返回列表

騰訊雲國際帳號認證 騰訊雲新加坡伺服器如何設定安全組規則

騰訊雲國際 / 2026-07-16 18:23:00

前言:安全組不是選配,而是第一道門

很多人剛上雲時,最先想到的是怎麼把伺服器裝好、網站跑起來、資料庫連上去,卻常常忽略一件更重要的事:安全組規則怎麼設。對騰訊雲新加坡伺服器來說,安全組不是附屬功能,而是整台主機對外暴露面最關鍵的控制層。設定得太鬆,等於把門敞開;設定得太緊,又會導致服務連不上、遠端登入失敗、網站無法訪問。真正合適的做法,不是把所有埠全部放行,也不是一味封鎖,而是根據業務需求,建立清楚、可維護、可追蹤的規則。

新加坡地域的雲主機常被用來部署跨境網站、API 服務、測試環境與中小型業務系統,因為延遲相對穩定,連線條件也較便利。但只要伺服器一旦對外提供服務,風險就會立刻出現。掃描、爆破、惡意探測、弱口令嘗試,幾乎每天都在發生。安全組的價值,就在於先把不該進來的流量擋在外面,再讓必要的流量精準通行。這篇文章不談空泛概念,直接從實務角度,帶你把騰訊雲新加坡伺服器的安全組規則設定清楚。

先搞懂安全組的基本邏輯

在開始設定之前,先把觀念釐清。安全組本質上是一種虛擬防火牆,用來控制雲伺服器的入站與出站流量。入站是指外部主動連進來的封包,例如使用者開啟網站、管理員透過 SSH 連到主機、程式呼叫 API;出站則是伺服器主動向外連線,例如抓取更新、連資料庫、呼叫第三方服務、下載套件。

很多人第一次設定時,只顧著開放入站,卻忘了出站其實也很重要。尤其是某些安全要求高的環境,若不加控制,伺服器可能在被入侵後隨意向外傳資料,風險會被放大。當然,對大多數網站型業務來說,出站規則通常可以先保持相對寬鬆,再逐步收斂。但不管怎麼設,原則都只有一個:只放行必要的流量。

另外要注意,騰訊雲的安全組是針對雲資源層級生效,不是安裝在作業系統裡的傳統防火牆。這代表你在安全組放行了某個埠,不等於作業系統就一定在監聽;反過來說,就算系統裡開了服務,如果安全組沒放行,外部一樣連不上。兩者是不同層次,卻需要配合使用。

設定前先確認三件事

第一,伺服器到底要提供什麼服務

這一步很重要。不同服務對應不同埠,規則不能憑印象亂開。如果是純網站主機,通常只需要 80 和 443;如果要遠端管理,則需要 SSH 的 22 埠或 Windows 的 3389 埠;如果是資料庫主機,就要看是否真的需要對外提供 MySQL、Redis、MongoDB 等連線。很多安全問題不是技術不夠,而是建立規則時沒有先問一句:這個埠真的需要開給誰嗎?

第二,管理來源是固定還是變動

假如你是公司內部或個人固定位置登入,建議盡量把管理埠限定在特定 IP,而不是開放給整個網際網路。這種做法看起來麻煩一點,但長期來看非常值得。若你的辦公網路出口固定,或你有 VPN 跳板機,就應該善用來源地址限制,把風險縮到最小。反過來,若你經常在外地、家中、行動網路切換,就要先想好管理方式,避免因為限制過度而把自己鎖在外面。

第三,是否需要多台伺服器互通

如果你在騰訊雲新加坡區域裡有前端、後端、資料庫、快取、任務機等多台主機,不一定要讓它們互相走公網。更好的方式,是把內部通信限制在同一個安全組、同一私有網路或指定的內網地址範圍裡。這樣不僅安全,也能減少不必要的流量成本與暴露面。

騰訊雲新加坡伺服器安全組的實際設定思路

入站規則先小後大

入站規則是最容易出問題的地方。建議先用最小集合建立,確認可用後再逐步補充。假設你要部署一台常見的網站伺服器,最基本的做法是:

第一,保留你自己的管理入口,例如 SSH 或遠端桌面;第二,開放網站服務需要的 80 與 443;第三,如果有特定應用埠,再按實際需求補上;第四,其他沒必要的埠全部保持拒絕。這種方式看似保守,但它能有效避免「順手全開」的問題。

如果你是 Linux 主機,SSH 通常是最需要保護的埠。不要把 22 埠直接對全世界開放,除非你真的沒有其他方式。比較好的做法是把來源地址限制為你的固定 IP,或至少限制成公司 VPN 的出口地址。如果是 Windows 主機,3389 的遠端桌面埠同樣不建議無條件暴露。這類管理埠一旦被掃到,就很容易成為暴力破解的目標。

網站服務只放行必要埠

若伺服器用途是網站或 Web API,通常只需要 80 和 443。80 是 HTTP,443 是 HTTPS。現在多數正式業務都應該優先走 HTTPS,因此 443 幾乎是必開;80 則可視需求決定是否保留作為跳轉入口。若你使用反向代理、容器編排或特定框架,可能還會有自訂埠,例如 8080、3000、5000,但這些埠通常不應直接對外公開,除非它們就是前台入口。

很多人會犯一個錯誤:開發時把應用服務直接綁在公網埠上,測試完成後卻忘記收回。短期看好像沒問題,長期卻很危險。更合理的做法是讓應用只在內網或本機監聽,再由 Nginx、Apache 或雲端負載均衡對外提供服務。這樣安全組只需要放行標準 Web 埠,管理也更清楚。

資料庫埠不要任意暴露

資料庫是很多攻擊最愛碰的地方。MySQL 的 3306、PostgreSQL 的 5432、Redis 的 6379、MongoDB 的 27017,這些埠如果直接開放到全網,風險非常高。除非你非常確定有必要對外提供,而且已經做了嚴格的來源限制、帳號權限控制與加密連線,否則一般都應該只允許內網訪問,或者僅讓應用伺服器通行。

實務上最常見的配置,是資料庫伺服器安全組只允許來自應用伺服器安全組的流量。這樣做比單純寫死某個 IP 更彈性,因為伺服器更換、擴容或漂移時,規則不必每次手動改。若你的架構還不夠複雜,至少也要把資料庫埠限定在固定內網地址,而不是整段網路都放行。

安全組規則怎麼寫才算合理

來源地址越精準越好

騰訊雲國際帳號認證 安全組規則裡,最容易被忽略的就是來源地址。很多新手只看埠號,卻不看「誰能連」。其實真正的安全性,往往來自來源限制。若某個埠只需要你公司辦公室使用,就不要寫成 0.0.0.0/0;若某個服務只給同一批伺服器調用,就不要放整個網段。

在能精準的情況下,寧可多花一點時間整理來源清單,也不要用「先全開再說」的心態。因為一旦外部開始連進來,你就很難知道到底是正常使用,還是探測行為。精準的來源地址,能讓日後排查問題也更容易。

協議與端口要對應

有些人設定規則時,只寫了埠,卻忽略協議。TCP、UDP、ICMP 各有用途,不能混著看。網站服務、SSH、遠端桌面、大部分資料庫連線,多半走 TCP;像遊戲服務、語音、某些即時應用,可能會用 UDP。若你只想做一般網站或主機管理,通常把 TCP 規則設好就足夠。ICMP 是否開放,則看你要不要允許 ping 或部分網路探測功能。

協議與端口對不上,常見結果就是明明看似開了,實際上還是連不上。這類問題往往不在主機,而在規則細節。設定完成後,務必再確認一次每條規則是為了什麼而存在。

方向、優先級和描述都要寫清楚

如果你的安全組規則越來越多,光靠記憶根本不夠。務必把方向、用途、來源、目標、建立時間和修改原因記在描述裡。這不是形式主義,而是維運習慣。當你半年後回頭看規則,能不能一眼知道它為什麼存在,差別非常大。

優先級也不要隨便。若有相互衝突的規則,處理順序會影響最終結果。平時建立規則時,最好保持一套固定寫法,例如把管理用、網站用、內網用、測試用分開命名,這樣後面要調整才不會一團亂。

常見場景的建議配置

個人網站伺服器

如果你只是架一台個人網站,最基本的安全組可以這樣思考:對外開放 80 和 443,若需要管理,SSH 只允許你的固定 IP 連入。若你有使用面板,像是某些管理工具的埠,也應該只對特定來源開放,最好不要直接面向公網。網站本身能被訪客看見,但管理入口不應該被隨便找到。

很多個人站長一開始為了方便,把面板埠也對外開了,結果後面被掃描、撞庫,處理起來很麻煩。其實只要養成習慣,先透過安全組把門關好,後面很多問題都能少一半。

測試環境與預發布環境

測試環境最常見的問題不是沒人用,而是太多人能用。因為覺得只是測試,所以規則往往比正式環境還鬆。這種想法很危險,因為測試環境常常更接近真實資料、真實結構,反而更值得保護。若要讓內部測試人員訪問,建議只開放給公司網段、VPN 出口或指定跳板機,並且限制管理埠的來源。

騰訊雲國際帳號認證 如果你的測試環境會連到正式服務,安全組的邏輯就更不能亂。至少要分清楚哪些流量可以進正式網段,哪些只能在測試網段內流動。把測試和正式混在一起,後果往往不是「比較方便」,而是「出了問題不知道從哪裡查起」。

API 或後端服務

對 API 伺服器來說,公開的入口通常只有 443,若前面有負載均衡或反向代理,那麼後端應用埠更應該保持內網化。很多後端服務不需要被外部直接訪問,只要讓前端、網關或其他服務能調用即可。這種情況下,安全組應以服務之間的通信為中心,而不是以埠是否眾多為中心。

當你把架構拆清楚,安全組就不再只是開埠工具,而是服務邊界的描述方式。哪個角色可以碰哪台主機,哪條鏈路可以通過,一目了然。這種清楚,才是長期穩定的基礎。

設定後一定要做的檢查

騰訊雲國際帳號認證 先從外部測試再從內部排查

安全組設完,不代表事情就結束。你要做的是實測,而不是靠想像。從你的本地網路、行動熱點或另一台雲主機去連目標伺服器,確認哪些埠開了,哪些埠被擋了。如果開了卻連不上,再看是安全組、作業系統防火牆、服務狀態,還是網路路由問題。排查時要有順序,不要一上來就亂改。

最常見的狀況是:安全組放行了,但系統服務沒起來;或者服務正常,但系統防火牆又擋了一層。還有一種是來源 IP 寫錯,自己不在允許範圍內卻以為規則沒生效。把測試流程固定下來,日後新增服務會省很多時間。

定期回頭清理多餘規則

安全組最怕的是「越用越亂」。剛開始可能只有幾條,後面新增功能、臨時測試、應急開放、短期協作,久而久之規則表就變得很難看懂。建議定期做一次清理:把已經不用的埠關掉,把不明用途的規則標註出來,把臨時放行的來源收回來。這些工作看似瑣碎,實際上是維持系統安全的基本功。

如果你的團隊多人共用一組安全組,更要建立變更習慣。每次新增規則,都要知道誰加的、為什麼加、何時回收。沒有紀錄的規則,最後通常都會變成風險。

容易踩坑的幾個地方

第一個坑,是把管理埠開給全世界。第二個坑,是只看埠號,不看來源。第三個坑,是把資料庫直接暴露到公網。第四個坑,是以為安全組做完就不用管作業系統防火牆。第五個坑,是臨時改規則後忘了恢復。這些錯誤並不高深,卻很常見,而且往往就是事故的來源。

還有一個很現實的問題:很多人遇到連線失敗時,第一反應不是檢查規則,而是直接把安全組全開。這種操作短期可能讓服務恢復,但風險也瞬間升高。比較好的方式,是先看錯在哪裡,再用最小範圍修正。雲端資源最怕的不是慢,而是亂。

結語:把安全組當成架構的一部分

騰訊雲新加坡伺服器的安全組規則,表面上是技術配置,實際上反映的是你對服務邊界的理解。懂得怎麼設定的人,不只是會開埠,而是知道什麼應該被看見,什麼應該藏在後面,什麼只能讓特定的人進來。這種思維,比單純記住幾個埠號更重要。

如果你只是想把伺服器先跑起來,那麼 80、443、管理埠這幾條規則就足夠入門;但如果你希望系統能長期穩定、少出問題,就要從一開始建立最小權限、來源限制、內外分層與定期回收的習慣。安全組不是設一次就忘記的東西,而是隨著業務成長持續調整的邊界。把這件事做好,你的騰訊雲新加坡伺服器才算真正站穩第一步。

Telegram售前客服
客服ID
@cloudcup
联系
Telegram售后客服
客服ID
@yanhuacloud
联系