端口是計算機與外部網(wǎng)絡之間的邏輯接口，也是計算機的第一道障礙，端口的正確配置直接影響到主機的安全性，下面就讓服務器之家技術頻道小編帶你一起進入下文了解一下服務器安全設置之系統(tǒng)端口的安全配置吧!

系統(tǒng)端口安全配置

下面先是介紹關于端口的一些基礎知識，主要是便于我們下一步的安全配置打下基礎，如果你對端口方面已經(jīng)有較深了解可以略過這一步。

端口是計算機和外部網(wǎng)絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選。

下面先介紹一下端口的基礎知識。在網(wǎng)絡技術中，端口(Port)大致有兩種意思：一是物理意義上的端口，比如，ADSLModem、集線器、交換機、路由器用于連接其他網(wǎng)絡設備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號的范圍從0到65535，比如用于瀏覽網(wǎng)頁服務的80端口，用于FTP服務的21端口等等。

(一)按端口號分布劃分：

(1)知名端口(Well-KnownPorts)

知名端口即眾所周知的端口號，范圍從0到1023，這些端口號一般固定分配給一些服務。比如21端口分配給FTP服務，25端口分配給SMTP(簡單郵件傳輸協(xié)議)服務，80端口分配給HTTP服務，135端口分配給RPC(遠程過程調(diào)用)服務等等。

(2)動態(tài)端口(DynamicPorts)

動態(tài)端口的范圍從1024到65535，這些端口號一般不固定分配給某個服務，也就是說許多服務都可以使用這些端口。只要運行的程序向系統(tǒng)提出訪問網(wǎng)絡的申請，那么系統(tǒng)就可以從這些端口號中分配一個供該程序使用。比如1024端口就是分配給第一個向系統(tǒng)發(fā)出申請的程序。在關閉程序進程后，就會釋放所占用的端口號。

不過，動態(tài)端口也常常被病毒木馬程序所利用，如冰河默認連接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。

(二)按協(xié)議類型劃分：

可以分為TCP、UDP、IP和ICMP(Internet控制消息協(xié)議)等端口。下面主要介紹TCP和UDP端口。

(1)TCP端口

TCP端口，即傳輸控制協(xié)議端口，需要在客戶端和服務器之間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。常見的包括FTP服務的21端口，Telnet服務的23端口，SMTP服務的25端口，以及HTTP服務的80端口等等。

(2)UDP端口

UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務器之間建立連接，安全性得不到保障。常見的有DNS服務的53端口，SNMP(簡單網(wǎng)絡管理協(xié)議)服務的161端口，QQ使用的8000和4000端口等等。

介紹完了有關端口的基礎知識，下面我們就開始進行服務器的端口安全配置。在一般的WEB+Email服務器上，推薦同時使用PcanyWhere和終端服務進行遠程控制管理，基于安全考慮把終端服務3389端口修改成6868端口，方法如下：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal

Server\Wds\Repwd\Tds\Tcp,找到PortNumber項，雙擊選擇十進制，輸入你要改成的端口即可，這里我們輸入6868。再找到鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win

Stations，在右側(cè)窗口找到PortNumber并按上面的方法輸入6868，設置成新的端口就可以了。

這樣，在用MSTSC訪問遠程桌面時，IP或網(wǎng)址后加上：6868即端口號就可以了。如圖(1)：接著根據(jù)要開放的服務，去設置TCP/IP篩選。要查看端口使用狀況，可以使用Netstat在命令行狀態(tài)下查看，依次點擊“開始→運行”，鍵入“cmd”并回車，打開命令提示符窗口。在命令提示符狀態(tài)下鍵入“netstat-a-n”，按下回車鍵后就可以看到以數(shù)字形式顯示的TCP和UDP連接的端口號及狀態(tài)。

我們根據(jù)服務器上端口的使用情況在TCP/IP篩選設置我們需要開放的端口，右擊網(wǎng)上鄰居屬性-->右擊本地連接屬性-->(雙擊TCP/IP)-->高級-->選項-->屬性啟用TCP/IP篩選，在TCP端口篩選只允許21，25，110，80，1433，3000，5631，6868，8735，10001，10002，10003，10004，10005等相關必須使用的端口(請根據(jù)你的實際情況進行設定);TCP/IP端口里面的都是幾個常有的知名端口，10001-10005是設置Serv-U的PASV模式使用的端口，3000是MDaemon默認的WEB登陸端口，6868是自定義修改的MSTSC遠程桌面端口，當然也可以使用別的。IP協(xié)議和UDP端口根據(jù)您的需要做出相應配置，本人未仔細研究過，請根據(jù)你的實際應用進行篩選。

接著，我們要在本地連接屬性里面，卸載所有的其他協(xié)議，只留下Internet協(xié)議(TCP/IP)，把默認的共享和打印機卸載掉。

圖(6):刪除共享和打印機共享

然后，再雙擊Internet協(xié)議(TCP/IP)進入高級選項窗口，選擇WINS選項卡，選中禁止TCP/IP上的NetBIOS項，可有效防止他人從網(wǎng)絡NetBIOS協(xié)議獲取計算機相關信息。

上文是服務器安全設置之系統(tǒng)端口的安全配置，相信大家都有了一定的了解，想要了解更多的技術信息，請繼續(xù)關注服務器之家吧!

本文名稱：服務器安全設置_系統(tǒng)端口安全配置
文章網(wǎng)址：http://www.rwnh.cn/news35/200935.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、搜索引擎優(yōu)化、響應式網(wǎng)站、用戶體驗、定制網(wǎng)站、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)