Skip To Content

常见安全组配置

在本主题中

Amazon 弹性计算云 (EC2) 实例仅允许来自其安全组中定义的来源和端口的网络流量。使用 Amazon EC2 时,您需要建立若干个与将对 EC2 实例执行的操作类型相对应的安全组。本主题描述了用于配置不同 ArcGIS Server 部署的一些常见安全组。

默认情况下,安全组处于完全锁定状态。通过向安全组中添加规则,可指定允许的流量类型、允许其通过的端口,以及从中接收通信的源计算机。决定打开的端口和需要允许的流量类型取决于您对实例执行的操作。

以下是建议的安全组名称和规则,您可在 AWS 管理控制台中对其进行配置。根据组织的 IT 策略,允许的端口和协议会有所不同。以下建议使用的是最常见的端口号。如果您的组织中有 IT 专家,请考虑咨询他(她)以设计和制定 EC2 实例的最佳安全策略。

ArcGIS Server 开发

考虑专为正用于开发和测试的 EC2 实例创建安全组。此类型的组允许以下访问:

  • RDP 通过 3389 端口访问您的 IP 地址或者您组织内一系列已批准的 IP 地址(仅限于 Windows)。这样便可通过 Windows 远程桌面管理您的 EC2 实例。您必须使用无类域间路由 (CIDR) 记法来指定可建立连接的多个 IP 地址(或一个 IP 地址)。例如,0.0.0.0/0 允许所有人连接,而 92.23.32.51/32 仅允许一个特定 IP 地址进行连接。如需获取本地计算机的面向外部的 IP 地址,请联系系统管理员。
  • TCP 通过 22 端口访问您的 IP 地址或您的组织内一系列已批准的 IP 地址(仅限于 Linux)。打开端口 22 使您能够通过 SSH 使用 Linux 实例。
  • TCP 通过 6080 端口可访问任何人(如未使用弹性负载均衡器)或弹性负载均衡器的安全组(如使用弹性负载均衡器)。端口 6080 用于与 ArcGIS Server 进行通信。如果未将弹性负载均衡器置于您的站点之前,则需要为将使用 ArcGIS Server Web 服务的任何人开放 6080 端口。如果正在使用弹性负载均衡器,则需要为弹性负载均衡器的安全组(可通过 AWS 管理控制台找到,并且最可能是一个值,如 amazon-elb/amazon-elb-sg)开放 6080 端口。
  • 从该组中的其他计算机进行访问。需要执行此操作以使 GIS 服务器计算机能够互相进行通信。同时便于共享文件。可通过选择所有 ICMP 规则类型添加规则以允许此类访问,在来源对话框中输入安全组 ID(例如,sg-xxxxxxxx),并单击添加规则,从而添加允许这种访问类型的规则。当使用此方法时,该组中的计算机会通过所有端口和协议互相进行通信。

ArcGIS Server Production

开发和测试应用程序后,在其迁移到生产层之前,最好禁用远程桌面访问。如果出现问题导致需登录计算机,您可临时更改安全组配置以便访问。ArcGIS Server 生产组允许以下访问:

  • TCP 通过 6080 端口可访问任何人(如未使用弹性负载均衡器)或弹性负载均衡器安全组(如使用弹性负载均衡器)
  • 从该组中的其他计算机进行访问

ArcGIS Server 生产安全

如果需要与计算机进行加密通信,应在站点上配置一个通过端口 443 接收流量的弹性负载均衡器。该端口通常用于通过 SSL 进行加密通信。然后,配置该负载均衡器以将流量转发到端口 6443。在安全组中,为 ArcGIS Server 生产打开上述端口。

企业级地理数据库

如果选择将企业级地理数据库部署在一个与 ArcGIS Server 实例相隔离的实例上,您可专为该企业级地理数据库配置安全组以允许以下操作:

  • TCP 通过端口 22 (Linux) 访问您的 IP 地址或您组织内已批准的一系列 IP 地址您至少需要与计算机进行一次远程连接以更改 PostgreSQL 的默认密码。然后,如有必要,可从安全组删除此远程访问规则。
  • RDP 通过端口 3389 (Windows) 访问如果要与 SQL Server 或 SQL Server Express 实例进行远程连接,可添加此规则(例如,添加用户或附加地理数据库),并在完成时将其删除。
  • 从 ArcGIS server 安全组中的计算机进行访问这可使运行 ArcGIS for Server 的实例能够查看企业级地理数据库实例。如果计算机不包含在连接地理数据库所需的安全组中,则需显式打开端口 5432 以与 PostgreSQL 进行通信。

常用端口

以下是创建安全组时可能用到的一些最常见的端口。其中有些端口无需显式打开,而是您可以决定授予安全组中的计算机相互访问的完整权限。如果希望允许来自安全组以外的计算机(例如,办公中的台式工作站)的访问,则需要打开特定端口号。

端口常见用途

80

通过 HTTP 访问 IS Web 服务器或负载均衡器

443

通过 HTTPS 访问 IIS Web 服务器或负载均衡器

445

Windows 文件共享

1433

连接 Microsoft SQL Server

3389

连接 Windows 远程桌面

5432

连接 PostgreSQL

6080

通过 HTTP 访问 ArcGIS Server

6443

通过 HTTPS 访问 ArcGIS Server

任何使用 Esri 提供的 AMI 启动的实例均启用了 Windows 防火墙,包括使用云构建器构建的站点。如果安装需使用上表未列出的端口的第三方应用程序,请将 Windows 防火墙配置为允许使用该端口。