云服务器安全组相当于服务器的第一道防火墙,配置不当会直接暴露端口、引来暴力破解与入侵攻击。很多新站长习惯直接开放全端口、全 IP 放行,看似方便,实则把服务器完全暴露在公网风险中。
本文总结适用于网站运维、个人博客、CMS 站点的通用安全组规则模板,支持阿里云、腾讯云、华为云等所有主流云厂商,直接照搬即可大幅提升服务器安全性。
一、安全组配置核心原则
最小开放原则:非必要端口一律不放行
仅允许业务 IP:后台、SSH 只允许自己的公网 IP 访问
禁止 0.0.0.0/0 全放行:尤其数据库、远程管理端口
入站严格控制,出站默认放开即可
安全组只控制 “入站流量”,网站正常访问外部接口一般不受影响。
二、网站服务器必放端口(通用版)
只开放以下端口即可满足绝大多数站点运行:
1. 网站访问端口(必须开放)
协议:TCP
端口:80、443
授权对象:0.0.0.0/0(所有人可访问)
描述:HTTP/HTTPS 网站访问
这是网站正常访问的基础端口,必须对公网开放。
2. SSH 远程端口(严格限制)
协议:TCP
端口:22(或你修改后的高位端口)
授权对象:只填你本机的公网 IP
描述:SSH 远程管理
千万不要设置 0.0.0.0/0,否则会被持续爆破密码。
3. 宝塔面板端口(严格限制)
协议:TCP
端口:你修改后的宝塔端口(如 21567)
授权对象:只填你本机的公网 IP
描述:宝塔面板访问
默认 8888 端口必须修改,且绝不允许全 IP 放行。
三、绝对禁止公网开放的端口(重点)
以下端口任何情况都不建议对公网开放:
3306(MySQL 数据库)
6379(Redis)
21(FTP)
11211(Memcached)
5432(PostgreSQL)
所有不知名自定义端口
这些端口一旦暴露,服务器大概率会在几小时内被入侵、植入木马或挖矿程序。
四、ICMP 协议设置(防扫描)
协议:ICMP
策略:拒绝
授权对象:0.0.0.0/0
关闭后外部无法直接 Ping 通服务器,减少被扫描的概率。
如果需要测试网络连通性,可以临时放行,用完立即关闭。
五、完整安全组规则示例(直接照抄)
| 协议 | 端口 | 授权对象 | 策略 | 说明 |
|---|---|---|---|---|
| TCP | 80,443 | 0.0.0.0/0 | 允许 | 网站访问 |
| TCP | 22 | 你的公网 IP/32 | 允许 | SSH 登录 |
| TCP | 自定义宝塔端口 | 你的公网 IP/32 | 允许 | 面板访问 |
| ICMP | ALL | 0.0.0.0/0 | 拒绝 | 禁止 Ping |
| ALL | ALL | 0.0.0.0/0 | 拒绝 | 默认拦截所有 |
六、常见误区提醒
1、不要一次性放行大量端口
2、不要为了方便全 IP 放行 SSH / 面板
3、不要相信 “默认安全组没问题”
4、服务器上的防火墙与安全组同时开启,双重防护
七、与网站 SEO 与权重的关系
安全组配置合理 = 服务器稳定不宕机 = 抓取正常 + 体验稳定 = 搜索引擎信任度提升。
频繁被入侵、网站打不开、波动过大,会直接导致收录下降、权重降低。
标签: 云服务器安全组配置 安全组最佳实践 服务器端口放行规则 阿里云安全组 服务器安全防护
