在上網(wǎng)或與網(wǎng)絡(luò)工作者交流時(shí)，我們經(jīng)常會(huì)看到“端口”這個(gè)詞服務(wù)器運(yùn)維技術(shù)，并使用端口號(hào)。例如，在FTP地址后面加上“21”，21表示端口號(hào)。那么端口究竟是什么意思呢？從安全的角度來(lái)說(shuō)，端口是計(jì)算機(jī)的大門(mén)，計(jì)算機(jī)的安全需要從端口構(gòu)建?；蛘邚挠?jì)算機(jī)用戶(hù)的角度來(lái)說(shuō)，如果登錄賬號(hào)密碼是計(jì)算機(jī)的門(mén)，那么端口就是計(jì)算機(jī)的一個(gè)窗口。門(mén)是鎖著的，進(jìn)不去，能從常開(kāi)的窗戶(hù)進(jìn)去嗎？

那么究竟什么是端口？舉個(gè)栗子：電腦就像你的超級(jí)別墅。這棟別墅一直進(jìn)進(jìn)出出很多人：仆人、粉絲、快遞員、外賣(mài)員、朋友、送特色豬肉的農(nóng)民……非常混亂。，所以你明智地制定一個(gè)規(guī)則，打開(kāi)房子的許多門(mén)，并規(guī)定每個(gè)訪(fǎng)客必須根據(jù)自己的業(yè)務(wù)通過(guò)不同的門(mén)，例如發(fā)送郵件到別墅，去110門(mén)，發(fā)送郵件到別墅Mail to door 25，送貨和送貨到door 21等等。這扇門(mén)就是我們所說(shuō)的港口。計(jì)算機(jī)中共有 65536 (2^16) 個(gè)這樣的端口，編號(hào)從 0 到 65535。少數(shù)門(mén)有明確的用途，大多數(shù)是未確定用途的門(mén)。計(jì)算機(jī)中具有確定功能的端口稱(chēng)為系統(tǒng)默認(rèn)端口。

共有65536個(gè)端口，其中0到1023之間的端口也稱(chēng)為識(shí)別端口，是系統(tǒng)為特定用途預(yù)留的，如21用于ftp，21用于FTP，80用于http等，但確實(shí)如此并不意味著這些端口是固定的。是的，您還可以重定向端口。比如系統(tǒng)默認(rèn)的HTTP服務(wù)是80端口，可以重定向到另外一個(gè)端口，比如8080。你可以隨意設(shè)置1024到65535之間的端口，但是一些知名產(chǎn)品一般使用默認(rèn)端口其他人沒(méi)有。會(huì)去占用，基本上默認(rèn)是他們的專(zhuān)屬端口，比如mysql 3306、mssql 1433、1521等。

一些常用端口，IT運(yùn)維人員會(huì)背誦，如FTP:21,:23, SMTP:25, DNS:53, http:80, POP3:110, :137-139, https:443, 文件夾和打印機(jī)共享服務(wù)（SMB）：445，MS SQL：1433，：1521，mysql：3306，遠(yuǎn)程桌面（RDP）：3389等。

對(duì)于運(yùn)維人員和安全人員來(lái)說(shuō)，端口是網(wǎng)絡(luò)攻擊防御的必備工具。如果一個(gè)壞人想要進(jìn)入你的大房子，他肯定會(huì)先找到你家的門(mén)，然后嘗試闖入。同樣，黑客通常使用掃描儀對(duì)目標(biāo)主機(jī)進(jìn)行端口掃描，以確定開(kāi)放的端口及其所在的主機(jī)。對(duì)應(yīng)的服務(wù)程序，然后猜測(cè)可能的漏洞，比如打開(kāi)1433端口，猜測(cè)服務(wù)器可能正在運(yùn)行mssql數(shù)據(jù)庫(kù)服務(wù)器運(yùn)維技術(shù)，然后使用常用的用戶(hù)名字典（如sa）和常用的弱密碼字典嘗試登錄. 如果445端口開(kāi)放，仍然是操作系統(tǒng)，那么黑客肯定會(huì)先使用的exp攻擊MS017-010漏洞。一切都會(huì)成功... 接下來(lái)就是下毒、加密文件等一系列套路。部分端口被攻擊成功后，黑客可以輕松獲得管理員權(quán)限，在被攻擊成功的計(jì)算機(jī)上為所欲為。這些港口就是所謂的高風(fēng)險(xiǎn)港口。

合格的安全運(yùn)維人員需要嚴(yán)格檢查服務(wù)器的端口開(kāi)放和連接狀態(tài)，發(fā)現(xiàn)可疑的連接和端口狀態(tài)，以便及時(shí)發(fā)現(xiàn)異常情況，發(fā)現(xiàn)木馬或黑客的連接。如果端口已連接或處于偵聽(tīng)狀態(tài)，則需要分析相應(yīng)的進(jìn)程以確定是否被病毒感染或被黑客入侵。當(dāng)然，最直接的方法是徹底關(guān)閉高風(fēng)險(xiǎn)端口。如果業(yè)務(wù)系統(tǒng)有特殊要求，必須對(duì)外開(kāi)放，建議通過(guò)具有入侵檢測(cè)和防御功能的專(zhuān)業(yè)防火墻發(fā)布，服務(wù)器部署安全防御軟件，防御內(nèi)網(wǎng)攻擊。

藍(lán)盟IT外包結(jié)合多年的安全運(yùn)維經(jīng)驗(yàn)，強(qiáng)烈建議RDP、SSH、SMB三項(xiàng)服務(wù)對(duì)應(yīng)的高危端口禁止對(duì)外發(fā)布。如果不需要，直接關(guān)閉服務(wù)器系統(tǒng)的上述三個(gè)服務(wù)。一些勒索軟件攻擊是從內(nèi)網(wǎng)發(fā)起的?？刂聘唢L(fēng)險(xiǎn)端口是邁向完善網(wǎng)絡(luò)安全的堅(jiān)實(shí)一步。

文/上海藍(lán)盟IT外包專(zhuān)家