服务器日常安全运维管理基础手册.docx

资源描述

1、安全日常运维管理河北连益成信息技术编写人陈磊时间-12-2版本Version 1.0目录第一章安全运维管理体系分析41.1 安全日常运维管理的必要性41.2 安全运维管理的技术支撑体系51.3 安全运维管理遵循的PDCA周期61.4 安全日常运维管理的目标6第二章帐户口令管理72.1 职责定义92.2 口令账号五个保密等级92.2.1 【最低等级】等级一92.2.2 【低等级】等级二102.2.3 【中等级】等级三102.2.4 【坚固级】等级四112.2.5 【最高级】等级五122.3 账号管理132.3.1 账号角色分配目的132.3.2 建立的原则132.3.3

2、账号建立的过程142.4 口令管理162.4.1 口令管理原则162.4.2 口令设置原则172.4.3 口令设置最低标准182.5 权限管理192.5.1 概述192.5.2 确定最小权限192.5.3 建立权限体系202.6 账号口令审计管理212.6.1 概述212.6.2 账号审查通用要求222.6.3 账号口令审计流程设计建议23第三章服务与端口243.1 什么是端口243.2 什么是服务243.3 常用端口列表25第四章安全补丁434.1 概述434.2 补丁安装与操作434.2.1 检测内容434.2.2 建议操作444.2.3 操作结果44第五章终端管理44第六章数据

3、备份466.1 备份管理466.1.1 信息识别466.1.2 制定备份计划476.1.3 实施备份计划486.1.4 备份存放486.1.5 备份测试496.1.6 备份恢复496.2 数据恢复49第一章安全运维管理体系分析1.1 安全日常运维管理必需性IT系统是否能够正常运行直接关系到业务或生产是否能够正常运行。但IT管理人员常常面临问题是：网络变慢了、设备发生故障、应用系统运行效率很低。IT系统任何故障假如没有立即得到妥善处理全部将会造成很大影响，甚至会造成可怕经济损失。不过什么原因造成IT系统屡出问题？是产品、技术、还是缺乏有效、系统化安全运维管理？伴随电信IT系统发展，业务应用连续

4、增加，其IT基础设施架构越来越复杂，单纯凭某个工具或某个人不可能有效地保护自己整体网络安全;信息安全作为一个整体，需要把安全过程中相关各层次安全产品、分支机构、运行网络、管理维护制度等纳入一个紧密统一安全管理平台（系统)中，才能有效地保障企业网络和信息安全。IT环境复杂性，使更多安全威胁被揭示出来。很多企业尝试经过布署“最好”安全产品来保护自己，比如防病毒网关、防火墙、入侵防护系统、VPN、访问控制、身份认证等。在这种极度复杂情况下，需要是一个集成处理方案，使得企业能够搜集、关联和管理来自异类源大量安全事件，实时监控和做出响应，需要是能够轻松适应环境增加和改变管理体系，需要就是企业完整安全管理

5、平台处理方案。总而言之，对于企业安全运维管理来说，三分技术，七分管理，在企业内部建立一套完善安全管理规章制度，使管理机构依据对应管理制度和管理步骤对日常操作、运行维护、审计监督、文档管理等进行统一管理，同时加强对工作人员安全知识和安全操作培训，建立统一安全管理体系，帮助企业识别、管理和降低信息通常所面临多种威胁，架构企业安全保障体系。1.2 安全运维管理技术支撑体系安全监控和基础维护安全技术支撑运维预防P响应R恢复R策略发觉D安全监控和基础维护安全技术支撑PPDRR模型包含策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recov

6、ery）5个关键部分，其中，防护、检测、响应和恢复组成一个完整、动态安全循环，在安全策略指导下共同实现安全保障信息安全关键理论模型包含信息安全概念范围、信息安全保障体系结构框架、信息安全三维结构和PPDRR模型1. 制订网络和系统层面整体安全技术保护方案和技术规范；2. 逐步实现安全自评定，全方面掌握安全风险；3. 提供重大安全预警信息公布和处理方案；4. 协调响应网络层面各类重大安全事件；5. 对各类安全事件相关数据进行综合分析，形成安全运行分析汇报；6. 对生产层面安全策略进行集中控制；7. 跟踪研究多种安全问题和技术，搜集多种基础信息资源。8. 进行7二十四小时日常安全安全事件监测，负责

7、受理安全投诉。9. 对安全事件进行搜集汇总，进行事件预处理。10. 系统日常口令维护，加载安全补丁和梳理服务端口等11. 实施各类安全设备和配套管理设备日常维护。12. 实施通常安全预警和安全应急事件处理。13. 落实系统本身安全应急预案，并参与安全应急演练1.3 安全运维管理遵照PDCA周期1.4 安全日常运维管理目标安全工作目标就是为了在安全法律、法规、政策支持和指导下，经过采取适宜安全技术和安全管理方法，完成下述网络和信息安全保障任务。进不来：使用访问控制机制，阻止非授权用户进入网络，从而确保网络系统可用性拿不走：使用授权机制，实现对用户权限控制，即不该拿走“拿不走”，同时结合内容审

8、计机制，实现对网络资源及信息可控性。看不懂：使用加密机制，确保信息不泄漏给未授权实体或进程，即“看不懂”，从而实现信息保密性改不了：使用数据完整性判别机制，确保只有得到许可人才能修改数据，而其它人“改不了”，从而确保信息完整性。跑不了：使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并深入对网络出现安全问题提供调查依据和手段，实现信息安全可审查性。为保障IT系统正常运行，应能做到以下所表示总结：安全日常运维管理可总结为高效管理能力、全方面运维能力、安全保护能力、隐患发觉能力、应急响应能力、快速恢复能力第二章帐户口令管理为何有这么多人钟情于窃取帐号口令？攻击者

9、窃取帐号有着非法目标、意图，恶意毁坏操作等行为，她们或以出名，或以炫耀技术为目标。而现在，窃取帐号行为全部和窃取商业机密和机密信息、数据、经济利益相关，大全部有着利益化倾向犯罪行为。帐号衩窃取常见原因2.1 职责定义2.2 口令账号五个保密等级2.2.1 【最低等级】等级一只有基础甚至没有保障方法，用于电子系统帐号。在第一等级保障情况下，只有基础甚至没有保障方法用于电子系统帐号，等级一情况下，错误口令、帐号和权限管理可能造成给企业、用户或第三方带来最小不便。不会给企业、用户或第三方带来直接经济损失不会给企业、用户或第三方带来不快不会给企业、用户或第三方带来声誉或地位损失不会破坏企业、用户或第三

10、方需要实施商业方法或交易不会造成民事或刑事犯罪不会向未经授权组织或个人暴露个人、企业、政府、商业敏感信息未验收和未投入使用系统，工程过程中系统（假设没有包含知识产权，比如软件代码泄密问题情况下）2.2.2 【低等级】等级二经过常见方法即可保护系统可信认证，必需充足考虑代价和认证安全性平衡这种等级认证被误用或破坏可能造成：给企业、用户或第三方带来较小不便给企业、用户或第三方带来较小直接经济损失或没有直接经济损失会给企业、用户或第三方带来较小不快会给企业、用户或第三方带来较小声誉或地位损失存在一定风险，可能破坏企业、用户或第三方需要实施商业方法或交易不会造成民事或刑事犯罪。存在一定风险，可能少许

11、向未经授权组织或个人暴露个人、企业、政府、商业敏感信息举例：一台常见办公电脑，该电脑上没有存放任何机密文件，她帐号被窃取可能造成企业常见信息比如通讯录被泄漏。一个有查询系统帐号，用户能够经过Internet注册来查询自己帐单。该帐号失窃可能造成用户信息泄漏。2.2.3 【中等级】等级三假如该等级帐号被破坏，攻击者往往能够经过这种系统作为中转，进而对部分关键系统主机进行破坏。这种等级帐号口令即使不是直接业务系统或数据库帐号，不过，假如该等级帐号被破坏，攻击者往往能够经过这种系统作为中转，进而对部分关键系统主机进行破坏，该等级被误用关键风险有：经过中转可能给企业、用户或第三方带来较大不便经过中转

12、有可能给企业、用户或第三方带来较大直接经济损失或没有直接经济损失经过中转会给企业、用户或第三方带来较大不快经过中转会给企业、用户或第三方带来较大声誉或地位损失存在一定风险，会破坏企业、用户或第三方需要实施商业方法或交易可能会造成民事或刑事犯罪存在一定风险，可能大量向未经授权组织或个人暴露个人、企业、政府、商业敏感信息举例：维护终端用户帐号，因为部分业务系统会对终端做特定限制，维护终端被破坏后，造成攻击者能够深入破坏业务系统，关键可信网络设备帐号等。2.2.4 【坚固级】等级四通常等级四意味着正式业务步骤使用帐号，通常需要较高信心来确保身份认证和正确授权。通常等级四意味着正式业务步骤使用帐号，

13、通常需要较高信心来确保身份认证和正确授权，这种等级认证被误用或破坏可能造成：给企业、用户或第三方带来较大不便给企业、用户或第三方带来较大直接经济损失或没有直接经济损失会给企业、用户或第三方带来较大不快会给企业、用户或第三方带来较大声誉或地位损失存在较大风险，会破坏企业、用户或第三方需要实施商业方法或交易会造成民事或刑事犯罪存在较大风险，可能大量向未经授权组织或个人暴露个人、企业、政府、商业敏感信息举例：通常主机操作系统、数据库、和路由器高权限帐号，比如root、administrator、dba等。业务系统关键管理帐号，能够读写关键用户信息、业务信息和帐单信息。2.2.5 【最高级】等级五等

14、级五保障通常对应需要很大信心保障系统。等级五保障通常对应需要很大信心保障系统这种等级认证被误用或破坏可能造成：给全部企业、用户或第三方带来巨大不便给企业、用户或第三方带来极大直接经济损失或没有直接经济损失会给企业、用户或第三方带来极大不快会给企业、用户或第三方带来巨大声誉或地位损失破坏企业、用户或第三方需要实施商业方法或交易会造成民事或刑事犯罪大量向未经授权组织或个人暴露个人、企业、政府、商业敏感信息举例：关键系统，比如计费系统数据库主机操作系统和数据库。用于存放企业最高商业机密或密级为绝密系统认证。2.3 账号管理2.3.1 账号角色分配目标（一）加强网络和信息安全管理，明确各级系统用户权职

15、责。（二）依据业务系统要求及网络信息管理规范，深入完善各级用户在系统中职能划分和角色定位。（三）强化系统帐户和密码管理，降低帐户和密码泄漏对系统和数据安全产生影响，确保各相关信息汇报系统安全、有效运行。系统管理员和超级用户是有权限对系统配置、系统最关键信息进行更改帐号和角色，一般帐号是用户用于访问业务系统，实现日常业务操作用户，是最为常见用户类型，第三方帐号通常指因为某种特殊情况，系统许可移动以外人员和组织访问帐号。在关键系统中，应该设置安全审计员帐号，该帐号能够对系统安全设置和日志信息进行专门审计。2.3.2 建立标准（1）不一样类型用户建立应遵照满足其工作需要标准，而用户权限分配则应以保障

16、网络和信息高效、正确、安全为标准。（2）用户权限分配应尽可能使用系统提供角色划分。如需特殊操作权限，应在正确了解其各项操作内容基础上，尽可能避免和降低权限相互抵触、交叉及嵌套情况发生，经测试成功后，再创建对应角色给予本级用户或直报用户。（3）经过对用户进行角色划分，分配审计账号、用户权限，合理限制对其它角色用户、数据修改权限，将审查数据和配置数据相对剥离，即原始配置数据和统计查看查看信息分开。（4）系统内全部包含查看数据帐户信息均必需采取真实信息，即有查询机制确定审计人员信息正确。2.3.3 账号建立过程帐号管理贯穿帐号创建、授权、权限变更及帐号撤销或冻结全过程帐号设置应和岗位职责相容；坚

17、持最小授权标准，避免超出工作职责过分授权；应制订严格审批和授权步骤，规范帐号申请、修改、删除等工作，授权审批统计应编号、留档（表格命名规则及格式参见附件，各省企业可重新制订相关表格）；帐号创建、调整和删除申请审批经过后，应立即更新系统中帐号状态，确保和审批结论保持一致；标准上，除低权限查询帐号外，各系统不许可存在其它共享帐号，必需明确每个帐号责任人，不得以部门或用户组作为最终责任人。在完成特定任务后，系统管理员应立即收回临时帐号。帐号创建、变更、删除审批步骤超级帐号由主管领导以授权方法授予具体系统管理员，授权书最少应包含系统名称、超级帐号名、授予人姓名、职责描述、使用期等；全部帐号，包

18、含系统管理员帐号、一般帐号、程序帐号责任人，应按要求申请表格式要求提出申请，申请表最少包含申请人姓名、联络方法、申请人职责描述、申请时间、申请目标、申请帐号所属系统名称、帐号类型、创建或变更或删除操作类型、帐号权限描述、主管领导审批意见、系统管理员变更操作统计及签字确定、权责描述备注栏目等；主管领导进行审批，关键检验所申请权限和申请人职责一致性；系统管理员负责创建、变更或删除帐号，保留审批表格、并立案。如因系统能力或管理原因无法按用户创建帐号时，应采取以下管理方法：明确共享帐号责任人，责任人负责根据上述步骤要求提出共享帐号审批表，并在审批表中注明该共享帐号全部用户名单；限制共享帐号使用人数

19、，建立相关管理制度确保系统每项操作均能够对应到实施操作具体人员；限定使用范围和使用环境；建立完善操作统计制度，对交接班统计、关键操作统计表等等；定时更新共享帐号密码。对于程序运行或程序本身因为管理需要访问其它系统所使用专用帐号，应符合以下要求：只许可系统和设备之间通信使用，不得作为用户登录帐号使用；将这类帐号维护管理权限统一授权给该系统系统管理员，由后者归口管理；2.4 口令管理2.4.1 口令管理标准口令最少由6位及以上大小写字母、数字及特殊符号等混合、随机组成，尽可能不要以姓名、电话号码和出生日期等作为口令或口令组成部分。应以HASH或加密技术保留口令，不得以明文方法保留或

20、传输；口令最少每90天更换一次。修改口令时，须保留口令修改统计，包含帐号、修改时间、修改原因等，以备审计； 5次以内不得设置相同口令；因为职员离职等原因，原帐号不能删除或需要重新给予另一个人时，应修改对应帐号口令。如系统能力支持，应开启并设置自动拒绝不符合上述口令管理规则帐号和口令参数；对于无法建立口令规则强制检验系统，帐号用户应在每次口令修改后留有统计。对于无法进行定时修改口令帐号，如内置帐号、专用帐号等，由系统管理员负责在系统升级或重启时督促落实口令修改工作，负责督促落实调用该帐号程序和所访问系统两侧口令同时工作。当发生下述情况时，应立即撤销帐号或更改帐号口令，并做好统计：帐号

21、使用者因为岗位职责变动、离职等原因，不再需要原有访问权限时；临时性或阶段性使用帐号，在工作结束后；帐号使用者违反了相关口令管理要求；有迹象，表明口令可能已经泄露等。2.4.2 口令设置标准口令必需含有足够长度和复杂度，使口令难于被猜测口令在一定时间或次数内不能循环使用不一样帐号口令应该不一样，而且没有直接联络，以确保不可由一个帐号口令推知其它帐号口令同一帐号前后两个口令之间相同部分应该尽可能降低，减低由前一个口令分析出后一个口令机会口令不应该取过于简单字符串，如电话号码、使用者姓名、宠物、生日或其倒序，6位字符全部相同、6位连续字符等易于猜测信息开户时设定初始口令必需是随机产生

22、口令，而不能是相同或有规律口令全部系统管理员等级口令（比如root、enable、NT administrator、DBA等）在没有使用增强口令情况下，必需根据较短周期进行更改，比如每三个月更换一次。应该注意关键性帐号信息定时行备份。用户所使用任何含有系统超级用户权限（包含并不限于系统管理员帐号和有sodu权限帐号）帐号口令必需和这个用户其它帐号口令均不相同。假如有双要素认证机制，则以上要求和下面相关强口令选择要求能够不考虑。口令不能在电子邮件或其它电子方法下以明文方法传输。当使用SNMP时，communication string不许可使用缺省Public、Private和syst

23、em等，而且该communication string不应该和系统其它口令相同，应该尽可能使用SNMPv2以上版本。2.4.3 口令设置最低标准假如技术上支持，口令最少要有6位长口令必需是字母和非字母组合口令第1位和最终1位最少应包含1个非数字字符和前次口令比较，在任何位置不能有超出3个字符连续相同口令不能包含超出2个连续相同字符用户名不能作为口令一部分和前4次相同口令不能反复使用口令不能被共享除非每个口令行为全部能被区分对于等级要求很高系统，一般用户口令要求8位以上管理员/超级用户帐号最近20个口令不可反复，口令长度不可小于7位，口令中必需包含大写字母、小写字母和数字中两

24、类，口令中同一个符号不得多于2次，且不得有1个以上字符出现两次，前后2个口令中相同位置字符相同不得多于2个；口令不得有显著意义修改帐号使用人应该定时修改帐号口令，修改口令间隔应小于本标准相关要求，对于本标准没有要求用户，其间隔应该小于6个月不一样用户修改口令最大间隔为：1) 一般帐号应该小于6个月2) 管理员帐号和超级管理员帐号应该小于3个月匿名用户帐号能够不修改口令2.5 权限管理2.5.1 概述根据“谁主管，谁负责”、“谁使用、谁负责”、全部帐号均应落实责任人标准制订本措施。帐号和口令管理包含基于帐号操作或访问控制权限管理。帐号是作为访问主体。而基于帐号进行操作目标就是访问客体。通常

25、这个客体被当成为资源。对资源访问控制权限设定依不一样系统而不一样。从移动帐号管理角度，能够进行基于角色访问控制权限设定。即对资源访问控制权限是以角色或组为单位进行授予。2.5.2 确定最小权限1、所谓最小特权（Least Privilege），指是“在完成某种操作时所给予网络中每个主体（用户或进程）必不可少特权”。最小特权标准，则是指“应限定网络中每个主体所必需最小特权，确保可能事故、错误、网络部件篡改等原因造成损失最小”。 2、最小特权标准首先给主体“必不可少”特权，这就确保了全部主体全部能在所给予特权之下完成所需要完成任务或操作；其次，它只给主体“必不可少”特权，这就限制了每个主体所能进行

26、操作。最小特权标准要求每个用户和程序在操作时应该使用尽可能少特权，而角色许可主体以参与某特定工作所需要最小特权去签入（Sign）系统。被授权拥有强力角色（Powerful Roles）主体，不需要动辄利用到其全部特权，只有在那些特权有实际需求时，主体才去利用它们。如此一来，将可降低因为不注意错误或是侵入者假装正当主体所造成损坏发生，限制了事故、错误或攻击带来危害。它还降低了特权程序之间潜在相互作用，从而使对特权无意、没必需或不合适使用不太可能发生。这种想法还能够引申到程序内部：只有程序中需要那些特权最小部分才拥有特权。 3、基于角色访问控制是一个新型访问控制模型，它基础思想是将权限和角色联络

27、起来，在系统中依据应用需要为不一样工作岗位创建对应角色，同时依据用户职务和责任指派适宜角色，用户经过所指派角色取得对应权限，实现对文件访问。它支持最小特权、责任分离和数据抽象三个基础安全标准。 4、最小权限标准要求：每个用户/任务/应用在必需知情前提下被给予明确访问对象和模块权限。遵照最小权限标准运行系统要求授予用户访问对象明确权限。准许或拒绝访问数据库或服务器对象第一步是认证和授权对帐号授权，应以其能进行系统管理、操作最小权限进行授权。比如这个帐号作为系统帐号只能进行数据备份操作，那就只授权其能够进行数据备份操作命令。别诸如进行系统网络状态监控命令则不授权其能够进行。对于授权，应该支持一

28、定授权粒度控制，从而控制用户访问对象和访问行为，确保用户最小授权。2.5.3 建立权限体系基于角色访问控制（RBAC）模型是现在国际上流行优异安全访问控制方法。它经过分配和取消角色来完成用户权限授予和取消，而且提供角色分配规则。安全管理人员依据需要定义多种角色，并设置适宜访问权限，而用户依据其责任和资历再被指派为不一样角色。这么，整个访问控制过程就分成两个部分，即访问权限和角色相关联，角色再和用户关联，从而实现了用户和访问权限逻辑分离。因为实现了用户和访问权限逻辑分离，基于角色策略极大方便了权限管理。比如，假如一个用户职位发生改变，只要将用户目前角色去掉，加入代表新职务或新任务角色即可。研究

29、表明，角色/权限之间改变比角色/用户关系之间改变相对要慢得多，而且给用户分配角色不需要很多技术，能够由行政管理人员来实施，而给角色配置权限工作比较复杂，需要一定技术，能够由专门技术人员来负担，不过不给她们给用户分配角色权限，这和现实中情况恰好一致。基于角色访问控制能够很好描述角色层次关系，实现最小特权标准和职责分离标准2.6 账号口令审计管理2.6.1 概述号口令管理实施情况，在很大程度上取决于帐号口令审查监督力度。在企业内部推行帐号口令管理制度很大一部分工作需要经过不停监督、审查再配合相关奖惩要求来确保。所以完善帐号口令审查制度对于整个帐号口令管理至关关键。2.6.2 账号审查通用要求对

30、于保障等级一、二类帐号一般用户，能够依据实际情况决定是否进行定时审查对于保障等级一、二类帐号超级用户，定时审查时间间隔不超出六个月对于保障等级三、四类帐号一般用户，定时审查时间间隔不超出三个月对于保障等级四、四类帐号超级用户，定时审查时间间隔不超出30天对于保障等级五类帐号全部用户，定时查时间间隔不超出30天任何改变发生后应进行审查，如：发生非法入侵、人员变动等；对于审查过程中出现多出、闲置或非法帐户，应立即给予冻结或删除对核查中发觉问题，应督促相关人员采取必需方法给予纠正通用标准对于已经实施集中认证系统，审计关键工作是对于认证和授权日志进行检验，审核是否有非法登陆事件，是否有

31、越权使用行为等对于操作系统级帐号口令审计分为两种：第一个能够设置帐号登陆和权限使用事件追踪，这种帐号口令审计也是对系统日志和防火墙等访问控制设备日志审计；对于不能实现帐号登录和权限追踪系统，需要人工进行审计，应该依据业务系统属性制订具体审计checklist，由专门安全组织进行定时或不定时帐号随机抽查审计对于应用系统帐号审计工作也是参考操作系统分类进行处理对于网络设备帐号审计工作，因为大部分设备帐号全部是没有日志统计，所以关键审计方法是人工审计，由专门信息安全组织依据设备风险等级要求审计频度和审计checklist 审计checklist内容关键依据审计对象帐号口令管理要求制作，审计关键

32、点是帐号口令复杂度，权限，更改要求等等在制作审计checklist设计时候，需要区分不一样业务系统不一样等级帐号差异，对于关键业务系统和关键帐号审计频度和审计内容要求愈加严格审计结果应该和奖惩要求挂钩，对于数次审计不合格或优异职员和分企业要根据奖惩要求进行对应奖惩专门信息安全部门或组织应该对审计结果定时进行公布，努力争取将审计威慑力逐步提升，让帐号使用者提升安全使用帐号口令意识2.6.3 账号口令审计步骤设计提议帐号口令审计步骤以业务系统风险等级做为差异定制，针对不一样风险等级制订不一样审计checklist 帐号口令审计能够结合现有IT技术，尽可能经过日志文件等方法进行审计，不过有部

33、分系统没法提供电子审计对象，对于高风险等级系统，必需制订替换审计方法，包含手工方法帐号口令审计工作应该以省为单位由省企业安全部门牵头，各业务系统维护单位负责方法，包含难以实现电子化审计，省安全审计责任人应该制订部分不定时抽查制度，对于抽查中出现和审计不符合情况，应结合奖惩规从严处理帐号口令管理步骤中需要考虑对应组织建立，能够明确责任，确定责任人，不能落实到人，落实到部门安全对应领导帐号口令审计后应该将审计结果立即公布，对于违规和表现良好能够进行经典案例宣传，起到增强职员帐号口令安全意识作用第三章服务和端口3.1 什么是端口什么是端口号，一个端口就是一个潜在通讯通道，也是一个入侵通道，开

34、放一个端口就是一台计算机在网络上打开了一扇窗户，黑客入侵方法就是用手工扫描或利用扫描软件找到服务器所开放端口，去依据其对应漏洞对服务器进行入侵或攻击，所以对端口了解是很关键。按对应协议类型，端口有两种：TCP端口和UDP端口。因为TCP和UDP 两个协议是独立，所以各自端口号也相互独立，比如TCP有235端口，UDP也能够有235端口，二者并不冲突。端口号只有整数，范围是从0 到655353.2 什么是服务一台拥有IP地址主机能够提供很多服务，比如Web服务、ftp服务、SMTP服务等，这些服务完全能够经过1个IP地址来实现。那么，主机是怎样区分不一样网络服务呢？显然不能只靠IP地址，因为

35、IP地址和网络服务关系是一对多关系。实际上是经过“IP地址+端口号”来区分不一样服务。需要注意是，端口并不是一一对应。比如你电脑作为用户机访问一台WWW服务器时，WWW服务器使用“80”端口和你电脑通信，但你电脑则可能使用“3457”这么端口端口全部有确切定义，对应着对应服务，每一个打开端口，全部代表一个系统服务。比如，80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。动态端口(从1024到65535) 当你需要和她人通信时，Windows会从1024起，在本机上分配一个动态端口，假如1024端口未关闭，再需要端口时就会分配1025端口供你使用，依

36、这类推。不过有部分系统服务会绑定在1024到49151端口上，比如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，许可Windows动态分配给你使用。3.3 常见端口列表tr端口号码 / 层名称注释/tr 1 tcpmux TCP 端口服务多路复用 5 rje 远程作业入口 7 echo Echo 服务 9 discard 用于连接测试空服务 11 systat 用于列举连接了端口系统状态 13 daytime 给请求主机发送日期和时间 17 qotd 给连接了主机发送每日格言 18 msp 消息发送协议 19 chargen 字符生成服务；发送无止境

37、字符流 20 ftp-data FTP 数据端口 21 ftp 文件传输协议（FTP）端口；有时被文件服务协议（FSP）使用 22 ssh 安全 Shell（SSH）服务 23 telnet Telnet 服务 25 smtp 简单邮件传输协议（SMTP） 37 time 时间协议 39 rlp 资源定位协议 42 nameserver 互联网名称服务 43 nicname WHOIS 目录服务 49 tacacs 用于基于 TCP/IP 验证和访问终端访问控制器访问控制系统 50 re-mail-ck 远程邮件检验协议 53 domain 域名服务（如 BIND） 63 whois+ WHO

38、IS+，被扩展了 WHOIS 服务 67 bootps 引导协议（BOOTP）服务；还被动态主机配置协议（DHCP）服务使用 68 bootpc Bootstrap（BOOTP）用户；还被动态主机配置协议（DHCP）用户使用 69 tftp 小文件传输协议（TFTP） 70 gopher Gopher 互联网文档搜寻和检索 71 netrjs-1 远程作业服务 72 netrjs-2 远程作业服务 73 netrjs-3 远程作业服务 73 netrjs-4 远程作业服务 79 finger 用于用户联络信息 Finger 服务 80 http 用于万维网（WWW）服务超文本传输协议（HTTP

39、） 88 kerberos Kerberos 网络验证系统 95 supdup Telnet 协议扩展 101 hostname SRI-NIC 机器上主机名服务 102/tcp iso-tsap ISO 开发环境（ISODE）网络应用 105 csnet-ns 邮箱名称服务器；也被 CSO 名称服务器使用 107 rtelnet 远程 Telnet 109 pop2 邮局协议版本2 110 pop3 邮局协议版本3 111 sunrpc 用于远程命令实施远程过程调用（RPC）协议，被网络文件系统（NFS）使用 113 auth 验证和身份识别协议 115 sftp 安全文件传输协议（SFTP

40、）服务 117 uucp-path Unix 到 Unix 复制协议（UUCP）路径服务 119 nntp 用于 USENET 讨论系统网络新闻传输协议（NNTP） 123 ntp 网络时间协议（NTP） 137 netbios-ns 在红帽企业 Linux 中被 Samba 使用 NETBIOS 名称服务 138 netbios-dgm 在红帽企业 Linux 中被 Samba 使用 NETBIOS 数据报服务 139 netbios-ssn 在红帽企业 Linux 中被 Samba 使用 NETBIOS 会话服务 143 imap 互联网消息存取协议（IMAP） 161 snmp 简

41、单网络管理协议（SNMP） 162 snmptrap SNMP 陷阱 163 cmip-man 通用管理信息协议（CMIP） 164 cmip-agent 通用管理信息协议（CMIP） 174 mailq MAILQ 电子邮件传输队列 177 xdmcp X 显示管理器控制协议（XDMCP） 178 nextstep NeXTStep 窗口服务器 179 bgp 边界网络协议 191 prospero Prospero 分布式文件系统服务 194 irc 互联网中继聊天（IRC） 199 smux SNMP UNIX 多路复用 201 at-rtmp AppleTalk 选路 202 at-n

42、bp AppleTalk 名称绑定 204 at-echo AppleTalk echo 服务 206 at-zis AppleTalk 区块信息 209 qmtp 快速邮件传输协议（QMTP） 210 z39.50 NISO Z39.50 数据库 213 ipx 互联网络分组交换协议（IPX），被 Novell Netware 环境常见数据报协议 220 imap3 互联网消息存取协议版本3 245 link LINK / 3-DNS iQuery 服务 347 fatserv FATMEN 文件和磁带官吏服务器 363 rsvp_tunnel RSVP 隧道 369 rpc2portmap

43、 Coda 文件系统端口映射器 370 codaauth2 Coda 文件系统验证服务 372 ulistproc UNIX LISTSERV 389 ldap 轻型目录存取协议（LDAP） 427 svrloc 服务位置协议（SLP） 434 mobileip-agent 可移互联网协议（IP）代理 435 mobilip-mn 可移互联网协议（IP）管理器 443 https 安全超文本传输协议（HTTP） 444 snpp 小型网络分页协议 445 microsoft-ds 经过 TCP/IP 服务器消息块（SMB） 464 kpasswd Kerberos 口令和钥匙改换服务 468

44、photuris Photuris 会话钥匙管理协议 487 saft 简单不对称文件传输（SAFT）协议 488 gss-http 用于 HTTP 通用安全服务（GSS） 496 pim-rp-disc 用于协议独立多址传输（PIM）服务会合点发觉（RP-DISC） 500 isakmp 互联网安全关联和钥匙管理协议（ISAKMP） 535 iiop 互联网内部对象请求代理协议（IIOP） 538 gdomap GNUstep 分布式对象映射器（GDOMAP） 546 dhcpv6-client 动态主机配置协议（DHCP）版本6用户 547 dhcpv6-server 动态主机配置协议（D

45、HCP）版本6服务 554 rtsp 实时流播协议（RTSP） 563 nntps 经过安全套接字层网络新闻传输协议（NNTPS） 565 whoami whoami 用户ID列表 587 submission 邮件消息提交代理（MSA） 610 npmp-local 网络外设管理协议（NPMP）当地 / 分布式排队系统（DQS） 611 npmp-gui 网络外设管理协议（NPMP）GUI / 分布式排队系统（DQS） 612 hmmp-ind HyperMedia 管理协议（HMMP）表示 / DQS 631 ipp 互联网打印协议（IPP） 636 ldaps 经过安全套接字层轻型目录访问协议（LDAPS） 674 acap 应用程序配置

展开阅读全文