腾讯云服务器台湾安全组和防火墙规则配置实操教程

1.

概述与准备工作

- 说明：本文针对部署在腾讯云台湾地域（Region: ap-taiwan）CVM/VPS的安全组与操作系统防火墙配置进行实操讲解。
- 环境要求：已购买CVM实例并能访问控制台，有管理员（root）/sudo权限。
- 备份建议：操作前导出安全组和防火墙现有规则，记录公网IP与内网IP。
- 工具准备：ssh客户端（例如PuTTY、OpenSSH）、控制台、curl、nmap用于连通性测试。
- 风险提示：修改规则会影响业务可用性，建议在低峰维护窗口操作并准备紧急回滚方案。

2.

腾讯云安全组基础概念

- 概念：安全组是腾讯云对实例的三层防护，用于允许/拒绝入站和出站流量。
- 方向：区分入站规则（Ingress）与出站规则（Egress）。
- 优先级：安全组为白名单策略，未匹配规则则默认拒绝入站流量（出站视配置而定）。
- 典型端口：SSH 22、HTTP 80、HTTPS 443、数据库端口（MySQL 3306）。
- 控制台路径：控制台 -> 云服务器 -> 实例 -> 配置安全组 -> 编辑规则。

3.

实操：在控制台配置安全组规则

- 步骤一：创建或选择目标安全组，记录安全组ID（例如 sg-abc12345）。
- 步骤二：添加入站规则示例：允许业务端口与管理端口。
- 步骤三：示例规则（表格见下方），包含协议、端口范围、来源IP/CIDR、策略（允许/拒绝）。
- 步骤四：设置出站规则，通常允许所有出站或限制到必要服务（如NTP、备份站点）。
- 步骤五：规则生效后使用nmap/curl在外网验证端口可达性。

4.

操作系统防火墙配置（iptables/ufw/firewalld）

- 选择防火墙：Ubuntu常用ufw，CentOS/RHEL常用firewalld或直接使用iptables。
- 示例（iptables）: iptables -A INPUT -p tcp --dport 22 -s 203.0.113.45 -j ACCEPT。
- 阻断默认：iptables -P INPUT DROP；然后逐条放行必需端口（更安全）。
- 持久化：使用iptables-save > /etc/iptables.rules并在启动脚本载入或使用netfilter-persistent。
- ufw示例：ufw allow from 203.0.113.45 to any port 22; ufw enable。

5.

真实案例：台湾电商客户配置与排障

- 背景：某电商（化名“台北电商”）在台北部署两台CVM，分别为前端和数据库。
- 实例信息：前端实例ID ins-fe-001（公网IP 203.0.113.101），数据库实例ID ins-db-002（内网IP 10.0.1.12）。
- 安全组实践：前端安全组允许80/443对0.0.0.0/0，允许SSH仅203.0.113.200/32（运维IP）。数据库安全组仅允许3306来自前端内网10.0.1.0/24。
- 防火墙命令：数据库实例执行iptables -A INPUT -p tcp -s 10.0.1.0/24 --dport 3306 -j ACCEPT；其余DROP。
- 问题与解决：上线首日遭遇大量异常连接，启用腾讯云Anti-DDoS基础防护并在安全组中暂时限制HTTP到CDN回源IP列表后流量恢复稳定。

6.

DDoS、CDN与高可用防护建议

- CDN接入：建议将静态内容放到CDN（如腾讯云CDN）减少源站流量，安全组允许CDN回源IP。
- DDoS防护：启用Anti-DDoS（或按需加购），同时在安全组与系统层面启用连接限制策略。
- 速率限制示例（iptables）：iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 -j DROP。
- 黑白名单：对管理端口使用固定运维IP白名单并监控异常登录尝试。
- 日志与告警：配置Cloud Monitor告警、收集iptables日志到集中日志系统便于分析。

7.

验证、回滚与运维流程

- 验证方法：使用外网VPS或在线端口扫描工具校验端口状态（nmap -Pn -p22,80,443 公网IP）。
- 回滚策略：在控制台保存旧安全组规则快照，或准备默认开放的应急安全组。
- 自动化：通过Terraform/Ansible管理安全组与防火墙规则，实现配置可回溯。
- 定期检查：建议每周审计安全组与iptables规则，删除不再使用的规则。
- 记录与合规：记录所有变更Ticket、操作人、时间与回滚步骤，便于审计与问题追踪。

来源：腾讯云服务器台湾安全组和防火墙规则配置实操教程