.png)
买了云服务器不会配安全组?手把手教你防火墙设置避坑
- 优惠教程
- 14热度
腾讯云2025年10月活动:点此直达
云产品续费贵,建议一次性买3年或5年,免得续费贵。
买一年送三个月专区:
1、轻量2核2G4M 128元/年(送3个月)【点此直达】
2、轻量2核4G5M 208元/年(送3个月)【点此直达】
3、轻量4核8G12M 880元/年(送3个月)【点此直达】
4、CVM 2核2G S5 261元/年(送3个月)【点此直达】
5、CVM 2核4G S5 696元/年(送3个月)【点此直达】
游戏专区:
1、幻兽帕鲁游戏服 36元/月【点此直达】
2、雾锁王国游戏服 90元/月【点此直达】
3、夜族崛起游戏服 36元/月【点此直达】
云服务器3年/5年特惠:
1、轻量2核2G4M 3年368元(约10.22元/月)【点此直达】
2、轻量2核4G6M 3年528元(约14.67元/月)【点此直达】
3、云服务器CVM SA2 3年730.8元(约20.3元/月)【点此直达】
4、云服务器CVM S5 3年888.3元(约24.68元/月)【点此直达】
爆品专区:
1、轻量2核2G4M 99元/年【点此直达】
2、轻量2核4G5M 188元/年【点此直达】
3、轻量4核8G10M 630元/年【点此直达】
4、轻量8核32G22M 399元/3个月【点此直达】
5、云服务器CVM SA2 237.6元/3个月【点此直达】
GPU服务器专区:
1、GPU GN6S(P4)4核20G 175元/7天【点此直达】
2、GPU GN7(T4)8核32G 265元/7天【点此直达】
3、GPU GN8(P40)6核56G 456元/7天【点此直达】
4、GPU GN10X(V100)8核40G 482元/7天【点此直达】
领取腾讯云优惠券刚入手一台腾讯云服务器,却发现网站打不开、SSH连不上?问题很可能出在安全组和防火墙配置上。很多新手用户只完成了购买和系统初始化,却忽略了这道关键的安全屏障,导致业务无法正常对外服务。
本文将结合真实操作逻辑,拆解从云服务器购买后到完成安全防护配置的全流程,帮助你避免常见误区,确保服务既安全又可用。
为什么安全组和防火墙缺一不可?
很多人误以为设置了系统防火墙就万事大吉,其实不然。云环境下的防护是分层的,安全组是第一道网关,而系统防火墙是最后一道防线。
- 安全组(Security Group):由云平台提供的虚拟防火墙,作用于网络层,控制进出实例的流量。它决定了哪些IP、协议、端口可以访问你的服务器。
- 系统防火墙(如firewalld、iptables):运行在操作系统层面,提供更细粒度的控制。即使安全组放行了流量,系统防火墙仍可进行二次过滤。
两者协同工作,才能实现真正的纵深防御。只开安全组不设系统防火墙,等于“大门敞开”;只设系统防火墙而不开安全组,等于“门锁了但物业不让进”。
第一步:登录控制台,配置安全组规则
以主流云厂商操作逻辑为例,安全组配置是所有防护动作的起点。你需要明确哪些服务需要对外暴露。
- 登录云服务商控制台(如腾讯云),进入ECS实例管理页面。
- 找到你刚购买的服务器实例,点击其关联的安全组ID,进入规则配置界面。
- 切换到入站规则(Ingress)标签页,开始添加允许的流量规则。
以下是推荐的基础入站规则配置,适用于大多数Web应用场景:
- 允许SSH连接:
协议:TCP,端口:22,来源:你的办公IP/24(建议限制源IP,而非0.0.0.0/0) - 允许HTTP访问:
协议:TCP,端口:80,来源:0.0.0.0/0 - 允许HTTPS访问:
协议:TCP,端口:443,来源:0.0.0.0/0 - 可选:允许ICMP(Ping):
协议:ICMP,来源:0.0.0.0/0
特别提醒:不要图省事直接放行0.0.0.0/0所有端口,这是典型的高危操作。建议遵循最小权限原则,只开放必要的端口和服务。
如果你希望进一步提升安全性,可以考虑将SSH端口从默认的22改为非标准端口(如22222),并在安全组中同步更新规则,有效降低暴力破解风险。想快速体验腾讯云的灵活配置?点击领取腾讯云新用户专属优惠,轻松部署你的第一台安全服务器。
第二步:登录服务器,启用系统级防火墙
安全组放行后,接下来要配置操作系统自带的防火墙。这一步能防止内部服务被意外暴露,也能应对安全组配置失误。
以CentOS 7及以上系统为例,推荐使用firewalld,它比iptables更易管理。
- 通过SSH登录你的云服务器(确保安全组已放行SSH端口)。
- 检查firewalld状态:
firewall-cmd --state,若未运行则启动并设为开机自启:
sudo systemctl start firewalld
sudo systemctl enable firewalld接下来,根据你的业务需求开放端口:
- 开放HTTP服务:
sudo firewall-cmd --permanent --add-service=http - 开放HTTPS服务:
sudo firewall-cmd --permanent --add-service=https - 若使用非标准SSH端口(如22222):
sudo firewall-cmd --permanent --add-port=22222/tcp
所有规则添加完毕后,重新加载防火墙配置:
sudo firewall-cmd --reload最后,验证端口是否已生效:sudo firewall-cmd --list-ports 或 sudo firewall-cmd --list-all。
对于Ubuntu用户,推荐使用ufw(Uncomplicated Firewall),命令更简洁:
sudo ufw enable
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 22/tcp系统防火墙的配置,是你对服务器拥有完全控制权的体现。别忘了,点击这里查看腾讯云当前最划算的服务器套餐,新用户专享超低折扣,配置即用。
第三步:验证与测试,确保服务可达
配置完成后,必须进行端到端测试,避免“看似正确实则不通”的尴尬。
- 尝试从本地浏览器访问你的公网IP或域名,看80/443端口服务是否正常响应。
- 使用
telnet 公网IP 22测试SSH端口连通性(需本地安装telnet客户端)。 - 如果使用了非标准端口,确保在SSH客户端中正确填写端口号。
- 使用
ping 公网IP测试ICMP连通性(若已放行)。
如果发现无法访问,按以下顺序排查:
- 确认安全组规则是否正确且已保存。
- 检查系统防火墙是否运行,并确认端口已添加。
- 查看云服务器实例是否处于“运行中”状态。
- 确认服务程序(如Nginx、Apache)已在服务器内部启动。
一个常见的误区是:只配置了安全组或只配置了系统防火墙,导致“单边放行”失败。必须双层防护同时到位,流量才能顺利通行。
进阶建议:提升服务器整体安全性
基础的防火墙配置只是起点。为了长期稳定运行,建议采取以下措施:
- 禁用root直接登录:修改
/etc/ssh/sshd_config中的PermitRootLogin no,创建普通用户并通过sudo提权。 - 启用密钥认证:关闭密码登录(
PasswordAuthentication no),使用SSH密钥对提升登录安全性。 - 定期更新系统:运行
sudo yum update(CentOS)或sudo apt update && upgrade(Ubuntu)安装安全补丁。 - 启用DDoS基础防护:大多数云厂商提供免费的DDoS防护,确保已在控制台开启。
安全不是一劳永逸的工作,而是持续的过程。从第一台服务器开始就建立良好的安全习惯,未来管理多台实例时会轻松很多。
现在正是入手云服务器的最佳时机,点击领取腾讯云限时优惠券,享受高性能、高安全的云主机服务,快速搭建你的个人网站或企业应用。
常见问题解答(FAQ)
| 问题 | 解答 |
|---|---|
| 安全组和防火墙有什么区别? | 安全组是云平台层面的虚拟防火墙,控制进出实例的流量;系统防火墙(如firewalld)运行在操作系统内,提供更细粒度的控制。两者应配合使用。 |
| 安全组规则中0.0.0.0/0是什么意思? | 表示允许来自任何IP地址的流量。建议仅对HTTP/HTTPS等必要服务开放,SSH等管理端口应限制来源IP。 |
| 修改SSH端口后无法登录怎么办? | 检查安全组和系统防火墙是否已放行新端口,并确认/etc/ssh/sshd_config中Port配置正确,且SELinux(如启用)允许该端口。 |
| 如何备份防火墙规则? | firewalld规则保存在/etc/firewalld/目录下,可通过firewall-cmd --runtime-to-permanent确保运行时规则持久化。 |
| 一台服务器可以绑定多个安全组吗? | 可以,但规则会取并集。建议新手只绑定一个安全组,避免规则冲突导致难以排查问题。 |