โปรโตคอลพอร์ต udp และ tcp ข้อมูลพื้นฐานเกี่ยวกับพอร์ตเครือข่าย

พอร์ตใน เครือข่ายคอมพิวเตอร์เป็นจุดสิ้นสุดการสื่อสารในระบบปฏิบัติการ คำนี้ยังใช้สำหรับอุปกรณ์ฮาร์ดแวร์ด้วย แต่ในซอฟต์แวร์ คำนี้หมายถึงโครงสร้างเชิงตรรกะที่ระบุประเภทของบริการหรือกระบวนการเฉพาะ พอร์ตจะเชื่อมโยงกับที่อยู่ IP ของโฮสต์หรือประเภทโปรโตคอลการสื่อสารเสมอ เสร็จสิ้นการกำหนดที่อยู่เซสชัน พอร์ตจะถูกระบุสำหรับแต่ละโปรโตคอลและที่อยู่ด้วยหมายเลข 16 บิต หรือที่เรียกว่าหมายเลขพอร์ต มักจะใช้หมายเลขพอร์ตเฉพาะเพื่อกำหนดบริการเฉพาะ จากจำนวนหลายพันรายชื่อ มี 1024 หมายเลขที่รู้จักได้รับการคุ้มครองภายใต้ข้อตกลงพิเศษ พวกเขากำหนดประเภทของบริการเฉพาะบนโฮสต์ โปรโตคอลที่ใช้พอร์ตเป็นหลักใช้เพื่อควบคุมกระบวนการ ตัวอย่างคือโปรโตคอลควบคุมการส่ง TCP หรือ User Datagram Protocol ของชุดโปรโตคอลอินเทอร์เน็ต

ความหมาย

ไม่จำเป็นต้องใช้พอร์ต TCP บนลิงก์แบบจุดต่อจุดโดยตรง เมื่อคอมพิวเตอร์ที่ปลายแต่ละด้านสามารถเรียกใช้โปรแกรมได้ครั้งละหนึ่งโปรแกรมเท่านั้น ความต้องการเกิดขึ้นหลังจากที่เครื่องเหล่านี้สามารถรันโปรแกรมได้มากกว่าหนึ่งโปรแกรมในเวลาเดียวกัน พวกเขาเชื่อมต่อกับเครือข่ายสลับแพ็คเก็ตที่ทันสมัย ในโมเดลสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์ พอร์ต แอปพลิเคชัน และไคลเอนต์เครือข่ายเชื่อมต่อกับการเริ่มต้นบริการ พวกเขาให้บริการมัลติเพล็กซ์หลังจากการแลกเปลี่ยนข้อมูลครั้งแรกเชื่อมโยงกับหมายเลขพอร์ต เป็นอิสระโดยการเปลี่ยนอินสแตนซ์บริการคำขอแต่ละรายการเป็นสายเช่า เชื่อมต่อกับหมายเลขเฉพาะ ด้วยเหตุนี้ ลูกค้าจึงสามารถให้บริการเพิ่มเติมได้โดยไม่ต้องรอ

รายละเอียด

โปรโตคอลการถ่ายโอนข้อมูล UDP และ TCP ใช้เพื่อระบุหมายเลขพอร์ตปลายทางและแหล่งที่มาในส่วนหัวของเซ็กเมนต์ หมายเลขพอร์ตเป็นหมายเลข 16 บิตที่ไม่ได้ลงนาม สามารถอยู่ในช่วงตั้งแต่ 0 ถึง 65535 อย่างไรก็ตาม พอร์ต TCP ไม่สามารถใช้หมายเลข 0 ได้ สำหรับ UDP พอร์ตต้นทางเป็นทางเลือก ค่าเท่ากับศูนย์หมายถึงไม่มีอยู่ กระบวนการนี้ผูกช่องสัญญาณเข้าหรือออกโดยใช้โปรโตคอลการขนส่ง หมายเลขพอร์ต และที่อยู่ IP ผ่านซ็อกเก็ตอินเทอร์เน็ต กระบวนการนี้เรียกอีกอย่างว่าพันธะ ช่วยให้สามารถรับและส่งข้อมูลผ่านเครือข่ายได้ ซอฟต์แวร์เครือข่ายระบบปฏิบัติการใช้เพื่อส่งข้อมูลขาออกจากพอร์ตแอปพลิเคชันทั้งหมดไปยังเครือข่าย นอกจากนี้ยังส่งต่อแพ็กเก็ตเครือข่ายขาเข้าโดยจับคู่หมายเลขและที่อยู่ IP มีเพียงกระบวนการเดียวเท่านั้นที่สามารถผูกกับที่อยู่ IP ที่กำหนดและการรวมพอร์ตโดยใช้โปรโตคอลการขนส่งเดียวกัน แอปพลิเคชันขัดข้อง หรือที่เรียกว่าข้อขัดแย้ง เกิดขึ้นเมื่อหลายโปรแกรมพยายามสื่อสารกับหมายเลขพอร์ตเดียวกันบนที่อยู่ IP เดียวกันโดยใช้โปรโตคอลเดียวกันพร้อมกัน

วิธีสมัคร

เป็นเรื่องปกติสำหรับแอปพลิเคชันที่ใช้บริการที่ใช้ร่วมกันเพื่อใช้รายการพอร์ต UDP และ TCP ที่สงวนไว้เป็นพิเศษและเป็นที่รู้จักกันดีเพื่อยอมรับคำขอใช้บริการไคลเอ็นต์ กระบวนการนี้เรียกอีกอย่างว่าการฟัง มันเกี่ยวข้องกับการรับคำขอจากพอร์ตที่รู้จักกันดีและสร้างการสนทนาระหว่างไคลเอนต์และเซิร์ฟเวอร์หนึ่งไปยังอีกที่หนึ่งโดยใช้หมายเลขพอร์ตในเครื่องเดียวกัน ลูกค้ารายอื่นอาจยังคงเชื่อมต่ออยู่ สิ่งนี้เป็นไปได้เนื่องจากการเชื่อมต่อ TCP ถูกระบุเป็นสายโซ่ที่ประกอบด้วยพอร์ตและที่อยู่ท้องถิ่นและระยะไกล พอร์ต UDP และ TCP มาตรฐานอาจถูกกำหนดโดยแบบแผนภายใต้การควบคุมของ IANA หรือ Internet Assigned Numbers Authority ตามกฎแล้ว แก่นของบริการเครือข่าย อย่างแรกเลยคือ ทั่วโลกเว็บใช้หมายเลขพอร์ตขนาดเล็กซึ่งน้อยกว่า 1024 ในระบบปฏิบัติการจำนวนมาก แอปพลิเคชันต้องการสิทธิ์พิเศษในการผูกกับพวกเขา ด้วยเหตุผลนี้ จึงมักถูกมองว่ามีความสำคัญต่อการทำงานของเครือข่าย IP ในทางกลับกัน ไคลเอนต์ปลายทางของการเชื่อมต่อมีแนวโน้มที่จะใช้มากกว่า จัดสรรสำหรับการใช้งานในระยะสั้น ด้วยเหตุนี้จึงมีพอร์ตชั่วคราวที่เรียกว่า

โครงสร้าง

พอร์ต TCP ถูกเข้ารหัสในส่วนหัวของแพ็กเก็ตของแพ็กเก็ตการขนส่ง พวกเขาสามารถตีความได้อย่างง่ายดายไม่เพียงโดยการรับและส่งพีซี แต่ยังรวมถึงส่วนประกอบอื่น ๆ ของโครงสร้างพื้นฐานเครือข่าย ไฟร์วอลล์โดยเฉพาะอย่างยิ่ง โดยทั่วไปแล้วจะมีการกำหนดค่าให้แยกความแตกต่างระหว่างแพ็กเก็ตตามหมายเลขพอร์ตปลายทางและต้นทาง ตัวอย่างคลาสสิกของสิ่งนี้คือการเปลี่ยนเส้นทาง ความพยายามในการเชื่อมต่อแบบอนุกรมกับพอร์ตต่างๆ บนคอมพิวเตอร์เครื่องเดียวกันเรียกอีกอย่างว่าการสแกน ขั้นตอนดังกล่าวมักจะเกี่ยวข้องกับความพยายามความล้มเหลวที่เป็นอันตราย หรือกับข้อเท็จจริงที่ว่าผู้ดูแลระบบเครือข่ายกำลังมองหาช่องโหว่ที่เป็นไปได้โดยเฉพาะเพื่อป้องกันการโจมตีดังกล่าว การดำเนินการที่มุ่งเป้าไปที่การเปิดพอร์ต TCP จะถูกบันทึกและควบคุมโดยคอมพิวเตอร์ เทคนิคนี้ใช้การเชื่อมต่อสำรองจำนวนหนึ่งเพื่อให้แน่ใจว่ามีการสื่อสารกับเซิร์ฟเวอร์อย่างต่อเนื่อง

ตัวอย่างการใช้

ตัวอย่างสำคัญที่พอร์ต UDP และ TCP ถูกใช้อย่างหนักคือระบบอินเทอร์เน็ตเมล เซิร์ฟเวอร์ใช้ในการทำงานกับอีเมล โดยทั่วไปแล้ว เขาต้องการบริการสองอย่าง บริการแรกใช้สำหรับการขนส่งทางอีเมลและจากเซิร์ฟเวอร์อื่น ทำได้โดยใช้ Simple Mail Transfer Protocol (SMTP) โดยทั่วไปแล้ว แอปพลิเคชันบริการ SMTP จะรับฟังบนพอร์ต TCP หมายเลข 25 เพื่อดำเนินการกับคำขอที่เข้ามา บริการอื่นคือ POP หรือ IMAP สิ่งเหล่านี้จำเป็นสำหรับแอปพลิเคชันไคลเอนต์อีเมลบนเครื่องของผู้ใช้เพื่อรับข้อความจากเซิร์ฟเวอร์ อีเมล. บริการ POP รับฟังบนพอร์ต TCP 110 บริการทั้งหมดข้างต้นสามารถทำงานบนเครื่องโฮสต์เดียวกันได้ หมายเลขพอร์ต เมื่อสิ่งนี้เกิดขึ้น จะแยกแยะบริการที่ร้องขอโดยอุปกรณ์ระยะไกล หากกำหนดหมายเลขพอร์ตการรับฟังของเซิร์ฟเวอร์อย่างถูกต้อง พารามิเตอร์นี้สำหรับไคลเอนต์จะถูกกำหนดจากช่วงไดนามิก ไคลเอ็นต์และเซิร์ฟเวอร์แยกกัน ในบางกรณี ใช้พอร์ต TCP บางพอร์ตที่กำหนดโดย IANA DHCP เป็นตัวอย่างที่ดี ที่นี่ ไคลเอนต์ใช้ UDP 68 อยู่ดี และเซิร์ฟเวอร์ใช้ UDP 67

การใช้งานใน URLs

บางครั้งหมายเลขพอร์ตจะมองเห็นได้ชัดเจนบนอินเทอร์เน็ตหรือบนตัวระบุตำแหน่งทรัพยากรอื่นๆ เช่น URL HTTP ใช้พอร์ต TCP 80 โดยค่าเริ่มต้นและ HTTPS ใช้พอร์ต 443 นอกจากนี้ยังมีรูปแบบอื่นๆ ตัวอย่างเช่น URL http://www.example.com:8080/path ระบุว่าเว็บเบราว์เซอร์กำลังเชื่อมต่อกับ 8080 แทนที่จะเป็นเซิร์ฟเวอร์ HTTP

รายการพอร์ต UDP และ TCP

ตามที่ระบุไว้ก่อนหน้านี้ IANA หรือ InternetA ที่ได้รับมอบหมาย Numbers Authority มีหน้าที่รับผิดชอบในการประสานงานทั่วโลกของ DNS-Root, การกำหนดที่อยู่ IP และทรัพยากรอินเทอร์เน็ตโปรโตคอลอื่น ๆ ขั้นตอนเหล่านี้รวมถึงการลงทะเบียนพอร์ตที่ใช้กันทั่วไปสำหรับบริการอินเทอร์เน็ตที่รู้จัก หมายเลขพอร์ตทั้งหมดแบ่งออกเป็นสามช่วง: รู้จัก ลงทะเบียน และส่วนตัว หรือไดนามิก พอร์ตที่รู้จักคือตัวเลขตั้งแต่ 0 ถึง 1023 ซึ่งเรียกอีกอย่างว่าพอร์ตระบบ ข้อกำหนดสำหรับค่าใหม่ในช่วงนี้เข้มงวดกว่าการลงทะเบียนอื่นๆ

ตัวอย่าง

ตัวอย่างของพอร์ตที่อยู่ในรายการที่ทราบ ได้แก่:

พอร์ต TCP 443 - HTTPS;
21 - โปรโตคอลการถ่ายโอนไฟล์;
22-Secure เชลล์;
25 - โปรโตคอลการถ่ายโอนจดหมายอย่างง่าย STMP;
53 - ระบบชื่อโดเมน DNS;
119 - Network News Transfer Protocol หรือ NNTP;
80 – โปรโตคอลการถ่ายโอนไฮเปอร์เท็กซ์ HTTP;
143 - โปรโตคอลการเข้าถึงข้อความทางอินเทอร์เน็ต;
123 - โปรโตคอลเวลาเครือข่าย NTP;
161 เป็นโปรโตคอลการจัดการเครือข่าย SNMP อย่างง่าย

พอร์ตที่ลงทะเบียนต้องมีหมายเลขตั้งแต่ 1024 ถึง 49151 Internet Assigned Numbers Authority จะรักษารายการอย่างเป็นทางการของช่วงที่ทราบและลงทะเบียนทั้งหมด พอร์ตความถี่หรือไดนามิกมีตั้งแต่ 29152 ถึง 65535 กรณีการใช้งานเดียวสำหรับช่วงนี้คือพอร์ตเวลา

ประวัติความเป็นมาของการสร้าง

แนวคิดเรื่องหมายเลขพอร์ตได้รับการพัฒนาโดยผู้สร้าง ARPANET รุ่นแรกๆ ได้รับการพัฒนาโดยความร่วมมืออย่างไม่เป็นทางการระหว่างผู้เขียนซอฟต์แวร์และผู้ดูแลระบบ ในขณะนั้นยังไม่มีการใช้คำว่า "หมายเลขพอร์ต" สตริงตัวเลขของรีโมตโฮสต์เป็นตัวเลข 40 บิต 32 บิตแรกคล้ายกับที่อยู่ IPv4 ในปัจจุบัน ที่สำคัญที่สุดในกรณีนี้คือ 8 บิตแรก ส่วนที่มีนัยสำคัญน้อยกว่าของตัวเลข (เหล่านี้คือบิต 33 ถึง 40) แสดงถึงอ็อบเจ็กต์ที่เรียกว่า AEN เป็นแบบอย่างของหมายเลขพอร์ตสมัยใหม่ การสร้างแคตตาล็อกหมายเลขซ็อกเก็ตถูกเสนอครั้งแรกเมื่อวันที่ 26 มีนาคม พ.ศ. 2515 ผู้ดูแลระบบเครือข่ายถูกเรียกให้อธิบายแต่ละหมายเลขถาวรสำหรับบริการเครือข่ายและคุณสมบัติของบริการ แค็ตตาล็อกนี้ถูกตีพิมพ์ในเวลาต่อมาใน RFC 433 ในช่วงฤดูหนาวปี 1972 ประกอบด้วยรายการโฮสต์ หมายเลขพอร์ต และฟังก์ชันที่เกี่ยวข้องซึ่งแต่ละโหนดในเครือข่ายใช้ ความหมายอย่างเป็นทางการของหมายเลขพอร์ตได้รับการบันทึกเป็นครั้งแรกในเดือนพฤษภาคม พ.ศ. 2515 ในเวลาเดียวกัน มีการเสนอหน้าที่ดูแลระบบพิเศษเพื่อดูแลรีจิสทรีนี้ รายการแรกของพอร์ต TCP รวมค่า AEN 256 ค่า แบ่งออกเป็นช่วงต่อไปนี้:

- ตั้งแต่ 0 ถึง 63 - ฟังก์ชั่นมาตรฐานของเครือข่ายทั้งหมด

- จาก 64 ถึง 127 - ฟังก์ชั่นเฉพาะโฮสต์;

- จาก 128 ถึง 239 - ฟังก์ชั่นที่สงวนไว้สำหรับใช้ในอนาคต

- จาก 240 ถึง 255 - ฟังก์ชันทดลองใดๆ

คำว่า AEN ในยุคแรกๆ ของ ARPANET ยังเป็นชื่อซ็อกเก็ตที่ใช้กับโปรโตคอลการเชื่อมต่อดั้งเดิมและส่วนประกอบ Network Control Program หรือ NCP ในกรณีนี้ NCP เป็นผู้บุกเบิกโปรโตคอลอินเทอร์เน็ตในปัจจุบัน ซึ่งใช้พอร์ต TCP/IP

เพื่อสื่อสารกับแอปพลิเคชันที่ทำงานบนโฮสต์เครือข่ายอื่น (รวมถึงแอปพลิเคชันอื่นบนโฮสต์เดียวกัน)

กฎพื้นฐานที่จำเป็นสำหรับการทำความเข้าใจการทำงานของพอร์ต: 1) พอร์ตสามารถครอบครองได้โดยโปรแกรมเดียวเท่านั้นและไม่สามารถใช้โดยโปรแกรมอื่นได้ในขณะนี้ 2) โปรแกรมทั้งหมดใช้พอร์ตในการสื่อสารระหว่างกันผ่านเครือข่าย

สำหรับแต่ละโปรโตคอล TCP และ UDP มาตรฐานกำหนดความสามารถในการจัดสรรพอร์ตที่ไม่ซ้ำกันสูงสุด 65536 พอร์ตพร้อมกันบนโฮสต์ โดยระบุด้วยตัวเลขตั้งแต่ 0 ถึง 65535 เมื่อส่งผ่านเครือข่าย หมายเลขพอร์ตในส่วนหัวของแพ็กเก็ตจะถูกใช้ ( พร้อมกับที่อยู่ IP ของโฮสต์) เพื่อระบุแอปพลิเคชันเฉพาะ (และการเชื่อมต่อเครือข่ายเฉพาะที่เป็นของมัน)

หมายเลขพอร์ต

พอร์ต TCP ไม่ทับซ้อนกับพอร์ต UDP นั่นคือ พอร์ต TCP 1234 จะไม่รบกวนการรับส่งข้อมูล UDP บนพอร์ต 1234

หมายเลขพอร์ตจำนวนหนึ่งได้รับมาตรฐาน (ดูรายการพอร์ต TCP และ UDP) รายชื่อนี้ดูแลโดยองค์กรไม่แสวงหาผลกำไร IANA

สำหรับระบบปฏิบัติการที่คล้ายกับ UNIX ส่วนใหญ่ การฟังบนพอร์ต 0-1023 (ซึ่งเกือบทั้งหมดลงทะเบียนไว้) จำเป็นต้องมีสิทธิพิเศษ แต่ละพอร์ตอื่นๆ สามารถดักจับได้โดยกระบวนการแรกที่ร้องขอ อย่างไรก็ตาม มีเลขทะเบียนมากกว่า 1024 จำนวนมาก

รายการหมายเลขพอร์ตโดยย่อ

ใช้โปรโตคอล TCP เว้นแต่จะระบุไว้เป็นอย่างอื่น

ยกเลิก: 9, ทิ้งพอร์ต (RFC 863)
FTP: 21 สำหรับคำสั่ง 20 สำหรับ data
SSH: 22 (การเข้าถึงระยะไกล)
telnet : 23 (การเข้าถึงระยะไกล)
SMTP: 25, 465, 587
เซิร์ฟเวอร์: 3055
XMPP (Jabber): 5222/5223 - ไคลเอนต์ - เซิร์ฟเวอร์, 5269 - เซิร์ฟเวอร์ - เซิร์ฟเวอร์
traceroute : สูงกว่า 33434 (UDP) (บางแหล่งบอกว่าพอร์ตมีตั้งแต่ 33434 ถึง 33534 ก็เพียงพอแล้ว)

พอร์ตต้นทางและปลายทาง

แพ็กเก็ต TCP หรือ UDP จะมีช่องหมายเลขพอร์ตสองช่องเสมอ: ผู้ส่งและปลายทาง ประเภทของยูทิลิตี้ถูกกำหนดโดยพอร์ตของผู้รับคำขอที่เข้ามาและหมายเลขเดียวกันคือพอร์ตของผู้ส่งการตอบกลับ พอร์ต "ย้อนกลับ" (พอร์ตของผู้ส่งคำขอยังเป็นพอร์ตของผู้รับการตอบสนอง) เมื่อเชื่อมต่อผ่าน TCP ถูกกำหนดโดยไคลเอนต์โดยพลการ (แม้ว่าจะไม่ได้กำหนดหมายเลขที่น้อยกว่า 1024 และพอร์ตที่ถูกครอบครองอยู่แล้ว) และไม่สนใจผู้ใช้ การใช้หมายเลขพอร์ตย้อนกลับใน UDP ขึ้นอยู่กับการใช้งาน

ลิงค์

หมายเหตุ

มูลนิธิวิกิมีเดีย 2010 .

ดูว่า "พอร์ต (TCP/IP)" ในพจนานุกรมอื่นๆ คืออะไร:

ชื่อ: Transport Control Protocol Level (ตามรุ่น OSI): Transport Family: TCP / IP Port / ID: 6 / IP Specification: RFC 793 / STD 7 การใช้งานพื้นฐาน ... Wikipedia

พอร์ต: วิกิพจนานุกรมมีรายการสำหรับ "พอร์ต" พอร์ต (lat. portus "harbour", "pier") ... Wikipedia

ชื่อ: Transmission Control Protocol Level (ตามรุ่น OSI): Transport Family: TCP / IP Port / ID: 6 / IP Specification: RFC 793 / STD 7 การใช้งานหลัก: Linux, Windows Extensibility ... Wikipedia

สแต็คโปรโตคอล TCP/IP (Transmission Control Protocol/Internet Protocol) เป็นชุดของโปรโตคอลเครือข่ายในระดับต่างๆ ของโมเดลการโต้ตอบเครือข่าย DOD ที่ใช้ในเครือข่าย โปรโตคอลทำงานร่วมกันในสแต็ก (สแต็กภาษาอังกฤษ สแต็ก) ... ... Wikipedia

หมายเลขพอร์ต TCP ที่ระบุกระบวนการหรือแอปพลิเคชันภายในคอมพิวเตอร์ สำหรับแอปพลิเคชันไคลเอนต์ หมายเลขพอร์ตถูกกำหนดโดยระบบปฏิบัติการแบบไดนามิก สำหรับซอฟต์แวร์เซิร์ฟเวอร์ หมายเลขพอร์ตจะไม่เปลี่ยนแปลงและถูกกำหนดโดยอินเทอร์เน็ต ... ... คำศัพท์ทางการเงิน

พารามิเตอร์พอร์ตเครือข่ายของโปรโตคอล UDP ที่กำหนดวัตถุประสงค์ของแพ็กเก็ตข้อมูลในรูปแบบ นี่คือตัวเลขแบบมีเงื่อนไขตั้งแต่ 0 ถึง 65535 ซึ่งช่วยให้ โปรแกรมต่างๆ, ทำงานบนโฮสต์เดียวกัน, รับข้อมูลแยกกัน (ให้วิธีนี้ ... ... Wikipedia

พอร์ตเครือข่ายเป็นพารามิเตอร์โปรโตคอล UDP ที่กำหนดวัตถุประสงค์ของแพ็กเก็ตข้อมูลในรูปแบบ นี่คือตัวเลขแบบมีเงื่อนไขตั้งแต่ 0 ถึง 65535 ทำให้โปรแกรมต่างๆ ที่ทำงานบนโฮสต์เดียวกันสามารถรับข้อมูลแยกจากกันได้ (มีให้ ... ... Wikipedia

โปรโตคอล TCP/IP เป็นพื้นฐานของอินเทอร์เน็ต โดยที่คอมพิวเตอร์ส่งและรับข้อมูลจากทุกที่ในโลก โดยไม่คำนึงถึงที่ตั้งทางภูมิศาสตร์ การเข้าถึงคอมพิวเตอร์ TCP/IP ในประเทศอื่นทำได้ง่ายเหมือนกับการเข้าถึงคอมพิวเตอร์ในห้องถัดไป ขั้นตอนการเข้าถึงจะเหมือนกันในทั้งสองกรณี แม้ว่าอาจใช้เวลานานกว่าสองสามมิลลิวินาทีในการเชื่อมต่อกับเครื่องในประเทศอื่น เป็นผลให้พลเมืองของประเทศใด ๆ สามารถซื้อสินค้าที่ Amazon.com ได้อย่างง่ายดาย อย่างไรก็ตาม เนื่องจากความใกล้ชิดทางตรรกะ ภารกิจในการปกป้องข้อมูลจึงซับซ้อนมากขึ้น: เจ้าของคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ตไม่ว่าที่ใดในโลกสามารถพยายามสร้างการเชื่อมต่อที่ไม่ได้รับอนุญาตกับเครื่องอื่นได้

เป็นความรับผิดชอบของผู้เชี่ยวชาญด้านไอทีในการติดตั้งไฟร์วอลล์และระบบเพื่อตรวจจับการรับส่งข้อมูลที่น่าสงสัย การดมกลิ่นแพ็คเก็ตจะดึงข้อมูลเกี่ยวกับที่อยู่ IP ต้นทางและปลายทางและพอร์ตเครือข่ายที่เกี่ยวข้อง ค่าของพอร์ตเครือข่ายไม่ได้ด้อยกว่าที่อยู่ IP; สิ่งเหล่านี้เป็นเกณฑ์ที่สำคัญที่สุดในการแยกทราฟฟิกที่เป็นประโยชน์ออกจากแพ็กเก็ตปลอมและแพ็กเก็ตที่เป็นอันตรายที่เข้าและออกจากเครือข่าย ปริมาณการใช้เครือข่ายอินเทอร์เน็ตจำนวนมากประกอบด้วยแพ็กเก็ต TCP และ UDP ซึ่งมีข้อมูลเกี่ยวกับพอร์ตเครือข่ายที่คอมพิวเตอร์ใช้เพื่อกำหนดเส้นทางการรับส่งข้อมูลจากแอปพลิเคชันหนึ่งไปยังอีกแอปพลิเคชันหนึ่ง ข้อกำหนดเบื้องต้นสำหรับความปลอดภัยของไฟร์วอลล์และเครือข่ายคือความเข้าใจอย่างถ่องแท้ของผู้ดูแลระบบว่าคอมพิวเตอร์และอุปกรณ์เครือข่ายใช้พอร์ตเหล่านี้อย่างไร

สำรวจพอร์ต

การรู้หลักการพื้นฐานของพอร์ตเครือข่ายจะเป็นประโยชน์กับผู้ดูแลระบบทุกคน ด้วยความรู้พื้นฐานเกี่ยวกับการออกแบบพอร์ต TCP และ UDP ผู้ดูแลระบบสามารถวินิจฉัยแอปพลิเคชันเครือข่ายที่ล้มเหลวหรือรักษาความปลอดภัยคอมพิวเตอร์ที่จะเข้าถึงอินเทอร์เน็ตได้โดยไม่ต้องโทรหาวิศวกรเครือข่ายหรือที่ปรึกษาด้านไฟร์วอลล์

ส่วนแรกของบทความนี้ (ประกอบด้วยสองส่วน) อธิบายแนวคิดพื้นฐานที่จำเป็นในการพิจารณาพอร์ตเครือข่าย ตำแหน่งของพอร์ตเครือข่ายในโมเดลเครือข่ายโดยรวมและบทบาทของพอร์ตเครือข่ายและไฟร์วอลล์ NAT (การแปลที่อยู่เครือข่าย - การแปลที่อยู่เครือข่าย) ในการเชื่อมต่อคอมพิวเตอร์ของบริษัทกับอินเทอร์เน็ตจะปรากฏขึ้น สุดท้ายจะระบุจุดเครือข่ายในที่ซึ่งสะดวกในการระบุและกรอง ปริมาณการใช้เครือข่ายบนพอร์ตเครือข่ายที่เกี่ยวข้อง ส่วนที่ 2 จะพิจารณาพอร์ตบางพอร์ตที่ใช้โดยแอปพลิเคชันและระบบปฏิบัติการทั่วไป และแนะนำเครื่องมือบางอย่างสำหรับการค้นหาพอร์ตที่เปิดอยู่บนเครือข่าย

ภาพรวมโดยย่อของโปรโตคอลเครือข่าย

TCP/IP คือชุดของโปรโตคอลเครือข่ายที่คอมพิวเตอร์ใช้สื่อสารระหว่างกัน ชุด TCP/IP ไม่มีอะไรมากไปกว่าโค้ดที่ติดตั้งบนระบบปฏิบัติการที่ให้การเข้าถึงโปรโตคอลเหล่านี้ TCP/IP เป็นมาตรฐาน ดังนั้นแอปพลิเคชัน TCP/IP บน คอมพิวเตอร์วินโดว์ต้องสื่อสารกับแอปพลิเคชันที่คล้ายกันบนเครื่อง UNIX ได้สำเร็จ ในช่วงแรกๆ ของการสร้างเครือข่าย ในปี 1983 วิศวกรได้พัฒนา OSI Interoperability Model เจ็ดชั้นเพื่ออธิบายวิธีที่คอมพิวเตอร์สื่อสารข้ามเครือข่าย ตั้งแต่สายเคเบิลไปจนถึงแอปพลิเคชัน โมเดล OSI ประกอบด้วยฟิสิคัล ดาต้าลิงค์ เครือข่าย การขนส่ง การแสดงเซสชันของข้อมูลและเลเยอร์แอปพลิเคชัน ผู้ดูแลระบบที่ทำงานกับอินเทอร์เน็ตและ TCP/IP อย่างต่อเนื่องจะเกี่ยวข้องกับเลเยอร์เครือข่าย การส่งข้อมูล และแอปพลิเคชันเป็นหลัก แต่เลเยอร์อื่นๆ จะต้องเป็นที่รู้จักจึงจะวินิจฉัยได้สำเร็จ แม้จะมีอายุมากของแบบจำลอง OSI แต่ผู้เชี่ยวชาญหลายคนยังคงใช้มัน ตัวอย่างเช่น เมื่อวิศวกรเครือข่ายพูดถึงสวิตช์เลเยอร์ 1 หรือ 2 และผู้จำหน่ายไฟร์วอลล์พูดถึงการควบคุมเลเยอร์ 7 พวกเขากำลังพูดถึงเลเยอร์ที่กำหนดไว้ในโมเดล OSI

บทความนี้กล่าวถึงพอร์ตเครือข่ายที่อยู่ที่เลเยอร์ 4 - การขนส่ง ในชุด TCP/IP พอร์ตเหล่านี้ถูกใช้โดยโปรโตคอล TCP และ UDP แต่ก่อนที่จะไปต่อที่ คำอธิบายโดยละเอียดระดับหนึ่ง จำเป็นต้องทำความคุ้นเคยกับชั้น OSI ทั้งเจ็ดและบทบาทที่พวกเขาเล่นในเครือข่าย TCP/IP สมัยใหม่โดยสังเขป

ชั้น 1 และ 2: สายเคเบิลจริงและที่อยู่ MAC

ชั้นที่ 1 ทางกายภาพ หมายถึงสื่อจริงที่สัญญาณแพร่กระจาย เช่น สายเคเบิลทองแดง สายเคเบิลใยแก้วนำแสง หรือสัญญาณวิทยุ (ในกรณีของ Wi-Fi) เลเยอร์ 2 แชนเนล อธิบายรูปแบบข้อมูลสำหรับการส่งในสื่อทางกายภาพ ที่เลเยอร์ 2 แพ็กเก็ตจะถูกจัดเป็นเฟรม และสามารถใช้ฟังก์ชันการควบคุมโฟลว์พื้นฐานและการจัดการข้อผิดพลาดได้ มาตรฐาน IEEE 802.3 หรือรู้จักกันดีในชื่ออีเทอร์เน็ต เป็นมาตรฐานเลเยอร์ 2 ที่ใช้กันอย่างแพร่หลายมากที่สุดสำหรับเครือข่ายท้องถิ่นในปัจจุบัน สวิตช์เครือข่ายทั่วไปเป็นอุปกรณ์เลเยอร์ 2 ซึ่งคอมพิวเตอร์หลายเครื่องเชื่อมต่อและสื่อสารกันทางกายภาพ บางครั้งคอมพิวเตอร์สองเครื่องไม่สามารถเชื่อมต่อกันแม้ว่าที่อยู่ IP จะดูเหมือนถูกต้อง: ข้อผิดพลาดในแคช Address Resolution Protocol (ARP) อาจเป็นสาเหตุของปัญหา ซึ่งบ่งชี้ถึงปัญหาที่เลเยอร์ 2 นอกจากนี้ บางส่วน จุดไร้สายจุดเข้าใช้งาน (AP) ให้การกรองที่อยู่ MAC เพื่ออนุญาตการเชื่อมต่อกับ AP ไร้สายเท่านั้น อะแดปเตอร์เครือข่ายด้วยที่อยู่ MAC เฉพาะ

เลเยอร์ 3 และ 4: ที่อยู่ IP และพอร์ตเครือข่าย

เลเยอร์ 3 เครือข่าย รองรับการกำหนดเส้นทาง ใน TCP/IP การกำหนดเส้นทางจะดำเนินการใน IP ที่อยู่ IP ของแพ็กเก็ตเป็นของเลเยอร์ 3 เราเตอร์เครือข่ายเป็นอุปกรณ์เลเยอร์ 3 ที่แยกวิเคราะห์ที่อยู่ IP ของแพ็กเก็ตและส่งต่อแพ็กเก็ตไปยังเราเตอร์อื่นหรือส่งแพ็กเก็ตไปยัง คอมพิวเตอร์ท้องถิ่น. หากพบแพ็กเก็ตที่น่าสงสัยในเครือข่าย ขั้นตอนแรกคือการตรวจสอบที่อยู่ IP ของแพ็กเก็ตเพื่อพิจารณาว่าแพ็กเก็ตมาจากที่ใด

เมื่อรวมกับเลเยอร์เครือข่ายแล้ว เลเยอร์ 4 (การขนส่ง) เป็นจุดเริ่มต้นที่ดีสำหรับการวินิจฉัยปัญหาเครือข่าย บนอินเทอร์เน็ต เลเยอร์ 4 มีโปรโตคอล TCP และ UDP และข้อมูลเกี่ยวกับพอร์ตเครือข่ายที่เชื่อมโยงแพ็กเก็ตกับแอปพลิเคชันเฉพาะ เครือข่ายสแต็กของคอมพิวเตอร์ใช้การสื่อสาร พอร์ตเครือข่าย TCP หรือ UDP พร้อมแอปพลิเคชันเพื่อกำหนดเส้นทางการรับส่งข้อมูลเครือข่ายไปยังแอปพลิเคชันนั้น ตัวอย่างเช่น พอร์ต TCP 80 เชื่อมโยงกับแอปพลิเคชันเว็บเซิร์ฟเวอร์ การแมปพอร์ตกับแอปพลิเคชันนี้เรียกว่าบริการ

TCP และ UDP ต่างกัน โดยพื้นฐานแล้ว TCP ให้การเชื่อมต่อที่เชื่อถือได้สำหรับการแลกเปลี่ยนข้อมูลระหว่างสองแอปพลิเคชัน ก่อนเริ่มการสื่อสาร สองแอปพลิเคชันต้องสร้างการเชื่อมต่อโดยทำตามกระบวนการแฮนด์เชค TCP สามขั้นตอน UDP เป็นแนวทาง "ตั้งค่าและลืมมัน" มากกว่า โปรโตคอลมีความน่าเชื่อถือในการสื่อสารสำหรับแอปพลิเคชัน TCP ในขณะที่แอปพลิเคชัน UDP ต้องตรวจสอบความน่าเชื่อถือของการเชื่อมต่อ

พอร์ตเครือข่ายเป็นตัวเลขระหว่าง 1 ถึง 65535 ที่ระบุและรู้จักกับทั้งสองแอปพลิเคชันที่กำลังสื่อสาร ตัวอย่างเช่น ไคลเอนต์ส่งแบบสอบถามที่ไม่ได้เข้ารหัสไปยังเซิร์ฟเวอร์ที่อยู่ปลายทางบนพอร์ต TCP 80 โดยทั่วไป คอมพิวเตอร์ส่งแบบสอบถาม DNS ไปยังเซิร์ฟเวอร์ DNS ที่อยู่ปลายทางบนพอร์ต UDP 53 ไคลเอนต์และเซิร์ฟเวอร์มีต้นทาง และที่อยู่ IP ปลายทางตลอดจนพอร์ตเครือข่ายต้นทางและปลายทางซึ่งอาจต่างกัน ในอดีต หมายเลขพอร์ตทั้งหมดที่ต่ำกว่า 1024 เรียกว่า "หมายเลขพอร์ตที่รู้จักกันดี" และลงทะเบียนกับ IANA (Internet Assigned Numbers Authority) ในบางส่วน ระบบปฏิบัติการอา เฉพาะกระบวนการของระบบเท่านั้นที่สามารถใช้พอร์ตในช่วงนี้ได้ นอกจากนี้ องค์กรสามารถลงทะเบียนพอร์ต 1024 ถึง 49151 กับ IANA เพื่อเชื่อมโยงพอร์ตกับแอปพลิเคชันของตน การลงทะเบียนนี้มีโครงสร้างที่ช่วยหลีกเลี่ยงความขัดแย้งระหว่างแอปพลิเคชันที่ต้องการใช้หมายเลขพอร์ตเดียวกัน อย่างไรก็ตาม โดยทั่วไป ไม่มีอะไรที่จะป้องกันไม่ให้แอปพลิเคชันร้องขอพอร์ตใดพอร์ตหนึ่งได้ หากไม่ได้ใช้งานโดยโปรแกรมอื่นที่ทำงานอยู่

ในอดีต เซิร์ฟเวอร์สามารถรับฟังหมายเลขพอร์ตต่ำ และไคลเอนต์สามารถเริ่มต้นการเชื่อมต่อจากหมายเลขพอร์ตที่สูง (มากกว่า 1024) ตัวอย่างเช่น เว็บไคลเอ็นต์อาจเปิดการเชื่อมต่อกับเว็บเซิร์ฟเวอร์บนพอร์ตปลายทาง 80 แต่เชื่อมโยงพอร์ตต้นทางที่เลือกแบบสุ่ม เช่น พอร์ต TCP 1025 เมื่อตอบสนองต่อไคลเอ็นต์ เว็บเซิร์ฟเวอร์จะระบุแพ็กเก็ตไปยังไคลเอ็นต์ด้วยแหล่งที่มา พอร์ต 80 และพอร์ตปลายทาง 1025 การรวมกันของที่อยู่ IP และพอร์ตเรียกว่าซ็อกเก็ตและต้องไม่ซ้ำกันบนคอมพิวเตอร์ ด้วยเหตุนี้ เมื่อตั้งค่าเว็บเซิร์ฟเวอร์ด้วยสองเว็บไซต์แยกกันบนคอมพิวเตอร์เครื่องเดียวกัน คุณต้องใช้ที่อยู่ IP หลายรายการ เช่น address1:80 และ address2:80 หรือกำหนดค่าเว็บเซิร์ฟเวอร์ให้รับฟังจากพอร์ตเครือข่ายหลายพอร์ต เช่น เป็น address1:80 และ address1:81. เว็บเซิร์ฟเวอร์บางแห่งมีเว็บไซต์หลายแห่งในพอร์ตเดียวโดยขอส่วนหัวของโฮสต์ แต่ฟังก์ชันนี้ใช้งานได้จริงโดยแอปพลิเคชันเว็บเซิร์ฟเวอร์มากกว่าหนึ่งแห่ง ระดับสูง 7.

เนื่องจากคุณลักษณะเครือข่ายปรากฏในระบบปฏิบัติการและแอปพลิเคชัน โปรแกรมเมอร์จึงเริ่มใช้พอร์ตที่สูงกว่า 1024 โดยไม่ต้องลงทะเบียนแอปพลิเคชันทั้งหมดกับ IANA โดยการค้นหาอินเทอร์เน็ตสำหรับพอร์ตเครือข่ายใด ๆ คุณสามารถค้นหาข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ใช้พอร์ตนั้นได้อย่างรวดเร็ว หรือคุณสามารถค้นหา Well Known Ports และค้นหาไซต์ต่างๆ ที่มีรายการพอร์ตที่พบบ่อยที่สุดได้

เมื่อบล็อกแอปพลิเคชันเครือข่ายของคอมพิวเตอร์หรือแก้ไขปัญหาข้อบกพร่องของไฟร์วอลล์ งานส่วนใหญ่จะเป็นการจำแนกและกรองที่อยู่ IP ของเลเยอร์ 3 รวมถึงโปรโตคอลและพอร์ตเครือข่ายของเลเยอร์ 4 หากต้องการแยกแยะระหว่างการรับส่งข้อมูลที่ถูกต้องและน่าสงสัยอย่างรวดเร็ว คุณควรเรียนรู้ที่จะรู้จัก 20 พอร์ต TCP และ UDP ที่ใช้บ่อยที่สุด

การเรียนรู้ที่จะรู้จักและทำความคุ้นเคยกับพอร์ตเครือข่ายไม่ได้จำกัดอยู่เพียงการกำหนดกฎไฟร์วอลล์เท่านั้น ตัวอย่างเช่น โปรแกรมแก้ไขความปลอดภัยของ Microsoft บางตัวจะอธิบายวิธีปิดพอร์ต NetBIOS มาตรการนี้อนุญาตให้คุณจำกัดการแพร่กระจายของ "เวิร์ม" ที่เจาะผ่านช่องโหว่ของระบบปฏิบัติการ การรู้วิธีและตำแหน่งที่จะปิดพอร์ตเหล่านี้สามารถช่วยลดความเสี่ยงด้านความปลอดภัยให้กับเครือข่ายของคุณในขณะที่เตรียมปรับใช้โปรแกรมแก้ไขที่สำคัญ

และตรงไปยังชั้น7

คุณไม่ค่อยได้ยินเกี่ยวกับเลเยอร์ 5 (เซสชัน) และเลเยอร์ 6 (การนำเสนอ) ในปัจจุบัน แต่เลเยอร์ 7 (แอปพลิเคชัน) เป็นประเด็นร้อนในหมู่ผู้จำหน่ายไฟร์วอลล์ แนวโน้มล่าสุดในการพัฒนาไฟร์วอลล์เครือข่ายคือการตรวจสอบเลเยอร์ 7 ซึ่งอธิบายวิธีการที่ใช้ในการวิเคราะห์ว่าแอปพลิเคชันทำงานกับโปรโตคอลเครือข่ายอย่างไร ด้วยการวิเคราะห์เพย์โหลดของแพ็กเก็ตเครือข่าย ไฟร์วอลล์สามารถระบุความถูกต้องของการรับส่งข้อมูลที่ผ่าน ตัวอย่างเช่น คำขอเว็บมีคำสั่ง GET ภายในแพ็กเก็ตเลเยอร์ 4 (พอร์ต TCP 80) หากไฟร์วอลล์ใช้ฟังก์ชันเลเยอร์ 7 คุณสามารถตรวจสอบความถูกต้องของคำสั่ง GET ได้ อีกตัวอย่างหนึ่งคือโปรแกรมแชร์ไฟล์แบบเพียร์ทูเพียร์ (P2P) จำนวนมากสามารถจี้พอร์ต 80 ได้ ด้วยเหตุนี้ บุคคลที่ไม่ได้รับอนุญาตสามารถกำหนดค่าโปรแกรมให้ใช้พอร์ตที่ต้องการได้ ซึ่งน่าจะเป็นพอร์ตที่ควรเปิดอยู่ในพอร์ตนี้ ไฟร์วอลล์ หากพนักงานของบริษัทต้องการเข้าถึงอินเทอร์เน็ต จะต้องเปิดพอร์ต 80 แต่เพื่อแยกความแตกต่างระหว่างการรับส่งข้อมูลเว็บที่ถูกต้องและการรับส่งข้อมูล P2P ที่ควบคุมโดยใครบางคนบนพอร์ต 80 ไฟร์วอลล์ต้องมีการควบคุมเลเยอร์ 7

บทบาทของไฟร์วอลล์

เมื่ออธิบายเลเยอร์เครือข่ายแล้ว เราสามารถอธิบายกลไกสำหรับการสื่อสารระหว่างแอปพลิเคชันเครือข่ายผ่านไฟร์วอลล์ โดยให้ความสนใจเป็นพิเศษกับพอร์ตเครือข่ายที่ใช้ ในตัวอย่างต่อไปนี้ เบราว์เซอร์ไคลเอนต์สื่อสารกับเว็บเซิร์ฟเวอร์ที่อีกด้านหนึ่งของไฟร์วอลล์ คล้ายกับวิธีที่พนักงานของบริษัทสื่อสารกับเว็บเซิร์ฟเวอร์บนอินเทอร์เน็ต

ไฟร์วอลล์อินเทอร์เน็ตส่วนใหญ่ทำงานที่เลเยอร์ 3 และ 4 เพื่อตรวจสอบและอนุญาตหรือบล็อกการรับส่งข้อมูลเครือข่ายขาเข้าและขาออก โดยทั่วไป ผู้ดูแลระบบจะตั้งค่ารายการควบคุมการเข้าถึง (ACL) ที่กำหนดที่อยู่ IP และพอร์ตเครือข่ายของการรับส่งข้อมูลที่จะบล็อกหรืออนุญาต ตัวอย่างเช่น ในการเข้าถึงเว็บ คุณต้องเปิดเบราว์เซอร์และชี้ไปที่เว็บไซต์ คอมพิวเตอร์เริ่มต้นการเชื่อมต่อขาออกโดยส่งลำดับของแพ็กเก็ต IP ที่ประกอบด้วยส่วนหัวและส่วนของข้อมูล ส่วนหัวประกอบด้วยข้อมูลเกี่ยวกับเส้นทางและคุณลักษณะอื่นๆ ของแพ็กเก็ต กฎไฟร์วอลล์มักประกอบด้วยข้อมูลการกำหนดเส้นทาง และโดยทั่วไปจะมีที่อยู่ IP ต้นทางและปลายทาง (เลเยอร์ 3) และโปรโตคอลแพ็กเก็ต (เลเยอร์ 4) เมื่อเรียกดูเว็บ ที่อยู่ IP ปลายทางเป็นของเว็บเซิร์ฟเวอร์ และโปรโตคอลและพอร์ตปลายทาง (โดยค่าเริ่มต้น) คือ TCP 80 ที่อยู่ IP ต้นทางคือที่อยู่ของคอมพิวเตอร์ที่ผู้ใช้เข้าถึงเว็บ และต้นทาง พอร์ตมักจะเป็นตัวเลขที่กำหนดแบบไดนามิก มากกว่า 1024 ข้อมูลที่เป็นประโยชน์ไม่ขึ้นอยู่กับส่วนหัวและสร้างขึ้นโดยแอปพลิเคชันของผู้ใช้ ในกรณีนี้ เป็นการร้องขอไปยังเว็บเซิร์ฟเวอร์เพื่อจัดเตรียมเว็บเพจ

ไฟร์วอลล์วิเคราะห์การรับส่งข้อมูลขาออกและอนุญาตตามกฎไฟร์วอลล์ หลายบริษัทอนุญาตให้รับส่งข้อมูลขาออกทั้งหมดจากเครือข่ายของตน วิธีนี้ช่วยลดความยุ่งยากในการติดตั้งและใช้งาน แต่การขาดการควบคุมข้อมูลที่ออกจากเครือข่ายจะลดความปลอดภัยลง ตัวอย่างเช่น ม้าโทรจันสามารถแพร่ระบาดในคอมพิวเตอร์ในเครือข่ายองค์กร และส่งข้อมูลจากคอมพิวเตอร์เครื่องนั้นไปยังคอมพิวเตอร์เครื่องอื่นบนอินเทอร์เน็ต การสร้างรายการควบคุมการเข้าถึงเพื่อบล็อกข้อมูลขาออกดังกล่าวเป็นเรื่องที่สมเหตุสมผล

ต่างจากวิธีการที่ไฟร์วอลล์หลายตัวนำมาใช้กับการรับส่งข้อมูลขาออก ส่วนใหญ่ได้รับการกำหนดค่าให้บล็อกการรับส่งข้อมูลขาเข้า โดยปกติ ไฟร์วอลล์จะอนุญาตการรับส่งข้อมูลขาเข้าในสองกรณีเท่านั้น อย่างแรกคือการรับส่งข้อมูลที่มาเพื่อตอบสนองต่อคำขอขาออกที่ส่งก่อนหน้านี้โดยผู้ใช้ ตัวอย่างเช่น หากคุณชี้เบราว์เซอร์ของคุณไปยังที่อยู่เว็บเพจ ไฟร์วอลล์จะอนุญาตให้โค้ด HTML และส่วนประกอบอื่นๆ ของเว็บเพจเข้าสู่เครือข่าย กรณีที่สองเป็นโฮสต์บริการภายในบนอินเทอร์เน็ตเช่น เมลเซิร์ฟเวอร์, เว็บไซต์ หรือ ไซต์ FTP การโฮสต์บริการดังกล่าวโดยทั่วไปจะเรียกว่าการแปลพอร์ตหรือการเผยแพร่เซิร์ฟเวอร์ การใช้งานการแปลพอร์ตจะแตกต่างกันไปตามผู้จำหน่ายไฟร์วอลล์ที่แตกต่างกัน แต่หลักการพื้นฐานก็เหมือนกัน ผู้ดูแลระบบกำหนดบริการ เช่น พอร์ต TCP 80 สำหรับเว็บเซิร์ฟเวอร์ และเซิร์ฟเวอร์ภายในเพื่อโฮสต์บริการ หากแพ็กเก็ตเข้าสู่ไฟร์วอลล์ผ่าน ส่วนหน้าที่สอดคล้องกับบริการนี้ กลไกการแปลพอร์ตจะส่งต่อไปยังคอมพิวเตอร์เครือข่ายเฉพาะที่ซ่อนอยู่หลังไฟร์วอลล์ การส่งต่อพอร์ตใช้ร่วมกับบริการ NAT ที่อธิบายไว้ด้านล่าง

พื้นฐานของ NAT

ด้วย NAT คอมพิวเตอร์หลายเครื่องในบริษัทหนึ่งสามารถใช้พื้นที่ที่อยู่ IP สาธารณะร่วมกันได้ในปริมาณเล็กน้อย เซิร์ฟเวอร์ DHCP ของบริษัทสามารถจัดสรรที่อยู่ IP จากบล็อคที่อยู่ IP ส่วนตัวที่ไม่สามารถกำหนดเส้นทางได้ทางอินเทอร์เน็ตที่กำหนดไว้ในคำขอความคิดเห็น (RFC) #1918 หลายบริษัทยังสามารถแบ่งปันพื้นที่ที่อยู่ IP ส่วนตัวเดียวกันได้ ตัวอย่างของซับเน็ต IP ส่วนตัว ได้แก่ 10.0.0.0/8, 172.16.0.0/12 และ 192.168.0.0/16 เราเตอร์อินเทอร์เน็ตบล็อกแพ็กเก็ตใด ๆ ที่กำหนดไว้สำหรับที่อยู่ส่วนตัวอย่างใดอย่างหนึ่ง NAT เป็นคุณสมบัติไฟร์วอลล์ที่ช่วยให้บริษัทต่างๆ ที่ใช้ที่อยู่ IP ส่วนตัวสามารถสื่อสารกับคอมพิวเตอร์เครื่องอื่นบนอินเทอร์เน็ตได้ ไฟร์วอลล์รู้วิธีแปลการรับส่งข้อมูลขาเข้าและขาออกไปยังที่อยู่ IP ภายในส่วนตัว เพื่อให้คอมพิวเตอร์ทุกเครื่องสามารถเข้าถึงอินเทอร์เน็ตได้

วันนี้เรามีซอฟต์แวร์ พอร์ตเสมือนในบรรทัด ปัจจุบันไม่มีโปรแกรมแอปพลิเคชันดังกล่าวที่ไม่ใช้โปรโตคอลเครือข่ายสำหรับการแลกเปลี่ยนข้อมูลในการทำงาน สำหรับการถ่ายโอนข้อมูลจะใช้โปรโตคอลการขนส่งซึ่งเป็นที่นิยมมากที่สุดคือ TCP / IP และ UDP เพื่อให้เบราว์เซอร์ของคุณ "เข้าใจ" ว่ามีข้อมูลบางอย่างมาถึง เบราว์เซอร์จะต้องเข้าพอร์ตซอฟต์แวร์ที่เบราว์เซอร์ของคุณ "รับฟัง"

หน้าที่ที่สำคัญที่สุดของ TCP/IP และ UDP คือการระบุโปรแกรม (หรือกระบวนการ) ที่สร้างข้อมูลที่ถ่ายโอน สำหรับสิ่งนี้จะใช้หมายเลขพอร์ตที่กำหนด กระบวนการนี้องค์กร เอียนา. ที่นี่เช่นกัน มาตรฐานของพวกเขามีมานานแล้วและหมายเลขพอร์ตได้รับการเผยแพร่ใน RFC 1700. บนคอมพิวเตอร์ รายการพอร์ตสามารถพบได้ในไฟล์ SERVICES ของไคลเอ็นต์ TCP/IP

เมื่อแพ็กเก็ตไปถึงปลายทาง โปรโตคอล Transport Layer (ในกรณีของเราคือ TCP/IP) จะได้รับดาตาแกรม อ่านหมายเลขพอร์ตจากฟิลด์ที่เกี่ยวข้อง และส่งผ่านข้อมูลนี้ไปยังโปรแกรม (หรือโปรโตคอล) ที่เริ่มทำงานกับรายการที่ได้รับ ข้อมูล.

แอปพลิเคชันหลักทั้งหมดบนอินเทอร์เน็ตถูกกำหนดหมายเลขพอร์ต ซึ่งเรียกว่า "พอร์ตที่รู้จักกันดี" ตัวอย่างเช่น พอร์ตมาตรฐานของเว็บเซิร์ฟเวอร์คือหมายเลข 80 พร็อกซีเซิร์ฟเวอร์อาจมีหมายเลข 8080 เซิร์ฟเวอร์ FTP ใช้งานได้กับพอร์ต 21 หรือ 20

ฉันจะแสดงรายการหมายเลขพอร์ตที่รู้จักกันดีในบริบทของบริการโดยสังเขป:

ข้อมูล ftpช่องข้อมูลโปรโตคอลการขนส่งไฟล์ที่ใช้เพื่อถ่ายโอนไฟล์ระหว่างระบบโดยใช้โปรโตคอล TCP ใช้พอร์ต 21 พอร์ต
ftp. ช่องทางการควบคุม FTP ใช้โดยผู้เข้าร่วมเซสชันในแชนเนลนี้เพื่อแลกเปลี่ยนคำสั่งและตอบสนองต่อพวกเขาโดยใช้โปรโตคอล TCP ใช้พอร์ต 20;
เทลเน็ตใช้เพื่อรันคำสั่งบน คอมพิวเตอร์ระยะไกลผ่านพอร์ตหมายเลข 23 ผ่านโปรโตคอล TCP;
SMTP. หรือ - โปรโตคอลอีเมลอย่างง่ายสำหรับการส่งข้อมูลผ่านอีเมล ก่อนหน้านี้ใช้พอร์ตหมายเลข 25 ตอนนี้ใช้การเข้ารหัสและหมายเลขพอร์ตต่างกัน ขึ้นอยู่กับผู้ให้บริการ
โดเมน. ใช้พอร์ต 53 บนโปรโตคอล UDP และ TCP เพื่อรับคำขอแก้ไขชื่อโฮสต์
http.โปรโตคอลการขนส่งสำหรับมาร์กอัปไฮเปอร์เท็กซ์ ใช้เพื่อส่งคำขอจากเบราว์เซอร์ (เช่น คำขอของคุณใน Yandex) ใช้พอร์ต 80;
POP3(โปรโตคอลสำนักงานไปรษณีย์รุ่น 3). ใช้ในการรับอีเมล์ ใช้พอร์ต 110 ก่อนการเข้ารหัส ตอนนี้หมายเลขเปลี่ยนไปแล้ว โปรดตรวจสอบกับผู้ให้บริการของคุณสำหรับหมายเลขพอร์ต

เมื่อทราฟฟิกถูกเปลี่ยนเส้นทางไปยังระบบอื่น TCP/IP จะใช้พอร์ตเฉพาะร่วมกัน กลุ่มดังกล่าวเรียกว่า "ซ็อกเก็ต" ตัวอย่างเช่น จากอินเทอร์เน็ตหรือ เครือข่ายท้องถิ่นคุณสามารถเข้าถึงโฟลเดอร์เซิร์ฟเวอร์ FTP ได้โดยการระบุที่อยู่ IP และพอร์ตโดยคั่นด้วยเครื่องหมายทวิภาค: 192.168.0.3:21

หมายเลขพอร์ตที่รู้จักกันดีไม่ได้ถูกควบคุมอย่างเข้มงวด คุณสามารถเปลี่ยนได้ตามใจชอบ ในกรณีนี้ พอร์ตที่ต้องการจะถูกระบุในการตั้งค่าโปรแกรม และเมื่อเข้าถึงผ่านเบราว์เซอร์ จะต้องระบุพอร์ตดังกล่าวในแถบที่อยู่ด้วย ต้องทำเพื่อตรวจสอบว่าพอร์ตใดเปิดหรือปิดอยู่

พอร์ต Dynamic FTP คืออะไร

เนื่องจากคำขอมักจะไปที่เซิร์ฟเวอร์จากไคลเอนต์ (และไม่ใช่ในทางกลับกัน) หมายเลขพอร์ตที่รู้จักกันดีจึงมีความเกี่ยวข้องกับเซิร์ฟเวอร์ พวกเขา "ฟัง" ผ่านพอร์ตของลูกค้าซึ่งไม่ต้องการตัวเลขเหล่านี้ ในช่วงเวลาของการสื่อสาร โปรแกรมลูกค้า(หรือระบบปฏิบัติการ) ใช้หมายเลขพอร์ตชั่วคราวหรือบางช่วงของหมายเลข IANA กำหนดตัวเลขตั้งแต่ 1 ถึง 1,023 และตัวเลขชั่วคราวเริ่มต้นที่ 1024 ขึ้นไป โปรแกรมไคลเอนต์ FTP ทำงานในลักษณะเดียวกัน - มีช่วงเวลาของตัวเองโดยที่พยายาม "เข้าถึง" ไปยังเซิร์ฟเวอร์ที่ต้องการ

เมื่อเราตั้งค่าเซิร์ฟเวอร์ FTP เราระบุพอร์ต 21 สำหรับการถ่ายโอนข้อมูล แต่โปรแกรมที่จัดการเซิร์ฟเวอร์โดยตรงต้องไม่เพียงแค่ถ่ายโอนข้อมูลเท่านั้น แต่ยังให้การเข้าถึงข้อมูลแก่ผู้ใช้เซิร์ฟเวอร์นี้ด้วย การใช้พอร์ตชั่วคราว (หรือไดนามิก) ช่วงเดียวกัน ผ่านพอร์ตเหล่านี้ มัน "ฟัง" ผู้ใช้เซิร์ฟเวอร์ FTP และสร้างการเชื่อมต่อ ช่วงของพอร์ต FTP แบบไดนามิกถูกตั้งค่าเมื่อกำหนดค่าโปรแกรมที่เกี่ยวข้อง:

วี Windows Serverปี 2555-2559 คุณสามารถตั้งค่าช่วงพอร์ตตามอำเภอใจได้โดยตรงในระบบปฏิบัติการโดยไม่ต้องใช้โปรแกรมของบุคคลที่สาม ช่วงของตัวเลขถูกตั้งค่าจาก 1024 ถึง 65535 ซึ่งเป็นข้อจำกัดของโปรโตคอลการขนส่ง

วิธีตรวจสอบพอร์ตบนเราเตอร์

เรากำลังพูดถึงความสามารถในการเข้าถึงคอมพิวเตอร์ของคุณจากอินเทอร์เน็ต ตัวอย่างเช่น คุณมีเครือข่ายคอมพิวเตอร์หลายเครื่องที่บ้าน ภายในเครือข่ายเข้าถึงได้ และไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต แม้ว่าคุณจะมีอินเทอร์เน็ตอยู่ที่บ้านก็ตาม บางคน "ยก" เซิร์ฟเวอร์เกมที่บ้านเพื่อเล่นออนไลน์กับเพื่อน ในกรณีนี้ คุณต้องเข้าถึงเซิร์ฟเวอร์จากอินเทอร์เน็ต ซึ่งทำได้โดยการส่งต่อพอร์ต

พอร์ตที่เปิดอยู่อาจคุกคามความปลอดภัยของคอมพิวเตอร์ของคุณ หากคอมพิวเตอร์ของคุณได้รับที่อยู่ IP ภายนอก การตรวจสอบดังกล่าวจะเกี่ยวข้องกับคุณ คุณสามารถตรวจสอบด้วยความช่วยเหลือมากมาย บริการออนไลน์. ป้อน IP ภายนอกของคุณ และคุณทำเสร็จแล้ว:

สถานการณ์ปกติ (จากมุมมองด้านความปลอดภัย) คือเมื่อพอร์ตทั้งหมดบนเราเตอร์ปิดอยู่ หากกำหนดที่อยู่ให้กับเราเตอร์ คุณต้องตรวจสอบคอมพิวเตอร์แต่ละเครื่อง โดยค่าเริ่มต้น ไฟร์วอลล์และการป้องกันการโจมตี dos มักจะเปิดใช้งานบนเราเตอร์ จากนั้นการตรวจสอบจะไม่แสดงให้คุณเห็น ในกรณีนี้ คุณต้องไปที่เราเตอร์ของคุณและดูรายการพอร์ตที่เปิดอยู่ในส่วน "เซิร์ฟเวอร์เสมือน" หรือ "การส่งต่อ":

ฉันมีกฎดังกล่าวที่เปิดใช้งานสำหรับ ftp ฉันบอกคุณเพิ่มเติมเกี่ยวกับวิธีเปิดพอร์ตบนเราเตอร์ที่นี่

วิธีตรวจสอบว่าพอร์ตเปิดอยู่ในคอมพิวเตอร์ Win10 หรือไม่

แม้ว่าพอร์ตจะเปิดอยู่บนเราเตอร์ แต่ก็สามารถปิดได้บนคอมพิวเตอร์เป้าหมาย จากนั้นจะไม่มีการเข้าถึงผ่านช่องโหว่นี้ผ่านทางอินเทอร์เน็ต ไวรัสต่าง ๆ ยังใช้พอร์ตในการทำงาน หากคุณเห็นพอร์ตเปิดบางอย่างในตัวคุณเอง คุณต้องค้นหาโปรแกรมที่ใช้พอร์ตนั้น หากคุณไม่พบมัน คุณต้องทำการสแกนไวรัส ฉันใช้โปรแกรมอรรถประโยชน์ฟรีในประเทศ - เว็บ Kaspersky และ Doctor

รับรายการพอร์ตที่เปิดอยู่ในคอมพิวเตอร์เครือข่าย

ในการรับรายการพอร์ต คุณต้องเรียกใช้ก่อน บรรทัดคำสั่ง(จำเป็นในฐานะผู้ดูแลระบบ) :

และคัดลอกคำสั่ง "netstat -bn" ที่นั่น

รายการซ็อกเก็ตจะปรากฏขึ้น เช่นเดียวกับแอปพลิเคชันที่ระบุใน ช่วงเวลานี้. คุณยังสามารถดูที่อยู่ของทรัพยากรภายนอกที่สื่อสารกับพอร์ตได้:

พอร์ตคอมพิวเตอร์และไฟร์วอลล์

ไฟร์วอลล์ (หรือไฟร์วอลล์) เป็นตัวกรองที่ปิดพอร์ตอื่นที่ไม่ใช่พอร์ตที่รู้จักและพอร์ตที่ใช้ โปรแกรมที่ติดตั้ง. อย่างไรก็ตาม พอร์ตเหล่านี้สามารถปิดและเปิดใหม่ได้อย่างง่ายดายด้วยตนเอง ที่ให้ไว้ ซอฟต์แวร์มาพร้อมกับระบบปฏิบัติการ นอกจากนี้ยังสามารถเปิดใช้งานได้ในโปรแกรมป้องกันไวรัสเช่นเดียวกับบนเราเตอร์

แต่ละคนในระดับของตัวเองกรองคำขอที่ไม่จำเป็นออกไป อันเป็นผลมาจากการที่พอร์ตเหล่านี้ไม่มีการแลกเปลี่ยนข้อมูล ความปลอดภัยของระบบโดยรวมมีความน่าเชื่อถือมากขึ้น บน Windows ไฟร์วอลล์สามารถพบได้ในแผงควบคุม

หากไฟร์วอลล์ของคุณดูเหมือนของฉันที่ทางเข้า แสดงว่าถูกปิดใช้งาน หากมีบางอย่างใช้งานไม่ได้ (เช่น ไม่ได้กำหนดค่า FTP แต่อย่างใด) คุณสามารถปิดใช้งานได้เพื่อให้แน่ใจว่าเป็นไฟร์วอลล์ที่บล็อกการเชื่อมต่อของคุณ

คุณสามารถเปิดใช้งานไฟร์วอลล์ได้โดยคลิกที่ลิงค์ของชื่อเดียวกันในส่วนด้านซ้ายของหน้าต่าง ในเวลาเดียวกัน อย่าปิดกั้นพอร์ตให้มากที่สุด:

แอนตี้ไวรัสมีไฟร์วอลล์ของตัวเอง คุณสามารถใช้งานได้ แต่ในตอนแรกสิ่งนี้อาจทำให้เกิดความไม่สะดวกเพราะโปรแกรมจำเป็นต้องได้รับการฝึกอบรม ในการเชื่อมต่อแต่ละครั้ง จะขออนุญาตจากคุณในการเชื่อมต่อและกำหนดกฎเกณฑ์ต่างๆ เนื่องจากจะมีพอร์ตชั่วคราวด้วย กระบวนการเรียนรู้จึงยืดเยื้อมาเป็นเวลานาน ดังนั้น เราจะเรียนรู้การเปิดพอร์ตบนไฟร์วอลล์ Windows แบบคลาสสิก

วิธีเปิดพอร์ตในไฟร์วอลล์ Windows 10 (49, 50, 4955, 25655)

หากต้องการลบตัวกรองออกจากพอร์ตทั้งหมด ให้ปิดใช้งานไฟร์วอลล์ให้ดี หากจำเป็นต้องมีการปรับแต่ง เราจะกำหนดค่าแต่ละพอร์ตเป็นทางเลือก ไปที่ "ตัวเลือกขั้นสูง":

ต่อไป เราจะต้องตั้งกฎสำหรับการเชื่อมต่อขาเข้าและขาออก ทุกอย่างชัดเจน - สีเขียวคือ "อนุญาต" สีแดงคือ "ต้องห้าม"

ในการสร้างกฎ ให้คลิกขวาที่ "การเชื่อมต่อขาเข้า" และสร้างกฎที่เราต้องการ โปรดทราบ - หากคุณมีโปรแกรมที่ใช้พอร์ตไดนามิกชั่วคราว - คุณสามารถระบุได้ ไม่ใช่หมายเลขพอร์ต เอซมีกฎที่ปรับแต่งได้ - คุณสามารถกำหนดค่าตัวกรองร่วมกับบริการและโปรแกรมได้

เราจะกำหนดค่าพอร์ต ดังนั้นให้เลือก "สำหรับพอร์ต" แล้วคลิก "ถัดไป"

เราเลือกโปรโตคอล TCP (หากจำเป็น คุณสามารถทำการตั้งค่าที่คล้ายกันสำหรับโปรโตคอล UDP) แยกพอร์ตที่ต้องการด้วยเครื่องหมายจุลภาค คุณสามารถระบุช่วงของพอร์ตผ่านยัติภังค์ ถ้าจำเป็น ถัดไป ไปที่การตั้งค่าความปลอดภัยในการเชื่อมต่อ

การเชื่อมต่อที่ปลอดภัยต้องมีการตรวจสอบสิทธิ์และจะถูกเลือกเฉพาะเมื่อมีการใช้การเชื่อมต่อที่ปลอดภัย ดังนั้นเราจึงเลือกรายการยอดนิยม ต่อไป เราเลือกประเภทเครือข่ายที่มีอยู่ทั้งหมดบนคอมพิวเตอร์ของเรา:

อย่าลืมระบุชื่อกฎของเราเพื่อให้ง่ายต่อการค้นหาในภายหลัง เสร็จสิ้นการกำหนดค่าไฟร์วอลล์สำหรับการเชื่อมต่อขาเข้า

ในรายการกฎนั้น ตอนนี้เราเห็นกฎของเราแล้ว และหากจำเป็น เราสามารถปิดการใช้งานหรือลบออกได้ ท่าเรือจะปิด

สำหรับการแลกเปลี่ยนข้อมูลอย่างเต็มรูปแบบ คุณควรตั้งค่ากฎเดียวกันสำหรับการเชื่อมต่อขาออก หากคุณวางแผนที่จะกำหนดค่าการเข้าถึงจากอินเทอร์เน็ตผ่านพอร์ตเหล่านี้ คุณต้องส่งต่อพอร์ตเหล่านี้บนเราเตอร์ ข้อมูลเพียงพอสำหรับวันนี้ ขอให้โชคดี!