防火牆和端口，防火牆的功能和作用防火牆的功能和作用

目錄

​​防火牆和端口​​

​​四、網絡端口的分類：​​

​​（1）公認端口（Well-KnownPorts）：範圍從0到1023​​

​​（2）動态端口（Dynamic Ports）：範圍從1024到65535​​

​​防火牆的功能和作用​​

防火牆和端口

一、什麼是端口？ 

由于每種網絡的服務功能都不相同，是以有必要将不同的封包送給不同的服務來處理，是以啰，當你的主機同時開啟了 FTP 與 WWW 服務的時候，那麼别人送來的資料封包，就會依照 TCP 上面的 port 号碼來給 FTP 這個服務或者是 WWW 這個服務來處理，當然就不會搞亂啰！（注：嘿嘿！有些很少接觸到網絡的朋友，常常會問說：『咦！為什麼你的計算機同時有 FTP、WWW、E-Mail 這麼多服務，但是人家傳資料過來，你的計算機怎麼知道如何判斷？計算機真的都不會誤判嗎？！』現在知道為什麼了嗎？！對啦！就是因為 port 不同嘛！你可以這樣想啦，有一天，你要去銀行存錢，那個銀行就可以想成是『主機』，然後，銀行當然不可能隻有一種業務，裡頭就有相當多的視窗，那麼你一進大門的時候，在門口的服務人員就會問你說：『嗨！你好呀！你要做些什麼事？』你跟他說：『我要存錢呀！』，服務員接着就會告訴你：『喝！那麼請前往三号視窗！那邊的人員會幫您服務！』這個時候你總該不會往其它的視窗跑吧？！ ""這些視窗就可以想成是『 port 』啰！是以啦！每一種服務都有特定的 port 在監聽！您無須擔心計算機會誤判的問題呦！） 

· 每一個 TCP 聯機都必須由一端(通常為 client )發起請求這個 port 通常是随機選擇大于 1024 以上的 port 号來進行！其 TCP 封包會将(且隻将) SYN 旗标設定起來！這是整個聯機的第一個封包； 

· 如果另一端(通常為 Server ) 接受這個請求的話（當然啰，特殊的服務需要以特殊的 port 來進行，例如 FTP 的 port 21 ），則會向請求端送回整個聯機的第二個封包！其上除了 SYN 旗标之外同時還将 ACK 旗标也設定起來，并同時時在本機端建立資源以待聯機之需； 

· 然後，請求端獲得服務端第一個響應封包之後，必須再響應對方一個确認封包，此時封包隻帶 ACK 旗标(事實上，後繼聯機中的所有封包都必須帶有 ACK 旗标)； 

· 隻有當服務端收到請求端的确認( ACK )封包(也就是整個聯機的第三個封包)之後，兩端的聯機才能正式建立。這就是所謂的 TCP 聯機的'三段式交握( Three-Way Handshake )'的原理。 

經過三向交握之後，呵呵！你的 client 端的 port 通常是高于 1024 的随機取得的 port 至于主機端則視當時的服務是開啟哪一個 port 而定，例如 WWW 選擇 80 而 FTP 則以 21 為正常的聯機信道！ 

總而言之,我們這裡所說的端口，不是計算機硬體的I/O端口，而是軟體形式上的概念.工具提供服務類型的不同，端口分為兩種，一種是TCP端口，一種是UDP端口。計算機之間互相通信的時候，分為

兩種方式：一種是發送資訊以後，可以确認資訊是否到達，也就是有應答的方式，這種方式大多采用TCP協定；

一種是發送以後就不管了，不去确認資訊是否到達，這種方式大多采用UDP協定。對應這兩種協定的服務提供的端口，也就分為TCP端口和UDP端口。 

那麼，如果攻擊者使用軟體掃描目标計算機，得到目标計算機打開的端口，也就了解了目标計算機提供了那些服務。我們都知道，提供服務就一定有服務軟體的漏洞，根據這些，攻擊者可以達到對目标計算機的初步了解。如果計算機的端口打開太多，而管理者不知道，那麼，有兩種情況：一種是提供了服務而管理者沒有注意，比如安裝IIS的時候，軟體就會自動增加很多服務，而管理者可能沒有注意到；一種是伺服器被攻擊者安裝木馬，通過特殊的端口進行通信。這兩種情況都是很危險的，說到底，就是管理者不了解伺服器提供的服務，減小了系統安全系數。 

二、端口号範圍：1~65535

三、端口概念

在網絡技術中，端口（Port）大緻有兩種意思：一是實體意義上的端口，比如，ADSL Modem、集線器、交換機、路由器用于連接配接其他網絡裝置的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協定中的端口，端口号的範圍從0到65535，比如用于浏覽網頁服務的80端口，用于FTP服務的21端口等等。

我們這裡将要介紹的就是邏輯意義上的端口。我們這裡所說的端口，不是計算機硬體的I/O端口，而是軟體形式上的概念.工具提供服務類型的不同，端口分為兩種，一種是TCP端口，一種是UDP端口。計算機之間互相通信的時候，分為兩種方式：一種是發送資訊以後，可以确認資訊是否到達，也就是有應答的方式，這種方式大多采用TCP協定；一種是發送以後就不管了，不去确認資訊是否到達，這種方式大多采用UDP協定。對應這兩種協定的服務提供的端口，也就分為TCP端口和UDP端口。 

檢視端口：可以看到以數字形式顯示的TCP和UDP連接配接的端口号及狀态。

四、網絡端口的分類：

按端口号可分為3大類：

（1）公認端口（Well-KnownPorts）：範圍從0到1023

它們緊密綁定（binding）于一些服務。通常這些端口的通訊明确表明了某種服務的協定。例如：21端口配置設定給FTP服務，25端口配置設定給SMTP（簡單郵件傳輸協定）服務，80端口配置設定給HTTP服務，135端口配置設定給RPC（遠端過程調用）服務等等。

我們在IE的位址欄裡輸入一個網址的時候（ 比如www.cce.com.cn）是不必指定端口号的，因為在預設情況下WWW服務的端口 号是“80”。 

網絡服務是可以使用其他端口号的，如果不是預設的端口号則應該在 位址欄上指定端口号，方法是在位址後面加上冒号“:”（半角），再加上端口 号。比如使用“8080”作為WWW服務的端口，則需要在位址欄裡輸入“www.cce.com.cn:8080”。 

但是有些系統協定使用固定的端口号，它是不能被改變的，比如139 端口專門用于NetBIOS與TCP/IP之間的通信，不能手動改變。 

（2）動态端口（Dynamic Ports）：範圍從1024到65535

之是以稱為動态端口，是因為它 一般不固定配置設定某種服務，而是動态配置設定。動态配置設定是指當一個系統程序或應用 程式程序需要網絡通信時，它向主機申請一個端口，主機從可用的端口号中配置設定 一個供它使用。當這個程序關閉時，同時也就釋放了所占用的端口号。

    (2.1)注冊端口（RegisteredPorts）：從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用         于許多其它目的。例如：許多系統處理動态端口從1024左右開始。

    (2.2)動态和/或私有端口（Dynamicand/orPrivatePorts）：從49152到65535。理論上，不應為服務配置設定這些端口。實際上，機器通常從1024    起配置設定動态端口。但也有例外：SUN的RPC端口從32768開始。

       動态端口映射

防火牆的功能和作用

1. 設定内網和外網
2. 控制端口的開放
3. 控制端口的單獨進或者出資料
4. ip過濾，控制哪些ip端可以通路
5. 控制通路的頻率
6. 控制通路時間段
7. 控制通路者的上傳或者下載下傳流量