21端口是FTP用的,关闭了就不能通过FTP传文件了,网站在不用FTP的时候可一把端口关闭,或者限制访问。需要用的时候再暂时开启。
22端口就是ssh端口,是比FTP拥有更多权限的链接方式,看到的不知是网站的源码文件,还可以修改所以服务器的文件,所以一旦被攻击会更危险。一般情况下服务器配置好后22端口就不需要用到了可以关闭。
阿里云的3306、21、22端口关闭方法需要懂些技术,可以百度一下或咨询一下阿里云的客服。但是也比较复杂不好懂。
更简单的方法不是关闭端口,而是在服务器管理后台限制端口的访问IP。具体步骤如下:
登录阿里云>云服务器 ces>安全组>选择要设置的实例>配置规则,
选择 公网入方向>添加安全组规则
然后像下图中填写:需要限制的端口如22、IP段用0.0.0.0/0就是现在所以IP的访问。
到这里,操作完成,其他端口如3306、22、21端口也都可以重复以上步骤分别限制。
需要注意的一点就是:3306端口限制后,要到网站里发个文章什么的试一下,防止网站程序链接不上数据库,如果链接不上,找到
链接数据库的文件,把数据库IP换成内网IP或设置成localhost就行了,阿里云是有外网IP和内网IP的。
需要用到这些端口的时候暂时删除限制,完了再加上,这样安全级别就OK了。
没有端口管理配置的地方, 不同于AWS的安全组。阿里云开启云盾后会每天扫描你的所有端口,提出警告,如果你的应用要用25发邮件,云盾可以在防火墙对外屏蔽25端口,使你的应用正常运行。
1、解决方案:ftp默认模式为被动模式,开启一个随机端口建立连接。需要把内网端口限制打开,
如果是通过硬件防火墙,将防火墙开启ftp随机端口就可以了
2、两种方式的工作原理:
主动模式:
Port模式FTP 客户端首先和FTP服务器的TCP
21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。
PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。 FTP
server必须和客户端建立一个新的连接用来传送数据。(可以看到在这种方式下是客户端和服务器建立控制连接,服务器向客户端建立数据连接,其中,客户端的控制连接和数据连接的端口号是大于1024的两个端口号(临时端口),而FTP服务器的数据端口为20,控制端口为21)
被动模式:
Passive模式在建立控制通道的时候和Standard模式类似,但建立连接后发送的不是Port命令,而是Pasv命令。FTP服务器收到Pasv命令后,随机打开一个临时端口(也叫自由端口,端口号大于1023小于65535)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务器将通过这个端口进行数据的传送,这个时候FTP
server不再需要建立一个新的和客户端之间的连接。(可以看到这种情况下的连接都是由客户端向服务器发起的,与下面所说的“为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式”相对应,而服务器端的数据端口是临时端口,而不是常规的20)
很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以许多位于防火墙后或内网的FTP服务器不支持PASV模式,因为客户端无法穿过防火墙打开FTP服务器的高端端口;而许多内网的客户端不能用PORT模式登陆FTP服务器,因为从服务器的TCP
20无法和内部网络的客户端建立一个新的连接,造成无法工作。
主动模式要求客户端和服务器端同时打开并且监听一个端口以建立连接。在这种情况下,客户端由于安装了防火墙会产生一些问题。所以,创立了被动模式。被动模式只要求服务器端产生一个监听相应端口的进程,这样就可以绕过客户端安装了防火墙的问题。
在被动方式FTP中,命令连接和数据连接都由客户端发起,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)