云服务器
- 文档首页 /云服务器/云服务器ECS/常见问题/安全FAQ
| 问题分类 | 问题 |
|---|---|
密钥对 | |
| Ubuntu防火墙 | 如何配置Ubuntu云服务器防火墙? |
| Windows防火墙 | 如何配置Windows云服务器防火墙(开启/关闭/修改端口)? |
| DDoS攻击 | 云服务器如何防护DDoS攻击? |
密钥对问题
Linux实例和Windows实例都可以使用密钥对登录吗?
目前Linux实例有密码和SSH密钥两种登录方式,Windows实例目前只有密码登录一种方式。
实例为什么无法绑定密钥对?
仅安装了密码插件的实例支持绑定密钥对。请首先完成安装插件操作。
绑定密钥对后需重启实例,密钥对方可生效。
如何使用本地密钥对登录Linux实例?
为什么使用本地密钥对无法登录Linux实例?
可能是实例未安装密码插件,请安装插件后重试。
密钥对的私钥丢失,如何登录实例?
私钥丢失后,您只能为实例绑定新的密钥对并登录,具体操作如下:
Ubuntu防火墙
如何配置Ubuntu云服务器防火墙?
本节以安装 Ubuntu 20.04.5 LTS 操作系统的云服务器为例,介绍如何开启或关闭 Ubuntu 操作系统云服务器的防火墙,以及防火墙添加端口规则。
- 登录云服务器。
- 执行如下命令,检查是否已安装ufw。
ufw status - 若未安装,则依次执行如下命令安装。
sudo apt update sudo apt install ufw
执行如下命令,允许SSH远程登录服务。
sudo ufw allow ssh执行如下命令,开启防火墙(ufw)。
sudo ufw enable说明
若未提前配置允许SSH远程登录服务的规则,在开启防火墙ufw生效后,ECS Terminal远程登录将断开且无法再通过ECS Terminal远程登录,请谨慎操作。
执行如下命令,关闭防火墙(ufw)。
sudo ufw disable
- 新增规则
- 登录云服务器。
- 新增允许特定端口被访问的规则,示例如下:
- 允许SSH(默认端口22):
sudo ufw allow ssh - 允许特定端口被访问,例如允许HTTP(端口为80):
sudo ufw allow 80/tcp
- 允许SSH(默认端口22):
- 新增拒绝特定端口被访问的规则,示例如下:
例如拒绝80端口被访问。sudo ufw deny 80/tcp
说明
对于同一个端口,新设置的防火墙规则会覆盖已有的防火墙规则,例如先配置拒绝80端口,再配置允许80端口,此时防火墙规则仅剩下允许80端口。
- 删除规则
- 登录云服务器。
- 执行如下命令,查询规则的编号。
ufw status numbered
- 执行如下命令,删除规则。
sudo ufw delete <规则编号>
- 登录云服务器。
- 执行如下命令,查看防火墙ufw配置的规则。
sudo ufw status - 执行如下命令,查看防火墙ufw的日志。
cat /var/log/ufw.log
Windows防火墙
如何配置 Windows 云服务器防火墙?
本节以安装 Windows server 2019 操作系统的云服务器为例,介绍如何开启或关闭 Windows 操作系统云服务器的防火墙,以及防火墙添加端口规则。
说明
- 关闭防火墙,您的设备可能易受攻击,请谨慎操作。如果选择关闭防火墙,建议安全组谨慎开放端口。
- 如果开启防火墙,防火墙需放行本地远程桌面端口允许远程连接,远程服务器的默认端口为TCP 3389。具体操作请参考下文 - 防火墙设置端口规则。
- 如果防火墙入站规则中设置的端口与远程服务器设置的端口不一致,远程访问服务器将无法成功,您同样可以参考 - 防火墙设置端口规则,添加新的防火墙入站规则端口。
在 Windows 云服务器桌面,单击“开始 > 控制面板”。
在“控制面板”窗口,单击“系统和安全”。
在“系统和安全“页面,单击“Windows Defender 防火墙”。
在“Windows Defender 防火墙”页面中,单击“启用或关闭 Windows Defender 防火墙”。
查看并设置防火墙状态:开启或关闭。
在 Windows 云服务器桌面,单击“开始 > 控制面板”。
在“控制面板”窗口,单击“系统和安全”。
在“系统和安全“页面,单击“Windows Defender 防火墙”。
在“Windows Defender 防火墙”页面中,单击“高级设置”。
在“高级安全Windows Defender 防火墙”页面,单击“入站规则 > 新建规则”。
在弹出的“新建入站规则向导”窗口,选择“端口”,单击“下一步”。
在弹出的窗口中,选择“TCP” ,然后添加“特定本地端口”,本文以开放 3389 端口为例。单击“下一步”。
在弹出的窗口中,选择“允许连接”。单击“下一步”。
10. 在弹出的窗口中,保持默认配置。单击“下一步”。
11. 在弹出的窗口中,填写规则名称。单击“完成“。
12. 添加完成后,“高级安全Windows Defender 防火墙”页面“入站规则”列表首行即为新建规则。
DDoS攻击
云服务器如何防护DDoS攻击?
DDoS攻击通过分布在各个地域的大量僵尸主机,在同一时间内向目标云服务器发送恶意报文,以阻塞目标云服务器的带宽资源,或是耗尽目标云服务器的CPU资源,最终导致被攻击的服务器瘫痪,无法提供正常服务。
为了减轻DDoS攻击的影响,建议采取以下措施:
- 开启DDoS基础防护:云内用户只要拥有云上公网IP资源,DDoS基础防护默认对该云上公网IP进行保护。
- 考虑使用DDos原生防护(企业版):对于大流量DDoS攻击,考虑使用DDoS原生防护,能轻松缓解攻击带来的业务影响,保障业务正常运行。
- 安全体系构建:您还可以开启安全加固HIDS、配置安全组、提高密码复杂度等方式提升云服务器的安全性,更多信息可参考提高云服务器的安全性。
- 优化网络架构:使用负载均衡和NAT网关等服务,提高系统的可用性和安全性,同时减少公网暴露的风险。