服务器安全设置_系统端口安全配置


端口是计算机与外部网络之间的逻辑接口,也是计算机的第一道障碍,端口的正确配置直接影响到主机的安全性,下面就让服务器之家技术频道小编带你一起进入下文了解一下服务器安全设置之系统端口的安全配置吧!

系统端口安全配置

下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果你对端口方面已经有较深了解可以略过这一步。

端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。

下面先介绍一下端口的基础知识。在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSLModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。

(一)按端口号分布划分:

(1)知名端口(Well-KnownPorts)

知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。

(2)动态端口(DynamicPorts)

动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。

不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。

(二)按协议类型划分:

可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口。

(1)TCP端口

TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。

(2)UDP端口

UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。

介绍完了有关端口的基础知识,下面我们就开始进行服务器的端口安全配置。在一般的WEB+Email服务器上,推荐同时使用PcanyWhere和终端服务进行远程控制管理,基于安全考虑把终端服务3389端口修改成6868端口,方法如下:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal

Server\Wds\Repwd\Tds\Tcp,找到PortNumber项,双击选择十进制,输入你要改成的端口即可,这里我们输入6868。再找到键值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win

Stations,在右侧窗口找到PortNumber并按上面的方法输入6868,设置成新的端口就可以了。

这样,在用MSTSC访问远程桌面时,IP或网址后加上:6868即端口号就可以了。如图(1):接着根据要开放的服务,去设置TCP/IP筛选。要查看端口使用状况,可以使用Netstat在命令行状态下查看,依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat-a-n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。

我们根据服务器上端口的使用情况在TCP/IP筛选设置我们需要开放的端口,右击网上邻居属性-->右击本地连接属性-->(双击TCP/IP)-->高级-->选项-->属性启用TCP/IP筛选,在TCP端口筛选只允许21,25,110,80,1433,3000,5631,6868,8735,10001,10002,10003,10004,10005等相关必须使用的端口(请根据你的实际情况进行设定);TCP/IP端口里面的都是几个常有的知名端口,10001-10005是设置Serv-U的PASV模式使用的端口,3000是MDaemon默认的WEB登陆端口,6868是自定义修改的MSTSC远程桌面端口,当然也可以使用别的。IP协议和UDP端口根据您的需要做出相应配置,本人未仔细研究过,请根据你的实际应用进行筛选。

接着,我们要在本地连接属性里面,卸载所有的其他协议,只留下Internet协议(TCP/IP),把默认的共享和打印机卸载掉。

图(6):删除共享和打印机共享

然后,再双击Internet协议(TCP/IP)进入高级选项窗口,选择WINS选项卡,选中禁止TCP/IP上的NetBIOS项,可有效防止他人从网络NetBIOS协议获取计算机相关信息。

上文是服务器安全设置之系统端口的安全配置,相信大家都有了一定的了解,想要了解更多的技术信息,请继续关注服务器之家吧!

网络安全必备的五款免费网络漏洞扫描器

尽管我们在电子设备上安装了安全软件,但这些安全软件并不能自主跟踪并捕获所有漏洞。这时候,我们就需要额外安装网络漏洞扫描器,它可以帮助您自动执行安全审查,在IT安全中发挥重要作用。在扫描网络和网站时,网络漏洞扫描器能够查找成千上万的不同安全风险,并生成优先级列表...
服务器安全网络安全漏洞扫描漏洞扫描器

如何从IP源地址角度,预防DDoS攻击?

从1966年分布式拒绝服务(DDoS)攻击诞生至今,便一直困扰着网络安全,尤其是随着新技术的不断催生,导致 DDoS 攻击结合新技术演变出多种类型。DDoS 攻击作为黑灰产的手段之一,使许多企业与国家蒙受巨大损失。爱沙尼亚网络战2007年4月,爱沙尼亚遭受了大...
服务器安全DDos攻击IP源地址

Stacs:一款功能强大的静态令牌和凭证扫描安全工具

关于StacsStacs一款功能强大的静态令牌和凭证扫描工具,本质上来说,Stacs是一个基于YARA的静态凭证扫描工具,该工具支持二进制文件格式、嵌套文档分析、可组合规则集和忽略列表以及SARIF报告。当前版本的Stacs支持tarballs、gzip、bz...
服务器安全安全工具Stacs凭证扫描

ELK sense 编辑器(10th)

sense 是一个elasticsearch REST API交互式的控制台。Marvel 1.X 版本有带这个工具。Marvel2.X版本,sense从Marvel分离出来了,集成到kibana平台上了,作为kibana的一个插件。安装sense首先要安装k...
服务器运维ELkkibanasensebeats