TCP/UDP端口号
源端口号格式:source-port { eq port | gt port | lt port | range port-start port-end }
目的端口号格式:destination-port { eq port | gt port | lt port | range port-start port-end }
在Level3ACL中,当协议类型指定为TCP或UDP时,设备支持基于TCP/UDP的源/目的端口号过滤报文。
其中,TCP/UDP端口号的比较符含义如下:
- eq port:指定等于源/目的端口。
- gt port:指定大于源/目的端口。
- lt port:指定小于源/目的端口。
- range port-start port-end:指定源/目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。
TCP/UDP端口号可以使用数字表示,也可以用字符串(助记符)表示。例如,rule deny tcp destination-port eq 80,可以用rule deny tcp destination-port eq www替代。常见TCP端口号及对应的字符串如表1-7所示,常见UDP端口号及对应的字符串如表1-8所示。
表1-7 常见TCP端口号及对应的字符串
| 端口号 | 字符串 | 协议 | 说明 |
|---|---|---|---|
| 7 | echo | Echo | Echo服务 |
| 9 | discard | Discard | 用于连接测试的空服务 |
| 13 | daytime | Daytime | 给请求主机发送日期和时间 |
| 19 | CHARgen | Character generator | 字符生成服务;发送无止境的字符流 |
| 20 | ftp-data | FTP data connections | FTP数据端口 |
| 21 | ftp | File Transfer Protocol(FTP) | 文件传输协议(FTP)端口 |
| 23 | telnet | Telnet | Telnet服务 |
| 25 | smtp | Simple Mail Transport Protocol (SMTP) | 简单邮件传输协议 |
| 37 | time | Time | 时间协议 |
| 43 | whois | Nicname(WHOIS) | 目录服务 |
| 49 | tacacs | TAC Access Control System (TACACS) | 用于基于TCP/IP验证和访问的访问控制系统(TACACS登录主机协议) |
| 53 | domain | Domain Name Service (DNS) | 域名服务 |
| 70 | gopher | Gopher | 信息检索协议(互联网文档搜寻和检索) |
| 79 | finger | Finger | 用于用户联系信息的Finger服务,查询远程主机在线用户等信息 |
| 80 | www | World Wide Web (HTTP) | 用于万维网(WWW)服务的超文本传输协议(HTTP),用于网页浏览 |
| 101 | hostname | NIC hostname server | NIC机器上的主机名服务 |
| 109 | pop2 | Post Office Protocol v2 | 邮件协议-版本2 |
| 110 | pop3 | Post Office Protocol v3 | 邮件协议-版本3 |
| 111 | sunrpc | Sun Remote Procedure Call (RPC) | SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用 |
| 119 | nntp | Network News Transport Protocol (NNTP) | 网络新闻传输协议,承载USENET通信 |
| 179 | bgp | Border Gateway Protocol (BGP) | 边界网关协议 |
| 194 | irc | Internet Relay Chat (IRC) | 互联网中继聊天(多线交谈协议) |
| 512 | exec | Exec (rsh) | 用于对远程执行的进程进行验证 |
| 513 | login | Login (rlogin) | 远程登录 |
| 514 | cmd | Remote commands | 远程命令,不必登录的远程shell(rshell)和远程复制(rcp) |
| 515 | lpd | Printer service | 打印机(lpr)假脱机 |
| 517 | talk | Talk | 远程对话服务和客户 |
| 540 | uucp | Unix-to-Unix Copy Program | Unix到Unix复制服务 |
| 543 | klogin | Kerberos login | Kerberos版本5(v5)远程登录 |
| 544 | kshell | Kerberos shell | Kerberos版本5(v5)远程shell |
表1-8 常见UDP端口号及对应的字符串
| 端口号 | 字符串 | 协议 | 说明 |
|---|---|---|---|
| 7 | echo | Echo | Echo服务 |
| 9 | discard | Discard | 用于连接测试的空服务 |
| 37 | time | Time | 时间协议 |
| 42 | nameserver | Host Name Server | 主机名服务 |
| 53 | dns | Domain Name Service (DNS) | 域名服务 |
| 65 | tacacs-ds | TACACS-Database Service | TACACS数据库服务 |
| 67 | bootps | Bootstrap Protocol Server | 引导程序协议(BOOTP)服务端,DHCP服务使用 |
| 68 | bootpc | Bootstrap Protocol Client | 引导程序协议(BOOTP)客户端,DHCP客户使用 |
| 69 | tftp | Trivial File Transfer Protocol (TFTP) | 小文件传输协议 |
| 90 | dnsix | DNSIX Security Attribute Token Map | DNSIX安全属性标记图 |
| 111 | sunrpc | SUN Remote Procedure Call (SUN RPC) | SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用 |
| 123 | ntp | Network Time Protocol (NTP) | 网络时间协议,蠕虫病毒会利用 |
| 137 | netbios-ns | NETBIOS Name Service | NETBIOS名称服务 |
| 138 | netbios-dgm | NETBIOS Datagram Service | NETBIOS数据报服务 |
| 139 | netbios-ssn | NETBIOS Session Service | NETBIOS会话服务 |
| 161 | snmp | SNMP | 简单网络管理协议 |
| 162 | snmptrap | SNMPTRAP | SNMP陷阱 |
| 177 | xdmcp | X Display Manager Control Protocol (XDMCP) | X显示管理器控制协议 |
| 434 | mobilip-ag | MobileIP-Agent | 移动IP代理 |
| 435 | mobilip-mn | MobileIP-MN | 移动IP管理 |
| 512 | biff | Mail notify | 异步邮件,可用来通知用户有邮件到达 |
| 513 | who | Who | 登录的用户列表 |
| 514 | syslog | Syslog | UNIX系统日志服务 |
| 517 | talk | Talk | 远程对话服务器和客户端 |
| 520 | rip | Routing Information Protocol | RIP路由协议 |
