2023電力企業(yè)防火墻安全配置技術(shù)規(guī)范

電力企業(yè)防火墻安全配置技術(shù)規(guī)范目 次前言 III范圍 4規(guī)范性引用文件 4術(shù)語和定義 4符號、代號和縮略語 5防火墻選型與部署基本要求 5防火墻選型 5防火墻部署 5訪問控制規(guī)則配置要求 5包過濾規(guī)則配置 6應(yīng)用層協(xié)議控制規(guī)則配置 6訪問控制規(guī)則管理要求 6安全防護(hù)策略配置要求 7IP/MAC綁定策略配置 7攻擊防范策略配置 7惡意代碼防范策略配置 7網(wǎng)絡(luò)地址轉(zhuǎn)換策略配置 7協(xié)同聯(lián)動策略配置 8負(fù)載均衡策略配置 8日志記錄與告警策略配置 8其它安全防護(hù)策略配置 8安全管理功能配置要求 8身份鑒別功能配置 8訪問控制功能配置 9安全審計功能配置 9其它安全管理功能配置 9附錄A（資料性附錄）防火墻部署與策略配置方法 10附錄B（資料性附錄）高風(fēng)險網(wǎng)絡(luò)端口 14編制說明 20I電力企業(yè)防火墻安全配置技術(shù)規(guī)范本標(biāo)準(zhǔn)適用于電力企業(yè)防火墻的安全配置管理工作。規(guī)范性引用文件GB/T20281—2015信息安全技術(shù)防火墻技術(shù)要求和測試評價方法GB/T25069信息安全技術(shù)術(shù)語術(shù)語和定義GB/T25069、GB/T20281—2015界定的以及下列術(shù)語和定義適用于本部分。3.1防火墻firewall[GB/T20281—2015，定義3.1]3.2安全域securitydomain由防火墻隔離出來的由一組具有相同安全保障需求并相互信任的系統(tǒng)組成并共享安全保障策略的邏輯區(qū)域。3.3訪問控制規(guī)則accesscontrolrule在防火墻中配置的用于在不同安全域之間實(shí)現(xiàn)訪問控制與過濾等功能的規(guī)則。3.4安全防護(hù)策略securityprotectpolicy用于防范對防火墻及其所保護(hù)資產(chǎn)的網(wǎng)絡(luò)攻擊、惡意代碼傳播等攻擊行為的防火墻配置。3.5安全管理功能securitymanagementfunction3為保證防火墻配置與運(yùn)維安全而提供的功能。符號、代號和縮略語下列符號、代號和縮略語適用于本文件。ARP：地址解析協(xié)議（AddressResolutionProtocol）FTP：文件傳輸協(xié)議（FileTransferProtocol）HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）ICMP：網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）IDS：入侵檢測系統(tǒng)（IntrusionDetectionSystem）IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）IP：網(wǎng)際協(xié)議（InternetProtocol）IPv6：網(wǎng)際協(xié)議版本6（InternetProtocolVersion6）MAC：介質(zhì)訪問控制層（MediaAccessControl）NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）POP3：郵局協(xié)議版本3（PostOfficeProtocolversion3）SFTP：安全文件傳輸協(xié)議（SecureFileTransferProtocol）SMTP：簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）SSH：安全外殼協(xié)議（SecureShell）TCP：傳輸控制協(xié)議（TransportControlProtocol）UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）URL：統(tǒng)一資源定位器（UniformResourceLocator）USB：通用串行總線（UniversalSerialBus）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）防火墻選型與部署基本要求防火墻選型20281—2015GB/T20281—2015GB/T20281—2015防火墻部署防火墻的目的是在不同安全域之間建立安全控制點(diǎn)，根據(jù)預(yù)先定義的訪問控制規(guī)則和安全防護(hù)策略，解析和過濾經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)向被保護(hù)的安全域提供訪問可控的服務(wù)請求。附錄A給出了防火墻的典型部署結(jié)構(gòu)及其訪問控制規(guī)則、安全防護(hù)策略、安全管理功能的配置方法。訪問控制規(guī)則配置要求4包過濾規(guī)則配置包過濾規(guī)則配置應(yīng)滿足以下要求：a）應(yīng)符合最小安全原則，包括：（為臨時性訪問配置的規(guī)則應(yīng)設(shè)置有效期，保證訪問結(jié)束后策略失效或刪除；b）應(yīng)根據(jù)業(yè)務(wù)應(yīng)用需求配置訪問控制規(guī)則；應(yīng)采取分組、合并等辦法減少規(guī)則數(shù)量，以確保防火墻性能。c）應(yīng)用層協(xié)議控制規(guī)則配置應(yīng)用層協(xié)議控制規(guī)則配置應(yīng)滿足以下要求：應(yīng)根據(jù)業(yè)務(wù)應(yīng)用需要開放所需要的應(yīng)用協(xié)議；（FTPTelnetRloginIP/MACSFTP、SSH）。HTTP、SMTP、POP3HTTP、SMTPPOP3對即時聊天、P2P、流媒體、網(wǎng)絡(luò)游戲、股票軟件等應(yīng)用進(jìn)行識別與控制；其他類型的應(yīng)用內(nèi)容。訪問控制規(guī)則管理要求訪問控制規(guī)則應(yīng)按以下要求管理：分組管理：應(yīng)對組成訪問控制規(guī)則的源/目標(biāo)地址、端口、應(yīng)用服務(wù)、用戶等進(jìn)行分組管理，根據(jù)訪IP/優(yōu)先級管理：（過（過濾操作設(shè)（5/IP應(yīng)及時導(dǎo)出防火墻訪問控制規(guī)則并備份：在每次定期梳理訪問控制規(guī)則前后應(yīng)執(zhí)行備份操作；應(yīng)將備份文件保存在防火墻設(shè)備及其管理控制臺之外的其它主機(jī)和存儲介質(zhì)上。安全防護(hù)策略配置要求IP/MAC以下情況可啟用IP/MAC綁定功能，并配置需要綁定的IP/MAC地址對：IPIPMACIP/MACIPMAC攻擊防范策略配置當(dāng)網(wǎng)絡(luò)邊界沒有部署專用網(wǎng)絡(luò)入侵檢測/（IDS/IPSDDOSICMPUDP洪水攻擊、SYNICMPTearDropLANDWinNukeSmurf攻擊等；（如冰河、僵尸網(wǎng)絡(luò)等）攻擊的策略；在信息內(nèi)網(wǎng)橫向域間邊界、信息外網(wǎng)橫向域間邊界部署的防火墻不宜啟用攻擊防范功能。惡意代碼防范策略配置當(dāng)網(wǎng)絡(luò)邊界沒有部署專用惡意代碼防范設(shè)備（如防病毒網(wǎng)關(guān)、IPS）時，可根據(jù)需要啟用防火墻惡意代碼防范功能，包括：在信息內(nèi)、外網(wǎng)橫向域間邊界部署的防火墻不宜啟用惡意代碼檢測和阻斷功能。網(wǎng)絡(luò)地址轉(zhuǎn)換策略配置以下情況可啟用網(wǎng)絡(luò)地址轉(zhuǎn)換功能，并配置轉(zhuǎn)換規(guī)則：IPIP6IPIP其它防火墻設(shè)備均應(yīng)關(guān)閉網(wǎng)絡(luò)地址轉(zhuǎn)換功能，除非有特殊需要。協(xié)同聯(lián)動策略配置（如網(wǎng)絡(luò)入侵檢測/）的協(xié)同聯(lián)動功能，尤其需關(guān)閉自動聯(lián)動功能。負(fù)載均衡策略配置日志記錄與告警策略配置應(yīng)啟用防火墻的日志記錄與告警功能，并配置以下策略：應(yīng)啟用非授權(quán)訪問日志記錄與告警功能，對被拒絕的網(wǎng)絡(luò)訪問行為進(jìn)行記錄與告警。其它安全防護(hù)策略配置其它安全防護(hù)策略應(yīng)按以下要求配置：應(yīng)及時升級防火墻軟件，安裝防火墻補(bǔ)丁。應(yīng)關(guān)閉防火墻設(shè)備的非必需網(wǎng)絡(luò)服務(wù)（FTP、TELNET、HTTP）。ARP應(yīng)根據(jù)訪問控制規(guī)則配置需求，配置用戶鑒別方式和功能。（應(yīng)定期對防火墻安全防護(hù)策略配置進(jìn)行備份。SNMPCommunity安全管理功能配置要求身份鑒別功能配置應(yīng)對登錄防火墻的防火墻管理員進(jìn)行身份鑒別，并滿足以下要求：應(yīng)保證防火墻管理賬號的口令符合以下安全要求：口令長度應(yīng)至少8位字符；口令應(yīng)至少包含大寫字母、小寫字母、數(shù)字、特殊字符中的三類字符；不同管理員賬號不應(yīng)使用相同的口令；同一用戶在不同防火墻設(shè)備上的賬號不應(yīng)使用相同的口令等。7宜采用兩種或兩種以上組合鑒別方式對管理員身份進(jìn)行鑒別。應(yīng)保證防火墻采用不可逆算法對管理員賬號口令進(jìn)行加密存儲。應(yīng)刪除或禁用與防火墻配置、維護(hù)無關(guān)的賬號。訪問控制功能配置應(yīng)對登錄防火墻的管理員進(jìn)行訪問控制，并滿足以下要求：應(yīng)限制登錄防火墻的管理終端IP地址。應(yīng)配置基于用戶/用戶組的用戶訪問控制規(guī)則。安全審計功能配置應(yīng)啟用防火墻的日志記錄與審計功能，并滿足以下要求：應(yīng)記錄防火墻管理員的配置操作，包括：防火墻管理員登錄、退出等操作；防火墻管理員執(zhí)行的訪問控制規(guī)則與安全防護(hù)策略配置、變更等操作；防火墻管理員執(zhí)行的其它重要安全參數(shù)配置等操作；對防火墻的失敗登錄請求。應(yīng)記錄防火墻的運(yùn)行狀態(tài)，包括：防火墻啟動、關(guān)閉等情況；防火墻運(yùn)行狀態(tài)異常情況，如CPU、內(nèi)存、帶寬等超過設(shè)定閾值。應(yīng)記錄防火墻對訪問控制規(guī)則與安全防護(hù)策略的過濾與處理情況，包括：被防火墻訪問控制規(guī)則拒絕、丟棄的訪問請求；其它在訪問控制規(guī)則中被放行但是設(shè)置為需要記錄的網(wǎng)絡(luò)訪問。防火墻日志記錄應(yīng)包括網(wǎng)絡(luò)訪問行為的具體情況，包括訪問日期和時間、源地址、目標(biāo)地址、用戶、服務(wù)類型、訪問結(jié)果等。應(yīng)保證只有授權(quán)的審計管理賬號能夠訪問防火墻日志記錄和審計數(shù)據(jù)。其它安全管理功能配置應(yīng)滿足以下要求：宜采用獨(dú)立的運(yùn)維堡壘機(jī)對防火墻進(jìn)行配置管理。不應(yīng)開放通過互聯(lián)網(wǎng)對防火墻進(jìn)行遠(yuǎn)程管理的功能。其它情況下對防火墻設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采用安全的非明文的遠(yuǎn)程管理方式（如SSH等），并限定可進(jìn)行遠(yuǎn)程管理的網(wǎng)絡(luò)接口。8附錄A（資料性附錄）防火墻部署與策略配置方法防火墻典型部署結(jié)構(gòu)圖A.1是防火墻在數(shù)據(jù)中心的典型部署結(jié)構(gòu)示意圖。防火墻主要用于保護(hù)數(shù)據(jù)中心的應(yīng)用與數(shù)據(jù)，確保來自外部網(wǎng)絡(luò)的用戶只能訪問數(shù)據(jù)中心指定的應(yīng)用與服務(wù)，同時防止來自外部網(wǎng)絡(luò)的攻擊。圖A.1數(shù)據(jù)中心防火墻典型部署示意圖圖A.2是防火墻在辦公網(wǎng)絡(luò)邊界的典型部署結(jié)構(gòu)示意圖。防火墻主要用于控制內(nèi)部辦公終端對外部網(wǎng)絡(luò)和服務(wù)的控制，同時可以防止來自外部網(wǎng)絡(luò)的攻擊。9圖A.2辦公網(wǎng)絡(luò)邊界防火墻典型部署示意圖訪問控制規(guī)則及其配置方法根據(jù)防火墻的軟件設(shè)計，沒有配置任何訪問控制規(guī)則的防火墻設(shè)備可能采取兩種截然不同的策略：默認(rèn)允許策略：即所有網(wǎng)絡(luò)訪問都被放行；默認(rèn)拒絕策略：即所有網(wǎng)絡(luò)訪問都被拒絕通過。訪問控制規(guī)則分為網(wǎng)絡(luò)層包過濾規(guī)則和應(yīng)用層協(xié)議控制規(guī)則：網(wǎng)絡(luò)層包過濾規(guī)則一般由源地址、目標(biāo)地址、源端口、目的端口、過濾操作組成。其中源/目IP/段；源/TCP、UDP、ICMPIP/IP/URLHTTP、FTP、SMTP、POP3等應(yīng)用協(xié)議。安全防護(hù)策略及其配置方法IP/MAC10造成不利影響，如有影響應(yīng)考慮采用專用安全防護(hù)設(shè)備（如網(wǎng)絡(luò)入侵檢測/防御、防病毒網(wǎng)關(guān)、流量清洗、WEB應(yīng)用防火墻等設(shè)備）來實(shí)現(xiàn)。安全管理功能及其配置方法防火墻通常提供專用管理界面實(shí)現(xiàn)管理功能配置。11附錄B（資料性附錄）高風(fēng)險網(wǎng)絡(luò)端口表B.1給出了已證實(shí)存在安全隱患的高風(fēng)險網(wǎng)絡(luò)端口。表中“開放建議”列中，設(shè)為“關(guān)閉”的端（通常為固定服務(wù)端口（序表A.1高風(fēng)險網(wǎng)絡(luò)端口列表序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議10保留端口“0”是無效端口，常被用于分析操作系統(tǒng)類型。關(guān)閉21tcpmux該服務(wù)通常存在于特定主機(jī)（SGIIrix），這些主機(jī)通常存在默認(rèn)無密碼帳號，攻擊者通過搜索該服務(wù)可以識別特定操作系統(tǒng)并利用其存在的無密碼帳號。關(guān)閉37Echoecho取路徑長度。關(guān)閉419CharacterGenerator存在拒絕服務(wù)攻擊風(fēng)險關(guān)閉521FTP存在高安全風(fēng)險，包括傳輸不加密、允許匿名登錄、允許使用弱口令或默認(rèn)口令，存在遠(yuǎn)程代碼執(zhí)行漏洞，未做登錄次數(shù)限制等。受控開放622SSH存在暴力破解風(fēng)險，存在心臟滴血漏洞。受控開放723TELNET權(quán)限未分級等，被攻擊后服務(wù)器可被直接控制。受控開放831MSGAuthentication木馬MasterParadise、HackersParadise使用的通信端口。關(guān)閉967Bootp67、68BootpBootstrapProtocolServerBootstrapProtocolClient(引導(dǎo)程序協(xié)議客戶端)開放的端口。BootpIPIP地址進(jìn)行“中間人攻擊”。關(guān)閉1068關(guān)閉1169TFTPTFTPCiscoTFTP從系統(tǒng)獲取任何文件。受控開放1270gopher可以模擬任何服務(wù)訪問方式，容易造成SSRF攻擊。關(guān)閉1379FingerServer可被用于網(wǎng)絡(luò)掃描以獲取用戶信息，查詢操作系統(tǒng)，探測已知的緩沖區(qū)溢出錯誤等。此外，79端口還被Firehotcker木馬作為默認(rèn)的端口。關(guān)閉12表B.1(續(xù))序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議1499MetagramRelayHiddenPortNCx99木馬程序利用。關(guān)閉15109POP2POP2、POP3110ProMailtrojan110POP戶名和密碼。關(guān)閉16110POP3受控開放17111RPCRPC服務(wù)存在安全漏洞。受控開放18113AuthenticationService113FTPPOPSMTPIMAPIRCIRC控制的木馬。受控開放19115SFTP存在弱密碼和暴力破解風(fēng)險，易造成敏感信息泄露。受控開放20119NNTPHappy99蠕蟲病毒會使用119端口，如果中了該病毒會不斷發(fā)送電子郵件進(jìn)行傳播，并造成網(wǎng)絡(luò)的堵塞。受控開放21135RPC存在較多安全漏洞并被病毒利用，如“沖擊波”病毒。受控開放22137NetBIOSSessionService主要用于提供WindowsUnixSamba服務(wù)，常被攻擊者利用進(jìn)行攻擊。攻擊者通過發(fā)送請求可以獲137138信的信息包，還能得到目標(biāo)主機(jī)的啟動和關(guān)閉時間，并進(jìn)一步利用專門工具進(jìn)行攻擊。受控開放23138受控開放24139受控開放25143IMAP存在緩沖區(qū)溢出漏洞，可以獲取用戶名和密碼。另外，一種名為“admv0rm”的Linux蠕蟲病毒會利用該端口進(jìn)行繁殖。受控開放26161SNMPSNMP絡(luò)設(shè)備進(jìn)行控制。受控開放27177XDisplayManagerControlProtocol許多入侵者通過它訪問X-windows操作臺，它同時需要打開6000端口。受控開放28389LDAP、ILS存在弱口令、允許匿名登錄造成的未授權(quán)訪問、SQL注入等漏洞。受控開放29445CIFS攻擊者可以利用該端口漏洞訪問默認(rèn)共享文件，甚至格式化硬盤。受控開放30456無固定服務(wù)木馬HACKERSPARADISE使用該端口。關(guān)閉31513Rlogin遠(yuǎn)程登錄服務(wù)，存在較高安全風(fēng)險。關(guān)閉32514Rshell、RCP遠(yuǎn)程shell和遠(yuǎn)程復(fù)制為攻擊者進(jìn)入系統(tǒng)提供了信息。關(guān)閉33548Macintosh、FileServices(AFP/IP)Macintosh通信端口。關(guān)閉34553CORBAIIOP存在被攻擊者利用的廣播信息。關(guān)閉35554RTSP流媒體傳輸協(xié)議，存在緩沖區(qū)溢出漏洞。受控開放36555DSF木馬PhAse1.0、StealthSpy、IniKiller使用的通信端口。關(guān)閉37568MembershipDPAMembershipDPA通信端口。關(guān)閉38569MembershipMSN關(guān)閉13表B.1(續(xù))序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議39593無固定服務(wù)RPCMS03-026135，139，445，593（或任何其他特殊配置的RPC端口）被利用。關(guān)閉40635mountd存在掃描漏洞。關(guān)閉41636LDAP存在SSL漏洞。受控開放42666DoomIdSoftware木馬AttackFTP、SatanzBackdoor使用的通信端口。關(guān)閉43777multiling-http木馬AimSpy、a.k.a.Backdoor.TDS、4Fuk、Trojan.Win32.TrojanRunner.Levil使用的通信端口。關(guān)閉44873rsync可以往服務(wù)器上同步上傳下載文件。受控開放45993IMAP存在SSL漏洞。受控開放461001無固定服務(wù)木馬Silencer、WebEx使用的通信端口。關(guān)閉471011無固定服務(wù)木馬DolyTrojan使用的通信端口。關(guān)閉481024保留存在被監(jiān)聽攻擊的風(fēng)險。關(guān)閉491025無固定服務(wù)FraggleRock、md5Backdoor、NetSpy、RemoteStorm認(rèn)使用的通信端口。受控開放501029無固定服務(wù)木馬Clandestine、KWM、Litmus、SubSARI默認(rèn)使用的通信端口。受控開放511033無固定服務(wù)木馬netspy使用的通信端口。受控開放521080SOCKS存在穿透防火墻的風(fēng)險。受控開放531170無固定服務(wù)StreamingAudioTrojan、PsyberStreamServer、Voice使用的通信端口。受控開放541234無固定服務(wù)木馬SubSeven2.0、UltorsTrojan使用的通信端口。受控開放551243無固定服務(wù)木馬SubSeven1.0/1.9使用的通信端口。受控開放561245無固定服務(wù)木馬Vodoo使用的通信端口。受控開放571352Lotus存在控制臺弱口令、信息泄露、XSS攻擊等漏洞。受控開放581433MSSQLServerSQLserver務(wù)器的目的。存在本地提權(quán)漏洞，可用于權(quán)限提升。受控開放591434受控開放601492stone-design-1木馬FTP99CMP使用的通信端口。受控開放611500RPCRPC客戶會話查詢固定端口。受控開放621503NetMeetingT.120存在緩沖區(qū)溢出漏洞。受控開放631521OracleOracle務(wù)器的目的。受控開放641524無固定服務(wù)許多攻擊腳本將安裝一個后門SHELL于這個端口，尤其是針對SUN系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本。受控開放651600issd木馬Shivka-Burka使用的通信端口。受控開放661701l2tp建立VPN服務(wù)。受控開放671720NetMeetingNetMeeting使用通信端口。受控開放681731受控開放691807無固定服務(wù)木馬SpySender使用的通信端口。受控開放701812radiusradius認(rèn)證服務(wù)。受控開放14表B.1(續(xù))序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議711813radiusradius記賬服務(wù)。受控開放721981無固定服務(wù)木馬ShockRave使用的通信端口。受控開放731999無固定服務(wù)木馬BackDoor使用的通信端口。受控開放742000無固定服務(wù)木馬GirlFriend1.3、Millenium1.0使用的通信端口。受控開放752001無固定服務(wù)木馬Millenium1.0、TrojanCow使用的通信端口。受控開放762023無固定服務(wù)木馬PassRipper使用的通信端口。受控開放772049NFSNFS使用通信端口。受控開放782115無固定服務(wù)木馬Bugs使用的通信端口。受控開放792140無固定服務(wù)木馬DeepThroat1.0/3.0使用的通信端口。受控開放802375dockerRMI端口docker遠(yuǎn)程管理端口，可以控制服務(wù)器。受控開放812425無固定服務(wù)即時聊天程序（Feiq，飛秋）使用端口，部分老版程序存在溢出漏洞，可被利用以控制目標(biāo)主機(jī)。受控開放822500RPC固定端口會話復(fù)制的RPC客戶端口。受控開放832583無固定服務(wù)木馬Wincrash2.0使用的通信端口。受控開放842638Sybase攻擊者可以通過該端口進(jìn)行密碼猜解、遠(yuǎn)程執(zhí)行代碼以及DDOS攻擊影響業(yè)務(wù)使用。受控開放852745無固定服務(wù)Beagle播群發(fā)郵件蠕蟲。受控開放862801無固定服務(wù)木馬PhineasPhucker使用的通信端口。受控開放873024無固定服務(wù)木馬WinCrash使用的通信端口。受控開放883127無固定服務(wù)W32/MyDoomA.K.AW32/Mydoom@MM受控開放893128SquidSquidHTTP代理服務(wù)器的默認(rèn)端口。受控開放903129無固定服務(wù)木馬MasterParadise使用的通信端口。受控開放913150無固定服務(wù)木馬DeepThroat1.0/3.0、TheInvasor使用的通信端口。受控開放923210無固定服務(wù)木馬SchoolBus使用的通信端口。受控開放933306MySQL黑客經(jīng)常通過該端口對mysql服務(wù)進(jìn)行暴力破解，達(dá)到控制服務(wù)器的目的，Mysql本地提前漏洞，可用于權(quán)限提升。受控開放943333dec-notes蠕蟲病毒W(wǎng)32.Bratle.A利用微軟WindowsLSASS緩沖區(qū)溢出漏洞（MS04-011）Daodan、Backdoor.Slao受控開放953389遠(yuǎn)程桌面服務(wù)端口黑客經(jīng)常通過暴力猜解對用戶名口令進(jìn)行猜解，達(dá)到控制服務(wù)器的目的。受控開放963700無固定服務(wù)木馬PortalofDoom開放此端口。受控開放973996無固定服務(wù)木馬RemoteAnything開放此端口。受控開放984011PXE服務(wù)器通過網(wǎng)絡(luò)啟動的服務(wù)，建議在單獨(dú)網(wǎng)絡(luò)使用。受控開放994060無固定服務(wù)木馬RemoteAnything開放此端口。受控開放1004092無固定服務(wù)木馬WinCrash使用的通信端口。受控開放1014100Sybase該端口的開放使得攻擊者可以猜解密碼、遠(yuǎn)程執(zhí)行代碼以及DDOS攻擊影響業(yè)務(wù)使用。受控開放15表B.1(續(xù))序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議1024321無固定服務(wù)木馬SchoolBus使用的通信端口。受控開放1034422無固定服務(wù)木馬Backdoor.Acidoor使用的通信端口。受控開放1044433無固定服務(wù)木馬Backdoor.Acidoor使用的通信端口。受控開放1054444無固定服務(wù)木馬CrackDown、Prosiak、SwiftRemote，蠕蟲W32.Blaster.Worm默認(rèn)使用的通信端口。受控開放1064590無固定服務(wù)木馬ICQTrojan使用的通信端口。受控開放1074899無固定服務(wù)Radmin木馬使用。受控開放1085000Sybase、DB2該端口的開放使得攻擊者可以猜解密碼、遠(yuǎn)程執(zhí)行代碼以及DDOSblazer5受控開放1095001無固定服務(wù)木馬SocketsdeTroie使用的通信端口。受控開放1105002無固定服務(wù)木馬Shaft、cd00r、LinuxRootkitIV使用的通信端口。受控開放1115321無固定服務(wù)木馬SocketsdeTroie使用的通信端口。受控開放1125400無固定服務(wù)BackConstruction、BladeRunner、DigitalSpy通信端口。受控開放1135400無固定服務(wù)木馬BladeRunner使用的通信端口。受控開放1145401無固定服務(wù)木馬BladeRunner使用的通信端口。受控開放1155402無固定服務(wù)木馬BladeRunner使用的通信端口。受控開放1165550無固定服務(wù)木馬xtcp使用的通信端口。受控開放1175554無固定服務(wù)SasserWormMS04-011、W32.Dabber口。受控開放1185569無固定服務(wù)木馬Robo-Hack使用的通信端口。受控開放1195631PCAnywhere軟件PCAnywhere使得攻擊者可以猜解密碼。受控開放1205632存在掃描局域網(wǎng)風(fēng)險。受控開放1215742無固定服務(wù)木馬WinCrash1.03開放此端口。受控開放1225900VNC軟件遠(yuǎn)程控制軟件VNC的默認(rèn)服務(wù)端口，通過該端口可以與服務(wù)器進(jìn)行通信并進(jìn)行遠(yuǎn)程控制。受控開放1235901受控開放1246000X-windows軟件X-windows軟件遠(yuǎn)程管理通信端口，該端口的開放使得攻擊者可以猜解密碼。受控開放1256112無固定服務(wù)存在遠(yuǎn)程利用緩沖區(qū)溢出漏洞，攻擊者利用此漏洞可以執(zhí)行任意代碼。受控開放1266192無固定服務(wù)DameWare務(wù)器進(jìn)行通信并進(jìn)行遠(yuǎn)程控制。受控開放1276267無固定服務(wù)木馬廣外女生開放此端口。受控開放1286379無固定服務(wù)弱存在口令、未授權(quán)訪問、配合sshkey提權(quán)等漏洞。受控開放1296400無固定服務(wù)木馬ThetHing開放此端口。受控開放1306670無固定服務(wù)木馬DeepThroat開放此端口。受控開放16表B.1(續(xù))序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議1316671無固定服務(wù)木馬DeepThroat3.0開放此端口。受控開放1326711無固定服務(wù)木馬SubSeven1.0/1.9開放此端口。受控開放1336712無固定服務(wù)BackDoor-GSubSevenSub7KiLotrojanFunnytrojan使用的通信端口。受控開放1346776無固定服務(wù)木馬SubSeven2.0、SubSeven1.0/1.9、UltorsTrojan使用的通信端口。受控開放1356883無固定服務(wù)木馬DeltaSource開放此端口。受控開放1366969無固定服務(wù)木馬Gatecrasher、Priority開放此端口。受控開放1376970RealAudioRealAudio客戶端口通信端口。受控開放1387000無固定服務(wù)木馬RemoteGrab開放此端口。受控開放1397001WebLogic使用默認(rèn)WEB管理端口的WebLogic服務(wù)器存在暴露后臺的風(fēng)險，存在反序列化、Weblogicuuidcsrf及XSS等漏洞。受控開放1407300無固定服務(wù)木馬NetMonitor開放此端口。受控開放1417301受控開放1427306受控開放1437307受控開放1447308受控開放1457323無固定服務(wù)Sygate代理軟件使用的端口，可以被病毒程序所利用，遙控被感染的計算機(jī)。受控開放1467626無固定服務(wù)木馬Giscier使用的通信端口。受控開放1477789無固定服務(wù)木馬ICKiller使用的通信端口。受控開放1488010無固定服務(wù)Wingate代理軟件使用的端口，可以被病毒程序所利用，遙控被感染的計算機(jī)。受控開放1498080無固定服務(wù)ApacheTomcatApacheJBossWEB80WEBWEBApacheTomcatApacheJBoss8080BrownOrifice（BrO）可以利用該端口完全遙控被感染的計算機(jī)。另外，木馬RemoConChubo、RingZero也利用該端口進(jìn)行攻擊。受控開放1508089無固定服務(wù)開源軟件Jenkens的服務(wù)端口，存在反序列化、控制臺弱口令或默認(rèn)口令等漏洞。受控開放1518161ApacheActiveMQ存在默認(rèn)帳號、密碼（admin/admin）。受控開放1529080WebSphere存在控制臺弱口令爆破、反序列化、任意文件泄露等漏洞。受控開放1539081受控開放1549090受控開放1559200無固定服務(wù)elasticsearch搜索服務(wù)器使用的端口，某些老版本之前有命令執(zhí)行漏洞。受控開放1569400無固定服務(wù)木馬Incommand1.0使用的通信端口。受控開放1579401無固定服務(wù)木馬Incommand1.0使用的通信端口。受控開放17表B.1(續(xù))序號端口號對應(yīng)服務(wù)風(fēng)險描述開放建議1589402無固定服務(wù)木馬Incommand1.0使用的通信端口。受控開放1599875無固定服務(wù)木馬PortalofDoom使用的通信端口。受控開放1609989無固定服務(wù)木馬iNi-Killer使用的通信端口。受控開放16110067無固定服務(wù)木馬PortalofDoom使用的通信端口。受控開放16210167無固定服務(wù)木馬PortalofDoom使用的通信端口。受控開放16311000無固定服務(wù)木馬SennaSpy使用的通信端口。受控開放16411223無固定服務(wù)木馬Progenictrojan使用的通信端口。受控開放16512076無固定服務(wù)木馬Telecommando使用的通信端口。受控開放16612223無固定服務(wù)木馬Hack'99KeyLogger使用的通信端口。受控開放16712345無固定服務(wù)木馬NetBus1.60/1.70、GabanBus使用的通信端口。受控開放16812346無固定服務(wù)木馬NetBus1.60/1.70、GabanBus使用的通信端口。受控開放16912361無固定服務(wù)木馬Whack-a-mole使用的通信端口。受控開放17013223無固定服務(wù)聊天程序（PowWow）使用的端口。它會“駐扎”在這一TCP端口等待回應(yīng)，造成類似心跳間隔的連接企圖。受控開放17116969無固定服務(wù)木馬Priority使用的通信端口。受控開放17217027無固定服務(wù)廣告軟件Conducent的服務(wù)端口，存在黑客利用共享軟件外向連接的風(fēng)險。受控開放17319132無固定服務(wù)游戲軟件Minecraft的默認(rèn)開服端口，存在黑客利用游戲默認(rèn)端口聯(lián)機(jī)控制的風(fēng)險。受控開放17419191無固定服務(wù)木馬藍(lán)色火焰使用的通信端口受控開放17520000無固定服務(wù)木馬Millennium使用的通信端口。受控開放17620001無固定服務(wù)木馬Millennium使用的通信端口。受控開放17720034無固定服務(wù)木馬NetBusPro使用的通信端口。受控開放17820432無固定服務(wù)木馬Shaft的通信端口，用于進(jìn)行DDOS攻擊。受控開放17921554無固定服務(wù)木馬Exploiter、KidTerror、Winsp00fer、GirlFriend、Schwindler默認(rèn)使用的通信端口。受控開放18022222無固定服務(wù)木馬Prosiak使用的通信端口。受控開放18123456無固定服務(wù)木馬EvilFTP、UglyFTP