CLOUD云在阿里云服务器(ECS)中,限制连接的IP地址主要通过 安全组(Security Group) 来实现。安全组是一种虚拟防火墙,用于控制进出ECS实例的网络流量。
以下是详细步骤:
✅ 方法一:通过安全组设置限定IP访问
1. 登录阿里云控制台
- 打开 阿里云官网 并登录。
- 进入 ECS 管理控制台。
2. 找到目标ECS实例
- 在左侧导航栏选择 实例与镜像 > 实例。
- 找到你要设置的服务器实例。
3. 查看并编辑安全组
- 在实例详情中,找到 安全组 标签,点击对应的安全组ID。
- 进入 安全组规则 页面。
4. 添加入方向规则(Inbound Rules)
- 点击 手动添加 或 添加安全组规则。
- 配置规则以限制允许访问的IP:
示例:只允许某个IP访问SSH(端口22)
| 参数 | 值 |
|---|---|
| 授权策略 | 允许 |
| 协议类型 | 自定义 TCP |
| 端口范围 | 22 |
| 授权类型 | 地址段访问 |
| 授权对象 | 你的IP地址/32(例如:123.123.123.123/32) |
| 优先级 | 默认1 |
🔹
/32表示只允许单个IP
🔹 如果要允许多个IP,可以添加多条规则或使用IP段(如192.168.1.0/24)
示例:禁止所有IP访问(默认拒绝)
- 安全组默认是“白名单”机制:没有明确允许的规则,就是拒绝。
- 所以你只需添加你需要的IP,其他IP自动被拒绝。
5. 删除或修改已有放行规则(重要!)
- 检查是否有如下危险规则:
- 授权对象为
0.0.0.0/0(表示允许所有IP访问)
- 授权对象为
- 如有,建议删除或修改为具体IP。
✅ 方法二:在操作系统内部使用防火墙(辅助手段)
除了安全组,还可以在服务器系统内使用防火墙进一步限制,如:
Linux(以 CentOS / Ubuntu 为例)
使用 iptables 示例:
# 只允许 123.123.123.123 访问 SSH(22端口)
iptables -A INPUT -p tcp --dport 22 -s 123.123.123.123 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP使用 ufw(Ubuntu)
sudo ufw allow from 123.123.123.123 to any port 22
sudo ufw enable⚠️ 注意:优先使用安全组,系统防火墙作为补充。
✅ 常见应用场景
| 需求 | 设置方法 |
|---|---|
| 只允许自己电脑访问SSH | 安全组中22端口授权对象为你的公网IP/32 |
| 允许公司IP段访问Web服务 | HTTP(80)和HTTPS(443)授权对象设为公司IP段,如 202.100.1.0/24 |
| 禁止所有外部访问数据库端口(如3306) | 不添加3306的入方向规则,或明确拒绝 |
❗注意事项
- 不要把自己关在外面:设置前确认你知道自己的公网IP,避免无法SSH登录。
- 动态IP用户:如果你的网络是动态IP(如家庭宽带),建议使用阿里云的 弹性公网IP + SLB + RAM授权 或考虑 堡垒机方案。
- 安全组生效快:规则保存后立即生效,无需重启ECS。
- 多网卡注意:如果有多个安全组绑定,需检查所有关联的安全组规则。
✅ 推荐做法(最佳实践)
- 将管理端口(如22、3389)限制为特定IP。
- Web服务(80/443)可对所有人开放。
- 敏感服务(数据库、Redis等)禁止公网访问,仅限内网或VPC内访问。
如有需要,也可以结合 阿里云云防火墙 或 WAF 实现更高级的访问控制。
如需帮助查看你的公网IP,可在终端运行:
curl ifconfig.me如果你提供具体需求(比如只允许某地IP访问某个端口),我可以给出更具体的规则配置。