常見的主機通訊方式有哪些?搞懂 Port、通訊協定與資安開放原則
網站的主機設定牽涉到資訊安全,卻常被忽略。
這篇用白話帶你搞懂主機之間怎麼「對話」,看懂 22、80、443、21、25、465、587 對應哪個協定,以及資安上對外為什麼應該只開放 80、443。
主機通訊原理:電腦之間如何進行「對話」
當兩台電腦要互相傳資料時,並不是隨便丟過去就好,而是要先講好三件事:
-
對方在哪
-
要走哪一扇門
-
用哪一種語言
這三件事對應到的,就是 IP 位址、Port(通訊埠)與通訊協定。 理解這個架構,你就掌握了主機通訊的全貌。
用白話來說就是:
👉主機通訊 = 兩台電腦透過「IP 位址 + Port + 通訊協定」互相傳送資料
這個概念很關鍵,因為很多人以為主機安全只跟「密碼強不強」有關,但其實你開了哪些 Port、用了哪些通訊協定,同樣直接決定了主機的曝險程度。
只要抓住 IP、Port、協定這三個角色的分工,後面的資安判斷就會清楚很多。
Port(通訊埠)是什麼?主機的「門牌號碼」
IP 位址負責找到「是哪一台主機」,但一台主機同時可能在跑很多服務,例如網站、郵件、遠端管理。這些服務要怎麼區分?答案就是 Port。
Port 是一組數字,範圍從 0 到 65535,用來標示「這筆資料要交給主機上的哪一個服務」。
你可以把 IP 想成一棟大樓的地址,Port 就是這棟大樓裡的門牌號碼。 資料送到大樓後,還要靠門牌才能送到正確的那一戶。
其中 0 到 1023 這一段被稱為「知名埠(Well-Known Ports)」,由 IANA(網際網路號碼分配局)統一指派給常見服務使用,例如網站、郵件、檔案傳輸都有各自固定的號碼。
正因為這些號碼是公開且固定的,攻擊者也很清楚該去敲哪幾扇門,這也是後面談資安時的重點。
通訊協定是什麼?主機溝通的「共同語言」
光是找到門牌還不夠,兩台主機還要講同一種語言才能溝通,這個語言就是通訊協定。
通訊協定規範了資料要用什麼格式、按什麼順序傳送、以及怎麼確認對方有沒有收到。
常見的通訊協定像是瀏覽網頁用的 HTTP 與 HTTPS、遠端管理主機用的 SSH、傳檔案用的 FTP 與 SFTP、寄信用的 SMTP。
每一種協定通常會搭配一個預設的 Port,例如網站的 HTTP 走 80、加密後的 HTTPS 走 443。
這種「協定搭配固定 Port」的慣例,讓不同主機之間不需要事先約定,就能順利對話。
愛貝斯小提醒:
IP 是大樓地址,Port 是門牌號碼,通訊協定則是講話的語言。
三個角色要同時對上,主機之間才能相互通訊。
只要掌握這個比喻,你在面對後面的 Port 對應表與資安設定時,就不會覺得那只是一堆冷冰冰的數字,而能理解每一扇門背後代表什麼服務。
常見通訊協定介紹:SSH、HTTP、HTTPS、FTP、SFTP、FTPs、SMTP
搞懂 Port 與協定的關係後,我們來認識網站主機最常用到的幾種通訊協定。
這裡依照用途分成三大類,你會發現同一件事往往有「加密版」與「未加密版」兩種選擇,而資安上的關鍵,就是盡量選加密的那一種。
網頁與遠端管理類(HTTP、HTTPS、SSH)
這一類是網站主機最核心的通訊方式。
HTTP 是最基礎的網頁傳輸協定,預設走 Port 80,但它的內容是明文傳送,資料在傳輸過程中可能被攔截讀取。
HTTPS 則是 HTTP 加上 TLS 加密後的版本,預設走 Port 443,現在幾乎所有正規網站都應該使用 HTTPS,才能保護使用者的瀏覽與輸入內容。
SSH(Secure Shell) 走 Port 22,是工程師遠端登入主機、進行管理操作的加密通道。
SSH 本身雖然是加密的,但因為它掌握著主機的最高控制權,一旦被攻破後果嚴重,所以它反而是攻擊者最愛鎖定的目標之一。
檔案傳輸類(FTP、SFTP、FTPs)
當你要把檔案上傳到主機,或從主機下載檔案時,就會用到檔案傳輸協定。
FTP(File Transfer Protocol) 是最傳統的檔案傳輸方式,預設走 Port 21,但它跟早期的 HTTP 一樣是明文傳輸,帳號密碼與檔案內容都沒有加密,安全性很低,現在已經不建議單獨使用。
比較安全的替代方案有兩種。
-
SFTP(SSH File Transfer Protocol) 是架在 SSH 之上的檔案傳輸,走的是 Port 22,透過 SSH 的加密通道保護資料。
-
FTPs(FTP over TLS/SSL) 則是幫傳統 FTP 加上 TLS 加密,明確式(Explicit)FTPs 仍使用 Port 21 進行加密協商,隱含式(Implicit)FTPs 則使用 Port 990。
兩者名字很像但技術不同,實務上如果主機已經有 SSH,直接用 SFTP 通常是最簡單的選擇。
郵件傳輸類(SMTP:25、465、587)
如果你的網站需要寄信,例如寄送註冊確認信、訂單通知,就會用到 SMTP(Simple Mail Transfer Protocol)。
SMTP 有三個常見 Port,用途各不相同,很多人會搞混。
-
Port 25 是傳統上伺服器之間互相轉信(relay)用的埠,因為容易被濫發垃圾信,現在許多網路服務商會直接封鎖它,不適合用來作為程式寄信的提交埠。
-
Port 587 是目前標準的「郵件提交」埠,採用 STARTTLS 加密,由 RFC 6409 定義為專門的訊息提交角色,Gmail、Outlook 等主流服務都建議優先使用 587。
-
Port 465 則被 IANA 註冊給 SMTPS 使用,採用隱含式 TLS(Implicit TLS),RFC 8314 在 2018 年重新建議可用 465 做加密寄信。
資料來源:
What SMTP port should be used? Port 25, 587, or 465?
Which SMTP Port to Use? Understanding ports 25, 465, & 587
愛貝斯總結:
簡單來說,程式寄信優先選 587,其次 465,盡量避免直接用 25。
常見 Port 與通訊協定對應表
把上面提到的內容整理成一張對照表,你就能一眼看懂每個 Port 對應哪個協定、做什麼用、有沒有加密,以及在資安考量下對外該不該開放。
| Port | 通訊協定 | 主要用途 | 是否加密 | 對外開放建議 |
|---|---|---|---|---|
| 21 | FTP / FTPs(明確式) | 檔案傳輸 | FTP 明文、FTPs 加密 | 不建議對外開放,改用 SFTP |
| 22 | SSH / SFTP | 遠端管理、加密檔案傳輸 | 加密 | 關閉或限白名單,勿全網開放 |
| 25 | SMTP | 伺服器間郵件轉送 | 多為明文 | 一般網站不需對外開放 |
| 80 | HTTP | 網頁瀏覽(未加密) | 明文 | 可開放,通常導向 443 |
| 443 | HTTPS | 網頁瀏覽(加密) | 加密 | 建議開放,網站主要入口 |
| 465 | SMTPS | 加密寄信(隱含式 TLS) | 加密 | 依寄信需求開放,可限來源 |
| 587 | SMTP 提交 | 加密寄信(STARTTLS) | 加密 | 依寄信需求開放,可限來源 |
Port 指派參考 IANA
愛貝斯小提醒:
看這張表時,請特別留意「是否加密」與「對外開放建議」這兩欄。
你會發現真正需要對外全面開放的,其實只有網站瀏覽用的 80 與 443。
其他的門,要嘛不需要對外開,要嘛就算要開也應該加上來源限制。這個觀念是後面資安原則的基礎。
主機通訊為什麼牽涉資安風險?每一個開放的 Port 都是一扇門
理解了主機通訊的運作後,你可能會想,那開幾個 Port 有什麼關係?
問題就在於,每一個對外開放的 Port,都是一扇「可能被敲的門」。
門開得越多,攻擊者能嘗試入侵的入口就越多,這在資安上稱為「攻擊面(Attack Surface)」擴大。
開放的 Port 越多,攻擊面就越大
攻擊者在鎖定目標前,通常會先用自動化工具對整個網路做「掃描」,找出哪些主機開了哪些 Port。
因為知名埠的號碼是公開固定的,掃到開放的 Port 後,攻擊者就知道這台主機在跑什麼服務,接著針對該服務的已知漏洞或弱密碼發動攻擊。
換句話說,你多開一個非必要的 Port,等於多給攻擊者一次嘗試的機會。
這也是為什麼資安上會強調,不需要用到的門就該關上,能限制來源的就限制來源。
常見因 Port 開放不當造成的風險
實際上,攻擊並不是平均分散在所有 Port,而是高度集中在少數幾個常見服務埠。
根據資安業者的觀察,網路上絕大多數的攻擊都集中在 Port 22、80、443 這三個埠,因為它們是最常見、最常被開放的服務入口。
而遠端管理相關的埠更是重災區。 下面把常見的風險情境整理成表格:
| 風險情境 | 說明 | 可能造成的後果 |
|---|---|---|
| SSH(22)對全網開放 | 遠端管理埠直接暴露,任何人都能嘗試連線 | 帳密被暴力破解,主機遭完全控制 |
| FTP(21)明文傳輸 | 帳號密碼與檔案未加密 | 傳輸過程被攔截,帳密外洩 |
| 資料庫埠對外開放 | 資料庫服務直接暴露在網際網路 | 資料被竊取、竄改或勒索 |
| 不必要的服務埠開著 | 舊服務或測試服務未關閉 | 成為被遺忘的入侵後門 |
愛貝斯小提醒:
不要以為「反正有設密碼就安全」。
暴力破解工具一秒可以嘗試上千組帳密,只要門開著,攻擊就會持續進行。
真正有效的做法,是從源頭把不需要的門關掉,讓攻擊者連敲門的機會都沒有。
主機通訊的資安開放原則:對外只留 80、443,其餘關閉或白名單
講完風險,我們來談最實用的結論。
在資訊安全的考量下,網站主機對外的 Port,原則上應該只開放 80 與 443,其他的門要嘛關閉,要嘛改用 IP 白名單限制進入。
這一段是整篇文章最該記住的重點。
最小開放原則:只開必要的門
資安領域有一個核心觀念叫做「最小權限原則」,套用到 Port 管理上,就是「最小開放原則」:只開放服務真正需要的 Port,其餘一律關閉。
對一個對外的網站主機來說,訪客需要的其實只有瀏覽網頁,也就是 HTTP 的 80 與 HTTPS 的 443。(實務上 80 通常只用來把流量導向 443。)
至於 SSH 遠端管理、FTP 檔案傳輸、資料庫連線這些,都是「你自己管理時才需要」的功能,一般訪客根本用不到,自然就不該對整個網際網路開放。
非必要的 Port 怎麼處理?關閉或設 IP 白名單
那些不對外開放、但你自己又需要用的門,並不是直接關死就沒事,而是要用更聰明的方式管理。
-
第一種做法是直接關閉,如果某個服務已經不再使用,例如淘汰的測試服務,就徹底把它關掉,不留後門。
-
第二種做法是設定 IP 白名單。
以 SSH 為例,你可以在防火牆設定「只允許公司固定 IP 或 VPN 進來的連線才能連 22 埠」,其他來源一律拒絕。
這樣即使攻擊者掃到你開了 SSH,也會因為來源 IP 不在白名單而被擋在門外。
白名單的精神,就是把「誰可以敲這扇門」也一併管起來。
實務加固建議
除了開放原則,這裡再補充幾個常見的加固做法,讓你的主機通訊更安全:
-
遠端管理盡量走 SSH,並考慮把 SSH 預設的 22 埠改成其他號碼,可以避開大量針對 22 的自動化掃描。
-
檔案傳輸用 SFTP 或 FTPs 取代明文的 FTP,不要讓帳密與檔案裸奔。
-
網站一律強制走 HTTPS(443),把 80 的流量自動導向 443。
-
程式寄信優先使用 587 搭配 TLS 加密,避免使用容易被封鎖的 25。
-
善用防火牆與資安設備,定期掃描自己主機開了哪些 Port,把非必要的門一一關上。
愛貝斯小提醒:
資安不是「設定一次就一勞永逸」,而是要定期檢視。
服務會新增、也會淘汰,Port 的開放狀態要跟著更新。
建議每隔一段時間就重新盤點一次主機開了哪些門,確認每一扇都有存在的必要,這個習慣能大幅降低被入侵的風險。
主機通訊常見問題整理:FAQ 一次幫你解答
主機通訊一定要開很多 Port 嗎?
不一定,而且通常不需要。
對一個對外的網站主機來說,訪客真正會用到的只有網頁瀏覽,也就是 HTTP 的 80 與 HTTPS 的 443。
其他像遠端管理、檔案傳輸、資料庫連線等功能,都是你自己管理時才需要的,這些應該關閉或限制來源,不需要對整個網際網路開放。
開放的 Port 越少,主機越安全。
只開放 80、443,網站還能正常運作嗎?
可以。
80 與 443 是網頁瀏覽的標準埠,一般使用者連上你的網站、瀏覽內容、填寫表單、完成交易,全都是透過這兩個埠完成的,所以只開這兩個埠完全不影響網站的正常使用。
至於你自己要遠端管理主機、上傳檔案,可以透過 IP 白名單或 VPN 的方式,在受控環境下另外連線,不需要為此把 Port 對全世界開放。
FTP 和 SFTP、FTPs 差在哪?該用哪個?
FTP 是傳統的檔案傳輸協定,走 Port 21,但它是明文傳輸,帳號密碼與檔案內容都沒有加密,安全性很低。
SFTP 是架在 SSH 之上的加密檔案傳輸,走 Port 22。
FTPs 則是幫傳統 FTP 加上 TLS 加密,明確式仍走 21、隱含式走 990。
三者中最不安全的是 FTP,建議避免單獨使用。
實務上如果主機已經有 SSH,直接用 SFTP 通常是最方便又安全的選擇。
SMTP 的 25、465、587 有什麼不同?
25 是傳統伺服器之間轉信用的埠,容易被濫用發垃圾信,現在常被網路服務商封鎖,不適合程式寄信。
587 是目前標準的郵件提交埠,採用 STARTTLS 加密,由 RFC 6409 定義,主流郵件服務都建議優先使用。
465 則是 IANA 註冊給 SMTPS 的埠,採用隱含式 TLS。簡單記,程式寄信優先用 587,其次 465,盡量避免用 25。
我怎麼知道我的主機開了哪些 Port?
你可以使用 Port 掃描工具(例如 Nmap)對自己的主機做掃描,就能看到目前對外開放了哪些 Port,以及對應的服務。
許多主機管理面板與防火牆設定介面,也會直接列出目前允許的連線規則。
建議定期做這件事,把掃描結果跟「這台主機真正需要的服務」比對,找出多餘或被遺忘的開放埠,再逐一關閉或加上來源限制。
關掉 Port 會不會影響服務?
只要你關的是「沒有在使用」的 Port,就不會影響服務。
關鍵在於先確認每個開放埠對應的服務是否還在用。
如果某個 Port 對應的是已經淘汰的舊服務,直接關掉反而更安全;
如果對應的是你偶爾需要的管理功能,那就不是關死,而是改用 IP 白名單限制來源。
如果你不確定自己的主機開了哪些門、或不知道該怎麼強化網站的資訊安全,建議找專業團隊協助盤點與加固。
愛貝斯資訊安全服務 能協助你檢視主機通訊與 Port 開放狀態,從防火牆到加密設定全面把關。
若你正在規劃或重建網站,愛貝斯網頁設計(資安導向) 也能在建置階段就把安全設計做好,讓網站從一開始就穩固又安心。
愛貝斯小提醒:
資安是一場持續的功課,不是做完就結束。定期盤點主機開了哪些門、關掉不必要的服務、為關鍵通道加上白名單,這些看似瑣碎的習慣,才是讓網站長期安全運作的真正關鍵。
-
轉換率優化CRO不只看流量,更要讓使用者願意行動。本文解析5個網站設計心理學與動線規劃技巧,幫助企業提升諮詢、預約與成交率。
-
Landing Page(落地頁)是拯救你廣告低轉換率的關鍵!明明點擊率很高,轉換率卻很低?本文帶你釐清官網與落地頁的差異,解析高轉化率的 AIDA 五大黃金結構,並教你如何善用 ChatGPT、Gamma 等 AI 工具,幾小時內打造 24 小時不休息的數位超級業務員!
-
Cloudflare 是一個功能強大的CDN 服務商,除了可以免費代管DNS之外,還有許多免費的資安服務,如CDN、隱藏真實IP、提供應用層的DDoS防護等。本文提供Cloudflare DNS設定教學,透過圖文引導一步步教你怎麼設定好DNS。
-
網域就如同企業網站的門牌號碼,在網頁上線之前必須先申請好屬於企業的專屬網址那該如何透過hinet平台自行租用喜歡的網域名稱呢?