网络端口：基本列表、用途和安全性

2025-10-30 11:28:21 | 龙魂传承

硬件指南 » 网络 » 最流行的网络端口及其用途：包含示例和安全性的完整指南

IANA 端口分类（0–65535）以及 TCP 与 UDP 之间的差异。

关键端口列表：网络、邮件、DNS、VPN、游戏和 P2P。

暴露服务的风险以及如何减轻这些风险（防火墙、IDS/IPS、Fail2ban）。

CG-NAT、端口测试以及仅打开必要内容的最佳实践。

了解网络端口及其与服务的关系它是诊断问题、保护系统和优化性能的关键。每个端口都与一个标识应用程序或进程的编号相关联，正确的分配可以有序高效的连接网络计算机之间。

当路由器收到请求时，它会将其定向到混凝土港口目标服务：例如 HTTP 为 80 ØEL HTTPS 为 443这样，流量就可以通过相应的“窗口”进出。邮件端口有以下几种： 25（邮件传输协议），用于内部或私人服务的端口以及各种可能的端口，从 0人65535，由 TCP y UDP 在客户端-服务器方案中。

端口和传输协议的类型

将端口视为逻辑点信息流通的地方。互联网上主要有两种传输协议： TCP y UDP，在源和目标之间移动数据有不同的理念。

TCP 的工作方式类似于“挂号邮件”：建立连接（三次握手），保证顺序和交付，并在出现丢失时重传。理想情况下不允许出现任何错误，例如网络、邮件、SSH 或文件传输。

在另一端， UDP 优先考虑速度并且不保证送达。它非常适合实时（流媒体、在线游戏、VoIP），低损耗的流畅性优于高延迟。

一个非常明显的实际区别是：在 UDP 中，数据报以无保证的 IP 数据包；在 TCP 中，堆栈有效，并且前锋确保完整性。因此，对于关键服务（例如， HTTPS 或电子邮件) TCP 是首选，而对于多媒体来说 UDP 通常占据主导地位。

端口范围：知名端口、注册端口和临时端口

所有端口均已编号 0到65535。IANA 将其用途分为三类，以组织生态系统和避免冲突在应用程序之间。

众所周知（0-1023）：为标准服务保留，例如 HTTP 80, HTTPS 443, FTP 21, SSH 22, 邮件发送25 o DNS 53的.

短暂或私人（49152–65535）：他使用它们客户端动态当打开传出连接时；它们被不断地回收。

此外，在套接字编程中，端口0 它用作向系统分配的请求自动释放端口避免“编码”可能与其他服务冲突的固定数字。

主要 TCP 端口及其用途

如果您要在家中或办公室展示服务，您将需要端口转发在路由器上启用 NAT，以便可以从互联网访问它们。这些是最常见的 TCP 在系统和应用程序中。

21：FTP 控制（或加密的 FTPES）来管理会话。

22：SSH 和 SFTP 用于安全访问并加密传输。

23：Telnet，远程控制台未加密（不推荐）。

25，26，2525：SMTP 用于发送邮件.

53：DNS 也可以使用 TCP，例如区域传输.

80：HTTP，导航未加密.

101：主机名，识别计算机名称。

110：POP3，在客户端接收邮件。

123：NTP（通常为 UDP，但作为关键端口引用）同步时间).

137，138，139：用于在 Windows 网络上共享的 NetBIOS/NBT（在 TCP/UDP 之间变化）。

143：IMAP，访问服务器上的邮箱。

179：BGP，路由交换路由器来自供应商。

194：IRC，经典的实时聊天。

443：HTTPS，加密浏览使用 TLS。

445：SMB/Microsoft‑DS， Active Directory 和共享在Windows上。

587：通过 TLS 进行 SMTP 提交，安全运输来自客户。

591：FileMaker 作为 HTTP 的替代品。

853：通过 TLS 进行 DNS 用加密方法解决.

990：隐式 FTPS。

993：IMAP SSL/TLS。

995：POP3 SSL/TLS。

1194：OpenVPN（可以使用 TCP 和 UDP）用于 VPN.

1723：PPTP（传统 VPN）。

1812/1813：RADIUS 身份验证和记帐（TCP/UDP）。

2049：NFS 用于共享文件.

2082/2083: cPanel 无/有 SSL.

3074：Xbox Live。

3306：MySQL。

3389：RDP、Windows 远程桌面（推荐）改变和过滤器）。

4662 TCP / 4672 UDP：eMule（下载和Kad网络）。

4899：Radmin，远程控制。

5000：UPnP控制，方便禁用它在路由器上。

5400，5500，5600，5700，5800，5900：VNC远程桌面。

6881 / 6969：BitTorrent（客户端/跟踪器端口）。

8080：用于测试和应用程序的替代 HTTP（例如 Tomcat）。

51400：默认传输（BitTorrent）。

25565: 服务器我的世界.

如何选择WiFi中继器：购买指南请记住临时端口（49152-65535）被指定为客户端的来源。如果你访问一个网站，你的电脑会打开一条发给 80或443 目的地。在被动 FTP 中（帕斯韦）21日开业是不够的：你必须允许数据范围用于转账。

主要 UDP 端口及其常用用途

优先使用 UDP 低延迟许多基础设施和多媒体服务都依赖于它，因此了解这一点很重要哪些端口使用和保护。

23：一些 Apple 设备使用 FaceTime公司（特别提到某些制造商）。

53：DNS，名称解析（在特定情况下也包括 TCP）。

67/68：DHCP 服务器/客户端 IP分配.

69：TFTP，传输没有会话（快速，但不保证）。

88：Xbox Live 和其他端口一起使用。

161/162：SNMP/陷阱监控.

500：ISAKMP/IKE 第 1 阶段 IPsec的.

514：系统日志，发送日志系统。

1194：OpenVPN（由于性能原因，在 UDP 中更常见）。

1701：L2TP（VPN）。

1812/1813：RADIUS 身份验证和记帐（也包括 TCP）。

4500：IPsec NAT 遍历和第 2 阶段。

51871：在某些配置中默认使用 WireGuard。

港口 1024-49151 他们被认为挂号的由 IANA 针对特定服务分配，从而最大限度地减少冲突。这样，开发者就可以注册员端口或选择一个免费的端口，避免限制条件系统对知名系统施加的额外成本。

互联网上使用最频繁的端口

在日常情况下，一些港口集中了大部分的交通流量，因此，更多攻击尝试. 了解它们并妥善保护它们。

80：HTTP，网络访问。

443：HTTPS、加密浏览和安全交易.

21：FTP，文件传输（最好使用FTPS/SFTP）。

22：SSH，安全远程管理。

25：SMTP，发送邮件。

53 UDP：DNS，域名解析。

110：POP3，邮件接收。

161 UDP：SNMP，管理和监控（如果不使用请关闭）。

4444：由恶意软件和木马；如非必要，请阻止。

6660-6669：IRC，如果您不使用它，就不要暴露它。

交通研究表明 SSH 22、HTTP 80 和 HTTPS 443 聚集在 65% 的攻击观察到，仅仅是因为它们很常见它们本身并不“坏”，风险在于暴露易受攻击的服务没有保护。

TCP 与 UDP：性能和可靠性

TCP 是面向连接，并带有确认和拥塞控制。这会增加延迟和带宽消耗但它保证交付和顺序，非常适合敏感数据（网络、银行、邮件）。

UDP 是断开的无需确认接收即可发送，并减少延迟。它更快、更高效，非常适合流媒体、游戏和视频通话，假设应用程序可以容忍轻微的数据包丢失或中断。

根据扫描结果显示端口状态

使用以下工具审核设备时 NMAP端口可能会根据响应显示不同的状态。这有助于诊断并且安全。

阿比耶托：一项服务听和答案。

关闭：拒绝通讯，没有服务.

过滤掉：防火墙阻止/过滤，扫描仪无法确定一定。

未过滤 / 打开/过滤 / 关闭/过滤： Nmap 在以下情况下使用的中间组合尚未确认满的。

SONOFF Dongle Plus MG24 功能和主要区别何时开放端口很重要？

在某些情况下，打开端口会导致连接不良和流畅的经历。当然，只打开必要的和带有控件的。

在线游戏

许多游戏和游戏机都需要特定端口范围用于匹配、语音聊天和稳定游戏。范围通常选择 1024-49151 以避免与标准服务冲突。请参阅游戏或主机 (PS4/PS5/Xbox) 的官方文档，并配置端口转发在你的路由器上。

P2P下载

客户喜欢 BitTorrent 或 eMule 它们受益于开放的端口来接收传入连接。如果没有它，你会看到限速或更少的来源。如果您不接受传入，eMule 会显示低 ID，并且您无法使用 Kad网络.

视频通话和消息传递

在视频会议应用中，如果防火墙阻止多媒体端口出现切割或质量不佳的情况。许多工具会自动打开规则，但在受控环境中建议手动配置它们.

根据应用程序打开的端口

除了 TCP 443的在所有情况下都适用于 HTTPS。

Skype

为了获得最佳性能，打开 UDP 3478–3481 y UDP 50000–60000. 可选地，为了提高质量： UDP 1000–10000, UDP 50000–65000 y UDP 16000–26000。保持 TCP 443的无障碍。

谷歌见面

你需要 TCP 443的 y UDP 19302–19309 为多媒体流量。如果防火墙过滤这些端口，您会注意到削减和退化。

通过Zoom

打开 TCP 80/443 以及具体的 TCP 8801/8802 连同 UDP 3478, 3479, 8801, 8802 视频通话稳定.

Discord 专属社区

加 TCP 443的，使 TCP 6463的和范围 TCP/UDP 6457–6463 改善连通性语音和视频.

FaceTime公司

保证 TCP 443的在 UDP 中， 53、80、5223和16393–16472有了它们，您将减少削减和不可能发起呼叫。

eMule：必备端口

为了避免 Low ID 并利用带宽，请打开 TCP 4662的 y UDP的4672在您的路由器上配置端口转发（端口转发/虚拟服务器）并重启以应用。考虑使用自定义端口并保留杀毒软件并使系统保持最新。

TCP/UDP 的改进和演进

TCP 不断发展，其技术包括：分段和复用，新算法拥塞控制以及针对大流量的优化。所有这些都是为了在不损失速度的情况下提高速度可靠性.

在 UDP 中，它们被探索选择机制从错误控制/重传到应用层将其使用范围扩展到需要更高完整性的场景，同时保持低延迟.

开放港口的风险和良好做法

开放端口增加攻击面：恶意软件、未经授权的访问、侦察扫描和 DDoS攻击暴露的服务可能会被利用。在开放之前，请评估是否绝对必要.

最小尺寸：更新软件，申请强密码或密钥（例如 SSH），使用以下方式分段网络 VLAN，用途防火墙和IDS/IPS 并使用类似以下解决方案监控日志 Fail2ban 阻止恶意来源。

攻击者的“热门”端口

以下端口是频繁目标无处不在或至关重要的服务。这并不是说它们本身就很危险，而是它们的未硬化暴露肤浅。

FTP 21：未加密的传输。

SSH 22：非常受到攻击蛮力.

远程登录 23:: 远程没有加密，请避免使用它。

邮件发送25：邮寄，目的滥用.

HTTP 80：未加密的网站。

HTTPS 443：加密网络，它仍然高度扫描.

POP3 110：如果不使用 TLS，则清除邮件。

保护关键 UDP：DNS、DHCP 和 SNMP

DNS（UDP/TCP 53）

如果你不运行 DNS 服务器，它会阻止 53岁首发。如果您提供，请限制每秒的请求数，申请临时禁令同 Fail2ban 和价值观交通部/卫生部（TLS/HTTPS）加密分辨率。

什么是 SSID？它在无线网络中有多重要？DHCP（UDP 67/68）

如果不使用，请禁用该服务。如有必要，保持最新服务器，监控大量发现（尝试排气池）并将其范围限制在局域网.

SNMP（UDP 161/162）

使用 SNMPv3 使用身份验证和加密；避免在暴露的网络上使用 v2c。如果你不需要，把它关掉或阻止防火墙上的端口。考虑限制授权IP 并封装在 SSH 或 VPN.

Ejemplos 规则与 iptables的控制 SNMP：

iptables -A INPUT -p udp --dport 161 -s -j ACCEPT

iptables -A OUTPUT -p udp --sport 161 -d -j ACCEPT

如何检查开放端口

来自互联网（WAN）

用一个在线端口测试从你的网络外部。首先在“我的 IP 地址”服务上确认你的公共 IP 地址，然后测试范围或特定端口。例如，如果出现 21 酒吧并且您没有 FTP，请关闭它。

从局域网

连接器 NMAP，您可以扫描 TCP 和 UDP。对于 UDP：

nmap -sU -v

典型解释：开放（回应），打开|过滤（无结论性响应）、关闭（ICMP 类型 3 端口不可达）或过滤（其他 ICMP）。您还可以组合 -sS -sU 查看两种协议。

关闭路由器上的危险端口

如果你发现不必要的开口，你可以删除规则一个接一个，或者，如果你想从头开始，恢复出厂设置路由器。这样，您就可以删除旧规则，并只重新打开你真的需要.

CG-NAT：为什么打开端口有时不起作用

在 CG-NAT 下，多个客户端共享一个同一个公网IP您的路由器不直接接收来自互联网的传入消息，因此端口转发没有效果. 咨询您的运营商：一些优惠退出 CG‑NAT 或静态 IP/IPv6（有时需要付费）。

如何正确保护端口

默认，一切都关闭了除了必要的之外。应用最小特权并尽可能少地暴露。打开套接字的软件必须总是更新如果需要身份验证，则采用强键（例如。， SSH 密钥或证书）。

持续监控正在使用的端口，调查奇怪的交通并了解您服务的正常模式，以检测异常。与防火墙互补 IDS /入侵防御系统在网络上，如果可行的话，在端点.

UPnP：为什么你应该禁用它

UPnP 允许应用程序打开端口自动虽然舒适，但会影响操控性和可视性。推荐。禁用它在路由器上创建规则手册具有可追溯性。

端口和认证：最常问的问题

如果你准备 CCNA 或 CompTIA 认证，优先掌握最常用的端口和服务： HTTP/HTTPS、DNS、DHCP、SMTP/POP3/IMAP、SSH、RDP、SMB、LDAP、SQL、SNMP、NTP 和队伍短暂的。你不需要记住全部 65.535 个，但你需要钥匙及其安全影响。