端口协议，SSH 协议端口号 22 背后的故事

今天小编给各位分享的是端口协议，SSH 协议端口号 22 背后的故事的知识，，希望对您有所帮助。如果你还想了解更多这方面的信息，请点击本站其他相关内容，共同学习吧！如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文导读目录：

1、端口协议，SSH 协议端口号 22 背后的故事

端口协议，SSH 协议端口号 22 背后的故事 ♂

协议端口号 背后的故事

为什么 （安全终端）的端口号是 呢，这不是一个巧合，这其中有个我（ ， 协议的设计者）未曾诉说的故事。 --

-将 协议端口号设为 的故事 …… %

-如何更改 服务的端口号 …… %

-配置 协议穿越防火墙 …… %

-出站的 连接 …… %

-反向通道是有风险的 …… %

-入站的 访问 …… %

-通过 服务限制 访问 …… %

作者：

译者：

为什么 []（安全终端）的端口号是 呢，这不是一个巧合，这其中有个我（ []， 协议的设计者）未曾诉说的故事。

年春我编写了 协议的最初版本，那时候 [] 和 [] 正被广泛使用。

当时我设计 协议想着是为了替代 （端口 ）和 （端口）两个协议的，而端口 是空闲的。我想当然地就选择了夹在 和 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢？我未曾拥有过任何一个端口号，但我却认识几个拥有端口号的人！

在那时取得端口号的事情其实说来挺简单的。毕竟当时的因特网（）并不是很大，是因特网爆炸的早期。端口号分配的活儿是 （ ，互联网数字分配机构）干的。在那时这机构可相当于是因特网先驱 [] 和 . [] 一般的存在。 参与编写了多项主要的协议标准，例如 （ ）、（ ）和 （ ）等一些你应该早有耳闻的协议。

我可以说是敬畏 先生的，他参与编写了几乎所有主要的因特网标准文档（ ）！

年 月，就在我发布 -. 前，我发送了一封邮件给 ：

:: +

:

:

: 请求取得一个端口号

: 芬兰赫尔辛基理工大学

亲爱的机构成员：

我写了个可以在不安全的网络环境中安全地从一台机器登录到另一台机器的程序。它主要是对现有的 协议以及 协议的功能性提升和安全性改进。说的具体些，就是可以防御 、 或路由等欺骗行为。我打算将我的软件免费地发布在因特网上，以得到广泛地使用。

我希望为该软件注册一个特权端口号，要是这个端口号在 到 之间就更好了，这样它就可以用在名字服务器的 字段中了。

我在附件中附上了协议标准的草案。这个软件已经在本地运行了几个月了，我已准备在获得端口号后就发布。如果端口号分配一事安排的及时，我希望这周就将要发布的软件准备好。我目前在 版测试时使用的端口号是 ，如果要是能够分配到这个端口，我就不用做什么更改了（目前这个端口在列表中还是空闲的）。

软件中服务的名称叫 ``（系 的缩写）。

您最真诚的，

（ 译注： 协议中的 记录类型意即“众所周知的业务描述”，是类似于 、 这样的 记录类型，用于描述某个 所提供的服务，目前鲜见使用。参见： 。）

第二天，我就收到了 发来的邮件：

: , :: -

: @.

: @..

: 回复：请求取得一个端口号

: @.

,

我们将端口号 分配给 服务了，你目前是该服务的主要联系人。

这就搞定了！ 的端口正式使用 ！！！

年 月 日上午 点 分，我给我在赫尔辛基理工大学的测试者们宣布了 的最后 版本。当日下午 点 分，我给测试者们宣布了 -.. 版本。 年 月 日，下午 点 分，我将一份 （安全终端）的宣告发给了 @. 的邮件列表，此外我还将其发给了一些新闻组、邮件列表和一些在因特网上讨论相关话题的人们。

服务器是默认运行在 号端口上的。然而，由于某些原因需要，它也可以运行在别的端口上。比如为了方便测试使用，又比如在同一个宿主机上运行多个不同的配置。当然，极少情况下，不使用 权限运行它也可以，比如某些必须运行在非特权的端口的情况（端口号大于等于 ）。

端口号可以在配置文件 ///_[] 中将 更改。也可以使用 - 选项运行 []。 客户端和 [] 程序也可以使用 - 选项。

是少数通常被许可穿越防火墙的协议之一。通常的做法是不限制出站的 连接，尤其常见于一些较小的或者比较技术型的组织中，而入站的 连接通常会限制到一台或者是少数几台服务器上。

在防火墙中配置出站的 连接十分简单。如果完全限制了外发连接，那么只需要创建一个允许 端口 可以外发的规则即可。如果你想限制目标地址，你可以限制该规则仅允许访问你的组织放在云端的外部服务器或保护该云端的跳板服务器[]即可。

其实不限制出站的 连接虽然是可以的，但是是存在风险的， 协议是支持 通道访问[] 的。最初的想法是在外部服务器搭建一个 服务监听来自各处的连接，将进入的连接转发到组织，并让这个连接可以访问某个内部服务器。

在某些场景下这当然非常的方便。开发者和系统管理员经常使用它打开一个通道以便于他们可以远程访问，比如在家里或者在旅行中使用笔记本电脑等场景。

然而通常来讲这些做法是违背安全策略的，跳过了防火墙管理员和安全团队保护的控制无疑是违背安全策略的，比如这些： []、[]、 -[] 等。它可以被黑客和外国情报机构用来在组织内留下后门。

[] 是一款可以控制通道穿过防火墙或者一组云端服务器入口的产品。该款产品可以配合 通用 密钥管理器（ ）[] 来获得对 主机密钥（ ）[]的访问，以在启用防火墙并阻挡未授权转发的场景中解密 会话。

对于入站访问而言，这里有几点需要说一下：

配置防火墙，并转发所有去往 端口的连接只能流向到一个特定的内部网络 地址或者一个 [] 主机。在该 上运行 [] 或者跳板机来控制和审查所有访问该组织的连接。

在防火墙上使用不同的端口访问不同的服务器。

只允许使用 [] 协议这样的 （虚拟专用网）登录后连接 服务。

[] 是一款内建在 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。

如果服务器上启用了 ，使用下面的命令将可以允许进入的 访问，当然命令需要以 身份运行。

- - -- - -- -

如果你想将上述命令创建的规则持久地保存，在某些系统版本中，可使用如下命令：

:

作者： [] 译者： 校对：

本文由 原创编译，中国 荣誉推出

[]: -

[]: -

[]: -

[]: -

[]: -

[]: . -

[]: ///_ -

[]: -

[]: -

[]: 跳板服务器 -

[]: 通道访问 -

[]: -

[]: -

[]: - -

[]: -

[]: 通用 密钥管理器（ ） -

[]: 主机密钥（ ） -

[]: - ()

[]: -

[]: -

[]: -

[]: -