了解端口和开放端口的风险

什么是端口？

端口（Port）在网络技术中，特别是在TCP/IP协议中，指的是一种逻辑地址，用于区分不同的网络服务或应用程序。端口号由数字表示，范围从0到65535。每个网络服务或应用程序都需要一个唯一的端口号来确保网络通信的准确性和有序性。从物理层面看，端口也指计算机或其他网络设备上的物理接口，如RJ-45端口、SC端口等，用于连接网络设备并确保数据的顺畅传输。

什么是开放端口？

开放端口（Open Port）在网络通信中指的是一个计算机或网络设备上的端口，该端口被配置为允许接收和发送数据。端口是网络通信中的一个逻辑通道，用于区分不同的网络服务或应用程序。每个网络服务或应用程序通常都会绑定到一个或多个特定的端口号上，以便在网络中进行通信。当一个端口被开放时，它意味着该端口上的服务或应用程序已经准备好接收来自其他计算机或网络设备的连接请求和数据。这种开放状态使得网络服务或应用程序能够与其他计算机或设备进行交互，从而实现各种网络功能，如文件传输、远程登录、网页浏览等。然而，开放端口也带来了一定的安全风险。因为开放端口暴露了计算机或网络设备的服务或应用程序，使得黑客可以通过扫描端口来发现潜在的漏洞或弱点，并进行网络攻击。因此，在开放端口时，需要采取适当的安全措施来保护计算机或网络设备免受攻击。常见的安全措施包括使用防火墙来限制对开放端口的访问、配置强密码和认证机制来保护服务或应用程序的访问权限、定期更新系统和应用程序以修复已知漏洞等。此外，还需要注意避免开放不必要的端口，以减少潜在的安全风险。

知名端口（Well-known Ports）：也叫系统端口（System Ports），端口号范围0-1023。知名端口由 ICANN（The Internet Corporation for Assigned Names and Numbers，互联网名称与数字地址分配机构）分配给常用的服务。知名端口与服务具有紧密的联系。通常说采用某知名端口通信，即表明采用该端口对应的服务。例如，22表示SSH，23表示Telnet。

注册端口（Registered Ports）：也叫用户端口（User Ports），端口号范围1024-49151。注册端口由IANA（Internet Assigned Numbers Authority，互联网数字分配机构）管理，组织可以向IANA申请某端口为应用程序的注册端口。例如，3389是微软为RDP（Remote Desktop Protocol，远程桌面协议）申请的注册端口。

私有端口（Private Ports）：也叫动态端口（Dynamic Ports），端口号范围49152-65535。不应该为服务分配动态端口。动态端口是主机与服务端通信时，临时分配给应用程序的端口。通信结束后，该端口即被释放。不过，在实际应用中，主机通常从1024起分配动态端口。

端口号与服务的分配关系，可参考IANA网站。

开放端口有什么风险？

1、网络攻击

扫描与入侵：开放的端口暴露了服务器的服务，使得黑客可以通过扫描端口来发现服务器的漏洞或弱点，从而进行网络攻击。例如，远程代码执行、弱口令爆破、拒绝服务攻击（DDoS）等。

傀儡网络攻击：部分恶意软件和黑客利用开放端口将服务器作为傀儡网络的一部分，用于发动分布式拒绝服务（DDoS）攻击或传播恶意软件。

2、恶意软件

病毒与蠕虫：黑客可以通过开放的端口将恶意软件（如病毒、蠕虫）传输到服务器，进而在服务器上进行恶意活动。这可能导致数据泄露、信息丢失或篡改等安全问题。

后门程序：黑客还可以利用开放端口在服务器上植入后门程序，这些程序可以在不被察觉的情况下远程控制服务器，并执行恶意操作。

3、数据泄露

敏感数据泄露：一旦服务器的端口被黑客攻破，他们可以利用这个漏洞获取服务器上的敏感数据，例如用户信息、登录凭证、数据库内容等。这将对用户和组织的隐私和安全造成重大损害。

信息窃取：攻击者可以利用开放的端口非法访问服务器上的数据，进行窃取、篡改或删除等操作。

4、未授权访问

非法访问：开放的端口可能会导致未经授权的访问，使得黑客可以通过远程访问服务器并进行非法操作。这可能涉及未经授权的文件上传、代码执行等风险，从而对服务器和其它用户造成威胁。

内部威胁：除了外部攻击者，内部员工或合作伙伴也可能利用其合法访问权限进行不当操作或数据泄露。

5、性能影响

资源消耗：开启大量不必要的端口会消耗服务器资源，如内存和CPU，因为每个开放的端口都需要系统维护一定量的连接状态信息。这可能导致服务器响应变慢，影响正常服务的运行效率。

服务中断：在极端情况下，如DDoS攻击，大量请求会占用服务器资源，导致服务中断。

为什么安全专家建议仅开放必要的端口？

端口是为通信而存在的。组织应实施必要的审核程序，以确定是否开放端口。如果有运行某个服务的需求，开放相应的端口是有意义的。这时，应从合法渠道获取应用软件、及时检查安全漏洞并实施安全加固措施，然后再正式开放端口。

如前所述，开放任何端口都会增加攻击面，并增加受到威胁的可能性。如果没有合理的通信需求，不要开放端口。

组织内部网络中有大量计算机，每台计算机上都可能开放了非必要的端口。你可以逐个计算机去关闭端口，也可以把这项工作交给防火墙。防火墙通常部署在网络的出口，在防火墙上可以阻断此类端口与外部网络的通信。想象你有一个四合院（网络），你可以关闭每个房间（计算机）的门窗（端口），你也可以依赖院墙，然后守好四合院的大门。

如何评估端口安全风险？

检查开放的端口。使用开源的端口扫描工具（如Nmap）或者部署华为漏洞扫描产品VSCAN，可以发现网络中开放的端口。

评估开放端口的必要性。安全专家建议，仅在特定设备上开放必要的端口，非必要的端口应立即关闭。如果扫描结果中出现了未主动开放的端口，请检查主机是否被植入了木马程序。

评估开放端口的安全性。了解每个端口上承载的服务，了解端口可能的风险。端口的安全风险可以从三个方面来评估。

可被利用：端口所承载的服务和应用程序存在安全漏洞，就可能被攻击者利用。

常被利用：攻击者经常使用的端口，风险更大。典型的如网络管理员广泛使用的RDP远程连接服务、FTP文件传输服务、Web应用程序等。

开放范围：开放在公网上的端口，都可能受到攻击。非必要的端口，不要暴露在公网上；有业务需要的，必须做好安全防护。

根据风险等级，端口可以简单分类如下，风险等级依次降低。

高危端口：开放在公网上的、极度危险的端口。这些端口承载的服务曾经造成广泛的安全事件，因此深受攻击者青睐，无时无刻不被各种自动化攻击工具扫描着，风险极高。请参考如何封禁高危端口，在防火墙上封禁常见的高危端口。

高危服务：开放在公网上的、采用非标准端口的高危服务，例如开放在3399端口上的RDP服务。RDP服务的默认端口是3389，修改端口号可以增加攻击者发现风险服务的时间成本，可以在一定程度上提高安全性，因此高危服务的风险等级低于高危端口。但是这种提高的程度非常有限，请参考如何保护风险端口，为高危服务增强安全防护。

风险端口：开放在公网的端口。如果这些开放端口是正常的业务需要，请参考如何保护风险端口，做好安全防护。

常见高危端口

常见的高危端口主要有以下五类，表1-1提供了常见高危端口的不完全列表，供参考。

远程管理服务：远程运维是企业IT运维人员的日常工作，而多数远程管理服务都是攻击者的首选目标，直接开放风险巨大。建议部署运维审计系统（如华为UMA1000），并通过VPN接入内网后登录。如未部署运维审计系统，请务必选择安全的加密应用，如SSHv2。

局域网服务：这些服务端口安全漏洞多，常被攻击者利用，造成严重的安全事件。此类服务主要应用于企业内网访问，完全可以在出口防火墙上封禁。一般情况下，企业自建DNS服务器仅限于解析自有域名，不会对外开放，因此可以在互联网出口防火墙上封禁DNS服务。

互联网服务：SMTP、POP3、IMAP等邮件协议在设计之初没有内置安全性，请使用SSL/TLS加密保护。同样，如果需要对外提供Web服务，请使用HTTPS协议替代HTTP。

数据库：所有的数据库端口都不应该对外开放。

木马常用端口：攻击者在主机中植入木马以后，会在失陷主机中开放后门端口。常用的后门端口很多，如123、1234、12345、666、4444、3127、31337、27374等。在病毒爆发时期，请封禁此类端口。