什麼是電腦連接埠?| 網路中的連接埠

連接埠是作業系統中網路連線的虛擬起始位置。它們可協助電腦對收到的網路流量進行排序。

學習目標

閱讀本文後,您將能夠:

  • 瞭解連接埠在網路中的用途
  • 瞭解最常用的連接埠號碼
  • 瞭解連接埠在 OSI 模型中的位置

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是連線埠?

連接埠是網路連線開始和結束的虛擬點。連接埠是基於軟體的,並由電腦的作業系統進行管理。每個連接埠都與一個特定的處理序或服務相關。連接埠讓電腦能夠輕鬆區分不同種類的流量:例如,儘管電子郵件與網頁都透過相同的網際網路連線到達電腦,但它們會進入不同的連接埠。

連接埠號碼是什麼?

連接埠在網路連接的所有裝置中都統一標準,每個連接埠都有一個號碼。大多數連接埠為某些通訊協定而保留,例如,所有超文字傳輸通訊協定 (HTTP) 訊息都進入連接埠 80。IP 位址使訊息能夠進出特定裝置,而連接埠號碼允許針對這些裝置中的特定服務或應用程式。

連接埠如何讓網路連線更有效率?

在同一個網路連線上,有大量不同類型的資料進出電腦。連接埠的使用有助於電腦瞭解如何處理它們收到的資料。

假設 Bob 使用檔案傳輸通訊協定 (FTP) 將 MP3 錄音傳輸給 Alice。如果 Alice 的電腦將 MP3 檔案資料傳遞給 Alice 的電子郵件應用程式,電子郵件應用程式將不知道如何解譯它。但是因為 Bob 的檔案傳輸使用了為 FTP 指定的連接埠(連接埠 21),所以 Alice 的電腦能夠接收和儲存檔案。

同時,Alice 的電腦可以使用連接埠 80 載入 HTTP 網頁,即使網頁檔案和 MP3 聲音檔案都透過同一個 WiFi 連線流向 Alice 的電腦。

白皮書
如何擺脫網路硬體的束縛

連接埠是網路層的一部分嗎?

OSI 模型是網際網路運作方式的概念模型。它將不同的網際網路服務和處理序劃分為 7 層。這些層是:

osi 模型第 7 層

連接埠是一個傳輸層(第四層)概念。只有傳輸控制通訊協定 (TCP)使用者資料包通訊協定 (UDP) 之類的傳輸通訊協定才能指示封包應去往哪個連接埠。TCP 和 UDP 標頭有一個用於指示連接埠號碼的區段。網路層通訊協定(例如,網際網路通訊協定 (IP))不知道在給定的網路連線中使用什麼連接埠。在標準的 IP 標頭中,沒有任何地方可以表明封包應該去往哪個連接埠。IP 標頭只表明目的地 IP 位址,而不是該 IP 位址的連接埠號碼。

通常,無法在網路層表明連接埠對網路處理序沒有影響,因為網路層通訊協定幾乎總是與傳輸層通訊協定結合使用。但是,這確實會影響測試軟體的功能,這是使用網際網路控制訊息通訊協定 (ICMP) 封包「ping」IP 位址的軟體。ICMP 是一種網路層通訊協定,可以 ping 聯網裝置。但如果無法 ping 特定連接埠,網路管理員就無法測試這些裝置中的特定服務。

一些 ping 軟體(如 My Traceroute)提供了傳送 UDP 封包的選項。與不能指定特定連接埠的 ICMP 相反,UDP 是一種可以指定特定連接埠的傳輸層通訊協定。透過向 ICMP 封包新增 UDP 標頭,網路管理員可以測試聯網裝置中的特定連接埠。

註冊
透過任何 Cloudflare 方案獲取安全性和速度

為什麼防火牆有時會封鎖特定連接埠?

防火牆是一種網路安全系統,它基於一組安全規則來封鎖或允許網路流量。防火牆通常位於受信任的網路和不受信任的網路之間;通常,不受信任的網路是網際網路。例如,辦公室網路通常使用防火牆來保護其網路免受在線威脅。

一些攻擊者試圖將惡意流量傳送到隨機連接埠,寄希望於這些連接埠保持「開啟」狀態,這意味著它們能夠接收流量。這種舉措有點像一個偷車賊走在街上,試圖打開停放車輛的門,希望其中一輛車沒有鎖。出於這個原因,防火牆應設定為封鎖指向大多數可用連接埠的網路流量。並不存在什麼正當理由來讓大部分可用連接埠接收流量。

正確設定的防火牆在預設情況下會封鎖前往所有連接埠的流量,但已知的幾個預先確定的常用連接埠除外。例如,企業防火牆可以只開放連接埠 25(用於電子郵件)、80(用於 Web 流量)、443(用於 Web 流量)和少數其他幾個連接埠,允許內部員工使用這些基本服務,然後封鎖其餘 65000 多個連接埠。

舉一個更具體的範例,攻擊者有時試圖透過向連接埠 3389 傳送攻擊流量來利用 RDP 通訊協定的漏洞。為了阻止這些攻擊,防火牆可能會預設封鎖連接埠 3389。由於該連接埠僅用於遠端桌面連線,若員工無需遠端工作,則此規則對日常業務營運幾乎無甚影響。

有哪些不同的連接埠號碼?

有 65,535 個可能的連接埠號碼,但並非所有連接埠都常用。下面列出了一些最常用的連接埠及其關聯的網路通訊協定:

  • 連接埠 20 和 21:檔案傳輸通訊協定 (FTP)。FTP 用於在用戶端和伺服器之間傳輸檔案。
  • 連接埠 22:安全殼層 (SSH)。SSH 是許多通道通訊協定中的一種,用於建立安全的網路連線。
  • 連接埠 25:過去是簡易郵件傳輸通訊協定 (SMTP)。SMTP 用於電子郵件
  • 連接埠 53:Domain Name System (DNS)。DNS 是現代網際網路的一個重要過程,它將人類可讀的網域名稱與機器可讀的 IP 位址相匹配,讓使用者能夠載入網站和應用程式,而不必記住一長串 IP 位址。
  • 連接埠 80:超文字傳輸通訊協定 (HTTP)。HTTP 是使全球資訊網成為可能的通訊協定。
  • 連接埠 123:網路時間通訊協定 (NTP)。NTP 允許電腦時鐘彼此同步,這是加密必不可少的過程。
  • 連接埠 179:邊界閘道通訊協定 (BGP)。BGP 對於在組成網際網路的大型網路之間建立有效路由至關重要(這些大型網路被稱為自主系統)。自主系統使用 BGP 來廣播它們控制的 IP 位址。
  • 連接埠 443:HTTP 安全 (HTTPS)。HTTPS 是 HTTP 的安全和加密版本。所有 HTTPS Web 流量都進入連接埠 443。使用 HTTPS 加密的網路服務(如 DNS over HTTPS)也透過這個連接埠連接。
  • 連接埠 500:網際網路安全關聯和金鑰管理通訊協定 (ISAKMP),這是建立安全 IPsec 連線過程的一部分。
  • 連接埠 587:使用加密的現代化、安全的 SMTP。
  • 連接埠 3389:遠端桌面通訊協定 (RDP)。RDP 讓使用者能夠從另一台裝置遠端連接到他們的桌上型電腦。

Internet Assigned Numbers Authority (IANA) 維護指派給它們的連接埠號碼和通訊協定的完整清單