服務器安全設置_系統端口安全配置
2024-09-01 13:46:29
供稿:網友
三���、系統端口安全配置
下面先是介紹關于端口的一些基礎知識���,主要是便于我們下一步的安全配置打下基礎��,如果
你對端口方面已經有較深了解可以略過這一步�����。
端口是計算機和外部網絡相連的邏輯接口���,也是計算機的第一道屏障,端口配置正確與否直
接影響到主機的安全�����,一般來說,僅打開你需要使用的端口會比較安全���,配置的方法是在網卡屬
性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選�����。
下面先介紹一下端口的基礎知識��。在網絡技術中���,端口(Port)大致有兩種意思:一是物理意義
上的端口,比如��,ADSL Modem��、集線器�����、交換機�����、路由器用于連接其他網絡設備的接口���,如
RJ-45 端口��、SC 端口等等�����。二是邏輯意義上的端口���,一般是指 TCP/IP 協議中的端口��,端口號
的范圍從0到65535,比如用于瀏覽網頁服務的80端口��,用于FTP服務的21端口等等�����。
(一)按端口號分布劃分:
(1)知名端口(Well-Known Ports)
知名端口即眾所周知的端口號���,范圍從 0 到 1023���,這些端口號一般固定分配給一些服務。
比如21端口分配給FTP服務��,25端口分配給SMTP(簡單郵件傳輸協議)服務,80端口分配
給HTTP服務��,135端口分配給RPC(遠程過程調用)服務等等��。
(2)動態端口(Dynamic Ports)
動態端口的范圍從1024到65535��,這些端口號一般不固定分配給某個服務���,也就是說許多
服務都可以使用這些端口���。只要運行的程序向系統提出訪問網絡的申請,那么系統就可以從這些
端口號中分配一個供該程序使用���。比如 1024 端口就是分配給第一個向系統發出申請的程序���。在
關閉程序進程后,就會釋放所占用的端口號���。
不過���,動態端口也常常被病毒木馬程序所利用,如冰河默認連接端口是7626���、WAY 2.4是8011���、Netspy 3.0是7306���、YAI病毒是1024等等。
(二)按協議類型劃分:
可以分為 TCP��、UDP�����、IP 和 ICMP(Internet 控制消息協議)等端口�����。下面主要介紹 TCP 和
UDP端口��。
(1)TCP端口
TCP端口�����,即傳輸控制協議端口��,需要在客戶端和服務器之間建立連接�����,這樣可以提供可靠
的數據傳輸��。常見的包括FTP服務的21端口,Telnet服務的23端口,SMTP服務的25 端口���,
以及HTTP服務的80端口等等。
(2)UDP端口
UDP端口,即用戶數據包協議端口���,無需在客戶端和服務器之間建立連接,安全性得不到保
障���。常見的有 DNS 服務的 53 端口���,SNMP(簡單網絡管理協議)服務的 161 端口,QQ 使用
的8000和4000端口等等��。
介紹完了有關端口的基礎知識�����,下面我們就開始進行服務器的端口安全配置��。
在一般的 WEB+Email 服務器上,推薦同時使用 PcanyWhere 和終端服務進行遠程控制管
理���,基于安全考慮把終端服務3389端口修改成6868端口�����,方法如下:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal
Server/Wds/Repwd/Tds/Tcp, 找到 PortNumber 項��,雙擊選擇十進制��,輸入你要改成的端
口即可�����,這里我們輸入6868��。再找到鍵值:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/Win
Stations��,在右側窗口找到PortNumber并按上面的方法輸入6868,設置成新的端口就可以了�����。
這樣���,在用MSTSC訪問遠程桌面時�����,IP或網址后加上:6868即端口號就可以了��。如圖(1):
接著根據要開放的服務���,去設置TCP/IP篩選�����。要查看端口使用狀況�����,可以使用Netstat在
命令行狀態下查看�����,依次點擊“開始→運行”�����,鍵入“cmd”并回車���,打開命令提示符窗口��。在
命令提示符狀態下鍵入“netstat -a -n”�����,按下回車鍵后就可以看到以數字形式顯示的 TCP 和
UDP連接的端口號及狀態�����。
我們根據服務器上端口的使用情況在TCP/IP 篩選設置我們需要開放的端口�����,右擊網上鄰居
屬性-->右擊本地連接屬性-->(雙擊TCP/IP) -->高級-->選項-->屬性啟用TCP/IP篩選��,
在TCP端口篩選只允許21�����,25��,110,
80,1433��,3000�����,5631��,6868���,8735��,
10001��,10002�����,10003���,10004,10005
等相關必須使用的端口(請根據你的實際情況
進行設定)�����;TCP/IP 端口里面的都是幾個常
有的知名端口,10001-10005 是設置
Serv-U的PASV模式使用的端口��,3000是
MDaemon默認的WEB登陸端口�����,6868
是自定義修改的MSTSC遠程桌面端口���,當然也可以使用別的�����。IP協議和UDP端口根據您的需
要做出相應配置��,本人未仔細研究過��,請根據你的實際應用進行篩選���。
接著,我們要在本地連接屬性里面�����,卸載所有的其他協議�����,只留下Internet協議(TCP/IP),
把默認的共享和打印機卸載掉���。
圖(6): 刪除共享和打印機共享
然后,再雙擊Internet協議(TCP/IP)進入高級選項窗口�����,選擇WINS選項卡�����,選中禁止
TCP/IP上的NetBIOS項���,可有效防止他人從網絡NetBIOS協議獲取計算機相關信息��。
