应用通过服务器的端口对外提供服务,通过了解典型应用的默认端口,您可以更准确地添加或修改安全组规则。本章节介绍了ECS实例的常用端口及其应用场景。

背景信息

添加安全组规则时,您必须指定通信端口或端口范围,然后安全组根据允许或拒绝策略决定是否转发数据到ECS实例。例如,使用Xshell客户端远程连接ECS实例时,当安全组检测到从公网或内网有SSH请求,会同时检查入方向上发送请求的设备的IP地址是否在允许放行的安全组规则中、22端口是否开启,只有匹配到的安全组规则允许放行该请求时,方才建立数据通信。

说明 部分运营商判断端口25、135、139、444、445、5800、5900等为高危端口,并默认屏蔽。即使您添加的安全组规则放行了这些端口,在受限地区仍无法访问。建议您修改为其它非高危端口承载业务。

更多关于Windows Server系统应用的端口说明,请参见 微软文档Windows服务器系统的服务概述和网络端口要求

常用端口

典型应用的默认端口如下表所示。

端口服务说明
21FTPFTP服务所开放的端口,用于上传、下载文件。
22SSHSSH端口,用于通过命令行模式或远程连接软件(例如PuTTY、Xshell、SecureCRT等)连接Linux实例。详情请参见通过密码认证登录Linux实例
23TelnetTelnet端口,用于Telnet远程登录ECS实例。
25SMTPSMTP服务所开放的端口,用于发送邮件。

基于安全考虑,ECS实例25端口默认受限,建议您使用SSL加密端口(通常是465端口)来对外发送邮件。具体操作,请参见使用SSL加密465端口发送邮件

53DNS用于域名解析服务器(Domain Name Server,简称DNS)协议。

如果在安全组出方向实行白名单方式,需要放行53端口(UDP协议)才能实现域名解析。

80HTTP用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。

如何排查80端口故障,请参见检查TCP 80端口是否正常工作

110POP3用于POP3协议,POP3是电子邮件收发的协议。
143IMAP用于IMAP(Internet Message Access Protocol)协议,IMAP是用于电子邮件的接收的协议。
443HTTPS用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。
1433SQL ServerSQL Server的TCP端口,用于供SQL Server对外提供服务。
1434SQL ServerSQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。
1521OracleOracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。
3306MySQLMySQL数据库对外提供服务的端口。
3389Windows Server Remote Desktop ServicesWindows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。详情请参见通过密码认证登录Windows实例
8080代理端口同80端口一样,8080端口常用于WWW代理服务,实现网页浏览。如果您使用了8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080。安装Apache Tomcat服务后,默认服务端口为8080。
137、138、139NetBIOS协议
  • 137、138为UDP端口,通过网上邻居传输文件时使用的端口。
  • 139通过这个端口进入的连接试图获得NetBIOS/SMB服务。
NetBIOS协议常被用于Windows文件、打印机共享和Samba。

常用端口的应用场景示例

下表为部分端口的应用场景,以及对应的安全组规则设置,更多场景举例请参见 安全组应用案例

应用场景网络类型方向策略协议端口范围对象类型授权对象优先级
SSH远程连接Linux实例专有网络VPC入方向允许自定义TCPSSH (22)地址段访问0.0.0.0/01
经典网络公网入方向
RDP远程连接Windows实例专有网络VPC入方向允许自定义TCPRDP (3389)地址段访问0.0.0.0/01
经典网络公网入方向
公网Ping ECS实例专有网络VPC入方向允许全部ICMP-1/-1地址段访问或安全组访问根据授权类型填写1
经典网络公网入方向
ECS实例作Web服务器专有网络VPC入方向允许自定义TCPHTTP (80)地址段访问0.0.0.0/01
经典网络公网入方向
使用FTP上传或下载文件专有网络VPC入方向允许自定义 TCP20/21地址段访问指定IP段1
经典网络公网入方向