阿里云 ECS 服务器的安全组设置
- 缘由
- 安全组
- 多个安全组各司其职
- 一些常见的IP段
- 百度 IP 段
- 华为云 IP 段
- 搜狗蜘蛛 IP 段
- 阿里云 IP 段
- 。。。
缘由
最近公司规模缩减,原有的托管在 IDC 机房的服务器,都被处理掉了,所有代码都迁移到了阿里云的云服务器上了。
因为是小公司,只有一台应用服务器,所以在原有的服务器维护中,会对很多来源的 IP 通过 IPSec 进行禁用,以降低不必要的访问造成资源浪费。
但是,在迁移到云服务器后,发现 IPSec 好像不太起作用,然后发现阿里云自身提供了安全组设置,基本上就和 IPSec 一样的,所以,就简单了解了一下。
CSDN 文盲老顾的博客,https://blog.csdn.net/superwfei
老顾的个人社区,https://bbs.csdn.net/forums/bfba6c5031e64c13aa7c60eebe858a5f?category=10003&typeId=3364713
安全组
在进入阿里云的 云服务器Ecs 管理后,在网络与安全下有一个安全组,就相当于 IPSec的防火墙设置了。
然后,我们就可以创建一个新的安全组了。
在创建规则的时候,记得选择网络,即可对安全组生效范围进行设置了,如果没有选择网络,那么安全组是无法生效的哦。
多个安全组各司其职
安全组是可以设置多个的,每个安全组设置可以倾向一个方面,用来管理各种请求的处理。
例如老顾这里的这样,用多个安全组来进行管理。最下边的,是允许访问的 IP 地址集合,比如在家办公的 IP,公司的 IP,云服务器内网的 IP 之类的。
而由于老顾的资源很少,所以无法承载大并发的问题,所以老顾对一些无效,或者没有意义的访问都进行了拒绝访问,比如来自华为云的请求,比如来自搜狗蜘蛛的请求(垃圾搜索引擎,已经好多年没见人维护过了),比如来自阿里云其他网段的请求。
再来就是中间的,对于访问较少的时候,手动设置为允许访问,当并发过大的时候,或者有重要活动的时候,为了保证稳定而手动设置为拒绝访问的 IP 地址,比如百度之类的。
一些常见的IP段
百度 IP 段
58.48.28.0/24 只能确定 58.48.28.229 是百度的,在设置 robots 的地方,如果禁用了这个 229 的 IP,那么百度 Robots 检查更新后,下边的校验会异常,无法进行访问。
116.179.32.0/24 使用 nslookup 对 116.179.32.64 进行反查,可以返回反查信息 baiduspider-116-179-32-64.crawl.baidu.com
220.181.108.0/24 使用 nslookup 对 220.181.108.64 进行反查,可以返回反查信息 baiduspider-220-181-108-64.crawl.baidu.com
220.181.51.0/24 据说是百度蜘蛛,UserAgent 是这样没错,而且网上也都这么说,就当是吧
116.179.33.0/24
116.179.37.0/24
使用 /24 作为掩码,是不想一个一个的写具体 IP 地址,没啥意义,毕竟整个 IP 段基本上就是同一个机房内的 IP 地址,确定其中一个为某个大厂的 IP 后,那么就可以确定整个 IP 段就是 IDC 或自建机房提供的了。
华为云 IP 段
140.210.128.0/17 只有前半段可以 nslookup 反查,所以掩码 17
139.9.0.0/16
124.71.0.0/16
124.70.0.0/16
123.249.0.0/17
122.9.0.0/16
120.46.0.0/16
119.3.0.0/16
116.63.0.0/16
114.116.0.0/16
1.95.0.0/16
1.94.0.0/16
1.92.0.0/16
搜狗蜘蛛 IP 段
111.202.101.0/24
61.135.159.0/24
123.183.224.0/24
123.126.68.0/24
123.126.50.0/24
49.7.20.0/24
49.7.21.0/24
阿里云 IP 段
47.96.0.0/16
47.99.0.0/16
121.40.211.0/24
121.40.99.0/24
120.26.121.0/24
120.26.120.0/24
120.55.115.0/24
47.101.159.0/24
47.98.99.0/24
。。。
当然,这些 IP 地址并不完整,只是老顾现在已经禁止访问的一些地址罢了,甚至腾讯云的 IP 地址老顾这里完全没有收录 v,大家根据自己需要对一些会造成访问压力的 IP 地址进行禁用吧。
可惜的是,阿里云的安全组设置,必须点进去,对每个项设置拒绝或允许,而不能像 IPSec 一样,对整个安全组设置成统一的拒绝或允许,或者设置安全局是否启用,有一点小遗憾。