Question

首先要做的就是端口管控，即在防火墙上严格限制对外开放的端口。原则上 DMZ 服务器只允许对外开放 80、443 端口，而且 DMZ 服务器不允许主动访问外部，访问外部的业务需要一对一开通访问。

常见的端口管控误区如下：

·有些企业管理员为了方便维护，在防火墙上直接对外开放 Telnet、SSH、RDP 的端口，这是非常不明智的，只要知道密码，黑客就可以通过这些端口获得交换机/服务器的权限，即使不知道密码，也可以通过暴力猜解密码获得登录凭证。有经验的管理员都知道，只要将 SSH 对外开放，系统日志就会出现大量的登录失败日志。

·还有一些 FTP、MSSQL、MySQL、Redis、Rynsc、memcached、Elasticsearch、Mongodb 等相关应用的端口，也不应该对互联网开放，否则各种自动化的攻击工具或蠕虫也会很快通过这些端口得到相应的权限，甚至直接加密你的数据进行勒索。有兴趣的读者可以上网搜索“FTP 本地提权”“Redis 未授权访问”“MongoDB 勒索”“Elasticsearch 勒索”等等。

一般大型企业的互联网出口或者业务系统会比较多，在日常防火墙维护过程中，难免会出现遗漏，所以需要有相应的机制来保障高危端口不对外开放，开放了要及时发现，这就需要端口扫描。说到端口扫描工具，必谈 Nmap，此外还有 Zmap、Masscan 也很受欢迎，下面简单介绍 Nmap 和 Masscan。

Nmap 功能非常强大，仔细看其帮助即可体会，如图 11-2 所示。Nmap 支持列表改入、各种主机发现、端口扫描技术、操作系统探测、扫描时间控制、各种格式输出等，甚至还支持外部脚本针对性的检测漏洞。端口扫描技术常用的有：半开放扫描（TCP SYN）、全连接扫描（TCP Connect）、ACK 扫描、FIN 扫描等。另外，Nmap 扫描输出的 xml 格式结果文件，用脚本解析起来很方便，和其他系统对接非常轻松。

图 11-2　Namp 的使用

Nmap 功能虽然强大，但在大网段全端口扫描时会非常慢，这时候就需要 Masscan 了。Masscan 号称是“最快的互联网端口扫描器”，最快可以在 6 分钟内扫遍互联网，每秒可以发送一百万个数据包，适合于对大量地址进行快速扫描。Masscan 提供较为丰富的选项。例如，用户可以指定扫描的端口、路由器地址、发包速率和最大速率等。同时，它还支持多种文件格式用于保存扫描结果。

对于大型企业，建议采用联合方式，例如先用 Masscan 快速扫描一遍，然后再针对性地用 Nmap 扫描，以获取更多信息，包括操作系统版本、端口对应的 Banner 信息等。当扫描程序发现高危端口后，可以实时输出日志给 SOC，以便一线人员实时跟进处理。在实际工作中，扫描还需要注意避开业务高峰、调整发包速率参数等，以免引起不必要的麻烦。