什么是端口？

大家都知道，IP地址用于標(biāo)識(shí)網(wǎng)絡(luò)中的計(jì)算機(jī)。TCP/IP協(xié)議把一個(gè)IP地址和另一個(gè)IP地址連接起來，形成了網(wǎng)絡(luò)。一臺(tái)計(jì)算機(jī)上通常運(yùn)行著很多服務(wù)。例如，允許客戶訪問網(wǎng)頁的Web服務(wù)，允許管理員配置服務(wù)器的SSH服務(wù)，或者用于傳輸文件的FTP服務(wù)等。那么，怎么區(qū)分同一臺(tái)計(jì)算機(jī)上的不同服務(wù)呢？

為此，人們?cè)O(shè)計(jì)了端口的概念。端口由數(shù)字指定，即端口號(hào)。計(jì)算機(jī)上每種類型的服務(wù)都要提供一個(gè)端口，等待通信對(duì)端從動(dòng)態(tài)端口發(fā)來的數(shù)據(jù)包。例如，Web服務(wù)常用的端口號(hào)是80（用于HTTP）或443（用于HTTPS）。當(dāng)您瀏覽網(wǎng)頁時(shí)，您的瀏覽器隨機(jī)選擇一個(gè)端口，向Web服務(wù)器的80端口或者443端口發(fā)送數(shù)據(jù)包。一臺(tái)計(jì)算機(jī)通過端口發(fā)送數(shù)據(jù)包，另一臺(tái)計(jì)算機(jī)通過端口接收數(shù)據(jù)包。通信雙方的端口是數(shù)據(jù)包發(fā)送和接收的終點(diǎn)。

快遞員投遞包裹時(shí)，首先根據(jù)街道地址找到小區(qū)，然后在這個(gè)小區(qū)中根據(jù)門牌號(hào)找到收件人，把包裹送達(dá)。街道地址和門牌號(hào)構(gòu)成了完整的投遞地址。在計(jì)算機(jī)的世界，如果我們把IP地址類比為街道地址，把服務(wù)類比為快遞員，那么端口就是門牌號(hào)。IP地址和端口構(gòu)成了完整的通信地址，用于識(shí)別數(shù)據(jù)包的目的地。

什么是開放端口？

開放端口（Open ports）是指主動(dòng)接收數(shù)據(jù)包的端口。相應(yīng)地，拒絕所有數(shù)據(jù)包的端口是關(guān)閉的端口（Closed ports）。如前所述，當(dāng)計(jì)算機(jī)需要對(duì)外提供服務(wù)時(shí)，需要開放特定的端口。畢竟，你要接收包裹，就得給快遞員開門。

在特定端口上啟用了某個(gè)服務(wù)以后，該端口將僅供此服務(wù)使用，不能再用于其他目的（服務(wù)）。端口號(hào)分為三類。

• 知名端口（Well-known Ports）：也叫系統(tǒng)端口（System Ports），端口號(hào)范圍0-1023。知名端口由 ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）分配給常用的服務(wù)。知名端口與服務(wù)具有緊密的聯(lián)系。通常說采用某知名端口通信，即表明采用該端口對(duì)應(yīng)的服務(wù)。例如，22表示SSH，23表示Telnet。
• 注冊(cè)端口（Registered Ports）：也叫用戶端口（User Ports），端口號(hào)范圍1024-49151。注冊(cè)端口由IANA（Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）管理，組織可以向IANA申請(qǐng)某端口為應(yīng)用程序的注冊(cè)端口。例如，3389是微軟為RDP（Remote Desktop Protocol，遠(yuǎn)程桌面協(xié)議）申請(qǐng)的注冊(cè)端口。
• 私有端口（Private Ports）：也叫動(dòng)態(tài)端口（Dynamic Ports），端口號(hào)范圍49152-65535。不應(yīng)該為服務(wù)分配動(dòng)態(tài)端口。動(dòng)態(tài)端口是主機(jī)與服務(wù)端通信時(shí)，臨時(shí)分配給應(yīng)用程序的端口。通信結(jié)束后，該端口即被釋放。不過，在實(shí)際應(yīng)用中，主機(jī)通常從1024起分配動(dòng)態(tài)端口。

端口號(hào)與服務(wù)的分配關(guān)系，可參考IANA網(wǎng)站。

開放端口有什么風(fēng)險(xiǎn)？

嚴(yán)格意義上講，開放端口并不一定存在風(fēng)險(xiǎn)，任何一個(gè)特定的端口也并不一定比其他端口更安全或者更危險(xiǎn)。

端口本身是中立的。開放端口是否存在風(fēng)險(xiǎn)，由使用端口的服務(wù)、管理服務(wù)的人來決定。當(dāng)使用端口的服務(wù)存在漏洞、沒有及時(shí)打補(bǔ)丁，或者服務(wù)配置錯(cuò)誤、安全策略不合理時(shí)，開放端口是危險(xiǎn)的。

網(wǎng)絡(luò)攻擊通常從端口掃描開始。攻擊者將從開放端口的服務(wù)中尋找安全漏洞，并通過成功的漏洞利用非法訪問未授權(quán)的資源。例如：SMB協(xié)議用于組織內(nèi)部共享文件夾、打印機(jī)和串行端口。由于協(xié)議本身設(shè)計(jì)存在缺陷，SMB協(xié)議被稱為永恒之藍(lán)的零日漏洞利用，導(dǎo)致WannaCry勒索病毒大爆發(fā)。在互聯(lián)網(wǎng)上公開此類服務(wù)，必將存在安全風(fēng)險(xiǎn)。除了查找漏洞，攻擊者還經(jīng)常采用暴力破解。例如，針對(duì)RDP的暴力破解經(jīng)常被用于勒索軟件攻擊，是最常見的入侵手法之一。

如果說開放端口有風(fēng)險(xiǎn)的話，那么這個(gè)風(fēng)險(xiǎn)就是，開放端口容易受到攻擊。開放任何端口都會(huì)增加攻擊面，并增加由于漏洞、配置錯(cuò)誤和管理不足而受到威脅的可能性。

為什么安全專家建議僅開放必要的端口？

端口是為通信而存在的。組織應(yīng)實(shí)施必要的審核程序，以確定是否開放端口。如果有運(yùn)行某個(gè)服務(wù)的需求，開放相應(yīng)的端口是有意義的。這時(shí)，應(yīng)從合法渠道獲取應(yīng)用軟件、及時(shí)檢查安全漏洞并實(shí)施安全加固措施，然后再正式開放端口。

如前所述，開放任何端口都會(huì)增加攻擊面，并增加受到威脅的可能性。如果沒有合理的通信需求，不要開放端口。

組織內(nèi)部網(wǎng)絡(luò)中有大量計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)上都可能開放了非必要的端口。你可以逐個(gè)計(jì)算機(jī)去關(guān)閉端口，也可以把這項(xiàng)工作交給防火墻。防火墻通常部署在網(wǎng)絡(luò)的出口，在防火墻上可以阻斷此類端口與外部網(wǎng)絡(luò)的通信。想象你有一個(gè)四合院（網(wǎng)絡(luò)），你可以關(guān)閉每個(gè)房間（計(jì)算機(jī)）的門窗（端口），你也可以依賴院墻，然后守好四合院的大門。

如何評(píng)估端口安全風(fēng)險(xiǎn)？

1. 檢查開放的端口。使用開源的端口掃描工具（如Nmap）或者部署華為漏洞掃描產(chǎn)品VSCAN，可以發(fā)現(xiàn)網(wǎng)絡(luò)中開放的端口。
2. 評(píng)估開放端口的必要性。安全專家建議，僅在特定設(shè)備上開放必要的端口，非必要的端口應(yīng)立即關(guān)閉。如果掃描結(jié)果中出現(xiàn)了未主動(dòng)開放的端口，請(qǐng)檢查主機(jī)是否被植入了木馬程序。
3. 評(píng)估開放端口的安全性。了解每個(gè)端口上承載的服務(wù)，了解端口可能的風(fēng)險(xiǎn)。端口的安全風(fēng)險(xiǎn)可以從三個(gè)方面來評(píng)估。
   1. 可被利用：端口所承載的服務(wù)和應(yīng)用程序存在安全漏洞，就可能被攻擊者利用。
   2. 常被利用：攻擊者經(jīng)常使用的端口，風(fēng)險(xiǎn)更大。典型的如網(wǎng)絡(luò)管理員廣泛使用的RDP遠(yuǎn)程連接服務(wù)、FTP文件傳輸服務(wù)、Web應(yīng)用程序等。
   3. 開放范圍：開放在公網(wǎng)上的端口，都可能受到攻擊。非必要的端口，不要暴露在公網(wǎng)上；有業(yè)務(wù)需要的，必須做好安全防護(hù)。

根據(jù)風(fēng)險(xiǎn)等級(jí)，端口可以簡(jiǎn)單分類如下，風(fēng)險(xiǎn)等級(jí)依次降低。

• 高危端口：開放在公網(wǎng)上的、極度危險(xiǎn)的端口。這些端口承載的服務(wù)曾經(jīng)造成廣泛的安全事件，因此深受攻擊者青睞，無時(shí)無刻不被各種自動(dòng)化攻擊工具掃描著，風(fēng)險(xiǎn)極高。請(qǐng)參考如何封禁高危端口，在防火墻上封禁常見的高危端口。
• 高危服務(wù)：開放在公網(wǎng)上的、采用非標(biāo)準(zhǔn)端口的高危服務(wù)，例如開放在3399端口上的RDP服務(wù)。RDP服務(wù)的默認(rèn)端口是3389，修改端口號(hào)可以增加攻擊者發(fā)現(xiàn)風(fēng)險(xiǎn)服務(wù)的時(shí)間成本，可以在一定程度上提高安全性，因此高危服務(wù)的風(fēng)險(xiǎn)等級(jí)低于高危端口。但是這種提高的程度非常有限，請(qǐng)參考如何保護(hù)風(fēng)險(xiǎn)端口，為高危服務(wù)增強(qiáng)安全防護(hù)。
• 風(fēng)險(xiǎn)端口：開放在公網(wǎng)的端口。如果這些開放端口是正常的業(yè)務(wù)需要，請(qǐng)參考如何保護(hù)風(fēng)險(xiǎn)端口，做好安全防護(hù)。

使用安全的協(xié)議和軟件

非加密協(xié)議使用明文傳輸數(shù)據(jù)包，攻擊者可以使用Wireshark等工具輕松捕獲網(wǎng)絡(luò)流量，查看明文傳輸?shù)拿艽a等敏感信息。因此，請(qǐng)使用加密協(xié)議替代非加密協(xié)議，例如，使用SSH替代Telnet、FTP/TFTP，使用SSL加密HTTP、郵件協(xié)議，使用VPN保護(hù)通信等等。

使用最新的協(xié)議和軟件版本。很多協(xié)議的早期版本存在安全隱患。例如，SSHv1采用了不安全的密鑰交換算法，應(yīng)將SSH服務(wù)配置為僅接受SSHv2連接。類似的，所有的服務(wù)和應(yīng)用程序都應(yīng)采用官方發(fā)布的正式版本，并保證及時(shí)更新。過時(shí)的版本、已經(jīng)停止維護(hù)的版本，都可能存在公開的已知漏洞，且得不到及時(shí)的修復(fù)。

使用強(qiáng)密碼策略和強(qiáng)認(rèn)證

很多入侵是從破解用戶密碼開始的。采用強(qiáng)密碼策略可以防止弱密碼，避免密碼泄露，幫助組織更安全地抵御暴力破解。不同應(yīng)用軟件支持的密碼策略各不相同，通常包括以下方面。

• 密碼復(fù)雜度：密碼應(yīng)至少包含大寫字母、小寫字母、數(shù)字和特殊字符中的3種。
• 密碼最小長(zhǎng)度：密碼最小長(zhǎng)度應(yīng)不低于8位。
• 密碼有效期：設(shè)置密碼有效期。密碼超期后將會(huì)失效，無法登錄。用戶必須在密碼超期前修改密碼。
• 密碼歷史記錄：應(yīng)用軟件記錄用戶的歷史密碼。用戶設(shè)置的新密碼不能與記錄的歷史密碼相同，避免用戶重復(fù)使用舊密碼。
• 密碼錯(cuò)誤次數(shù)：當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到設(shè)定的閾值時(shí)，鎖定賬戶或登錄IP一段時(shí)間，以防止暴力破解。

部署縱深防御體系

把網(wǎng)絡(luò)劃分為不同等級(jí)的安全區(qū)域，并部署安全設(shè)備來檢查區(qū)域之間的通信。例如：文章來源地址http://www.zghlxwxcb.cn/news/detail-706200.html

• 面向互聯(lián)網(wǎng)的公共服務(wù)部署在DMZ區(qū)，所有訪問公共服務(wù)的流量都必須經(jīng)過防火墻的安全檢查。對(duì)于僅供特定用戶訪問的服務(wù)，可以設(shè)置基于源IP地址或基于用戶的安全策略，以限制可訪問的群體。
• 不直接面向互聯(lián)網(wǎng)的敏感服務(wù)，如數(shù)據(jù)庫系統(tǒng)，部署在安全等級(jí)更高的區(qū)域，并使用安全策略嚴(yán)格限制可訪問的源IP地址。這樣，即使攻擊者破壞了DMZ區(qū)的公共服務(wù)端口，也還會(huì)面臨區(qū)域間的安全檢查，一定程度上增強(qiáng)了防護(hù)能力，進(jìn)而增加攻擊者的攻擊成本。
• 對(duì)于常見的Web服務(wù)，還可以在服務(wù)器前部署專用的Web應(yīng)用防火墻，如華為WAF5000系列。