上次說了端口号相關的内容,這次聊聊「端口限制」的事。
經常看到關于安全的書籍上會說「不要開放多餘的端口」,那麼,如何限制端口才好呢?
實際,端口限制的方法大體上分的話有2種。
其一,「通過應用程式來處理」。試着一下考慮「打開端口」本來是怎麼一回事。比如,啟動Apache之類的Web服務程式的時候,(如果沒有特别的設定)會打開Well known ports中的80号端口,
然後通過80号端口開始等待通信。
是以,如果關閉了服務端應用程式的話,端口也會自動被關閉。「不要開放多餘的端口」也就是「不要啟動多餘的應用程式」。
其二,「限制通信」。代表性的方法就是「過濾資料包」。通過「過濾資料包」,可以實作關閉特定端口的通信,特定IP的通信。
Linux中的「iptables」指令就可以過濾資料包。通過iptables指令,可以詳細的指定攔截何種通信,是以可以實作「攔截某個主機的特定端口」。
調查「哪個端口是打開的」?可以使用「netstat」,「lsof」,「nmap」等指令。這裡不再介紹這些指令的詳細資訊,簡單來說:
通過「netstat」和「lsof」可以知道「本機上打開了哪些端口?」
通過「nmap」可以知道「其他主機上打開了哪些端口?」
過濾資料包的時候,需要注意的是通過netstat和lsof指令來看,有時候端口是空閑的。
本文轉自wang_yb部落格園部落格,原文連結:http://www.cnblogs.com/wang_yb/p/3792101.html,如需轉載請自行聯系原作者
![Apache配置SSLApache配置SSL[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)