在云服务器上禁用特定端口是提升安全性的重要措施,可通过云平台安全组和服务器本地防火墙双重配置实现。以下是详细操作指南:
一、通过云平台安全组禁用端口(优先推荐)
1. 莱卡云/腾讯云/华为云等操作步骤
-
登录云控制台
-
进入ECS实例管理页面 → 找到「安全组」选项。
-
-
修改安全组规则
-
入方向规则:删除或拒绝目标端口的访问(如禁用TCP 22端口):
-
协议类型:选择
TCP或UDP -
端口范围:填写需禁用的端口(如
22或3306-3389) -
策略:选择 拒绝(Deny)
-
优先级:设为更高(如1,数字越小优先级越高)
-
-
出方向规则:同理可限制服务器对外访问的端口。
-
-
生效验证
bash
复制
telnet 你的服务器IP 被禁端口 # 应显示连接失败
2. AWS/Azure操作差异
-
AWS:在「Security Groups」中添加
Deny规则,需配合NACL(网络ACL)实现端口阻断。 -
Azure:在「Network Security Groups」中设置
Deny规则。
二、通过服务器本地防火墙禁用端口
1. Linux系统(以CentOS/Ubuntu为例)
方法1:iptables(传统方式)
bash
复制
# 禁止外部访问TCP 22端口 sudo iptables -A INPUT -p tcp --dport 22 -j DROP# 禁止服务器主动向外访问UDP 53端口 sudo iptables -A OUTPUT -p udp --dport 53 -j DROP# 保存规则(根据系统选择) sudo service iptables save # CentOS 6 sudo iptables-save > /etc/sysconfig/iptables # CentOS 7+
方法2:firewalld(推荐)
bash
复制
# 永久禁用TCP 3306端口 sudo firewall-cmd --permanent --remove-port=3306/tcp sudo firewall-cmd --reload
2. Windows系统
-
打开「高级安全防火墙」 → 「入站规则」 → 「新建规则」
-
选择「端口」 → 输入要禁用的端口(如
135-139)→ 选择「阻止连接」 -
应用规则并命名(如
Block_RDP_Ports)。
三、补充安全措施
-
批量禁用高危端口
bash
复制
# Linux示例:一键禁用常见风险端口 for port in 21 22 23 135 139 445 3389; dosudo iptables -A INPUT -p tcp --dport $port -j DROP done
-
使用端口敲门(Port Knocking)
-
隐藏SSH等端口,只有按特定顺序访问临时端口后才开放。
-
-
定期检查开放端口
bash
复制
netstat -tuln # 查看监听端口 sudo ss -tulp # 更详细的进程关联信息
四、注意事项
-
规则优先级
-
安全组中
拒绝规则的优先级需高于允许规则。 -
本地防火墙规则会覆盖云安全组设置,需保持一致。
-
-
避免误封
-
禁用前确认端口用途(如禁用80会导致网站无法访问)。
-
操作前通过非22端口SSH或控制台VNC连接,防止被锁。
-
-
云厂商特殊限制
-
部分云商(如阿里云)默认禁用25、445等端口,无需重复配置。
-