TCP/IP 端口筛选

筛选 TCP/IP 端口允许您控制到达服务器和网络设备的通信类型。虽然在 Internet 访问点部署的防火墙通常用于限制流入专用网络的流量,但是网络防火墙可能无法保护服务器不被“后门”攻击或内部攻击,这些攻击源于专用网络内的恶意用户。

TCP/IP 端口筛选是启用或禁用计算机或网络设备上的传输控制协议 (TCP) 端口和用户数据报协议 (UDP) 端口的选择性操作。与其他安全性操作结合使用,将端口筛选器应用于 Intranet 和 Internet 服务器使得那些服务器隔离基于 TCP/IP 的安全性攻击,包括恶意用户的内部攻击。

要预防这种攻击,您可以在单独的服务器上配置端口筛选器。这样提供了额外的保护层来预防众多的基于 TCP/IP 的安全性攻击。

TCP 和 UDP 端口

Internet 或 Intranet 主机(例如,基于 TCP/IP 网络上的计算机或网络设备)使用 Internet 协议 (IP) 地址与端口号的组合来与运行在其他 Internet 或 Intranet 主机上的应用程序或服务进行通信。IP 地址和端口号合起来组成套接字。由于 TCP/IP 主机被指派给唯一 IP 地址,并且标准的基于 TCP/IP 的应用程序和服务通常使用特定的 TCP 或 UDP 端口号,因此套接字可以定向运行在特定主机上的特定应用程序或服务之间的通信。

在 TCP 或 UDP 包头中标识的端口号代表了使用 TCP 或 UDP 的特定应用程序和服务的传输协议地址。例如,在默认情况下,HTTP 服务使用 TCP 端口 80,Telnet 使用 TCP 端口 23,简单网络管理协议(SNMP)使用 UDP 端口 161。

Internet 指定的编号机构 (IANA) 将 TCP 和 UDP 端口分成三类,如下表所示。
端口类别端口号范围描述
已知端口 0 - 1023 通常由标准系统进程或程序使用,由带有管理凭据的用户执行。由 IANA 指派。
注册端口 1024 - 49151 由普通用户进程或程序使用,由普通用户执行。IANA 不指派这些端口,但是注册表将它们作为一个便利用于 TCP/IP 社区。
动态或专用端口 49152 - 65535 用于专用应用程序、客户端进程,或动态分配端口号的其他进程的未分配的和未注册的端口。

通常,TCP 或 UDP 进程的服务器端监听相关的已知端口号。进程的客户端使用已知端口号,或者使用仅为进程中指派的动态分配的端口号(更常见)。

注意 注意 Windows 套接字应用程序可以使用 GetServByName( ) 函数来通过名称引用端口号。名称通过 systemroot\System32\Drivers\Etc 文件夹的 services 文本文件中指派的值被解析到端口号。

要启动服务器使用的应用程序和服务之间的通信,您必须确保已启用了相关的端口。 但是,内部网络上的恶意用户可以试图利用已启用的端口来攻击服务器,因此您应该禁用服务器上不用的 TCP 和 UDP 端口。这样可以减少攻击服务器的通道,并且提高连接到服务器的主机的安全性。

要点 要点 基于服务器的端口筛选不是用来防止服务器和网络免受基于 TCP/IP 的安全性攻击的唯一方法。为了提供更完整的网络安全性解决方案,您还应该在 Internet 访问点部署网络防火墙软件。网络防火墙允许您建立特定的规则来控制与服务器和其他网络资源通信的主机、网络、应用程序以及服务的类型。与其他安全性工具和操作组合使用,基于服务器的端口筛选和网络防火墙提供了抵御网络安全性攻击的重要的第一线防御。有关网络防火墙的详细信息,请在 Microsoft Internet Security and Acceleration Server 网站上搜索“firewall”。

本节包括下列信息:


© 1997-2003 Microsoft Corporation。保留所有权利