本文整理了计算机网络中常见的已分配端口号(Well-Known Ports),范围是0-1023。这些端口由IANA(Internet Assigned Numbers Authority)分配,用于特定的协议和应用。
一、端口分配标准与分类
端口类型 0-1023: 知名端口 1024-49151: 注册端口 49152-65535: 动态端口 IANA严格管理 系统级服务
二、核心协议端口分配表
1. 基础网络服务
| 端口 | 协议 | 服务名称 | 应用描述 | 安全风险级别 |
|---|---|---|---|---|
| 20 | TCP | FTP-DATA | 文件传输协议(数据通道) | 中 |
| 21 | TCP | FTP | 文件传输协议(控制通道) | 高 |
| 22 | TCP | SSH | 安全远程登录 | 低 |
| 23 | TCP | TELNET | 明文远程登录 | 极高 |
| 25 | TCP | SMTP | 简单邮件传输协议 | 中 |
| 53 | TCP/UDP | DNS | 域名解析服务 | 高 |
| 67 | UDP | DHCP-Server | DHCP服务端 | 中 |
| 68 | UDP | DHCP-Client | DHCP客户端 | 低 |
| 69 | UDP | TFTP | 简单文件传输协议 | 高 |
| 80 | TCP | HTTP | 超文本传输协议 | 中 |
| 110 | TCP | POP3 | 邮局协议v3 | 中 |
| 123 | UDP | NTP | 网络时间协议 | 低 |
| 143 | TCP | IMAP | 互联网消息访问协议 | 中 |
| 161 | UDP | SNMP | 简单网络管理协议 | 高 |
| 162 | UDP | SNMP-TRAP | SNMP陷阱消息 | 中 |
| 389 | TCP/UDP | LDAP | 轻量目录访问协议 | 高 |
| 443 | TCP | HTTPS | 安全HTTP协议 | 低 |
| 465 | TCP | SMTPS | 安全SMTP(隐式TLS) | 低 |
| 587 | TCP | SMTP-Submission | 邮件提交端口 | 低 |
| 636 | TCP/UDP | LDAPS | 安全LDAP协议 | 低 |
| 993 | TCP | IMAPS | 安全IMAP协议 | 低 |
| 995 | TCP | POP3S | 安全POP3协议 | 低 |
2. 数据库服务
| 端口 | 协议 | 服务名称 | 应用描述 | 默认DBMS |
|---|---|---|---|---|
| 1433 | TCP | MSSQL | Microsoft SQL Server | SQL Server |
| 1434 | UDP | MSSQL-Monitor | SQL Server浏览器服务 | SQL Server |
| 1521 | TCP | ORACLE | Oracle数据库默认端口 | Oracle |
| 1830 | TCP | ORACLE-RAC | Oracle RAC集群 | Oracle |
| 3306 | TCP | MYSQL | MySQL数据库服务 | MySQL |
| 5432 | TCP | POSTGRES | PostgreSQL数据库 | PostgreSQL |
| 27017 | TCP | MONGODB | MongoDB数据库 | MongoDB |
| 6379 | TCP | REDIS | Redis键值存储 | Redis |
| 9200 | TCP | ELASTICSEARCH | Elasticsearch服务 | Elastic |
3. 远程访问与文件服务
| 端口 | 协议 | 服务名称 | 应用描述 | 加密支持 |
|---|---|---|---|---|
| 3389 | TCP | RDP | 远程桌面协议 | TLS |
| 5900 | TCP | VNC | VNC远程控制默认端口 | 可选SSL |
| 2049 | TCP/UDP | NFS | 网络文件系统 | 无 |
| 137 | UDP | NETBIOS-NS | NetBIOS名称服务 | 无 |
| 138 | UDP | NETBIOS-DGM | NetBIOS数据报服务 | 无 |
| 139 | TCP | NETBIOS-SSN | NetBIOS会话服务 | 无 |
| 445 | TCP | SMB | 服务器消息块(CIFS) | SMB加密 |
4. 工业与特殊协议
| 端口 | 协议 | 服务名称 | 应用领域 | 行业标准 |
|---|---|---|---|---|
| 502 | TCP | MODBUS | Modbus TCP协议 | 工业控制 |
| 102 | TCP | S7 | Siemens S7通信 | 工业自动化 |
| 1911 | TCP | FIX | 金融信息交换协议 | 金融交易 |
| 4840 | TCP | OPC-UA | OPC统一架构 | 工业物联网 |
| 47808 | UDP | BACnet | 楼宇自动化控制网络 | 智能建筑 |
三、安全关键端口警示
必须加固的TOP5端口:
- 445/TCP (SMB):永恒之蓝漏洞利用
- 3389/TCP (RDP):暴力破解重灾区
- 22/TCP (SSH):若配置弱密码风险极高
- 1433/TCP (MSSQL):SQL注入攻击入口
- 161/UDP (SNMP):社区字符串泄露导致信息暴露
四、端口使用最佳实践
端口管理策略 最小开放原则 端口伪装技术 协议加密升级 网络微分段 仅开放业务必需端口 非标准端口映射 SSL/TLS全加密 零信任网络架构
企业级防护建议:
- 服务迁移 :将HTTP(80)升级为HTTPS(443)
2 端口隐藏:将SSH(22)迁移到高位端口(如50222) - 协议加固:禁用SMBv1,强制使用SMBv3加密
- 访问控制:对数据库端口(3306/1433)实施IP白名单
- 监控审计:对高危端口(135-139,445)实施实时流量分析
网络安全架构师洞见 :端口管理本质是攻击面控制艺术。现代防御需遵循:
- 动态映射:使用端口跳变(Port Hopping)技术,如每60秒变更一次服务端口
- 深度检测:在L7层实现协议指纹识别,阻断非常规端口上的HTTP流量
- 加密隧道:所有管理端口(SSH/RDP)必须通过VPN或Zero Trust网关访问
- 自动化审计:通过CMDB自动比对开放端口与资产服务清单,偏差>5%即告警
当端口暴露面缩减70%且加密流量占比>95%时,网络攻击成功率将下降90%以上。