端口配置基础原则
服务器端口作为网络通信的核心入口,需遵循最小暴露原则。建议优先采用非标准端口替代22、3389等默认端口,可将SSH服务迁移至1024-65535范围内的高位端口。同时需严格审查服务必要性,禁用非业务必需端口(如Telnet的23端口),并通过netstat -tuln命令验证实际开放端口。
- 22
SSH(建议修改) - 21
FTP(建议禁用明文传输) - 3389
RDP(建议限制访问IP)
安全防护策略设计
基于零信任架构,需构建多层防御体系。通过SSH配置文件(/etc/ssh/sshd_config)实现:
- 禁用Root账户直接登录
- 启用密钥认证替代密码登录
- 设置
MaxAuthTries 3防止暴力破解
对于暴露在公网的服务端口,应配置IP白名单机制,云服务器安全组建议采用CIDR格式限定授权范围(如仅允许办公网络IP段)。
防火墙规则优化
结合硬件防火墙与系统级防火墙(如UFW/iptables)实现纵深防御:
- 入站规则默认拒绝所有连接
- 按业务需求开放特定协议端口(如TCP:443)
- 启用连接状态跟踪(ESTABLISHED,RELATED)
建议在防火墙层实施流量监控,对非常规端口访问行为建立告警机制。例如检测22端口的异常登录尝试,可通过fail2ban工具自动封禁恶意IP。
连接管理最佳实践
优化连接参数提升安全性与稳定性:
- 设置会话超时:
ClientAliveInterval 300 - 限制并发连接数:
MaxSessions 10 - 启用协议版本控制(禁用SSHv1)
对于关键业务端口,建议采用端口敲门(Port Knocking)技术动态开放访问权限,通过预先设定的多端口触发序列激活目标端口访问。
服务器端口优化需建立动态防护机制,结合端口隐藏、访问控制、流量监控等多维度策略。定期进行漏洞扫描与配置审计,及时更新补丁并验证备份恢复流程,形成完整的安全防护闭环。
