高危端口开放策略的安全最佳实践
为保障您的华为云资源安全,帮助您安全地访问华为云资源,请您参考以下安全建议来设置高危端口的开放策略。
设置安全组和网络ACL控制入方向访问
用户可以通过在安全组和网络ACL中定义入方向的访问规则,保护加入该安全组的云服务器和该网络ACL关联的子网。
- 进入安全组。
- 登录管理控制台。
- 单击左上角的,选择区域和项目。
- 在左侧导航树中,单击,选择“虚拟私有云”页面。 ,进入
- 在左侧导航树中,选择 。
- 逐个检查安全组,删除入方向规则中的高危端口策略。
- 在安全组界面,单击“操作”列的“配置规则”,进入安全组详情界面,如图1所示。
- 选择“入方向规则”,检查是否有表1中的“协议端口”,找到其对应“策略”为“允许”且“源地址”为“0.0.0.0/0”的策略,如图2所示。
表1 高危端口列表 协议端口(1)
服务
协议端口(2)
服务
TCP :20、21
FTP(文件传输协议)
TCP:3306
MySQL(数据库)
TCP:22
SSH(安全外壳协议)
TCP:3389
Windows rdp(桌面协议)
TCP:23
Telnet(远程终端协议)
TCP:3690
SVN(开放源代码的版本控制系统)
TCP:25
SMTP(简单邮件传输协议)
TCP:4848
GlassFish(应用服务器)
TCP/UDP:53
DNS(域名系统)
TCP:5000
Sybase/DB2(数据库)
TCP:69
TFTP(简单文件传送协议)
TCP:5432
PostgreSQL(数据库)
TCP:110
POP3(邮局协议版本3)
TCP:5900-5902
VNC(虚拟网络控制台,远控)
TCP:111、2049
NFS(网络文件系统)
TCP:5984
CouchDB(数据库)
TCP:137、139、445
SMB(NETBIOS协议)
TCP:6379
Redis(数据库)
TCP:143
IMAP(邮件访问协议)
TCP:7001-7002
WebLogic(WEB应用系统)
TCP:389、636
LDAP(轻量目录访问协议)
TCP:7199、7000、7001、9160、9042
Apache Cassandra
TCP:512-514
Linux rexec(远程登录)
TCP:7778
Kloxo(虚拟主机管理系统)
TCP:873
Rsync(数据镜像备份工具)
TCP:8000
Ajenti(Linux服务器管理面板)
TCP:1194
OpenVPN(虚拟专用通道)
TCP:8069、10050-10051
Zabbix(系统网络监视)
TCP:1352
Lotus(Lotus软件)
TCP:8443
Plesk(虚拟主机管理面板)
TCP:1433
SQL Server(数据库管理系统)
TCP:
8080、28015、29015
RethinkDB
TCP:1521
Oracle(甲骨文数据库)
TCP:8080-8089
Jenkins、JBoss(应用服务器)
TCP:1500
ISPmanager(主机控制面板)
TCP:8088、50010、50020、50030、50070
Hadoop(分布式文件系统)
TCP:1723
PPTP(点对点隧道协议)
TCP:8848、9848、9849、7848
Nacos服务
TCP:2082-2083
cPanel(虚拟机控制系统)
TCP:9080-9081、9090
WebSphere(应用服务器)
TCP:2181
ZooKeeper(分布式系统的可靠协调系统)
TCP:9200、9300
ElasticSearch(Lucene的搜索服务器)
TCP:2601-2604
Zebra(zebra路由)
TCP:11211
Memcached(缓存系统)
TCP:3128
Squid(代理缓存服务器)
TCP:27017-27018
MongoDB(数据库)
TCP:3311-3312
kangle(web服务器)
TCP:50000
SAP Management Console
TCP:8080
DisConf(分布式配置管理平台)
TCP:60010、60030
HBase
TCP: 8888
Spring Cloud Config(分布式配置中心)
TCP: 3000
Grafana(数据可视化)
TCP: 8761
Eureka(服务注册与发现组件)
TCP: 8983
Solr(开源企业级搜索平台)
TCP: 8500、8502
Consul (服务注册与发现组件)
TCP: 3123-3124、8081、6123
Flink(大数据处理平台)
TCP: 8070、8080
Apollo(分布式配置管理平台)
TCP: 4040、7077、8080-8081
Spark(大数据处理平台)
TCP: 8090
Diamond(分布式配置管理系统)
TCP: 8080、11800、12800
SkyWalking(分布式系统监控)
TCP: 2379-2380
Etcd(分布式键值存储系统)
TCP: 8080
WebTTY(Web TTY管理页面)
TCP: 15672
RabbitMQ(消息队列)
TCP: 80、443
NextCloud(私有网络硬盘)
TCP: 8161、61616
ActiveMQ(消息队列)
TCP: 9001、9090
Minio(云存储管理工具)
TCP: 8083、8086、8635
InfluxDB(时序数据库)
TCP: 18083
EMQX(物联网接入平台)
TCP: 6030-6032、6041
TDengine(时序数据库)
TCP:1090、1099
Java-RMI协议(Java远程方法调用协议)
TCP: 9092-9095、9999
Kafka (分布式流处理平台)
TCP:8000
JDWP(Java远程调试接口)
TCP: 2375
Docker(应用容器引擎)
TCP: 8009
Tomcat AJP协议(二进制通信协议)
TCP: 5601
Kibana(数据可视化)
TCP: 8888
Jupyter Notebook(网页交互计算应用)
TCP:177
xmanager/xwin (Linux远程图形界面)
TCP:6443、8443、10250-10256
Kubernetes(容器编排引擎)
TCP:8081
Nexus(仓库管理器)
TCP: 80/443、8080
Gitlab(代码托管平台)
UDP: 161、162
SNMP(简单网络管理协议)
TCP: 5555
ADB(Android调试工具)
TCP: 1883、8883
MQTT(物联网消息协议)
TCP: 6000-6063
X11(Linux远程图形界面)
TCP: 8888
Napster(P2P文件共享协议)
-
-
- 如存在此类高危端口策略,您可以根据您的业务需求,在“操作”列中,选择“修改”或“删除”。
图3 安全组高危端口策略设置
- 若不需要对外开放,建议您删除对应策略。
- 若需要对外指定“源地址”开放,建议您修改对应策略的“源地址”为“IP白名单内的地址”,可参考仅允许特定IP地址远程连接弹性云服务器。
- 不建议您对所有IP地址开放高危端口策略。
- 在左侧导航树中,选择 ,进入网络ACL。
- 逐个检查“状态”为“已开启”,且关联了子网的网络ACL,删除入方向规则中的高危端口策略。
使用VPN/IPSec保障端口的内部访问控制
默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,建议您使用华为云的虚拟专用网络(VPN)。
使用华为云原生服务保障安全性
华为云原生服务提供多个特性来保障安全性。
数据库
云数据库服务RDS具有完善的性能监控体系和多重安全防护措施,并提供了专业的数据库管理平台,让用户能够在云上轻松的进行设置和扩展云数据库。通过云数据库RDS服务的管理控制台,用户无需编程就可以执行所有必需任务,简化运营流程,减少日常运维工作量,从而专注于开发应用和业务发展。
应用中间件
分布式缓存服务DCS提供多个特性来保障租户数据的可靠性和安全性,例如VPC、安全组、白名单、公网访问SSL加密连接、自动备份、数据快照和跨可用区部署等。