手把手教你设置阿里云轻量服务器防火墙，轻松防端口扫描不踩坑！

你是不是也有过这样的经历？刚买了一台阿里云的轻量应用服务器，兴致勃勃地搭了个网站或者部署了个小项目，结果没几天就发现服务器卡顿、异常登录尝试频繁，甚至收到阿里云的安全警告——“检测到您的实例存在端口扫描行为”。这时候你才意识到：哎呀，忘了设防火墙！

别慌，这事儿我经历过。当初我也以为买了服务器就能直接用，没想到网络安全这一步不能省。今天我就来跟大家唠唠怎么正确设置阿里云轻量服务器的防火墙，防止你的端口被恶意扫描，避免服务器变成“公开停车场”。

为什么轻量服务器也需要防火墙？

很多人觉得：“我这服务器又不是放啥机密数据，扫就扫呗，反正也没啥可偷的。”错！大错特错！哪怕你只是搭了个个人博客，只要服务器暴露在公网，就会成为黑客自动扫描工具的目标。

端口扫描就像有人拿着万能钥匙，在一栋大楼里挨家挨户试门锁。虽然你屋里可能只放了双拖鞋，但一旦被撬开，人家就能把你的服务器当成跳板去攻击别人，或者挂上挖矿程序，悄悄吃掉你的CPU和带宽。到时候你不光要花冤枉钱，还可能被阿里云警告甚至停服。

防火墙不是“有更好”，而是“必须要有”。

阿里云轻量服务器的防火墙在哪？

好消息是，阿里云轻量应用服务器自带了一个叫“防火墙”的功能，它其实是一个可视化版的安全组规则管理器，操作比传统命令行简单多了，特别适合新手。

你不需要懂 iptables，也不用敲一堆 Linux 命令。只要登录阿里云控制台，点几下鼠标，就能搞定基本防护。

具体路径是：登录 阿里云官网 → 进入 轻量应用服务器控制台 → 找到你的服务器实例 → 点击进入详情页 → 左侧菜单选择“防火墙”。

这里你会看到一个规则列表，默认情况下，系统会开放一些常用端口，比如：

• 22端口（SSH远程登录）
• 80端口（HTTP网页访问）
• 443端口（HTTPS加密访问）

这些是大多数用户需要的基础服务，但问题也出在这儿——如果你什么都不改，等于告诉全世界：“嘿，我这儿22端口开着，欢迎来试试密码！”

如何设置防火墙规则才能真正防住扫描？

核心原则就一条：最小化开放原则。也就是说，只开放你真正需要的端口，其他一律关闭。

下面我来一步步教你该怎么设：

第一步：关掉不必要的默认规则

打开防火墙页面后，先看看有没有多余的规则。比如你没开FTP服务，那就删掉21端口的入站规则；没做邮件服务器，25、465、587这些端口也别留着。

重点来了——22端口要不要开？ 要，但得加限制！

你可以保留22端口的SSH访问，但必须设置“源IP地址”为“自定义”，然后填上你自己的公网IP。这样只有你家网络才能连上服务器，别人就算扫到22端口也进不去。

如果你经常换地方上网（比如在家、公司、咖啡馆来回切），可以用动态DNS，或者干脆临时添加IP，用完再删。

第二步：按需开放业务端口

比如你是用来跑网站的，那只需要开80和443；如果是搭了Node.js服务监听3000端口，那就单独加一条规则，允许TCP协议、端口3000、源IP可以是“0.0.0.0/0”（即所有人可访问）——当然前提是这个服务本身有身份验证机制。

但记住：每多开一个端口，风险就多一分。能不开就不开，能限IP就限IP。

第三步：禁止所有入站流量作为兜底策略

很多人忽略了“默认拒绝”这条铁律。你可以在最后加一条规则：

• 协议类型：全部
• 端口范围：全部
• 授权对象：0.0.0.0/0
• 策略：拒绝

不过注意：阿里云轻量服务器的防火墙默认就是“拒绝所有未明确允许的流量”，所以你只要没主动开放，其他端口其实是不通的，不用特意加这条“拒绝规则”。但心里要有这个意识——白名单思维才是王道。

除了防火墙，还有哪些加分项？

光靠防火墙还不够，咱们得打组合拳。下面这几个操作建议你也顺手做了，安全系数直接拉满：

1. 改掉默认SSH端口

把22端口改成一个高位端口，比如 23456。虽然不能彻底防住扫描，但能避开99%的自动化脚本攻击。毕竟那些机器人都是冲着22端口去的，改了端口等于“藏门牌号”。

改法也很简单：编辑 /etc/ssh/sshd_config 文件，找到 Port 22 这一行，改成你想要的数字，然后重启SSH服务：
sudo systemctl restart sshd

记得在防火墙里把你新设的端口放行哦！

2. 禁用密码登录，改用密钥认证

这是最有效的防爆破手段。生成一对SSH密钥，把公钥上传到服务器，私钥留在本地。以后登录都不用输密码，黑客想暴力破解都没机会。

阿里云控制台本身就支持一键生成密钥对，绑定到服务器后，再在配置文件里关闭密码登录：
PasswordAuthentication no

3. 安装 fail2ban 防暴力破解

fail2ban 是个神器，它能监控登录日志，发现某个IP频繁尝试失败，就自动把它拉黑几分钟甚至几小时。

安装命令一句话搞定：
sudo apt install fail2ban（Debian/Ubuntu）
或
sudo yum install fail2ban（CentOS）

装完基本不用配，它自带默认规则就很实用。

真实案例：我是怎么从被扫到“无人问津”的

说个我自己的故事。去年我拿轻量服务器搭了个测试用的API接口，监听在 8080 端口，当时图省事没设防火墙，结果三天后一看日志，好家伙，来自俄罗斯、巴西、越南的IP连着扫了上千次，还有人尝试用弱密码爆破SSH。

吓得我赶紧进控制台，先把22端口限制为仅我家IP可访问，然后把SSH端口改成 56789，再配上密钥登录。做完这些，我又装了 fail2ban，第二天再看，攻击次数直接归零。

现在我的服务器安静得像图书馆，偶尔有扫描也是无功而返。这才是花钱买服务器该有的样子——安心使用，而不是天天提心吊胆。

省钱小贴士：别忘了领阿里云优惠券！

说了这么多技术干货，也该来点实惠的。你知道吗？阿里云经常会给新老用户发优惠券，尤其是轻量服务器这种热门产品，经常有满减、折扣、首购特惠之类的活动。

如果你正准备入手一台轻量服务器，或者打算续费，强烈建议先领张优惠券，能省则省嘛！我平时都是通过官方渠道领取的，安全又有保障。比如现在这个链接：阿里云优惠券，进去就能领，新用户尤其划算，首年几十块钱就能拿下，性价比炸裂。

别等到付款时才发现“哎呀早知道先领券了”，提前准备好，下单直接抵扣，香得很！

安全不是麻烦，而是习惯

设置防火墙听起来好像很复杂，其实也就花十几分钟的事。但就是这十几分钟，决定了你的服务器是“铜墙铁壁”还是“敞开门等贼来”。

记住这几条：

• 只开放必要的端口
• 限制关键服务的访问IP
• 改SSH端口 + 用密钥登录
• 装 fail2ban 当保镖
• 定期查看监控和日志

只要你照着做一遍，基本就能告别大部分端口扫描和暴力攻击。而且这些操作一次设置，长期受益，根本不影响你正常使用。

最后再啰嗦一句：服务器是你自己的数字地盘，安全得自己上心。别指望云厂商替你扛所有风险，他们提供的是基础设施，防护还得靠你自己动手。

好了，今天的分享就到这里。希望你看完能立刻打开阿里云控制台，给自己的轻量服务器加上一层“金钟罩”。