怎样关闭端口映射?映射的原理是什么?

通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL的电话线口或路由宽带外网口)，而访问不到内部服务器。要想让互联网用户访问到你建的服务器，就要在路由器上做一个转发设置，也就是端口映射设置，让互联网用户发送的请求到达路由器后,再转发到你建立的服务器或WEB站点。这就是端口映射。由于各个路由器厂商所取功能名称不一样，有的叫虚拟服务器，有的叫NAT设置(BitComet中常见问题)端口映射。

其实做端口映射设置很简单，例如要映射一台内网IP地址为192168066的WEB服务器，只需把WEB服务器的IP地址192168066和TCP端口80填入到路由器的端口映射表中就OK了。

关于打开端口映射后的安全问题：

设置了端口映射后，互联网用户能够通过设置好映射的端口，跳过路由器防火墙访问到你的服务器，在通过攻击你服务器上的漏洞控制你的主机，所以打开端口映射后有必要在你的服务器上再挂一个防火墙也确保安全性。

查看端口　　在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：　　依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。

关闭/开启端口　　在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

1关闭端口　　比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol（SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

2开启端口　　如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。

各种端口的作用端口：0服务：Reserved说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0000，设置ACK位并在以太网层广播。

端口：1服务：tcpmux说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7服务：Echo说明：能看到许多人搜索Fraggle放大器时，发送到XXX0和XXX255的信息。

端口：19服务：Character Generator说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21服务：FTP说明：FTP服务器所开放的端口，用于上传、下载。

端口：22服务：Ssh说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。

端口：23服务：Telnet说明：Telnet远程登录。

端口：25服务：SMTP说明：SMTP服务器所开放的端口，用于发送邮件。

端口：31服务：MSG Authentication说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42服务：WINS Replication说明：WINS复制

端口：53服务：Domain Name Server（DNS）说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67服务：Bootstrap Protocol Server说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255255255255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69服务：Trival File Transfer说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。

端口：79服务：Finger Server说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

1、按win+R组合键，弹出运行对话框，在打开文本框中输入“cmd”命令，单击确定按钮。

2、弹出命令提示符对话框，在弹出的命令提示符对话框中，输入“netstat  -a  -n"命令。

3、按Enter键，稍等片刻，即可在下方列出以数字形式显示TCP和UDP连接的端口号及端口状态。

　VPS只有打开端口，才能够通过端口对外提供相应应用网络服务。通常些常用的如80、21、3306、3389等端口是打开的，但为安全需要或应用需要，我们需要打开或关闭某些常用或不常用的端口。VPS如何打开和关闭端口？

　　防火墙中打开关闭端口：

　　端口是依赖和跟随相应程序及应用的启动运行而打开的。VPS服务器中防火墙或其他防护也具备关闭端口的功能。也就是说，有时候即便我们运行了某服务打开了相应的端口，但由于防火墙的拦截，而无法正常使用。

　　1远程登录VPS服务器，打开“网络设置”界面，点击“更改防火墙设置”；

　　2在打开的“更改防火墙设置”界面，点击“例外”窗口，通过“添加端口和删除”来打开或关闭相应端口。

　　打开关闭端口相应服务项：

　　VPS服务器上，每个网络应用程序的安装和运行，都会有默认的服务器端口号，并会随着应用程序或服务的运行而打开。如web服务器端口80、FTP服务器端口21、MySQL数据库端口3306、远程登录端口3389及SMTP服务器端口25等。

　　我们可以通过设置相关应用程序或者服务的默认端口号设置，来打开、关闭或者更换其他端口号操作，也可以通过服务管理打开关闭端口。

　　1远程登录VPS服务器，右键单击“我的电脑”，选择“管理”，打开“管理工具”界面；

　　2在打开的“管理工具”界面，选择“服务及应用程序”项，并双击打开，之后选择“服务”项，并双击打开；

　　3根据需打开关闭的端口需要，和服务描述，选择相应应用服务项，选择启动或者关闭即可。

　　为了VPS服务器安全，Sinesafe建议大家更改关闭默认远程登录端口3306，打开其他端口替代，如15673等。建议关闭些不常用应用服务端口，如Telnet服务的23端口、SMTP服务的25端口、RPC服务的135端口等等。建议不要打开过多不需要的端口，多开扇窗，黑客就多了道门。