防火墙有什么区别?
安全组是云服务商提供的网络层防火墙,在流量到达服务器之前拦截。系统防火墙(如 iptables)是操作系统层面的防火墙。建议两者配合使用,安全组做粗粒度控制,系统防火墙做细粒度控制。
Q2:修改安全组规则后多久生效?
安全组规则修改后通常 1 分钟内生效,无需重启服务器。如果未生效,可尝试重启服务器网卡或联系云服务商。
Q3:安全组可以关联多少台云服务器?
主流云服务商支持一个安全组关联多台云服务器(通常上限 1000 台)。一台云服务器也可关联多个安全组(通常上限 5 个),规则取并集。
Q4:如何快速封禁恶意 IP?
在安全组入站规则最前面添加一条"拒绝"规则,授权对象填写恶意 IP,优先级设为最高(如 1)。也可配合云防火墙实现自动封禁。
Q5:安全组规则配置错误导致无法连接怎么办?
通过云服务商控制台的"VNC 登录"或"救援模式"登录服务器,修正安全组规则。建议配置前先测试 VNC 可用,避免被锁在外面。
总结
配置云服务器安全组时,核心原则是:最小权限、定期审计、多层防护。
关键建议:
管理端口(22/3389)仅对特定 IP 开放
数据库端口禁止公网访问
使用安全组模板提高配置效率
配合系统防火墙实现多层防护
定期审计规则,删除过期配置
开启流量日志,监控异常访问
2026 年,网络安全威胁持续升级,正确配置安全组是云服务器安全的基础。建议上线前制定安全组规范,严格执行最小权限原则,定期进行安全审计。
