行业动态

在上网或与网络工作者交流时，我们经常会看到“端口”这个词服务器运维技术，并使用端口号。例如，在FTP地址后面加上“21”，21表示端口号。那么端口究竟是什么意思呢？从安全的角度来说，端口是计算机的大门，计算机的安全需要从端口构建。或者从计算机用户的角度来说，如果登录账号密码是计算机的门，那么端口就是计算机的一个窗口。门是锁着的，进不去，能从常开的窗户进去吗？

那么究竟什么是端口？举个栗子：电脑就像你的超级别墅。这栋别墅一直进进出出很多人：仆人、粉丝、快递员、外卖员、朋友、送特色猪肉的农民……非常混乱。，所以你明智地制定一个规则，打开房子的许多门，并规定每个访客必须根据自己的业务通过不同的门，例如发送邮件到别墅，去110门，发送邮件到别墅Mail to door 25，送货和送货到door 21等等。这扇门就是我们所说的港口。计算机中共有 65536 (2^16) 个这样的端口，编号从 0 到 65535。少数门有明确的用途，大多数是未确定用途的门。计算机中具有确定功能的端口称为系统默认端口。

共有65536个端口，其中0到1023之间的端口也称为识别端口，是系统为特定用途预留的，如21用于ftp，21用于FTP，80用于http等，但确实如此并不意味着这些端口是固定的。是的，您还可以重定向端口。比如系统默认的HTTP服务是80端口，可以重定向到另外一个端口，比如8080。你可以随意设置1024到65535之间的端口，但是一些知名产品一般使用默认端口其他人没有。会去占用，基本上默认是他们的专属端口，比如mysql 3306、mssql 1433、1521等。

一些常用端口，IT运维人员会背诵，如FTP:21,:23, SMTP:25, DNS:53, http:80, POP3:110, :137-139, https:443, 文件夹和打印机共享服务（SMB）：445，MS SQL：1433，：1521，mysql：3306，远程桌面（RDP）：3389等。

对于运维人员和安全人员来说，端口是网络攻击防御的必备工具。如果一个坏人想要进入你的大房子，他肯定会先找到你家的门，然后尝试闯入。同样，黑客通常使用扫描仪对目标主机进行端口扫描，以确定开放的端口及其所在的主机。对应的服务程序，然后猜测可能的漏洞，比如打开1433端口，猜测服务器可能正在运行mssql数据库服务器运维技术，然后使用常用的用户名字典（如sa）和常用的弱密码字典尝试登录. 如果445端口开放，仍然是操作系统，那么黑客肯定会先使用的exp攻击MS017-010漏洞。一切都会成功... 接下来就是下毒、加密文件等一系列套路。部分端口被攻击成功后，黑客可以轻松获得管理员权限，在被攻击成功的计算机上为所欲为。这些港口就是所谓的高风险港口。

合格的安全运维人员需要严格检查服务器的端口开放和连接状态，发现可疑的连接和端口状态，以便及时发现异常情况，发现木马或黑客的连接。如果端口已连接或处于侦听状态，则需要分析相应的进程以确定是否被病毒感染或被黑客入侵。当然，最直接的方法是彻底关闭高风险端口。如果业务系统有特殊要求，必须对外开放，建议通过具有入侵检测和防御功能的专业防火墙发布，服务器部署安全防御软件，防御内网攻击。

蓝盟IT外包结合多年的安全运维经验，强烈建议RDP、SSH、SMB三项服务对应的高危端口禁止对外发布。如果不需要，直接关闭服务器系统的上述三个服务。一些勒索软件攻击是从内网发起的。控制高风险端口是迈向完善网络安全的坚实一步。

文/上海蓝盟IT外包专家