高危端口开放策略的安全最佳实践

为保障您的华为云资源安全，帮助您安全地访问华为云资源，请您参考以下安全建议来设置高危端口的开放策略。

设置安全组和网络ACL控制入方向访问

用户可以通过在安全组和网络ACL中定义入方向的访问规则，保护加入该安全组的云服务器和该网络ACL关联的子网。

进入安全组。
1. 登录管理控制台。
2. 单击左上角的，选择区域和项目。
3. 在左侧导航树中，单击，选择“网络 > 虚拟私有云”，进入“虚拟私有云”页面。
4. 在左侧导航树中，选择“访问控制 > 安全组”。

逐个检查安全组，删除入方向规则中的高危端口策略。

在安全组界面，单击“操作”列的“配置规则”，进入安全组详情界面，如图1所示。
图1 安全组界面

选择“入方向规则”，检查是否有表1中的“协议端口”，找到其对应“策略”为“允许”且“源地址”为“0.0.0.0/0”的策略，如图2所示。

图2 检查安全组策略

表1 高危端口列表
协议端口（1）	服务	协议端口（2）	服务
TCP ：20、21	FTP（文件传输协议）	TCP：3306	MySQL（数据库）
TCP：22	SSH（安全外壳协议）	TCP：3389	Windows rdp（桌面协议）
TCP：23	Telnet（远程终端协议）	TCP：3690	SVN（开放源代码的版本控制系统）
TCP：25	SMTP（简单邮件传输协议）	TCP：4848	GlassFish（应用服务器）
TCP/UDP：53	DNS（域名系统）	TCP：5000	Sybase/DB2（数据库）
TCP：69	TFTP（简单文件传送协议）	TCP：5432	PostgreSQL（数据库）
TCP：110	POP3（邮局协议版本3）	TCP：5900-5902	VNC（虚拟网络控制台，远控）
TCP：111、2049	NFS（网络文件系统）	TCP：5984	CouchDB（数据库）
TCP：137、139、445	SMB（NETBIOS协议）	TCP：6379	Redis（数据库）
TCP：143	IMAP（邮件访问协议）	TCP：7001-7002	WebLogic（WEB应用系统）
TCP：389、636	LDAP（轻量目录访问协议）	TCP：7199、7000、7001、9160、9042	Apache Cassandra
TCP：512-514	Linux rexec（远程登录）	TCP：7778	Kloxo（虚拟主机管理系统）
TCP：873	Rsync（数据镜像备份工具）	TCP：8000	Ajenti（Linux服务器管理面板）
TCP：1194	OpenVPN（虚拟专用通道）	TCP：8069、10050-10051	Zabbix（系统网络监视）
TCP：1352	Lotus（Lotus软件）	TCP：8443	Plesk（虚拟主机管理面板）
TCP：1433	SQL Server（数据库管理系统）	TCP： 8080、28015、29015	RethinkDB
TCP：1521	Oracle（甲骨文数据库）	TCP：8080-8089	Jenkins、JBoss（应用服务器）
TCP：1500	ISPmanager（主机控制面板）	TCP：8088、50010、50020、50030、50070	Hadoop（分布式文件系统）
TCP：1723	PPTP（点对点隧道协议）	TCP：8848、9848、9849、7848	Nacos服务
TCP：2082-2083	cPanel（虚拟机控制系统）	TCP：9080-9081、9090	WebSphere（应用服务器）
TCP：2181	ZooKeeper（分布式系统的可靠协调系统）	TCP：9200、9300	ElasticSearch（Lucene的搜索服务器）
TCP：2601-2604	Zebra（zebra路由）	TCP：11211	Memcached（缓存系统）
TCP：3128	Squid（代理缓存服务器）	TCP：27017-27018	MongoDB（数据库）
TCP：3311-3312	kangle（web服务器）	TCP：50000	SAP Management Console
TCP：8080	DisConf（分布式配置管理平台）	TCP：60010、60030	HBase
TCP: 8888	Spring Cloud Config（分布式配置中心）	TCP: 3000	Grafana（数据可视化）
TCP: 8761	Eureka（服务注册与发现组件）	TCP: 8983	Solr（开源企业级搜索平台）
TCP: 8500、8502	Consul （服务注册与发现组件）	TCP: 3123-3124、8081、6123	Flink（大数据处理平台）
TCP: 8070、8080	Apollo（分布式配置管理平台）	TCP: 4040、7077、8080-8081	Spark（大数据处理平台）
TCP: 8090	Diamond（分布式配置管理系统）	TCP: 8080、11800、12800	SkyWalking（分布式系统监控）
TCP: 2379-2380	Etcd（分布式键值存储系统）	TCP: 8080	WebTTY（Web TTY管理页面）
TCP: 15672	RabbitMQ（消息队列）	TCP: 80、443	NextCloud（私有网络硬盘）
TCP: 8161、61616	ActiveMQ（消息队列）	TCP: 9001、9090	Minio（云存储管理工具）
TCP: 8083、8086、8635	InfluxDB（时序数据库）	TCP: 18083	EMQX（物联网接入平台）
TCP: 6030-6032、6041	TDengine（时序数据库）	TCP：1090、1099	Java-RMI协议（Java远程方法调用协议）
TCP: 9092-9095、9999	Kafka （分布式流处理平台）	TCP：8000	JDWP（Java远程调试接口）
TCP: 2375	Docker（应用容器引擎）	TCP: 8009	Tomcat AJP协议（二进制通信协议）
TCP: 5601	Kibana（数据可视化）	TCP: 8888	Jupyter Notebook（网页交互计算应用）
TCP：177	xmanager/xwin （Linux远程图形界面）	TCP：6443、8443、10250-10256	Kubernetes（容器编排引擎）
TCP：8081	Nexus（仓库管理器）	TCP: 80/443、8080	Gitlab（代码托管平台）
UDP: 161、162	SNMP（简单网络管理协议）	TCP: 5555	ADB（Android调试工具）
TCP: 1883、8883	MQTT（物联网消息协议）	TCP: 6000-6063	X11（Linux远程图形界面）
TCP: 8888	Napster（P2P文件共享协议）	-	-

如存在此类高危端口策略，您可以根据您的业务需求，在“操作”列中，选择“修改”或“删除”。
图3 安全组高危端口策略设置
- 若不需要对外开放，建议您删除对应策略。
- 若需要对外指定“源地址”开放，建议您修改对应策略的“源地址”为“IP白名单内的地址”，可参考仅允许特定IP地址远程连接弹性云服务器。
- 不建议您对所有IP地址开放高危端口策略。

在左侧导航树中，选择“访问控制 > 网络ACL”，进入网络ACL。
逐个检查“状态”为“已开启”，且关联了子网的网络ACL，删除入方向规则中的高危端口策略。
1. 在网络ACL界面，单击“操作”列的“配置规则”，进入网络ACL详情界面，如图4所示。
  图4 网络ACL界面
2. 选择“入方向规则”，检查是否有表1中的“协议端口”，找到其对应“策略”为“允许”且“源地址”为“0.0.0.0/0”的策略，如图5所示。
  图5 检查网络ACL策略
3. 如存在此类高危端口策略，您可以根据您的业务需求，在“操作”列中，选择“修改”或“删除”。
  - 若不需要对外开放，建议您删除对应策略。
  - 若需要对外指定“源地址”开放，建议您修改对应策略的“源地址”为“IP白名单内的地址”。
  - 不建议您对所有IP地址开放高危端口。