轻量应用服务器怎么配置安全组和防火墙规则？

在使用轻量应用服务器（如阿里云轻量应用服务器、腾讯云轻量应用服务器等）时，配置安全组和防火墙规则是保障服务器安全的重要步骤。虽然“安全组”和“系统防火墙”功能相似，但它们作用层级不同，建议两者配合使用以增强安全性。

下面以阿里云轻量应用服务器为例，介绍如何配置安全组和系统防火墙（如 iptables 或 ufw）：

一、配置安全组（云平台层面）

安全组是云服务商提供的虚拟防火墙，控制进出服务器的网络流量。

步骤：

1. 登录阿里云控制台：https://home.console.aliyun.com
2. 进入 轻量应用服务器控制台
3. 找到你的实例，点击进入详情页
4. 在左侧菜单选择 “防火墙”（即安全组规则）
5. 点击 “添加规则”

常见规则示例：

✅ 最佳实践建议：

• 不要对公网开放不必要的端口（如 3389、2375、6379 等）
• SSH（22端口）尽量限制为自己的公网IP，避免暴力破解
• 可设置一条拒绝所有入站流量的默认规则，再按需开通

二、配置系统防火墙（操作系统层面）

系统防火墙运行在服务器内部，进一步过滤流量，作为第二道防线。

根据你使用的 Linux 发行版，常用工具如下：

1. Ubuntu / Debian 使用 ufw（简单易用）

# 安装 ufw
sudo apt update && sudo apt install ufw -y

# 设置默认策略
sudo ufw default deny incoming
sudo ufw default allow outgoing

# 开放必要端口
sudo ufw allow 22/tcp     # SSH
sudo ufw allow 80/tcp     # HTTP
sudo ufw allow 443/tcp    # HTTPS

# （可选）限制SSH仅允许特定IP
sudo ufw allow from 123.123.123.123 to any port 22

# 启用防火墙
sudo ufw enable

# 查看状态
sudo ufw status verbose

2. CentOS / Rocky Linux 使用 firewalld

# 启动并启用 firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld

# 开放端口
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https

# 或者开放具体端口
sudo firewall-cmd --permanent --add-port=3306/tcp

# 重载配置
sudo firewall-cmd --reload

# 查看状态
sudo firewall-cmd --list-all

3. 通用工具 iptables（高级用户）

# 示例：只允许本地和特定IP访问SSH
sudo iptables -A INPUT -p tcp --dport 22 -s 1.2.3.4 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

注意：iptables 规则重启后会丢失，建议使用 iptables-persistent 保存。

三、安全建议总结

四、常见问题

❓ 轻量服务器没有传统“安全组”？
阿里云轻量服务器使用“防火墙”替代传统 ECS 的安全组，功能类似，可在控制台直接配置。

❓ 配置后无法访问网站？
检查：

• 安全组是否开放了 80/443
• 系统防火墙是否放行
• Web 服务（如 Nginx/Apache）是否正常运行

通过合理配置云平台安全组 + 操作系统防火墙，可以有效防止未授权访问，提升服务器安全性。建议遵循“最小开放原则”，只开必需端口，并定期审查规则。

如有具体云厂商或系统环境，可提供更详细配置指导。