阿里云云服務器（ECS）入門必踩坑系列-安全組

文章開始之前，先簡單插播一段阿里廣告，適合購買阿里雲產品的新用戶（新購或升級），歡迎大家領取，以支持博客長久發展：

【阿里雲幸運券領取地址】：http://wzfw.ltd/qjyl  （阿里雲幸運券）

【阿里雲幸運券 - 新用戶用途】：

199元  1核2G，60G硬盤雲服務器： http://wzfw.ltd/ecs199 （用買網站空間的價錢買獨享IP雲服務器，對SEO更加友好）

另有多種產品首購限額免費，例如OSS等。當然這裏入門相對困難（先學會ECS是第一步）

免費半年體驗，需每天10點參與秒殺，本來博主有推薦碼可以免秒殺，但由於數量只有區區20枚，截至本發博已經用完，新推薦碼暫時沒有發放。所以想免費體驗的可以乖乖秒殺。也可以聯繫博主QQ453177660，等待新推薦碼到來。

【阿里雲幸運券 - 新老用戶】：

三種規格套雲服務器購買： http://wzfw.ltd/ecs330 （每用戶限購一臺，同時適合新老用戶）

另外，產品首次升級ECS亦可享受折扣

【阿里雲幸運券 - 老用戶】：

產品首次升級，可以享受隨機折扣。

對於老用戶，福利遠遠低於新用戶，目前續費折扣，只有阿里雲代理商纔可以9折續費，但須將自己阿里雲帳號調整爲代理商子賬號下。博主所用推廣爲阿里云云大使板塊優惠。歡迎阿里雲用戶，也加入雲大使進行推廣，爲自己增加一點收入，平衡服務器費用支出

參與抽獎（首購大於百元ECS必中）  http://wzfw.ltd/jiang

*******************分割線************************************************************************************************

迴歸話題，經過了上述購買環節，就可以做實驗學習阿里雲安全組配置了！

        相信很多朋友在接觸阿里云云服務器ECS的過程中，經常會遇到一些問題解釋不通。其根本原因在於新手尚不瞭解阿里雲，在博主數次在同行技術羣裏交流問題的過程中，發現新手幾乎會問同一個問題：安全組

介紹安全組之前，先說說防火牆的意義：

防火牆，原始意義是森林中着火，快速圍繞着火區域伐木，產生一條隔離帶，控制火災範圍在隔離帶之內。用在操作系統中，防火牆防的“火情”就是端口，所有網絡活動，都需要依賴端口，例如用戶訪問我的博客，就使用了“公網入方向的80或者443端口”，防火牆就可以配置這樣一條規則來實現（以windows爲例）：“入站規則”，端口寫“80”“443”（常規業務端口相對固定，寫成2條更容易識別），類型TCP,然後啓用防火牆，則該規則生效。如果防火牆未做其他配置，則 80，443之外的端口會全部被禁止訪問。

安全組，顧名思義“安全”“組”，是阿里云爲了提高服務器安全，從軟件角度開發的一套效果與防火牆很相似的一套安全體系。另外，安全組還有個組的概念，一個安全組可以配置給多臺服務器，這對以後服務器的增量管理是個非常佔優勢的地方。（博主接觸過的阿里雲服務器，高達100餘臺ECS，逐個配置防火牆的工作量可想而知）

安全組的使用非常簡單，首先需要理解的是公網，私網。如果所購買的阿里雲屬於經典網絡，其服務器會有三塊網卡，分別用於“公網網卡”、“私網網卡”、“迴環網卡”。如果是採用了阿里雲後來推出的VPC網絡，則只有一塊看起來像私有網卡的網卡。爲了讓本文解釋更加明確，此處博主選擇經典網絡作爲解釋案例：

大前提：購買雲服務器時候，阿里雲已經爲我們選擇了默認安全組，目前默認規則是：對公網開啓22，3389，80端口，其他端口默認關閉

假設我們有2臺服務器WEB1，DB1用途如下：

WEB1網站服務器，公網訪問 opengps.cn，最終被被轉換訪問到 115.28.xxx.xxx(公網網卡)

DB1數據庫服務器，只給提供A服務器提供數據庫讀取，例如常見端口：MySQL默認的3306，SQL Server默認的1433等

安全組配置過程如下：

針對A服務器新建安全組：我們命名 WebServersSafeGroup

網絡：公網入方向

端口範圍：80-80，443-443（可以同時配置多個）

協議：TCP（網站所用的http協議位於網絡第七層，均屬於對網絡第四層TCP協議的應用）

最後一步，將網站服務器A，添加到安全組WebSafeGroup

針對DB1服務器新建安全組：我們命名 DBServersSafeGroup

網絡：內網入方向（同一個帳號下的服務器，默認開通互相訪問）

端口範圍：80-80，443-443（可以同時配置多個）

協議：TCP（網站所用的http協議位於網絡第七層，均屬於對網絡第四層TCP協議的應用）

最後一步，將網站服務器A，添加到安全組DBServersSafeGroup

完成這一步，我們可以稍微拓展，博主的網站目前沒有不需要只需要一臺，但將來可能追加一個網站，同樣訪問DB1服務器，則購買新WEB2服務器的時候，只需要在安全組位置選擇WebServersSafeGroup即可，新手入門往往只有一臺服務器，因此沒必要按照博主進行的這種方式規劃安全組，因此，針對單臺服務器承載全部應用的情況，往往操作更簡化

找到默認安全組，添加公網入方向規則：

自己想用的端口，例如81，8080端口，選擇TCP類型，保存，一切完成。

本文初次編輯，尚未配圖，在此先請各位讀者原諒

半小時後，博主過來補圖：

1，安全組在哪找

2，安全組創建

3，安全組配置

4，添加實例，（實例就是雲服務器ECS）