安全组¶
概述¶
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内ECS实例的入流量和出流量。
安全组特点¶
安全组由同一个地域内具有相同安全保护需求并相互信任的ECS实例组成。安全组具有以下功能特点:
- 每台ECS实例至少属于一个安全组,可以同时加入多个安全组。
- 一个安全组可以管理多台ECS实例。
- 同一安全组内的ECS实例之间默认内网互通。
- 在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例默认内网不通。
- (仅普通安全组)可以通过安全组规则授权两个安全组之间互访。
- 安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
公司业务除了提供80和443对外访问外,建议安全组屏蔽其他所有端口。¶
如需对外使用,比如SSH,采用白名单IP方式。¶
对外暴露敏感端口存在爆破、挖矿、写入恶意代码、对外DDoS、勒索病毒等高危风险。具有极大安全风险!¶
常用端口存在风险,如下表:
| 端口 | 服务 | 风险 |
|---|---|---|
| 21 | FTP | 匿名访问;口令爆破;上传恶意文件; |
| 22 | SSH | 口令爆破;命令执行;挖矿 |
| 23 | telnet | 口令爆破;命令执行; |
| 389 | ldap | 口令爆破;未授权访问; |
| 873 | rsync | 未授权访问 |
| 1099 | rmi | 命令执行;挖矿 |
| 1433 | mssql | 口令爆破;命令执行;挖矿 |
| 2049 | nfs | 未授权访问 |
| 2181 | zookeeper | 未授权访问 |
| 2375 | docker | 未授权访问;命令执行;挖矿 |
| 2379 | etcd | 未授权访问 |
| 3306 | mysql | 口令爆破;命令执行;挖矿 |
| 5900 | vnc | 口令爆破;未授权访问 |
| 6379 | redis | 口令爆破;未授权访问;命令执行;挖矿 |
| 8069 | zabbix | 未授权访问;SQL注入;命令执行 |
| 9000 | php-fpm | 未授权访问;命令执行;挖矿 |
| 9001 | supervisor | 命令执行;挖矿 |
| 9200 | elasticsearch | 未授权访问;命令执行 |
| 9999 | rmi | 命令执行;挖矿 |
| 11211 | memcache | 未授权访问;DDoS |
| 27017 | mongodb | 口令爆破;未授权访问 |
| 50070 | Hadoop | 未授权访问;命令执行;挖矿 |
| 61616 | Activemq | 口令爆破;未授权访问;命令执行 |