阿里云服务器怎么设置防火墙设置

在阿里云服务器上设置防火墙，需要分清两个概念：安全组和系统防火墙。安全组是云端的虚拟防火墙，控制着进出服务器的第一道大门；而系统防火墙，则是在服务器内部进一步加固的第二道防线。

🧱 防火墙的两道防线
防线 位置 特点 配置方式
安全组 阿里云云端 第一道门禁，类似于公寓的门禁系统，控制外部流量能否进入服务器。 在阿里云控制台进行图形化配置。
系统防火墙 服务器内部 第二道大门，类似于你家的入户门，在操作系统层面做更精细的访问控制。 登录服务器，通过命令行配置（如 firewall-cmd 或 ufw）。
核心原则：安全组默认拒绝所有入方向流量，需要手动添加允许规则。而要让一个端口最终能被访问，必须同时满足安全组和系统防火墙的放行规则。

🔧 第一步：配置云端的第一道防线——安全组（必须）
安全组是最优先、最重要的防火墙配置。以下是配置安全组的关键要点和常用端口建议：

用途 端口 授权对象建议
Web服务 (HTTP) 80 0.0.0.0/0（所有IP）
Web服务 (HTTPS) 443 0.0.0.0/0（所有IP）
SSH远程连接 (Linux) 22 仅允许你的本地公网IP，如 1.2.3.4/32
RDP远程连接 (Windows) 3389 仅允许你的本地公网IP，如 1.2.3.4/32
数据库 (MySQL, Redis等) 如 3306 仅允许需要访问的应用服务器IP或安全组ID
⚠️ 重要：22、3389等管理端口，切勿开放给 0.0.0.0/0，否则极易遭受暴力破解攻击。

操作步骤：添加安全组规则
登录并进入安全组：登录阿里云ECS管理控制台，在左侧导航栏找到并点击“网络与安全” > “安全组”。

配置规则：在安全组列表页面，找到你实例绑定的安全组，点击其右侧的“配置规则”。

添加规则：在“入方向”页签，点击“手动添加”。

填写规则并保存：根据上面的建议，填写授权策略、协议类型、端口范围、授权对象等信息，点击“保存”即可。

🖥️ 第二步：配置系统防火墙——第二道防线（推荐）
登录到你的ECS服务器（如通过SSH），根据你的操作系统选择相应的命令进行配置。

1. 对于 CentOS、Alibaba Cloud Linux 等（使用 firewalld）
查看防火墙状态

bash
firewall-cmd –state
若显示 running 表示已启用。

开放端口（以8080端口为例）

bash
# 永久开放8080端口
firewall-cmd –permanent –add-port=8080/tcp
# 重新加载配置使其生效
firewall-cmd –reload
如需开放80、443等常见Web服务，也可以使用服务名：firewall-cmd –permanent –add-service=http。

移除端口

bash
firewall-cmd –permanent –remove-port=8080/tcp
firewall-cmd –reload
设置IP白名单（以22端口为例）

bash
# 仅允许 192.168.1.100 这个IP访问22端口
firewall-cmd –permanent –add-rich-rule=’rule family=”ipv4″ source address=”192.168.1.100″ port protocol=”tcp” port=”22″ accept’
firewall-cmd –reload
2. 对于 Ubuntu、Debian 系统（使用 ufw）
查看防火墙状态

bash
sudo ufw status
若显示 Status: active 表示已启用。

开放端口（以8080端口为例）

bash
sudo ufw allow 8080/tcp
移除端口

bash
sudo ufw delete allow 8080/tcp
启用防火墙（务必先放行SSH！）

bash
# 强烈建议先放行SSH，否则会立刻断开连接
sudo ufw allow ssh
# 启用防火墙
sudo ufw enable
启用防火墙前，务必先执行 sudo ufw allow ssh 放行SSH连接，否则会立即断开。

💡 常见问题与最佳实践
安全组规则冲突：如果设置了两条矛盾的安全组规则，优先级高（数值小）的规则会生效。

检查服务与监听：确保你的应用程序（如Nginx、Apache）已启动，并正确监听在了目标端口上（如 0.0.0.0:80，而非 127.0.0.1:80）。

区分服务类型：Web服务（80/443）的授权对象可设为 0.0.0.0/0，但远程管理端口（22/3389）务必限定为特定IP。

关联多个安全组：一个实例可以绑定多个安全组，规则会合并生效。建议按业务模块创建安全组，如Web组、数据库组，再分别关联到对应实例。

配置变更后测试：每次修改安全组或防火墙规则后，务必测试业务是否受影响，可通过 telnet 或 nc 命令进行端口连通性测试。

🔗 小提示：轻量应用服务器的防火墙
如果你使用的是轻量应用服务器，它的防火墙管理更简单，类似于安全组，在控制台直接配置即可。登录轻量应用服务器控制台，在实例详情页找到“防火墙”页签，直接“添加规则”就行，不用再设置系统防火墙。