騰訊雲安全組詳細配置解說:如何正確開放端口並拒絕惡意掃描

很多剛接觸騰訊雲的朋友,高高興興把環境配好了,結果網站打不開,查了半天原因,最後發現卡在「安全組」沒開端口。 或者反過來,為了圖省事,直接在安全組裡開了

0.0.0.0/0

(全放通),結果服務器跑了沒三天,就被黑客當成挖礦肉雞,甚至遭遇勒索軟件。

安全組,說白了就是騰訊雲免費送給你的一道

虛擬防火牆

。 它在服務器外面架起了一道關卡,決定了哪些流量能進來,哪些流量能出去。

今天不扯複雜的網絡理論。 我們就從實戰出發,聊聊怎麼既能正確開放業務端口,又能把那些天天掃描你服務器的惡意腳本死死擋在門外。

第一階段:安全組的核心底層邏輯

在動手配置之前,必須搞懂兩個最核心的死理,否則你一定會配錯:

1. 「入站」與「出站」

入站規則(Inbound):外面的人訪問你。 比如用戶訪問你的網站(80/443端口),或者你用 SSH 連接服務器(22端口)。 安全組的配置,99%都是在配入站規則。

出站規則(Outbound):服務器訪問外面。 比如你的服務器要下載系統更新、調用微信支付的 API。 騰訊雲安全組的默認出站規則是全放通,保持默認即可,千萬別動它,否則服務器自己就成「斷網」狀態了。

2. 規則是「從上到下」匹配的

安全組的規則是有優先級的(行數越靠前,優先級越高)。 流量進來時,會從第一條規則開始對,一旦對上了,立刻執行(允許或拒絕),

不再往下看

。

敲黑板:如果你的第一條規則是「拒絕所有流量」,第二條是「允許80端口」,那麼 80 端口永遠也進不來。 永遠記住,精確的、允許的規則放上面,寬泛的、拒絕的規則放下面。

第二階段:手把手配置一個「銅墻鐵壁」的安全組

現在登錄你的

騰訊雲控制台

,搜索進入「安全組」。 點擊「新建」,模版選擇「自定義」,名字起叫

Web服務器高安全規範

。

點擊「入站規則」 -> 「添加規則」,我們來一條一條建立防線:

1. 必開的公共業務端口(全人類可見)

如果你的服務器是用來跑網站的,這兩個端口必須無條件對全世界開放:

HTTP(80 端口):來源:0.0.0.0/0(代表全球任何 IP)協議端口:TCP:80策略:允許

HTTPS(443 端口):來源:0.0.0.0/0協議端口:TCP:443策略:允許

2. 命門端口:遠程管理端口(拒絕裸奔)

Linux 的 22 端口(SSH)和 Windows 的 3389 端口(遠程桌面),是黑客惡意掃描的重災區。

絕對、絕對不要對

0.0.0.0/0

開放這兩個端口。

高安全配法(固定 IP):如果你家裡的寬帶或者公司有固定公網 IP,在「來源」裡直接填你的固定 IP(例如 220.181.111.85)。 這樣,全世界除了你,誰也別想連接這台服務器。

折中配法(IP 段):如果是動態 IP,每次重啟路由器都變,可以填你所在城市的運營商 IP 段(比如 220.181.0.0/16),縮小被掃描的概率。

懶人但安全的配法(改默認端口):如果實在必須全網開放,千萬別用默認的 22。 去服務器系統里把 SSH 端口改成類似 59222 這種高位隨機端口,然後在安全組裡開放 TCP:59222。 黑客的盲掃腳本通常只掃 22 端口,改個端口能幫你擋掉 99% 的無腦掃描。

3. 數據庫與中間件端口(必須內網隔離)

像 MySQL(3306)、Redis(6379)、MongoDB(27017),這些是你的核心資產。

鐵律:永遠不要在安全組裡對全網(0.0.0.0/0)開放數據庫端口!

怎麼訪問? :如果你的前端服務器和數據庫服務器都在同一個騰訊雲賬號同一個地域下,來源請填寫前端服務器的內網 IP(例如 10.0.0.5)。 如果只是你自己偶爾要連一下看數據,請用 SSH 隧道(Tunnel)轉發,或者用完立刻關閉安全組規則,即開即用,用完即關。

第三階段:主動出擊,拒絕惡意掃描與禦敵於國門之外

黑客是怎麼盯上你的? 他們用的是全網自動化掃描工具(比如 ZMap、masscan)。 如果你的服務器對任何探測都給出回應,你就會被列入他們的「待破解名單」。

1. 終極防守:兜底拒絕規則

當你把需要開的端口(80, 443, 改後的SSH端口)全部在上方允許之後,在規則列表的最末尾,加上一條:

來源:0.0.0.0/0

協議端口:ALL

策略:拒絕

這就形成了著名的「默認拒絕」安全策略:

不在我白名單上的,一律亂棍打死。

2. 禁用 ICMP(禁止 Ping)

很多黑客找目標的第一步是

Ping

你的 IP,看看機器是不是開著的。

你可以添加一條規則:協議選擇 ICMP,來源 0.0.0.0/0,策略選擇 拒絕。

這樣別人再 p

Ing 你的服務器就會顯示超時,假裝你的服務器不存在,直接勸退一部分初級掃描器。

第四階段:配置之後的驗證與關聯

安全組規則配好了,別忘了最重要的一步:

綁定實例

。

在安全組詳情頁,切換到「關聯實例」標籤頁,點擊「關聯」,勾選你的雲服務器。 如果不關聯,你剛才配的規則就是一紙空文。

怎麼驗證自己配得對不對?

測試業務:用手機 4G/5G 網絡(模擬外部環境)訪問你的網站,能打開說明 80/443 沒問題。

測試攔截:在你沒有放通數據庫端口的情況下,嘗試用本地的數據庫工具(如 Navicat)直接連服務器公網 IP 的 3306 端口。 如果顯示連接超時(而不是拒絕連接),說明安全組已經成功把請求默默丟棄(Drop)了,防盜防掃描效果達到預期。

總結

安全組的本質就是「斷捨離」。

能不開的端口堅決不開,能限定 IP 訪問的堅決不全網開放,最後用一條全拒絕規則兜底。

只要守住這個原則,那些在公網上遊蕩的惡意掃描腳本和自動化木馬,就拿你的服務器一點辦法都沒有。