服務(wù)器安全設置_系統端口安全配置
發(fā)布時(shí)間:2021-11-19 11:33
來(lái)源:服務(wù)器技術(shù)網(wǎng)
閱讀:0
作者:
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
端口是計算機與外部網(wǎng)絡(luò )之間的邏輯接口�,也是計算機的第一道障礙��,端口的正確配置直接影響到主機的安全性����,下面就讓服務(wù)器之家技術(shù)頻道小編帶你一起進(jìn)入下文了解一下服務(wù)器安全設置之系統端口的安全配置吧!
是計算機與外部網(wǎng)絡(luò )之間的邏輯接口��,也是計算機的第一道障礙�,端口的正確配置直接影響到主機的安全性�,下面就讓之家技術(shù)頻道小編帶你一起進(jìn)入下文了解一下服務(wù)器安全設置之系統端口的吧!
系統端口安全配置
下面先是介紹關(guān)于端口的一些基礎知識���,主要是便于我們下一步的安全配置打下基礎����,如果你對端口方面已經(jīng)有較深了解可以略過(guò)這一步����。
端口是計算機和外部網(wǎng)絡(luò )相連的邏輯接口�����,也是計算機的第一道屏障����,端口配置正確與否直接影響到主機的安全���,一般來(lái)說(shuō)��,僅打開(kāi)你需要使用的端口會(huì )比較安全�����,配置的方法是在網(wǎng)卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選����。
下面先介紹一下端口的基礎知識�����。在網(wǎng)絡(luò )技術(shù)中��,端口(Port)大致有兩種意思:一是物理意義上的端口���,比如���,ADSLModem�、集線(xiàn)器���、交換機����、路由器用于連接其他網(wǎng)絡(luò )設備的接口�,如RJ-45端口�、SC端口等等�����。二是邏輯意義上的端口����,一般是指TCP/IP協(xié)議中的端口��,端口號的范圍從0到65535����,比如用于瀏覽網(wǎng)頁(yè)服務(wù)的80端口�����,用于FTP服務(wù)的21端口等等����。
(一)按端口號分布劃分:
(1)知名端口(Well-KnownPorts)
知名端口即眾所周知的端口號�,范圍從0到1023����,這些端口號一般固定分配給一些服務(wù)�����。比如21端口分配給FTP服務(wù)��,25端口分配給SMTP(簡(jiǎn)單郵件傳輸協(xié)議)服務(wù)����,80端口分配給HTTP服務(wù)����,135端口分配給RPC(遠程過(guò)程調用)服務(wù)等等���。
(2)動(dòng)態(tài)端口(DynamicPorts)
動(dòng)態(tài)端口的范圍從1024到65535�,這些端口號一般不固定分配給某個(gè)服務(wù)�����,也就是說(shuō)許多服務(wù)都可以使用這些端口����。只要運行的程序向系統提出訪(fǎng)問(wèn)網(wǎng)絡(luò )的申請�,那么系統就可以從這些端口號中分配一個(gè)供該程序使用����。比如1024端口就是分配給第一個(gè)向系統發(fā)出申請的程序�。在關(guān)閉程序進(jìn)程后�,就會(huì )釋放所占用的端口號����。
不過(guò)�����,動(dòng)態(tài)端口也常常被病毒木馬程序所利用�����,如冰河默認連接端口是7626����、WAY2.4是8011��、Netspy3.0是7306���、YAI病毒是1024等等�。
(二)按協(xié)議類(lèi)型劃分:
可以分為T(mén)CP�、UDP��、IP和ICMP(Internet控制消息協(xié)議)等端口�。下面主要介紹TCP和UDP端口�。
(1)TCP端口
TCP端口���,即傳輸控制協(xié)議端口���,需要在客戶(hù)端和服務(wù)器之間建立連接�,這樣可以提供可靠的數據傳輸���。常見(jiàn)的包括FTP服務(wù)的21端口��,Telnet服務(wù)的23端口��,SMTP服務(wù)的25端口����,以及HTTP服務(wù)的80端口等等����。
(2)UDP端口
UDP端口��,即用戶(hù)數據包協(xié)議端口����,無(wú)需在客戶(hù)端和服務(wù)器之間建立連接���,安全性得不到保障�����。常見(jiàn)的有DNS服務(wù)的53端口���,SNMP(簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議)服務(wù)的161端口�,QQ使用的8000和4000端口等等�。
介紹完了有關(guān)端口的基礎知識����,下面我們就開(kāi)始進(jìn)行服務(wù)器的端口安全配置�。在一般的WEB+Email服務(wù)器上�,推薦同時(shí)使用PcanyWhere和終端服務(wù)進(jìn)行遠程控制管理�,基于安全考慮把終端服務(wù)3389端口修改成6868端口���,方法如下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\Wds\Repwd\Tds\Tcp,找到PortNumber項�����,雙擊選擇十進(jìn)制�,輸入你要改成的端口即可�,這里我們輸入6868��。再找到鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win
Stations�,在右側窗口找到PortNumber并按上面的方法輸入6868��,設置成新的端口就可以了�����。
這樣���,在用MSTSC訪(fǎng)問(wèn)遠程桌面時(shí)����,IP或網(wǎng)址后加上:6868即端口號就可以了�����。如圖(1):接著(zhù)根據要開(kāi)放的服務(wù)���,去設置TCP/IP篩選��。要查看端口使用狀況�����,可以使用Netstat在命令行狀態(tài)下查看�����,依次點(diǎn)擊“開(kāi)始→運行”�����,鍵入“cmd”并回車(chē)��,打開(kāi)命令提示符窗口�����。在命令提示符狀態(tài)下鍵入“netstat-a-n”��,按下回車(chē)鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態(tài)�����。
我們根據服務(wù)器上端口的使用情況在TCP/IP篩選設置我們需要開(kāi)放的端口����,右擊網(wǎng)上鄰居屬性-->右擊本地連接屬性-->(雙擊TCP/IP)-->高級-->選項-->屬性啟用TCP/IP篩選����,在TCP端口篩選只允許21�����,25�,110�����,80��,1433�,3000���,5631���,6868���,8735��,10001����,10002�����,10003��,10004���,10005等相關(guān)必須使用的端口(請根據你的實(shí)際情況進(jìn)行設定);TCP/IP端口里面的都是幾個(gè)常有的知名端口�,10001-10005是設置Serv-U的PASV模式使用的端口�,3000是MDaemon默認的WEB登陸端口�,6868是自定義修改的MSTSC遠程桌面端口��,當然也可以使用別的��。IP協(xié)議和UDP端口根據您的需要做出相應配置�,本人未仔細研究過(guò)��,請根據你的實(shí)際應用進(jìn)行篩選��。
接著(zhù)�,我們要在本地連接屬性里面����,卸載所有的其他協(xié)議����,只留下Internet協(xié)議(TCP/IP)�����,把默認的共享和打印機卸載掉�。
圖(6):刪除共享和打印機共享
然后�,再雙擊Internet協(xié)議(TCP/IP)進(jìn)入高級選項窗口�����,選擇WINS選項卡��,選中禁止TCP/IP上的NetBIOS項��,可有效防止他人從網(wǎng)絡(luò )NetBIOS協(xié)議獲取計算機相關(guān)信息����。
上文是服務(wù)器安全設置之系統端口的安全配置����,相信大家都有了一定的了解�����,想要了解更多的技術(shù)信息�����,請繼續關(guān)注服務(wù)器之家吧!
