路由器 天融信防火墙 设置详解

分两种情况：
1、如果你的服务器用的是内网的私有地址，这时候在原来配置规则下，需要再加一条目的地址转换，让外网的用户访问你们单位的服务器的时候，首先是访问防火墙的外网口的IP地址及服务的端口，然后把外网口目的地址和端口号映射到你服务器的IP地址和端口号，这个在目的地址里可以设置。
2、如果你的服务器用的公网的IP，你可以在路由设置中添加一条主机路由，即掩码是255255255255，当然这个是从外网到内网的。
你说的路由设置可能有两个作用：
1、添加一个你外网口的网关，即外网口口的下一条地址，应该是和你外网口相连的路由器的IP（也可能是ISP的路由器地址，如果不知道就问他们）
2、配置到达位置网段的路由，如：上面所说的主机路由。

遇到几次云服务器需要开放对外端口的问题，本来是比较简单的问题，但是实际 *** 作过程中总是出现这样那样的问题。在此记录下来整个配置的过程，以备后面查看。

另外对不同云服务器配置的差别，也分别做相关说明。

要想端口功能正常，需要做以下几个工作：
1、端口处于被监听状态，即有程序在监听端口；
2、服务器的防火墙打开了相应的端口；
3、云服务器的安全组策略有添加相关入站规则；

一、端口处于被监听状态

这个需要应用程序实现相关功能，具体需要自行实现（如果有命令行可以实现，烦请告之）。

二、防火墙打开了相应的端口

1在这里以firewall防火墙作为说明，如果是service防火墙，请自行百度或者改为firewall防火墙。

关闭service防火墙

打开firewall防火墙

如果云服务器本身使用的是firewall防火墙，则忽略以上步骤。

2打开端口

以端口9000-9049为例，分别打开tcp和udp端口

注意：一定要重启端口，否则端口打开失败

3查看端口打开情况

端口打开ok

三、入站规则

不同的云服务器，添加相关的安全组策略有所不同。这里只对我有过接触的服务器作说明，分别是国外的vultr、Microsoft的Azure（就是这个家伙用的service防火墙，折腾了我好久才搞明白，反人类啊！！！）、阿里云。

1vultr

添加入站规则

将入站规则加入到实例中

2Microsoft Azure

参考官方文档

>如何关闭与开启端口？

端口概念、什么是端口在网络技术中，端口（Port）大致有两种意思：　一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。　二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。
查看端口在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。
关闭/开启端口在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。
1关闭端口比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol（SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。
2开启端口如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。
各种端口的作用端口：0服务：Reserved说明：通常用于分析 *** 作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0000，设置ACK位并在以太网层广播。
端口：1服务：tcpmux说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口：7服务：Echo说明：能看到许多人搜索Fraggle放大器时，发送到XXX0和XXX255的信息。
端口：19服务：Character Generator说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
端口：21服务：FTP说明：FTP服务器所开放的端口，用于上传、下载。
端口：22服务：Ssh说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。
端口：23服务：Telnet说明：Telnet远程登录。
端口：25服务：SMTP说明：SMTP服务器所开放的端口，用于发送邮件。
端口：31服务：MSG Authentication说明：木马Master Paradise、Hackers Paradise开放此端口。
端口：42服务：WINS Replication说明：WINS复制
端口：53服务：Domain Name Server（DNS）说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口：67服务：Bootstrap Protocol Server说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255255255255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口：69服务：Trival File Transfer说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
端口：79服务：Finger Server说明：入侵者用于获得用户信息，查询 *** 作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
端口：80服务：>

一。默认开启端口简介
20和21 FTP上传使用端口
25 邮件服务器发邮件端口
80 网页访问WEB端口
110 邮件服务器接受邮件端口
1433 MSSQL数据库远程连接端口
3306 MYSQL服务器远程连接端口
3389 默认远程桌面连接端口
33000-33003 FTP被动模式使用端口

 

 

二。如何开启其他端口，客户装有其他程序需开启特殊端口图文说明。
首先点网上邻居右键属性》本地连接右键属性》高级》设置》例外》添加端口，输入您要开启的端口，端口最大值不超过65535如图

 

三，使用netstat  -an 查看端口

---