常见的高危端口主要有以下五类,表1-1提供了常见高危端口的不完全列表,供参考。
- 远程管理服务:远程运维是企业IT运维人员的日常工作,而多数远程管理服务都是攻击者的首选目标,直接开放风险巨大。建议部署运维审计系统(如华为UMA1000),并通过VPN接入内网后登录。如未部署运维审计系统,请务必选择安全的加密应用,如SSHv2。
- 局域网服务:这些服务端口安全漏洞多,常被攻击者利用,造成严重的安全事件。此类服务主要应用于企业内网访问,完全可以在出口防火墙上封禁。一般情况下,企业自建DNS服务器仅限于解析自有域名,不会对外开放,因此可以在互联网出口防火墙上封禁DNS服务。
- 互联网服务:SMTP、POP3、IMAP等邮件协议在设计之初没有内置安全性,请使用SSL/TLS加密保护。同样,如果需要对外提供Web服务,请使用HTTPS协议替代HTTP。
- 数据库:所有的数据库端口都不应该对外开放。
- 木马常用端口:攻击者在主机中植入木马以后,会在失陷主机中开放后门端口。常用的后门端口很多,如123、1234、12345、666、4444、3127、31337、27374等。在病毒爆发时期,请封禁此类端口。
表1-1 常见高危端口(不完全列表)
| 端口 | 协议 | 服务 | 建议处理动作 |
|---|---|---|---|
| 远程管理服务 | |||
| 20、21 | TCP | FTP(文件传输协议) | 始终封禁,使用SSHv2替代,或者部署运维审计系统 |
| 22 | TCP | SSH(安全外壳协议) | 建议封禁,如必须使用,请务必使用SSHv2版本并采用强认证 |
| 23 | TCP | Telnet(远程终端协议) | 始终封禁,使用SSHv2替代,或者部署运维审计系统 |
| 69 | TCP | TFTP(简单文件传送协议) | 始终封禁,使用SSHv2替代,或者部署运维审计系统 |
| 3389 | TCP | RDP(远程桌面协议) | 始终封禁,如需远程运维,请部署运维审计系统 |
| 5900-5902 | TCP | VNC(虚拟网络控制台) | 始终封禁,如需远程运维,请部署运维审计系统 |
| 512-514 | TCP | Linux rexec(远程登录) | 始终封禁,如需远程运维,请部署运维审计系统 |
| 873 | TCP | Rsync(数据镜像备份工具) | 始终封禁,如需远程运维,请部署运维审计系统 |
| 局域网服务 | |||
| 53 | TCP、UDP | DNS(域名系统) | 始终封禁 |
| 111、2049 | TCP | NFS(网络文件系统) | 始终封禁 |
| 135 | TCP、UDP | RPC(远程过程调用) | 始终封禁 |
| 137 | TCP、UDP | NBNS(NetBIOS名字服务) | 始终封禁 |
| 138 | TCP、UDP | NBDS(NetBIOS数据报文服务) | 始终封禁 |
| 139 | TCP、UDP | NBSS(NetBIOS会话服务) | 始终封禁 |
| 445 | TCP、UDP | SMB(网络文件共享协议) | 始终封禁 |
| 161 | TCP、UDP | SNMP(简单网络管理协议) | 始终封禁 |
| 389 | TCP、UDP | LDAP(轻量目录访问协议) | 始终封禁 |
| 互联网服务 | |||
| 25 | TCP | SMTP(简单邮件传输协议) | 始终封禁,使用SMTPS替代 |
| 110 | TCP | POP3(邮局协议版本3) | 始终封禁,使用POP3S替代 |
| 143 | TCP | IMAP(邮件访问协议) | 始终封禁,使用IMAPS替代 |
| 80、8000、8080、8888 | TCP | HTTP(超文本传输协议) | 建议封禁,使用HTTPS替代 |
| 数据库 | |||
| 1433 | TCP | SQL Server(数据库管理系统) | 始终封禁 |
| 1521 | TCP | Oracle(甲骨文数据库) | 始终封禁 |
| 3306 | TCP | MySQL(数据库) | 始终封禁 |
| 5000 | TCP | Sybase/DB2(数据库) | 始终封禁 |
| 5432 | TCP | PostgreSQL(数据库) | 始终封禁 |
| 6379 | TCP | Redis(数据库) | 始终封禁 |
| 27017-27018 | TCP | MongoDB(数据库) | 始终封禁 |
扫一扫
1155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
