如何为托管主机端口的服务器设置安全策略

主机端口是服务器托管用户和来宾进入服务器的重要通道。端口的打开和关闭不仅关系到用户的正常使用，而且关系到服务器的安全性。

1.系统保留端口（从0到1023）

外部服务器上的系统保留端口通常对应于Internet上的某些常见服务。每个打开的此类端口代表一个系统服务。例如，端口80代表Web服务。 21对应于FTP，25对应于SMTP，110对应于POP3，依此类推。

2.动态端口（从1024到65535）

当您需要与他人通信时，Windows将在此计算机上从1024开始分配一个动态端口。如果未关闭端口1024，则在您再次需要它时将为您分配端口1025，依此类推。

但是，某些系统服务绑定到端口1024至49151，例如端口3389（远程终端服务）。当我们远程控制外部服务器时，我们使用此端口建立连接。如果端口关闭，则会导致服务器连接失败

如何检查服务器上打开了哪些端口

1，使用netstat命令

Windows提供了netstat命令，该命令可以显示当前的TCP / IP网络连接。注意：仅当安装了TCP / IP协议时，才可以使用netstat命令。下面我们简要解释窗口系统的外部服务器：

操作方法：单击“开始→程序→附件→命令提示符”进入DOS窗口并输入命令netstat -na Enter，然后将显示机器的连接状态和打开的端口。本地地址表示本地计算机的IP地址和打开的端口号，外部地址是远程计算机的IP地址和端口号，状态表示当前的TCP连接状态，而侦听是侦听状态，表示计算机正在打开端口135进行侦听并等待远程计算机的连接。

如果在DOS窗口中输入netstat -nab命令，它还将显示每个连接所创建的程序。该计算机侦听端口135，并由svchost.exe程序创建。该程序总共调用5个组件（WS2_32.dll，RPCRT4.dll，rpcss.dll，svchost.exe，ADVAPI32.dll）以完成创建。如果发现计算机打开了可疑端口，则可以使用此命令查看其调用的组件，然后检查每个组件的创建时间和修改时间。如果发现异常，则可能是特洛伊木马。

2.使用端口监控软件

与netstat命令类似，端口监视软件也可以检查此计算机打开了哪些端口。有许多这样的软件，例如Tcpview，Port Reporter，Green Eagle PC Universal Wizard，网络端口查看器等，建议您在联机时启动它。 Tcpview，密切监视本地端口连接，以便您可以防止非法连接并确保网络安全

第三，关闭机器不使用的端口

Windows默认情况下会打开许多??端口，因此黑客可以通过这些端口控制服务器，因此您应该关闭这些端口。主要的有：TCP139、445、593、1025和UDP123、137、138、445、1900，某些流行病毒的后门端口（例如TCP 2513、2745、3127、6129）和远程服务访问端口3389。关闭方式是：

①端口137、138、139和445：它们均开放供共享。您应禁止其他人共享您的计算机，因此应通过单击“开始→控制面板→系统→硬件→设备管理器”关闭所有这些端口，在“视图”菜单下单击“显示隐藏的设备”，双击“非”。 -“即插即用驱动程序”，找到并双击Tcpip上的NetBios，在打开的“ NetBIOS over Tcpip属性”窗口中，单击“常规”选项卡下的“不要使用此设备（禁用）”，单击单击“确定”按钮，然后重新启动。

②关闭UDP123端口：单击“开始→设置→控制面板”，双击“管理工具→服务”，然后停止Windows Time服务。关闭UDP端口123可以防止某些蠕虫。

③关闭UDP1900端口：双击控制面板中的“管理工具→服务”，然后停止SSDP Discovery Service服务。关闭此端口可以防止DDoS攻击。

④其他端口：您可以使用网络防火墙将其关闭，也可以在“控制面板”中双击“管理工具→本地安全策略”，选择“本地计算机上的IP安全策略”，然后创建IP安全策略以将其关闭。关闭它。

第四，重定向机器的默认端口以保护系统安全

如果无法关闭计算机的默认端口，则应“重定向”它。将端口重定向到另一个地址，以便您可以隐藏接受的默认端口，降低损坏的可能性，并保护系统安全性。

例如，您的计算机具有一个远程终端服务器端口（默认为3389），您可以通过以下方式将其重定向到另一个端口（例如1234）：

1.在这台机器上修改（服务器端）

导航到以下两个注册表项，并将其中的PortNumber更改为自定义端口（例如1234）：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

2.在客户端上修改

依次单击“开始→程序→附件→通信→远程桌面连接”以打开“远程桌面连接”窗口，单击“选项”按钮以展开该窗口，并在完成相关参数后单击“另存为”用于将连接参数导出为rdp文件的按钮，使用记事本打开文件，并在文件末尾添加一行：服务器端口：i：1234（在此处填写服务器的自定义端口）。 rdp文件已准备就绪，可以连接到服务器的此自定义端口。