简述
此防火墙(安全组)非彼防火墙(应用层防火墙),安全组可以管理端口是否开放,以及服务器数据信息是否可以通过端口协议出入。是服务器最底层的基础且重要的功能,可以有效隔绝大部分非法网络攻击。
入数据和出数据
入站(入数据):外人访问服务器,访问其中的服务,如:用户访问服务器中的网页;从服务器下载文件
出站(出数据):服务器向外发送请求,如:访问其他服务器的api接口;服务器发送邮件
TCP协议和UDP协议
两种传输协议类型的区别:
1.tcp是面向连接的,udp是无连接的。
2.tcp是可靠传输 且慢,udp是不可靠传输 且快。
3.tcp是面向报文传输,udp是面向字节流传输。
这样说可能不明确,我们用适用场景开区分
名称 | 场景 |
TCP | 文件上传下载、邮件收发、浏览网页等 |
UDP | 域名查询、语音(视频)通话、视频直播、隧道网络等 |
了解应用场景后,简单了解一下两种攻击者常用的攻击手段
cc的一种攻击方式,与一直刷新网页不同。恶意的程序通过TCP连接服务器,如果攻击者的恶意程序循环伪造不可访问的源IP地址,发送SYN报文给服务器,服务器收到请求后回复给攻击者SYN-ACK报文,攻击者不回复或者说因为有假IP收不到报文)与服务器建立成千上万的连接,慢慢就会导致服务器资源耗尽而崩溃或者占满连接数量导致无法正常访问。
DoS攻击手段的一种,一般常用流量型的攻击手段,无需与服务器建立连接,也不确定数据包的内容,直接发送大量大型数据包给服务器。服务器接收数据包,占满宽带,导致拒绝正常请求服务。
端口
一般情况下,只需要开放正在使用的端口即可。如果有未使用的端口,且是开放状态,很有可能会受到攻击。毕竟下一层防火墙不一定有防御手段。
我们来了解一下搭建网站常见的端口以及简述
端口 | 间述 |
20-21 | FTP文件传输协议默认端口 |
22 | Linux服务器的ssh(shell)登陆端口 |
23 | Telnet服务端口 |
25 | SMTP本地(自建邮局)发信端口 |
53 | DNS服务器默认端口 |
80 | 网页HTTP协议默认端口 |
110 | POP3本地(自建邮局)收信端口 |
443 | 网页HTTPS加密协议默认端口 |
888 | phpMyAdmin数据库管理后台 |
3306 | MySQL服务端口 |
3389 | Windows服务器桌面连接端口 |
ICMP | ICMP是公网ping服务 |
8888 | 宝塔板面默认端口 |
3312 | 康乐面板默认端口 |
推荐设置
网站放通端口建议
出/入 TCP端口:80、443、22或3389、20-21、8888或3312、ICMP
网站常用其他端口及开启建议
3306是数据库端口(以及Redis:3679、Memcached:11211、MS SQL:1433、Postgre SQL:1433、Oracle:1521),如果你的服务器是用来给其他服务器做数据库的,那么可以开启tcp-入方向。如果是本地使用端口,为了数据库安全,
888是数据库管理后台,如果你给服务器安装了管理器,可以开启tcp-入方向,如果不使用时,可以关闭端口
53是DNS服务器的默认端口,用于解析域名的服务器,网站一般用不到,有需要的话可以tcp/udp-出/入方向开启
21是FTP文件传输的功能默认端口,如果你需要方便管理自己的网站文件,可以开启tcp-入方向
25是SMTP邮局服务器用的端口,不过一般服务器商会关闭25端口,如果未关闭,且需要使用,可以开启tcp-出/入方向
请登录后查看评论内容