在上網或與網絡工作者交流時，我們經常會看到“端口”這個詞服務器運維技術，并使用端口號。例如，在FTP地址后面加上“21”，21表示端口號。那么端口究竟是什么意思呢？從安全的角度來說，端口是計算機的大門，計算機的安全需要從端口構建。或者從計算機用戶的角度來說，如果登錄賬號密碼是計算機的門，那么端口就是計算機的一個窗口。門是鎖著的，進不去，能從常開的窗戶進去嗎？

那么究竟什么是端口？舉個栗子：電腦就像你的超級別墅。這棟別墅一直進進出出很多人：仆人、粉絲、快遞員、外賣員、朋友、送特色豬肉的農民……非常混亂。，所以你明智地制定一個規則，打開房子的許多門，并規定每個訪客必須根據自己的業務通過不同的門，例如發送郵件到別墅，去110門，發送郵件到別墅Mail to door 25，送貨和送貨到door 21等等。這扇門就是我們所說的港口。計算機中共有 65536 (2^16) 個這樣的端口，編號從 0 到 65535。少數門有明確的用途，大多數是未確定用途的門。計算機中具有確定功能的端口稱為系統默認端口。

共有65536個端口，其中0到1023之間的端口也稱為識別端口，是系統為特定用途預留的，如21用于ftp，21用于FTP，80用于http等，但確實如此并不意味著這些端口是固定的。是的，您還可以重定向端口。比如系統默認的HTTP服務是80端口，可以重定向到另外一個端口，比如8080。你可以隨意設置1024到65535之間的端口，但是一些知名產品一般使用默認端口其他人沒有。會去占用，基本上默認是他們的專屬端口，比如mysql 3306、mssql 1433、1521等。

一些常用端口，IT運維人員會背誦，如FTP:21,:23, SMTP:25, DNS:53, http:80, POP3:110, :137-139, https:443, 文件夾和打印機共享服務（SMB）：445，MS SQL：1433，：1521，mysql：3306，遠程桌面（RDP）：3389等。

對于運維人員和安全人員來說，端口是網絡攻擊防御的必備工具。如果一個壞人想要進入你的大房子，他肯定會先找到你家的門，然后嘗試闖入。同樣，黑客通常使用掃描儀對目標主機進行端口掃描，以確定開放的端口及其所在的主機。對應的服務程序，然后猜測可能的漏洞，比如打開1433端口，猜測服務器可能正在運行mssql數據庫服務器運維技術，然后使用常用的用戶名字典（如sa）和常用的弱密碼字典嘗試登錄. 如果445端口開放，仍然是操作系統，那么黑客肯定會先使用的exp攻擊MS017-010漏洞。一切都會成功... 接下來就是下毒、加密文件等一系列套路。部分端口被攻擊成功后，黑客可以輕松獲得管理員權限，在被攻擊成功的計算機上為所欲為。這些港口就是所謂的高風險港口。

合格的安全運維人員需要嚴格檢查服務器的端口開放和連接狀態，發現可疑的連接和端口狀態，以便及時發現異常情況，發現木馬或黑客的連接。如果端口已連接或處于偵聽狀態，則需要分析相應的進程以確定是否被病毒感染或被黑客入侵。當然，最直接的方法是徹底關閉高風險端口。如果業務系統有特殊要求，必須對外開放，建議通過具有入侵檢測和防御功能的專業防火墻發布，服務器部署安全防御軟件，防御內網攻擊。

藍盟IT外包結合多年的安全運維經驗，強烈建議RDP、SSH、SMB三項服務對應的高危端口禁止對外發布。如果不需要，直接關閉服務器系統的上述三個服務。一些勒索軟件攻擊是從內網發起的。控制高風險端口是邁向完善網絡安全的堅實一步。

文/上海藍盟IT外包專家