常见安全组配置

Amazon 弹性计算云 (EC2) 实例仅允许来自其安全组中定义的来源和端口的网络流量。使用 Amazon EC2 时,您需要建立若干个与将对 EC2 实例执行的操作类型相对应的安全组。本主题描述了用于配置不同 ArcGIS Server 部署的一些常见安全组。

默认情况下,安全组处于完全锁定状态。通过向安全组中添加规则,可指定允许的流量类型、允许其通过的端口,以及从中接收通信的源计算机。决定打开的端口和需要允许的流量类型取决于您对实例执行的操作。

以下是建议的安全组名称和规则,您可在 AWS 管理控制台中对其进行配置。根据组织的 IT 策略,允许的端口和协议会有所不同。以下建议使用的是最常见的端口号。如果您的组织中有 IT 专家,请考虑咨询他(她)以设计和制定 EC2 实例的最佳安全策略。

ArcGIS Server 开发

考虑专为正用于开发和测试的 EC2 实例创建安全组。此类型的组允许以下访问:

ArcGIS Server Production

开发和测试应用程序后,在其迁移到生产层之前,最好禁用远程桌面访问。如果出现问题导致需登录计算机,您可临时更改安全组配置以便访问。ArcGIS Server 生产组允许以下访问:

ArcGIS Server 生产安全

如果需要与计算机进行加密通信,应在站点上配置一个通过端口 443 接收流量的弹性负载均衡器。该端口通常用于通过 SSL 进行加密通信。然后,配置该负载均衡器以将流量转发到端口 6443。在安全组中,为 ArcGIS Server 生产打开上述端口。

企业级地理数据库

如果选择将企业级地理数据库部署在一个与 ArcGIS Server 实例相隔离的实例上,您可专为该企业级地理数据库配置安全组以允许以下操作:

常用端口

以下是创建安全组时可能用到的一些最常见的端口。其中有些端口无需显式打开,而是您可以决定授予安全组中的计算机相互访问的完整权限。如果希望允许来自安全组以外的计算机(例如,办公中的台式工作站)的访问,则需要打开特定端口号。

端口

常见用途

80

通过 HTTP 访问 IS Web 服务器或负载均衡器

443

通过 HTTPS 访问 IIS Web 服务器或负载均衡器

445

Windows 文件共享

1433

连接 Microsoft SQL Server

3389

连接 Windows 远程桌面

5432

连接 PostgreSQL

6080

通过 HTTP 访问 ArcGIS Server

6443

通过 HTTPS 访问 ArcGIS Server

任何使用 Esri 提供的 AMI 启动的实例均启用了 Windows 防火墙,包括使用云构建器构建的站点。如果安装需使用上表未列出的端口的第三方应用程序,请将 Windows 防火墙配置为允许使用该端口。

9/15/2013