高防服务器端口设置最佳实践

一 端口规划与合规

• 优先使用标准 Web 端口：对外网站仅暴露 80/443，避免非常见端口引发运营商拦截与访问受限。若必须使用自定义端口，HTTP/HTTPS 在控制台层面支持 80~65535，但应优先选择 1024~65535 的非特权端口，避免与系统保留端口冲突。
• 规避高危端口：互联网运营商常拦截以下高危 TCP 端口的业务流量，使用会导致部分地区无法访问：42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。
• 控制端口数量：单个 DDoS 高防实例下，所有接入网站的不同端口（跨协议）总数不应超过 10 个，超量会导致接入失败或维护困难。
• 接入方式影响端口策略：域名接入通常通过 CNAME 切换解析；若采用 高防 IP 直连，需在源站操作系统配置业务 IP/掩码/网关 与回程路由，确保回包经高防回源，避免“来回路径不一致”导致访问异常。

二 操作系统与防火墙基线

• 最小端口放行：在源站仅开放必要端口（如 22/80/443 及业务真实端口），其余默认拒绝；使用 firewalld/iptables 实施白名单策略。
• 远程管理加固：更改 SSH(22) 默认端口，结合 fail2ban 与来源 IP 白名单；Windows 侧关闭不必要的组件（如 NetBIOS）并最小化暴露面。
• 多网卡/双网关与回程路由：仅给“外网口”配置默认网关；为内网/专线网段配置静态回程路由，确保回包路径与高防一致，避免清洗后因回程异常被丢弃。
• 变更风险控制：远程调整默认网关/路由前，保留 控制台/VNC/带外 应急通道；变更前保存网络快照（Windows：ipconfig /all、route print；Linux：ip addr/route -n 与网卡配置），异常优先回滚。

三 高防控制台端口配置

• 网站业务（HTTP/HTTPS）：在控制台“域名接入”中编辑网站配置，按需修改 HTTP/HTTPS 服务器端口，多个端口用半角逗号分隔；提交后按提示确认生效。
• 非网站业务（四层转发）：在“端口接入”添加转发规则后，进入“通用防护策略 > 非网站业务 DDoS 防护”，按“IP+端口”粒度配置：
• 虚假源与空连接：开启后可过滤虚假源与空连接（空连接依赖虚假源开启），适用于 TCP。
• 目的限速：限制某端口的每秒新建连接数与并发连接数，典型范围分别为 100~100000 个 与 1000~1000000 个。
• 包长度过滤：仅放行指定 Payload 长度范围（0~6000 Byte） 的报文，丢弃过短/过长报文。
• 源限速与黑名单：对单一源 IP 的新建连接、并发连接、PPS、带宽进行限速；支持“60 秒内 5 次超限自动拉黑”，黑名单有效期 1~10080 分钟（默认 30 分钟）。

四 端口策略模板与验证

• 推荐端口策略模板：
• Web 前端：仅开放 443（强制 TLS），如必须支持 HTTP 再开放 80；证书与协议统一由反向代理/负载均衡终止，源站仅与代理内网通信。
• SSH 管理：不使用 22 直暴露，改为非常见高位端口，配合来源 IP 白名单与 fail2ban。
• 数据库/缓存：禁止公网直连，仅内网访问；如必须对外，通过跳板机或专线/VPN，并启用强认证与审计。
• 自定义应用端口：优先 1024~65535，避开高危端口与常用系统端口；在控制台与主机防火墙同步放行。
• 批量与基线：将同类端口的限速/包长/黑白名单策略做成模板，便于批量下发与快速恢复。
• 上线前后验证清单：
• 解析与连通：域名接入可临时修改 hosts 验证高防节点解析与回源路径；直连场景用 ping/traceroute 检查外网与内网/专线连通性。
• 端口与服务：使用 telnet 域名/IP 端口 或 curl -Iv https://域名 验证端口可达与证书有效性；核对回程路由是否经高防。
• 回滚预案：保留网络配置快照；异常时优先回滚网关/路由/别名 IP，再恢复业务。