我的港口安全吗?
<h1>什么是开放端口?安全含义是什么</h1>
<blockquote>此外,有些港口容易滥用. 一个示例是Microsoft的远程桌面协议(RDP),该协议允许用户访问远程主机. 根据其运营总监彼得·施罗夫斯基(Peter Swarowski)的说法,有许多攻击向量,试图通过RDP进入.</blockquote>
<h2>端口检查器</h2>
<p>检查开放端口并验证路由器上的端口转发设置.</p>
<h2>什么是端口检查器 ?</h2>
<p>端口检查器是一个简单且免费的在线工具 <strong>检查开放端口</strong> 在您的计算机/设备上,通常可用于测试路由器上的端口转发设置. 例如,如果您面对 <strong>连接问题</strong> 使用程序(电子邮件,im客户端等),则可能会有该应用程序所需的端口 <em>被路由器的防火墙或ISP阻塞</em>. 在这种情况下,此工具可能会帮助您诊断出任何问题 <em>防火墙设置</em>. 您还可以发现这对安全目的有用,以防您不确定特定端口是打开还是关闭. 如果您托管和玩Minecraft之类的游戏,请使用此检查器确保服务器端口(25565)适当配置为端口转发,那么只有您的朋友才能连接到您的服务器.</p>
<h2>最常用的端口</h2>
<ul>
<li>0-1023-众所周知的端口(HTTP,SMTP,DHCP,FTP等)</li>
<li>1024-49151-保留端口</li>
<li>49152-65535-动态/私人端口</li>
</ul>
<h3>众所周知的端口</h3>
<ul>
<li><strong>20&21</strong> – FTP(文件传输协议)</li>
<li><strong>22</strong> – SSH(安全外壳)</li>
<li><strong>23</strong> – Telnet,远程登录服务</li>
<li><strong>25</strong> – SMTP(简单邮件传输协议)</li>
<li><strong>53</strong> – DNS(域名系统)</li>
<li><strong>80</strong> – HTTP(超文本传输协议)</li>
<li><strong>110</strong> – POP3(邮局协议3)</li>
<li><strong>115</strong> – SFTP(安全文件传输协议)</li>
<li><strong>123</strong> – NTP(网络时间协议)</li>
<li><strong>143</strong> – IMAP(Internet消息访问协议)</li>
<li><strong>161</strong> – SNMP(简单网络管理协议</li>
<li><strong>194</strong> – IRC(Internet继电器聊天)</li>
<li><strong>443</strong> – SSL / HTTPS(超文本传输协议安全)</li>
<li><strong>445</strong> – SMB</li>
<li><strong>465</strong> – SMTPS(SSL上的简单邮件传输协议)</li>
<li><strong>554</strong> – RTSP(实时流控制协议)</li>
<li><strong>873</strong> – rsync(rsync文件传输服务)</li>
<li><strong>993</strong> – IMAPS(SSL上的Internet消息访问协议)</li>
<li><strong>995</strong> – POP3S(SSL上方的邮局协议3)</li>
<li><strong>3389</strong> – RDP(远程桌面协议)</li>
<li><strong>5631</strong> – PC在任何地方</li>
<li><strong>3306</strong> – mysql</li>
<li><strong>5432</strong> – Postgresql</li>
<li><strong>5900</strong> – vnc</li>
<li><strong>6379</strong> – Redis</li>
<li><strong>11211</strong> – 备忘录</li>
<li><strong>25565</strong>- Minecraft</li>
</ul>
<p>如果您正在寻找端口号码的完整列表,请查看此Wikipedia页面. 我列出了上面的所有常见端口,请随时输入任何自定义端口号进行检查. 默认情况下,此站点将设备的IP地址作为目标IP地址(您要访问此网页的设备),但您可以更改IP输入字段以检查其他IP地址 – 远程客户端和服务器. 但是,请不要滥用此选项,否则我将不得不将IP地址限制为再次来源(就像我之前所做的那样). 请记住,如果您使用的是VPN或代理服务器,那么它可能无法正确获取设备的IP.</p>
<h2>了解端口转发</h2>
<p>端口转发或端口映射涉及将地址(或端口号转换为新目的地),接受数据包并转发(使用路由表). 它通常用于将远程计算机连接到在计算机上运行的特定程序(在私有LAN(局部网络)中). 例如:在私人LAN中的计算机上运行公共服务器(HTTP,端口80)或授予私人LAN等特定计算机的SSH访问. 阅读有关Wikipedia的更多信息.</p>
<p>如果您对本网站有任何反馈/建议,请告诉我.</p>
<h2>什么是开放端口?安全含义是什么?</h2>
<p>开放端口是一个软件定义的值,可以标识网络端点. 在TCP/IP网络上建立的任何连接都有一个源和目标端口,该端口与相应的IP地址一起使用,以唯一标识已发送的每个消息的发送者和接收者.</p>
<p>端口对于任何基于TCP/IP的通信都是必不可少的 – 没有它们,我们根本就无法做到. 不配置的港口和港口漏洞为威胁行为者提供了危险的后门进入环境. 强大的安全姿势取决于了解如何使用端口以及如何确保端口. 当这些端口面向互联网时,这会增加两倍,因为它们几乎总是在云中.</p>
<p>在此博客中,我将概述端口,如何使用它们,一些重要的风险以及如何减轻与端口相关的网络安全风险.</p>
<h3>为什么我们有端口?</h3>
<p>几乎每个人都会将IP地址视为“唯一”识别网络上系统的机制. 如今,最常见的IP地址格式使用四个八位八位八位钟,我.e., 192.168.1.1. 这是IP协议(IPv4)的第四版本的一部分. IPv6是下一个版本,具有更广泛的寻址方案,包括8个16位十六进制值,由结肠隔开,我.e., 2001:0DB8:85A3:0000:0000:8A2E:0370:7334. 我们不会在此博客文章中涵盖IPv6,但是由于它也使用端口,因此同样适用.</p>
<p>每个网络系统至少具有1个IP地址,并且每个系统在网络上提供多个服务是很常见的. 端口提供了独特地解决这些服务的能力. 即使是最简单的系统,例如Web服务器,不仅提供网页,还提供远程访问来管理系统本身.</p>
<p>我们需要一种机制,可以更深入地解决系统以关注服务. 这是港口发挥作用的地方.</p>
<p>您可以将港口视为办公楼中的房间号,IP地址等同于建筑物的街道地址. 为了传达给特定办公室的消息,您可以依靠某人阅读传入的消息并寻找该消息的指示. 该方法可能适用于少量消息,但很快变得难以管理. 将特定的办公室编号添加到地址,更容易,更快,可以直接传递该消息. 此方法具有使消息本身保持私密的附加优势.</p>
<p>在我们的Web服务器示例中,我们可以确信端口80和443将与端口22或3389相关,具体取决于操作系统的类型(和配置).</p>
<ul>
<li>端口80是为HTTP(超文本传输协议)数据分配的,这是不安全的Web协议,该协议越来越辞职,</li>
<li>端口443是HTTPS数据的默认端口,这是HTTP的安全版本,</li>
<li>端口22用于安全外壳数据,基于文本的控制台主要用于Linux/UNIX系统和网络设备,</li>
<li>端口3389是为RDP(远程桌面协议)分配的,主要用于访问基于Windows的系统的控制台.</li>
</ul>
<p>正如您所注意到的那样,这些端口号似乎到处都是. 由于端口以16位的数字表示,因此我们可以使用0到65,535的任何值对端口使用,为什么这些端口号? 分配IP地址的组织,IANA(Internet分配的数字授权),也分配端口号. 但是,只有65,536个可用端口,获得专用端口分配要比IP地址要困难得多.</p>
<p>IANA如何组织端口号范围:</p>
<p><strong>知名或特权端口(端口范围:0至1023)</strong> – 此范围保留给TCP/IP上使用的最著名的协议/应用. 这些端口仅分配给已经通过TCP/IP RFP进程标准化的那些协议和应用程序或正在进行该过程. 由于这些端口背后的服务通常是TCP/IP操作的关键,因此它们有时被称为系统端口.</p>
<p><strong>注册端口(端口范围:1024至49,151)</strong> – 许多应用程序都使用TCP/IP使用它们独特的协议来交换数据,作者可以从此范围内请求端口分配. 一个公共区域是数据库,Microsoft SQL Server被分配给端口1433和1434,Oracle数据库分配的端口2483(替换1521)和2484,以及分配给5432的PostgreSQL.</p>
<p><strong>私人/动态端口(端口范围:49,152至65,535)</strong> – 这些端口供任何人使用,并且不会由IANA保留或维护. 该范围内的端口通常由与上述知名和注册端口通信的软件通常使用,通常称为客户端软件. 注册端口提供了一种解决我们想与之交谈的服务的方法. 为客户端使用动态端口还确保返回流量到达正确的位置. 这些任务通常仅在通信会议的时间内持续存在,以确保始终有可用的空间.</p>
<p>服务将在IANA定义的适当端口上注册为“听众”. 例如,您将在端口53上找到DNS服务器. 当应用程序或客户端软件开始与服务通信时,它将注册以在私人范围内的端口上收听. 出站数据包包括目标IP地址和端口,以及源IP地址和端口. 该模型使链接的两端都可以适当地解决另一个. 由于每个会话的客户端侦听端口可能会有所不同,因此它允许客户端软件与同一服务器上的多个服务进行通信,同时使每个会话独立地保持独立.</p>
<h3>开放端口的安全风险</h3>
<p>虽然对于使网络能够按照自己的运行至关重要,但港口可以为可能成为攻击者提供机会.</p>
<p>例如,开放端口可以有助于系统标识. 从历史上看,开放端口(新系统安装的默认端口配置)提供了端口指纹,可以揭示有关正在研究的系统. 如今,情况越来越少,因为操作系统默认在安装时被紧密锁定,而非必需的端口仅在必要时打开. 但是,那些必须开放端口的服务在您的系统上揭示的内容可能令人惊讶.</p>
<p>有许多工具可以扫描目标IP地址(或IP地址范围)并在“打开”的端口上进行报告,这意味着该端口在其上都有软件收听流量. 这些工具易于使用且容易获得. 一些示例端口扫描仪包括NMAP,NETCAT,高级端口扫描仪和许多其他示例 – 包括大多数脆弱性扫描仪. 尽管NMAP于1997年首次发布,但毫无疑问是最著名的,有成千上万的港口扫描仪可供选择. 虽然港口扫描仪是IT安全从业人员的有用工具,但他们还为威胁参与者提供了宝贵的信息.</p>
<p>以下是针对NMAP的团队测试目标进行NMAP扫描的输出(ScanMe.nmap.org). 这显示了您可以期望发现的信息. 虽然这是一个单个目标,但NMAP接受多种格式的多个目标,包括列表和CIDR符号.</p>
<p><img src=”https://assets.beyondtrust.com/assets/images/Nmap_output-for-Nmap-test-target.PNG” /></p>
<p>您可以合理地期望Web服务器具有80和443的端口打开. 但是,在上面的示例中,您会注意到仅端口80是为此测试目标打开的. 如果我们打开端口443,并且使用TLS应用,则在数字证书信息中会揭示额外的信息 – 我.e., 谁拥有证书.</p>
<p>随着互联网朝着更安全的访问发展,端口443(HTTPS)将是Web流量的最常见端口. 但是,您会发现端口80仍开放到将HTTP请求重定向到HTTPS地址. 攻击者可以相对有信心,当他们看到端口443和80打开时找到了Web服务器. 在上面的示例中,端口80揭示了基础服务是在Ubuntu上运行的Apache Web服务器(Linux Distribution),该服务支持HTTP“动词”获取,头部,帖子和选项.</p>
<p>如果我们查看Windows Active Directory域控制器的结果(使用默认设置在我的实验室内置),您会注意到我必须指定“ -pn”. 这告诉nmap假设主机已经启动,而不是先发送ping来检查. 我使用的Windows Server构建默认情况下已禁用PING. 我还省略了“ -v”或冗长的选项以节省一些空间. 您会看到我们仍然获得相关信息,但扫描的操作信息却少.</p>
<p><img src=”https://assets.beyondtrust.com/assets/images/port-scan-example.png” /></p>
<p>您会注意到具有高度信心的操作系统标识,以及被捕获的SSL/TLS证书. 如果您挖掘证书(或使用冗长选项运行nmap),则会找到对证书发行服务器的参考,甚至更多地揭示有关网络的更多信息.</p>
<p>这种“指纹”方法提供了一种从攻击目标池进行子选择的机制,从而减少了通过消除本来可以生成的大量活动来发现黑客的机会. 攻击者更有可能在Windows系统上探测端口3389,而它们不太可能查看端口22,因为SSH的配置不太常见. 结果,有关系统类型的知识可以使黑客网络流量看起来更正常. 入侵检测系统(IDS)将监视NMAP等工具执行的端口的扫描. 但是,默认情况下,NMAP将随机对端口扫描的顺序进行随机,可能会击败简单的ID.</p>
<p>如果您发现自己被端口/漏洞扫描活动触发的假阳性感到沮丧,请在“排除”列表中添加扫描仪的源IP地址 – 不要完全禁用监视. 如果您无法在ID上排除源IP,我建议实现替代解决方案. 虽然更改解决方案似乎很极端,但误报将导致低估或夜晚忽略警报.</p>
<h3>开放端口对云计算的含义</h3>
<p>在云中,通过开放的,面向互联网的端口可以访问一切. 必须使用访问控制列表(ACL)等技术来识别和确定所有开放端口.</p>
<p>基于端口的硬化功能应在云中的每个应用程序和操作系统上应用. 此外,应禁用所有不必要或未使用的端口. 资产管理过程可以帮助构建建筑图,以构建所需的硬化,以及要正确操作的系统所需的内容.</p>
<p>如果端口关闭但应用程序正在运行,则可能会减轻攻击向量. 但是,适当的硬化方法要求应用程序和端口被禁用. 许多应用程序可能需要服务及其流程在本地运行才能完成特定任务,但是可以容忍通过封闭的端口不接受入站连接.</p>
<h3>确保港口并减少威胁暴露的最佳实践</h3>
<p>攻击的尖锐和针对性越多,在任何阶段预防或检测攻击的机会就越少。. 可能存在的几个标记在攻击者的范围内清洁.</p>
<p>您该怎么做才能最大程度地减少环境中与端口相关的风险? 让我们看一下硬化和保护端口的最佳实践.</p>
<p><strong>1. 枚举并了解您的开放端口</strong> </p>
<p>第一步需要发现. 识别并列出所有开放端口,并不断检查任何与端口相关的配置更改. 但是,同样重要的是,您需要了解和记录整个环境中的所有端口使用情况. 此信息为港口安全提供了基线.</p>
<p><strong>2. 关闭不积极需要的任何端口</strong></p>
<p>这可能是一个挑战,因为系统的操作可能取决于可能打开的潜在脆弱端口. 如果是真的,那么选项#2是合适的.</p>
<p><strong>3. 限制端口访问特定源IP地址(或范围)</strong></p>
<p>这种练习始终适用,并在选项#1不可用时提供最佳选择. 并非环境中的每个人都需要访问关键服务器的终端/控制台,或者您的任何服务器. 限制仅访问您的管理员和相关系统(使用该端口上的服务),将最小化环境的风险配置文件.</p>
<p>如果您有需要访问系统的远程工人,请实现安全的远程访问(SRA)解决方案,以使它们进入这些系统. 不要打开外围以允许访问权限,多么有信心,您可能会采用VPN配置和管理技能. 它只有一个错误或以前未知的脆弱性即可导致重大违规.</p>
<p><strong>4. 用已知利用对网络的系统的漏洞确定漏洞的优先级</strong></p>
<p>这种做法听起来很明显,但很少实施. 没有已知漏洞的开放端口可能比具有已知漏洞的开放式端口更安全. 偶尔,当应用选项2时.</p>
<p>总是有零日漏洞的风险. 此处列出的其他安全惯例将有助于减轻与零日相关的风险. 几乎没有借口离开您的网络尚未解决脆弱的服务,尤其是具有已知利用的网络的借口.</p>
<p><strong>5. 在所有端点上实施最少特权的原则</strong></p>
<p>通过确保控制台的所有访问权限至少需要特权,任何入侵都将仅限于该访问水平. 恶意软件不是魔术;它受到操作的安全模型的约束. 保持交互式用户的特权水平最少将限制成功的攻击,例如限制横向移动.</p>
<p><strong>6. 不允许任何人直接访问</strong> <strong>高度特权帐户</strong></p>
<p>用户不应具有与其帐户相关的直接特权. 通过特权访问/帐户管理(PAM)解决方案提供任何访问,该解决方案也安全地落后于多因素身份验证. PAM系统每次使用后都可以更改凭据,并且永远不会向用户发布凭据.</p>
<p>这是通过牢固经纪必要的会话来完成的,例如自动注入凭据. 这种最佳实践的好处是确保即使选项#1到4的选项可能已经失败,也有机会利用允许横向移动的凭据减少到使用帐户所在的时期.</p>
<p><strong>7. 减少有关开放端口的暴露信息</strong></p>
<p>正如我们在上面看到的,Apache Web服务器不仅宣布自己,而且还详细介绍了其运行的特定版本和操作系统. 删除此信息并不能增加系统的固有安全性,但是它可以使您对具有特定功能的攻击者在其工具箱中的目标稍微降低目标.</p>
<p>这种方法被称为“通过默默无闻.” Apache Web服务器可能仅限于返回“ Apache”,不包括版本号. 也许攻击者正在寻找特定的Apache版本,因此不提供此信息可能会让您通过. 希望您的ID会注意到注意力,并允许您在紧急情况下解决上面的选项#3. Apache Web服务器(与许多服务一样.</p>
<h3>下一步 – 检查开放端口和访问相关的安全风险</h3>
<p>确保基础系统与行业最佳实践(包括有效的脆弱性管理,安全远程访问,受控和受监控的特权帐户和敏感/关键系统的访问以及端点特权管理)一起确保固定系统,并将大大改善您的网络安全姿势.</p>
<p>虽然您可能会在时间限制安全端口,特权和访问路径来加强环境,但您必须不断注意自己网络的更改. 如果添加网络服务,则对系统功能的更改(无论是总共还是由于扩展的用例,都会导致端口要求扩展).</p>
<p>要阐明与访问相关的风险,包括开放端口,过度特权帐户,错误配置,特权凭据,远程访问工具等,请尝试超越Trust Trust的免费特权访问发现应用程序,这是同类产品中最强大的免费工具. 使用该应用程序迅速识别和减轻高风险区域,同时努力工作以理解并保持风险随着时间的流逝而超越风险.</p>
<h2>端口转发安全?</h2>
<p>首先,在路由器中设置端口听起来很恐怖,很多人想知道它是否安全. 您可以通过使用防火墙安全地转发端口,在您要转发端口的设备上有一个强密码,而仅适用于可信赖应用程序的端口.</p>
<h2>端口转发如何安全?</h2>
<p>端口转发的安全风险取决于您将端口转发到的设备类型.</p>
<ul>
<li>如果您将端口转发到Xbox或PlayStation之类的游戏机,那么它绝对是100%安全的.</li>
<li>如果您将端口转发到诸如相机或DVR之类的消费设备上,那么唯一的风险是访问该设备的人. 只要您在设备上设置了一个密码,风险就非常低. 这假设该设备安全且值得信赖,并且内部没有任何漏洞.</li>
<li>如果您将端口转发到计算机,则需要确保计算机具有软件防火墙. Windows 10和Windows 11带有出色的防火墙,默认设置很好.</li>
</ul>
<h3>向前移动游戏机是否安全吗??</h3>
<p>游戏机是从头设计的,直接连接到互联网. 它们几乎在它们中发现了零安全性利用,当发现它们几乎立即被系统更新关闭. 无法闯入游戏机并访问您的家庭网络. 将港口转发到游戏机是完全无风险的.</p>
<blockquote><p>回答: <br />是的! 将端口转向游戏机是完全安全的.</p> </blockquote>
<h3>向前移动DVR或安全摄像机安全是否安全??</h3>
<p>您不必担心将端口转发到安全摄像头,DVR或其他消费者设备. 像游戏机一样,这些设备被设计为直接连接到互联网. 不可能使用DVR或安全摄像头访问您的家庭网络. 当您将DVR或安全摄像机连接到Internet时,您唯一冒险的是该设备提供的数据. 最坏的情况是,人们将能够看到您的视频供稿. 只要您在设备中设置密码,即使是向前端口,您也可以安全. 确保您从设备随附的默认密码更改密码.</p>
<blockquote><p>回答: <br />是的! 假设设备安全且值得信赖,将端口转发到DVR或安全摄像机是完全安全的.</p> </blockquote>
<h3>向前移动到计算机安全吗??</h3>
<p>这是它开始变得有些冒险的地方,所有危险的谣言都来自. 虽然曾经将端口转发到计算机是危险的,但几乎所有现代操作系统都带有一个非常有能力的防火墙开箱即用. 如果您已安装Windows 10或Windows 11,则只要您确切地知道要转发端口的应用程序,并且您完全相信该应用程序.</p>
<p>使用OS X,您可能必须启用防火墙. 当OS X带有出色防火墙的运输时,通常会禁用. 启用OS X的防火墙后,您应该很好地走.</p>
<ul>
<li>洪流应用</li>
<li>流行的游戏服务器,例如Minecraft</li>
<li>众所周知的聊天服务器,例如TeamSpeak</li>
<li>普通媒体服务器(例如plex)</li>
</ul><ul>
<li>FTP服务器</li>
<li>电子邮件服务器</li>
<li>Web服务器</li>
<li>软件DVR</li>
</ul>
<h2>是转发端口保险箱的软件?</h2>
<p>我们在此网站上出售软件,该网站旨在在路由器中设置端口转发. 我们的软件称为 <strong>pfconfig</strong> 它是港口向前网络实用程序软件包的一部分. 只要您从本网站下载软件,就安全了. 请勿从提供“免费下载”的洪流网站或网站下载我们的软件. 这些网站通常将其他人的软件包裹在广告,恶意软件和其他不需要的东西中.</p>
<p>您可以通过此链接安全下载我们的软件,网络实用程序下载说明.</p>
<p>如有疑问,您可以随时在安装之前使用名为Virustotal的优秀在线病毒扫描仪进行扫描软件. 我们鼓励您在安装所有软件之前扫描所有软件,包括我们的软件.</p>
<blockquote><p>回答: <br />是的! 只要您从我们那里下载.</p> </blockquote>
<h3>是portforward.com合法?</h3>
<p>是的,从长远来看,我们从事这项业务. 如果您有任何疑问,请围绕着参考我们的各个论坛. 我们实际上有1,000个很棒的链接. 如果没有良好的商业道德,您就不会获得1,000的良好链接.</p>
<p>很多人担心使用我们的软件,因为他们担心我们是某种骗局. 这与事实相距甚远. 我们已经竭尽全力确保我们的软件是病毒,蠕虫和恶意软件. 我们从事业务已经很长时间了,想长期留在港口转发业务中. 我们还意识到互联网可能很危险,那里有很多骗局. 我们不是其中之一.</p>
<blockquote><p>回答: <br />是的! 从长远来看,我们从事这项业务.</p> </blockquote>
<p>如果您为我们的软件付费并且有麻烦,那么您可以从我们的支持团队那里获得技术支持. 我们在为人们转发端口方面取得了很高的成功率.</p>
<h3>来自Portforward的更多信息</h3>
<p><img src=”https://portforward.com/splitgate/thumbnail.webp” alt=”开门” width=”300″ height=”168″ /></p>
<p>使用路由器打开缝制端口</p>
<p>您可以通过转发路由器中的端口来帮助减少滞后和改善在拆卸窗的整体体验.</p>
<p><img src=”https://portforward.com/street-fighter-6/thumbnail.webp” alt=”Street Fighter 6封面艺术品,以卢克和杰米的战斗机为特色” width=”300″ height=”168″ /></p>
<p>在路由器中为Street Fighter创建一个端口6</p>
<p>您可以通过转发路由器中的某些端口来帮助改善Street Fighter 6中的在线连接.</p>
<p><img src=”https://portforward.com/dota-2/thumbnail.webp” alt=”Dota 2游戏艺术品由英雄团队组成” width=”300″ height=”168″ /></p>
<p>如何在路由器中打开dota 2的端口</p>
<p>将路由器中的某些端口转发为DOTA 2可以帮助您改善联系,并使您与更多玩家建立联系.</p>
<p><img src=”https://portforward.com/yu-gi-oh-master-duel/thumbnail.webp” alt=”Yu-Gi-Oh!决斗大师艺术品,有一条白龙在金盔甲中” width=”300″ height=”168″ /></p>
<p>Yu-Gi-Oh的路由器上的打开端口! 决斗大师</p>
<p>您可以帮助改善Yu-Gi-Oh的在线连接! 决斗大师在路由器中转发一些端口.</p>
<p><img src=”https://portforward.com/counter-strike-2/thumbnail.webp” alt=”反击2游戏封面艺术品” width=”300″ height=”168″ /></p>
<p>在路由器中创建端口的逆转2</p>
<p>在路由器中转发一些逆转录2的端口可以帮助改善您的在线连接.</p>
<p><img src=”https://portforward.com/stellaris/thumbnail.webp” alt=”缩略图为Stellaris” width=”300″ height=”168″ /></p>
<p>端口转发在您的路由器上,以获得Stellaris</p>
<p>转发某些端口可以帮助您改善您的在线连接,并使与他人一起玩Stellaris变得更加容易.</p>
<p><img src=”https://portforward.com/far-cry-6/thumbnail.webp” alt=”to cry 6的缩略图6″ width=”300″ height=”168″ /></p>
<p>在路由器中创建一个端口,以备遥哭6</p>
<p>您可以通过转发某些端口来帮助改善您的在线体验,并更轻松地与其他人联系6.</p>
<p><img src=”https://portforward.com/diablo-iv/thumbnail.webp” alt=”暗黑破坏神IV艺术品以莉莉丝为特色” width=”300″ height=”168″ /></p>
<p>如何在路由器中为暗黑破坏神IV创建端口</p>
<p>向您的路由器中的某些Diablo IV转发一些端口,以帮助改善在线连接并与更多玩家建立联系.</p>
<h2>开放端口:它们是什么以及为什么需要保护它们</h2>
<img src=”https://www.itsasap.com/hubfs/Sandy%20Author%20Profile%20Pic.png” alt=”亚历山德拉·德斯科尔(Alessandra Descalso)” />
<p> <em>打开端口启用服务和应用程序可以正确执行其功能. 但是,某些端口可能对您的网络构成安全风险. 阅读本文,以更好地理解您为什么要关闭风险,未使用的端口.</em> </p>
<p>端口允许设备之间的通信. 面向互联网的服务和应用程序实质上是在端口上聆听外部连接以完成他们的工作. 没有端口,无法通过互联网之间的主机之间的通信.</p>
<p>有时,端口的问题是那些不应该打开的问题是无意间暴露的. 贵公司的管理员可能已经开设了一个端口来满足请求并忘记了所有要求. 防火墙配置可能已通过应用程序自动修改.</p>
<p>在任何给定时间,通常都很难评估和减轻与开放端口相关的风险. 不幸的是,开放端口为攻击者提供了系统中漏洞的途径. 与开放端口有关的数据泄露一直发生.</p>
<p>在智能技术解决方案中,这是我们通常从一些客户那里遇到的问题. 但是,通过深入的网络评估,我们可以发现开放的端口和服务,这些端口和服务可能会使客户的网络处于危险之中. 我们一直为368个客户做同样的事情,并且在过去的18年中计算.</p>
<p>在本文中,我们解释了什么是开放端口以及使它们打开的安全含义. 我们还讨论了它们的工作方式以及您可以做些什么来保护它们.</p>
<h2>什么是开放端口,它们如何工作?</h2>
<h2><img src=”https://www.itsasap.com/hs-fs/hubfs/Optimized-person_pointingtolaptop%20(1).png?width=600&name=Optimized-person_pointingtolaptop%20(1).png” alt=”一个指向他笔记本电脑的人” width=”1200″ /></h2>
<p>在讨论为什么离开某些端口是安全风险之前,让我们首先研究哪些端口的细节.</p>
<p>术语端口是指通信终点或所有网络通信启动和结束的位置. 端口标识特定过程或服务,并根据其专门目的为数字分配一个数字.</p>
<p>简单地说,端口使设备能够通过类似的网络连接来判断他们收到的数据如何处理. 例如,电子邮件通过与网站(端口80)不同的端口(端口25)路由。. 当前正在使用的端口无法在其上运行另一个服务,并将返回错误消息.</p>
<p>Internet协议套件的运输层,例如传输控制协议(TCP)和用户数据报协议(UDP),使用端口传输和接收大量信息,称为数据包. 开放端口是指积极接受数据包的TCP或UDP端口号 . 换句话说,它背后是一个正在接收通信的系统. 另一方面,封闭的端口拒绝或忽略数据包.</p>
<p>某些端口是为特定协议保留的,因此必须打开. 此外,根据您的防火墙配置或操作系统开放端口.</p>
<h2>是什么使开放端口危险?</h2>
<p>开放端口本身不是问题. 这是在这些端口上侦听的应用程序和服务.</p>
<p>攻击者可以轻松利用在端口上侦听的应用程序中的弱点. 黑客可以利用较旧的,未拨打的软件,弱凭证和错误配置的服务中的安全漏洞来妥协网络.</p>
<p>有些港口无意公开曝光. 例如,通过TCP端口139和445操作的服务器消息块(SMB)协议在Windows机器中默认打开. 它仅用于文件共享,打印机共享和远程管理.</p>
<p>由于SMB协议的早期版本中的许多漏洞,威胁参与者在高度公开的WannaCry Ransomware攻击中利用它. 感染WannaCry感染的计算机扫描了其网络,用于接受SMB端口上的流量以连接并传播恶意软件.</p>
<p>此外,有些港口容易滥用. 一个示例是Microsoft的远程桌面协议(RDP),该协议允许用户访问远程主机. 根据其运营总监彼得·施罗夫斯基(Peter Swarowski)的说法,有许多攻击向量,试图通过RDP进入.</p>
<p><em>“其中一些是未拨打的系统,具有已知漏洞. 其中有些是蛮力,因此,如果您暴露了RDP,而您没有能够从几个失败的登录中锁定帐户的手段,那么黑客可以以这种方式获得。”.</em></p>
<h2>如何保护开放端口</h2>
<p>根据Swarowski的说法,您可以将周围免受脆弱,未使用或普遍滥用的端口的风险的方式。</p>
<h3>1. 使用安全的虚拟专用网络(VPN)访问端口.</h3>
<p><img src=”https://www.itsasap.com/hs-fs/hubfs/a%20laptop%20using%20a%20secure%20virtual%20private%20network.png?width=389&name=a%20laptop%20using%20a%20secure%20virtual%20private%20network.png” alt=”使用安全虚拟专用网络的笔记本电脑” width=”778″ /></p>
<p>如果企业需要诸如RDP之类的东西,它将使用加密的VPN连接来访问RDP,而不是将其打开到Internet. 用户需要先连接到VPN,然后才能访问您的RDP. 这样,必须先攻击和绕过VPN,然后攻击者才能进入脆弱的RDP连接.</p>
<h3>2. 使用多因素身份验证.</h3>
<p><img src=”https://www.itsasap.com/hs-fs/hubfs/a%20person%20doing%20online%20banking%20money%20transfer%20with%20multi-factor%20authentication.png?width=389&name=a%20person%20doing%20online%20banking%20money%20transfer%20with%20multi-factor%20authentication.png” alt=”通过多因素身份验证进行网上银行汇款的人” width=”778″ /></p>
<p>拥有多因素身份验证(MFA)有助于确保开放服务. 即使您有凭证泄漏或蛮力尝试,威胁参与者也会受到其他代码或身份验证方法的挑战,他们将无法绕过.</p>
<h3>3. 实施网络细分.</h3>
<p><img src=”https://www.itsasap.com/hs-fs/hubfs/a%20secured%20segmented%20network.png?width=389&name=a%20secured%20segmented%20network.png” alt=”有担保的分段网络” width=”778″ /></p>
<p>网络分割是一个将较大网络分为较小的部分或子网的过程. 如果您为相机系统有开放的DVR(数字视频录音机)端口,则可以将其从网络的其余部分中分割出来的另一种选择. 即使有人进入此DVR,他们也无法进入您的服务器和您的工作站,也无法追求更多关键数据.</p>
<h3>4. 定期扫描网络端口.</h3>
<p><img src=”https://www.itsasap.com/hs-fs/hubfs/a%20network%20scan%20for%20open%20ports.png?width=389&name=a%20network%20scan%20for%20open%20ports.png” alt=”开放端口的网络扫描” width=”778″ /></p>
<p>它运行一个过程,寻找不安全的开放服务,例如未加密的客户网络上的旧端口,因此管理员可以关闭或用安全版本替换它们. 每个托管设备上的每个端口都会启动每周检查,以确定哪些风险是有风险的,需要受到限制.</p>
<h2>管理攻击表面</h2>
<p>您的攻击表面(我.e., 攻击者可以利用的所有可能点的总和应受到限制. 通过全面的网络评估,您可以在物理和数字环境(包括未使用的,暴露的端口)中确定漏洞. 一些开放端口对您的系统构成危险,应确保.</p>
<p>借助其保持攻击表面较小. 它可以帮助您确保基础架构的安全性. 立即与我们的帐户代表取得联系以进行免费网络评估.</p>