CLOUD云枢
京东云Ubuntu系统默认防火墙规则是否开放了常用端口?
结论:京东云Ubuntu系统默认情况下未完全开放所有常用端口,但会根据不同镜像版本和配置有所差异,通常仅开放SSH(22)等基础管理端口,其他常用服务端口如HTTP(80)、HTTPS(443)等可能需要手动配置。
默认防火墙状态分析
-
UFW防火墙状态:
- 京东云Ubuntu镜像通常预装但未启用UFW(Uncomplicated Firewall)
- 可通过
sudo ufw status命令检查,默认输出应为Status: inactive
-
iptables/nftables规则:
- 基础系统可能保留少量iptables规则
- 重点:云平台自身安全组(Security Group)会覆盖部分主机防火墙功能
常用端口开放情况
| 端口号 | 服务 | 默认状态 | 备注 |
|---|---|---|---|
| 22 | SSH | 通常开放 | 远程管理必备 |
| 80 | HTTP | 通常关闭 | 需手动配置 |
| 443 | HTTPS | 通常关闭 | 需手动配置 |
| 3306 | MySQL | 关闭 | 数据库需显式开放 |
| 5432 | PostgreSQL | 关闭 | 数据库需显式开放 |
| 3389 | RDP | 不适用 | Windows服务,Ubuntu无此端口 |
配置建议
-
安全组与主机防火墙协同:
- 京东云控制台配置安全组规则优先于主机防火墙
- 最佳实践:安全组做第一层防护,主机防火墙做二次过滤
-
启用UFW的推荐步骤:
sudo ufw allow 22/tcp # 保持SSH访问 sudo ufw allow 80,443/tcp # 开放Web服务 sudo ufw enable # 启用防火墙 -
特殊注意事项:
- 云数据库等服务不应通过主机防火墙开放,应使用内网安全组规则
- 避免同时使用iptables和ufw,可能导致规则冲突
验证方法
-
检查端口监听状态:
sudo netstat -tuln -
测试端口连通性:
telnet your-server-ip 80 # 或使用更专业的工具: nc -zv your-server-ip 443
核心建议:京东云用户应当始终假设默认不开放任何非管理端口,根据实际服务需求,通过安全组和主机防火墙双重确认端口开放状态,这是云安全的基本准则。