如果您知道某些端口可能会用来攻击您的网络,您可以阻止这些端口。 这将停止指定的外部网络服务。 阻止端口会保护您最易受到危害的服务。
阻止端口的操作优先于策略中定义的所有规则。 要阻止端口,请参阅“阻止端口”。
默认配置中,XTM 设备将阻止某些目标端口。 通常不需要更改此默认配置。 TCP 和 UDP 数据包会被以下端口阻止:
X Window 系统 (端口 6000-6005)
X Window(或 X-Windows)系统客户端连接未加密,在 Internet 上使用是危险的。
X Font 服务器(端口 7100)
X Windows 的许多版本运行于 X Font 服务器。 X Font 服务器在某些主机上用作超级用户。
NFS(端口 2049)
NFS(网络文件系统)是一种常见的 TCP/IP 服务,可以令许多用户在网络上使用同一文件。 新版本具有严重的认证和安全问题。 在 Internet 上提供 NFS 是非常危险的。
端口映射器通常为 NFS 使用端口 2049。 如果使用 NFS,请确保 NFS 在您所有系统上都使用端口 2049。
rlogin、rsh、rcp(端口 513、514)
这些服务提供到其他计算机的远程访问。 它们存在安全风险,许多攻击者会利用这些服务。
RPC 端口映射器(端口 111)
RPC 服务使用端口 111 来查找给定 RPC 服务器使用哪些端口。 RPC 服务很容易通过 Internet 进行攻击。
端口 8000
许多供应商使用此端口,而许多安全问题也都与此端口相关。
端口 1
TCPmux 服务使用端口 1,但并不经常使用。 您可以阻止此端口,使端口检测工具更难得逞。
端口 0
XTM 设备始终会阻止这一端口。 您不能允许端口 0 上的流量通过该设备。
如果您必须允许流量通过任何默认阻止的端口以使用相关的软件应用程序,我们建议您只允许流量通过 VPN 隧道,或为这些端口使用 SSH(安全外壳)。