云服务器在使用中网络通信是第一要素。要做好网络通信的管理，首要就是配置云服务器的安全组（防火墙），放行端口。

各厂商云服务器都有这快得设置，举例一台腾讯云服务器的设置做个记录。

 

一、环境准备

云平台----腾讯云

服务器----winserver 2008 R2

后台管理地址：https://cloud.tencent.com/login/

 

其实不区分操作系统，云服务器的防火墙设置都是一样的，放行端口就OK

二、思路设计

服务器到外部网络：网络全通

外部到服务器做限制：

　　放行常用windwos远程端口：3389

　　放行sql server数据库远程端口：1433

　　其他常用端口：20，21，22，23，80，443等

　　先默认拒绝所有，在依次开启需要放行的端口及ip

三、操作流程

1.登录腾讯云后台--管理控制台

 

 

2. 点击进入-云服务器管理

 

 

3. 左侧找到----安全组

 

 

4. 进入设置安全组规则

 

 

 

5.先放通出站规则：意思就是云服务器到外部网络的通信，没特殊要求建议所有

添加规则里面模板：

目标：就是目的网段或ip地址　　协议端口：单个端口就是端口号，单个协议就是协议名，所有就是ALL　　策略：允许/放行　　备注：设置一个备注好记　　

所有通信 ip就是0.0.0.0/0   协议端口：ALL　　策略：放行　　备注：所有通信

 

 

6.入站规则设置： 

入站的意思就是从外部的数据包进入云服务器，这一块不能开启所有！

举个栗子：当你用云服务器，你的IP是公网IP，所有人都可以去挨个ping啊，端口扫描等等这个IP地址。

　　　　　整个互联网中有些黑客一直在做一些端口扫描和一些攻击，所以只能放通一部分端口与应用。

　　　　　把常用的应用放通，例如服务器远程和FTP；将来源设置成一个公司或者自己网络的出口（运营商提供的一个固定ip段）。

　　　　　这样就只能在公司或者自己网络的出口能够跟云服务器进行远程，FTP上传下载文件。

 

模板：

 

 

一般来说，入站规则默认策略就是防火墙里面的白名单。默认就是拒绝所有，但是为了安全起见，还行在做策略之前先做一条拒绝所有。

拒绝所有：

关于出口：

如果有公司性质的，出口网段就打运营商电话问，专线一般是一个IP段，子网掩码可以百度子网掩码计算器来计算。例如10.10.10.1-10/25

如果是个人使用，一般就是ADSL，这种情况就需要每天做策略，因为一直在变。网友有个办法可以试下，就是打运营商的电话，让那边给一个固定的IP地址，看人品了。

ADSL一般不好做，因为一直在变幻，十分麻烦。经博主测试，联通的ADSL是做不了出口的，因为一直在变，而移动跟电信ADSL做过是可以的，不过麻烦，要每天来添加。

 

 

 

3389windows远程允许公司出口：

 

数据库sql server允许公司出口：

 

其他的端口跟上面操作一样，依次添加即可。 

 

四、注意事项

1.如果出口的子网掩码不会的，建议百度一下子网掩码计算器计算一下。

2.入站规则这一块是有顺序的，匹配策略是从上到下，依次匹配。

3.windwos系统建议把服务器里面自带的防火墙关闭，就用这个安全组来做。

4.linux系统建议把iptables，selinux关闭，也使用云平台的安全组来做。