利用云服務(wù)器的安全組來防止遠(yuǎn)程惡意攻擊

使用阿里云安全組限制遠(yuǎn)程端口訪問權(quán)限，其實(shí)簡(jiǎn)單點(diǎn)說就是設(shè)置誰可以訪問遠(yuǎn)程端口，我這里用默認(rèn)3389為例：首先：我們進(jìn)入阿里云的【云服務(wù)器控制臺(tái)】下面的【網(wǎng)絡(luò)與安全】中的【安全組】。選擇服務(wù)器所在的地區(qū)就能夠看到賬號(hào)下該區(qū)域設(shè)置的安全組設(shè)置。

如果沒有可以創(chuàng)建一個(gè)新的安全組并把需要安全設(shè)置的服務(wù)器加入該安全組。

第二創(chuàng)建安全組：如果已經(jīng)有了直接跳后，點(diǎn)擊【創(chuàng)建安全組】，輸入名稱、描述，選擇網(wǎng)絡(luò)類型創(chuàng)建即可，這里都可以隨便填，主要在后面的安全規(guī)則。

第三配置安全組規(guī)則：在安全組規(guī)則列表中找到剛才創(chuàng)建的安全組。點(diǎn)擊【配置規(guī)則】。配置規(guī)則分為【入方向】與【出方向】。出方向?yàn)樵诜?wù)器上操作規(guī)則如：在服務(wù)器訪問另外一臺(tái)服務(wù)器數(shù)據(jù)庫，找開網(wǎng)站等屬于出方向。入方向?yàn)榻裉煳覀円O(shè)置的重點(diǎn)，即為其它終端訪問這臺(tái)服務(wù)器的規(guī)則如：我們遠(yuǎn)程連接此臺(tái)服務(wù)器、打開該服務(wù)器配置的網(wǎng)站、ping服務(wù)器都是屬于入方向。通過創(chuàng)建安全規(guī)則可以設(shè)置訪問此服務(wù)器時(shí)的權(quán)限。如要設(shè)置全部都不能訪問3389遠(yuǎn)程端口：只需要如圖設(shè)置入方向，拒絕，端口3389，授權(quán)對(duì)象0.0.0.0/0。這樣設(shè)置后，等于把3389所有的路都堵死了。不管從哪里都無法通過3389端口遠(yuǎn)程連接該服務(wù)器。

那么又要如何單獨(dú)為當(dāng)前電腦打開通往該服務(wù)器3389端口的路？只需要以當(dāng)前機(jī)器外網(wǎng)IP再創(chuàng)建一條規(guī)則允許就可以了。查詢當(dāng)前電腦外網(wǎng)IP，也很簡(jiǎn)單，直接百度搜“我的IP”第一個(gè)就顯示了。

創(chuàng)建允許訪問3389端口的規(guī)則：

此處要注意安全規(guī)則優(yōu)先級(jí)。這樣安全規(guī)則就創(chuàng)建好了。但還沒有完。還需要將服務(wù)器實(shí)例加入該安全組。第四將服務(wù)器加入安全組：在服務(wù)器實(shí)例列表里面，找到需要加入該安全組的實(shí)例選擇【更多】-【網(wǎng)絡(luò)和安全】-【加入安全組】找到剛才創(chuàng)建的安全組即可。如果之前有加入過安全組，也可以直接在此處直接配置安全規(guī)則。

這樣就設(shè)置完了。這個(gè)時(shí)侯除了剛才設(shè)置的允許IP以外，其它地方都無法訪問該服務(wù)器3389端口了。但由于公網(wǎng)IP經(jīng)常變動(dòng)。所以公網(wǎng)IP變動(dòng)后又得重新設(shè)置一下。但是諸如阿里云、騰訊云等都有手機(jī)端可以快速配置安全組。