文档首页/ 安全技术与应用/ 最佳实践/ 高危端口开放策略的安全最佳实践
更新时间:2024-11-11 GMT+08:00

高危端口开放策略的安全最佳实践

为保障您的华为云资源安全,帮助您安全地访问华为云资源,请您参考以下安全建议来设置高危端口的开放策略。

设置安全组和网络ACL控制入方向访问

用户可以通过在安全组和网络ACL中定义入方向的访问规则,保护加入该安全组的云服务器和该网络ACL关联的子网。

  1. 进入安全组。

    1. 登录管理控制台
    2. 单击左上角的,选择区域和项目。
    3. 在左侧导航树中,单击,选择网络 > 虚拟私有云,进入“虚拟私有云”页面。
    4. 在左侧导航树中,选择访问控制 > 安全组

  2. 逐个检查安全组,删除入方向规则中的高危端口策略。

    1. 在安全组界面,单击“操作”列的“配置规则”,进入安全组详情界面,如图1所示。
      图1 安全组界面
    2. 选择“入方向规则”,检查是否有表1中的“协议端口”,找到其对应“策略”“允许”“源地址”“0.0.0.0/0”的策略,如图2所示。
      图2 检查安全组策略
      表1 高危端口列表

      协议端口(1)

      服务

      协议端口(2)

      服务

      TCP :20、21

      FTP(文件传输协议)

      TCP:3306

      MySQL(数据库)

      TCP:22

      SSH(安全外壳协议)

      TCP:3389

      Windows rdp(桌面协议)

      TCP:23

      Telnet(远程终端协议)

      TCP:3690

      SVN(开放源代码的版本控制系统)

      TCP:25

      SMTP(简单邮件传输协议)

      TCP:4848

      GlassFish(应用服务器)

      TCP/UDP:53

      DNS(域名系统)

      TCP:5000

      Sybase/DB2(数据库)

      TCP:69

      TFTP(简单文件传送协议)

      TCP:5432

      PostgreSQL(数据库)

      TCP:110

      POP3(邮局协议版本3)

      TCP:5900-5902

      VNC(虚拟网络控制台,远控)

      TCP:111、2049

      NFS(网络文件系统)

      TCP:5984

      CouchDB(数据库)

      TCP:137、139、445

      SMB(NETBIOS协议)

      TCP:6379

      Redis(数据库)

      TCP:143

      IMAP(邮件访问协议)

      TCP:7001-7002

      WebLogic(WEB应用系统)

      TCP:389、636

      LDAP(轻量目录访问协议)

      TCP:7199、7000、7001、9160、9042

      Apache Cassandra

      TCP:512-514

      Linux rexec(远程登录)

      TCP:7778

      Kloxo(虚拟主机管理系统)

      TCP:873

      Rsync(数据镜像备份工具)

      TCP:8000

      Ajenti(Linux服务器管理面板)

      TCP:1194

      OpenVPN(虚拟专用通道)

      TCP:8069、10050-10051

      Zabbix(系统网络监视)

      TCP:1352

      Lotus(Lotus软件)

      TCP:8443

      Plesk(虚拟主机管理面板)

      TCP:1433

      SQL Server(数据库管理系统)

      TCP:

      8080、28015、29015

      RethinkDB

      TCP:1521

      Oracle(甲骨文数据库)

      TCP:8080-8089

      Jenkins、JBoss(应用服务器)

      TCP:1500

      ISPmanager(主机控制面板)

      TCP:8088、50010、50020、50030、50070

      Hadoop(分布式文件系统)

      TCP:1723

      PPTP(点对点隧道协议)

      TCP:8848、9848、9849、7848

      Nacos服务

      TCP:2082-2083

      cPanel(虚拟机控制系统)

      TCP:9080-9081、9090

      WebSphere(应用服务器)

      TCP:2181

      ZooKeeper(分布式系统的可靠协调系统)

      TCP:9200、9300

      ElasticSearch(Lucene的搜索服务器)

      TCP:2601-2604

      Zebra(zebra路由)

      TCP:11211

      Memcached(缓存系统)

      TCP:3128

      Squid(代理缓存服务器)

      TCP:27017-27018

      MongoDB(数据库)

      TCP:3311-3312

      kangle(web服务器)

      TCP:50000

      SAP Management Console

      TCP:8080

      DisConf(分布式配置管理平台)

      TCP:60010、60030

      HBase

      TCP: 8888

      Spring Cloud Config(分布式配置中心)

      TCP: 3000

      Grafana(数据可视化)

      TCP: 8761

      Eureka(服务注册与发现组件)

      TCP: 8983

      Solr(开源企业级搜索平台)

      TCP: 8500、8502

      Consul (服务注册与发现组件)

      TCP: 3123-3124、8081、6123

      Flink(大数据处理平台)

      TCP: 8070、8080

      Apollo(分布式配置管理平台)

      TCP: 4040、7077、8080-8081

      Spark(大数据处理平台)

      TCP: 8090

      Diamond(分布式配置管理系统)

      TCP: 8080、11800、12800

      SkyWalking(分布式系统监控)

      TCP: 2379-2380

      Etcd(分布式键值存储系统)

      TCP: 8080

      WebTTY(Web TTY管理页面)

      TCP: 15672

      RabbitMQ(消息队列)

      TCP: 80、443

      NextCloud(私有网络硬盘)

      TCP: 8161、61616

      ActiveMQ(消息队列)

      TCP: 9001、9090

      Minio(云存储管理工具)

      TCP: 8083、8086、8635

      InfluxDB(时序数据库)

      TCP: 18083

      EMQX(物联网接入平台)

      TCP: 6030-6032、6041

      TDengine(时序数据库)

      TCP:1090、1099

      Java-RMI协议(Java远程方法调用协议)

      TCP: 9092-9095、9999

      Kafka (分布式流处理平台)

      TCP:8000

      JDWP(Java远程调试接口)

      TCP: 2375

      Docker(应用容器引擎)

      TCP: 8009

      Tomcat AJP协议(二进制通信协议)

      TCP: 5601

      Kibana(数据可视化)

      TCP: 8888

      Jupyter Notebook(网页交互计算应用)

      TCP:177

      xmanager/xwin (Linux远程图形界面)

      TCP:6443、8443、10250-10256

      Kubernetes(容器编排引擎)

      TCP:8081

      Nexus(仓库管理器)

      TCP: 80/443、8080

      Gitlab(代码托管平台)

      UDP: 161、162

      SNMP(简单网络管理协议)

      TCP: 5555

      ADB(Android调试工具)

      TCP: 1883、8883

      MQTT(物联网消息协议)

      TCP: 6000-6063

      X11(Linux远程图形界面)

      TCP: 8888

      Napster(P2P文件共享协议)

      -

      -

    3. 如存在此类高危端口策略,您可以根据您的业务需求,在“操作”列中,选择“修改”“删除”
      图3 安全组高危端口策略设置
      • 若不需要对外开放,建议您删除对应策略。
      • 若需要对外指定“源地址”开放,建议您修改对应策略的“源地址”“IP白名单内的地址”,可参考仅允许特定IP地址远程连接弹性云服务器
      • 不建议您对所有IP地址开放高危端口策略。

  3. 在左侧导航树中,选择访问控制 > 网络ACL,进入网络ACL。
  4. 逐个检查“状态”“已开启”,且关联了子网的网络ACL,删除入方向规则中的高危端口策略。

    1. 在网络ACL界面,单击“操作”列的“配置规则”,进入网络ACL详情界面,如图4所示。
      图4 网络ACL界面
    2. 选择“入方向规则”,检查是否有表1中的“协议端口”,找到其对应“策略”“允许”“源地址”“0.0.0.0/0”的策略,如图5所示。
      图5 检查网络ACL策略
    3. 如存在此类高危端口策略,您可以根据您的业务需求,在“操作”列中,选择“修改”“删除”
      • 若不需要对外开放,建议您删除对应策略。
      • 若需要对外指定“源地址”开放,建议您修改对应策略的“源地址”“IP白名单内的地址”
      • 不建议您对所有IP地址开放高危端口。

使用VPN/IPSec保障端口的内部访问控制

默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,建议您使用华为云的虚拟专用网络(VPN)

使用华为云原生服务保障安全性

华为云原生服务提供多个特性来保障安全性。

数据库

云数据库服务RDS具有完善的性能监控体系和多重安全防护措施,并提供了专业的数据库管理平台,让用户能够在云上轻松的进行设置和扩展云数据库。通过云数据库RDS服务的管理控制台,用户无需编程就可以执行所有必需任务,简化运营流程,减少日常运维工作量,从而专注于开发应用和业务发展。

应用中间件

分布式缓存服务DCS提供多个特性来保障租户数据的可靠性和安全性,例如VPC、安全组、白名单、公网访问SSL加密连接、自动备份、数据快照和跨可用区部署等。