管理实例防火墙
最后更新时间:2026-02-05 10:59:01
操作场景
防火墙是保障轻量应用服务器实例网络安全的重要手段,所提供的安全防护作用等同于云服务器中的安全组。您可以通过配置防火墙规则,允许或禁止公网或私网对轻量应用服务器实例的访问。
说明:
防火墙只能对实例的入流量进行控制,出流量默认允许所有请求。
相关概念
出流量:数据从实例内通过公网或内网传输至实例外产生的流量。
入流量:数据从实例外通过公网或内网传输至实例内产生的流量。
防火墙规则
配额限制
每个轻量应用服务器的实例可创建的防火墙规则数量限制:100个。
组成部分
轻量应用服务器实例的防火墙中可以包含多条防火墙规则。每条防火墙规则包括如下组成部分:
组成部分 | 说明 |
应用类型 | 自定义:您可以按需定义协议和端口。 预置的应用类型:提供常用的防火墙规则模板,如 Windows登录(3389)、Linux登录(22)等。若选择预置的应用类型,则对应的协议和端口将会自动填入且不可修改。 |
来源 | 指定的单个 IPv4 地址、单个 IPv6 地址、IPv4 地址范围或 IPv6 地址范围 注意: 默认为0.0.0.0/0,即对所有 IPv4 地址开放。 添加防火墙规则时,请您按需配置端口范围和允许访问的 IP 地址,建议遵循最小授权原则,以降低被恶意攻击或未授权访问的风险。 |
协议 | 协议类型,可选择 TCP、UDP、ICMP 其中一种。 |
端口 | 协议端口,指定的单个或多个端口。 |
策略 | 允许:放行该端口相应的访问请求。 拒绝:直接丢弃数据包,不返回任何回应信息。 警告: 防火墙规则策略设置为拒绝,会导致相应端口不可访问,从而影响业务运行。建议在确保此操作不会影响正常业务的前提下,谨慎使用此功能。 |
备注 | 自定义,简短地描述规则,便于后期管理。 |
说明:
轻量应用服务器实例创建后,默认放通如下端口:
系统镜像
Linux 系统镜像:默认放通 22(SSH)、80(HTTP)、ICMP(Ping)
Windows 系统镜像:默认放通 3389(RDP,TCP & UDP)、80(HTTP)、ICMP(Ping)
应用模板
在系统镜像默认端口的基础上,若应用模板声明了业务端口,则会额外默认放通对应端口:
Linux 应用模板:默认放通 22(SSH)、80(HTTP)、ICMP(Ping),以及业务端口(如有)
Windows 应用模板:默认放通 3389(RDP,TCP & UDP)、80(HTTP)、ICMP(Ping),以及业务端口(如有)
默认来源 IP 为 0.0.0.0/0(即允许所有公网IPv4地址访问)。
上述默认放通的端口,实例创建完成后您可以根据自身业务需求,在实例详情页防火墙页面手动修改策略为“拒绝”或者删除防火墙规则(删除后默认不通)。
规则优先级
防火墙内规则具有优先级。
规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,最先应用,列表底端规则优先级最低。
若有规则冲突,则默认应用位置更前的规则。
当有流量进入对应防火墙的实例时,将从防火墙规则列表顶端的规则开始逐条匹配至最后一条。如果匹配某一条规则成功,允许通过,则不再匹配该规则之后的规则。
当进入的流量与任何一条防火墙规则都不匹配时,防火墙将默认阻止该流量进入实例。
操作步骤
说明:
您可参考此步骤添加或删除防火墙规则,修改立即生效。
添加防火墙规则
注意:
添加防火墙规则时,请您按需配置端口范围和允许访问的 IP 地址,建议遵循最小授权原则,以降低被恶意攻击或未授权访问的风险。
1. 登录 轻量应用服务器控制台,在服务器列表中找到您想要操作的实例,进入该实例的详情页。
2. 在实例详情页中,选择防火墙页签,并单击添加规则。如下图所示:
3. 在添加规则弹窗页面,参考以下信息进行添加。如下图所示:
注意:
添加防火墙规则将使实例的可访问范围发生变化,请关注规则生效的来源,避免增加被恶意攻击或未授权访问的风险。
防火墙规则可以对轻量应用服务器实例的入流量进行控制,来源支持单个 IP、CIDR 段等,不填默认对所有 IPv4地址(0.0.0.0/0)生效。
应用类型:本文需自行设置协议类型及端口,则选择自定义。
来源:防火墙规则仅对输入的源 IP 地址生效。本文需限制源 IP,则需填写来源。如不填写,则该规则对所有 IPv4 地址均生效。 支持以下输入格式:
指定单个 IP:例如 192.168.1.1。
指定 CIDR 段:例如 192.168.1.0/24。
所有 IPv4 地址:0.0.0.0/0。
当前登录 IP:您登录腾讯云控制台的 IP 地址。
协议:可选择 TCP、UDP 或 ICMP,本文以选择 TCP 为例。
端口:可指定单个或多个端口,范围需在1到65535之间,多个端口范围之间使用符号
, 进行分隔。端口支持格式如下:单个端口:例如
80。多个离散端口:例如
80,443。连续端口:例如
3306-20000。所有端口:
ALL。策略:默认选择允许。
允许:放行该端口相应的访问请求。
拒绝:直接丢弃数据包,不返回任何回应信息。
备注:自定义,简短地描述规则,便于后期管理。
4. 单击确定即可添加防火墙规则。
删除防火墙规则
注意:
删除防火墙规则可能导致业务中断,请谨慎操作。
1. 登录 轻量应用服务器控制台,选择并进入该实例的详情页。
2. 在实例详情页中,选择防火墙页签。
3. 在防火墙页签中,选择需要删除的防火墙规则所在行右侧的删除。如下图所示:
4. 在弹出的提示框中,单击确定,即可删除对应的防火墙规则。
修改防火墙规则
1. 登录 轻量应用服务器控制台,选择并进入该实例的详情页。
2. 在实例详情页中,选择防火墙页签。
3. 在防火墙页签中,选择需修改的防火墙规则所在行右侧的编辑。如下图所示:
4. 在编辑已有的规则弹窗中,参考 规则参数说明 修改已有设置后,单击确定即可。
说明:
应用类型为“非自定义”的规则,不支持修改协议及端口。如需修改,请将应用类型切换为自定义。
修改完成后无需重启轻量应用服务器。
相关操作
导入防火墙规则
1. 登录 轻量应用服务器控制台,选择并进入该实例的详情页。
2. 在实例详情页中,选择防火墙页签。
3. 在防火墙页签中单击导入规则,在弹出的弹窗中选择导入规则的方式。
您可以在导入规则的弹窗中选择导出当前规则或下载导入模板。
说明:
上传规则后,您可通过操作列对整行规则进行编辑,也可删除整行规则。如下图所示:
覆盖导入规则:选择文件中的规则将覆盖防火墙模板的原有规则。
1. 导入方式选择覆盖导入。
2. 上传规则文件,通过校验后,单击开始导入。
追加导入规则:选择文件中的规则将添加至防火墙模板原有规则之前。
注意:
若上传的规则数与现有规则数量的总和大于100或上传的规则与现有规则存在冲突将会添加失败。
1. 导入方式选择追加导入。
2. 上传规则文件,通过校验后,单击开始导入。
修改防火墙规则优先级
1. 登录 轻量应用服务器控制台,选择并进入该实例的详情页。
2. 在实例详情页中,选择防火墙页签,并单击排序。
3. 选择需调整规则前的 
4. 单击列表上方保存即可完成防火墙规则优先级调整。
常见问题
轻量应用服务器防火墙和操作系统防火墙的区别?
轻量应用服务器防火墙:轻量应用服务器提供控制台可视化管理界面,操作方便,但只能用于控制入方向的流量。
操作系统内部防火墙:系统管理员可以通过在操作系统内部设置一定的规则来控制出入方向的流量,但需要熟悉相应的防火墙软件,例如:Linux 的 iptables 等。对于 Linux 用户,还需要熟悉命令行。
文档反馈