一、默認(rèn)端口配置及功能概述

Windows系統(tǒng)防火墻為保障基礎(chǔ)安全，默認(rèn)開(kāi)放部分常用服務(wù)端口，各端口對(duì)應(yīng)協(xié)議及功能如下：

- 20/21端口：FTP文件傳輸協(xié)議端口，其中20端口用于數(shù)據(jù)傳輸（主動(dòng)模式），21端口用于控制連接，支持文件上傳下載服務(wù)。

- 80端口：HTTP超文本傳輸協(xié)議端口，用于常規(guī)網(wǎng)頁(yè)訪問(wèn)服務(wù)，是Web服務(wù)的基礎(chǔ)通信入口。

- 443端口：HTTPS安全超文本傳輸協(xié)議端口，基于SSL/TLS加密技術(shù)，保障網(wǎng)頁(yè)數(shù)據(jù)傳輸安全，支持電商、網(wǎng)銀等高安全性Web服務(wù)。

- 110端口：POP3郵局協(xié)議端口，用于郵件客戶端接收服務(wù)器郵件，是傳統(tǒng)郵件接收服務(wù)的標(biāo)準(zhǔn)端口。

- 1433端口：MSSQL數(shù)據(jù)庫(kù)服務(wù)端口，支持遠(yuǎn)程數(shù)據(jù)庫(kù)連接與數(shù)據(jù)查詢操作，需結(jié)合身份驗(yàn)證保障訪問(wèn)安全。

- 3306端口：MySQL數(shù)據(jù)庫(kù)服務(wù)端口，廣泛用于開(kāi)源數(shù)據(jù)庫(kù)遠(yuǎn)程連接，需配合防火墻規(guī)則限制非授權(quán)訪問(wèn)。

- 3389端口：Windows遠(yuǎn)程桌面協(xié)議（RDP）默認(rèn)端口，用于遠(yuǎn)程服務(wù)器管理，建議修改為非默認(rèn)端口以降低安全風(fēng)險(xiǎn)。

- 33000-33003端口：FTP被動(dòng)模式擴(kuò)展端口范圍，用于解決主動(dòng)模式下的NAT穿透問(wèn)題，提升文件傳輸靈活性。

注：25端口（SMTP郵件發(fā)送協(xié)議）因涉及中繼郵件安全風(fēng)險(xiǎn)，防火墻默認(rèn)關(guān)閉，如需開(kāi)啟需提交工單申請(qǐng)并說(shuō)明用途。

二、端口放行操作指南

當(dāng)業(yè)務(wù)需啟用防火墻默認(rèn)未開(kāi)放的端口時(shí)，可通過(guò)以下兩種方式實(shí)現(xiàn)端口放行，操作前建議確認(rèn)端口號(hào)范圍（1-65535）及協(xié)議類型（TCP/UDP）。

##### （一）自動(dòng)化工具快速放行

針對(duì)不同Windows系統(tǒng)版本，官方提供自動(dòng)化腳本工具，簡(jiǎn)化配置流程：

- Windows Server 2003系統(tǒng)：下載專用腳本[http://downinfo.myhostadmin.net/vps/2003allow.bat](http://downinfo.myhostadmin.net/vps/2003allow.bat)，雙擊運(yùn)行后按提示輸入端口號(hào)即可完成放行。

- Windows Server 2008/2012系統(tǒng)：下載腳本[http://downinfo.myhostadmin.net/vps/2008allow.bat](http://downinfo.myhostadmin.net/vps/2008allow.bat)，執(zhí)行后根據(jù)界面指示輸入目標(biāo)端口，系統(tǒng)將自動(dòng)創(chuàng)建入站規(guī)則。

- 通用可視化工具：下載[http://download.myhostadmin.net/win系統(tǒng)防火墻放行端口.exe](http://download.myhostadmin.net/win系統(tǒng)防火墻放行端口.exe)（需服務(wù)器內(nèi)部登錄下載），工具提供圖形化界面，支持批量端口配置，操作更直觀。

##### （二）手動(dòng)創(chuàng)建入站規(guī)則

如需精細(xì)化控制規(guī)則，可通過(guò)防火墻高級(jí)設(shè)置手動(dòng)配置：

1. 右鍵點(diǎn)擊“網(wǎng)上鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)連接”界面；

2. 右鍵點(diǎn)擊“本地連接”，選擇“屬性”，切換至“高級(jí)”選項(xiàng)卡，點(diǎn)擊“設(shè)置”按鈕；

3. 在“防火墻設(shè)置”對(duì)話框中切換至“例外”選項(xiàng)卡，點(diǎn)擊“添加端口”；

4. 輸入需放行的端口號(hào)，選擇協(xié)議類型（TCP/UDP），為規(guī)則命名（建議標(biāo)注服務(wù)名稱），確認(rèn)后保存規(guī)則。

提示：修改遠(yuǎn)程桌面連接端口（默認(rèn)3389）可參考[https://www.west.cn/faq/list.asp?unid=560](https://www.west.cn/faq/list.asp?unid=560)，操作前需確保新端口已放行防火墻規(guī)則。

三、安全注意事項(xiàng)

端口放行需遵循“最小權(quán)限原則”，僅開(kāi)放業(yè)務(wù)必需端口，避免全端口開(kāi)放增加安全風(fēng)險(xiǎn)。定期檢查防火墻規(guī)則，清理冗余規(guī)則，同時(shí)建議啟用日志記錄功能，監(jiān)控端口訪問(wèn)行為，及時(shí)發(fā)現(xiàn)異常連接。