你不可不知的網路通訊埠大全

通訊埠(Port)是網路通訊中的虛擬概念,用於區分同一台電腦上執行的不同網路服務。埠號是 16 位元無號整數,範圍 0–65535,其中 0 保留給作業系統,不可指定為服務埠;實際可用範圍為 1–65535。

IANA 埠號分類

IANA 將通訊埠分為三個範圍:

  • Well-Known Ports(0–1023):由 IANA 正式指派給知名協定,需要系統管理員權限才能監聽
  • Registered Ports(1024–49151):向 IANA 登記的應用程式服務埠,一般使用者帳號可監聽
  • Dynamic / Private Ports(49152–65535):作業系統動態分配給用戶端連線使用,不對外提供服務

常用通訊埠分類

檔案傳輸相關通訊埠

  • FTP(檔案傳輸協定)
    • 20:FTP 資料傳輸埠
    • 21:FTP 控制埠
    • 989:FTPS 資料傳輸埠(加密版本)
    • 990:FTPS 控制埠(加密版本)
    • 115:SFTP(Simple File Transfer Protocol,RFC 913,已過時的舊協定)
    • 注意:一般所說的 SFTP(SSH File Transfer Protocol)是建立在 SSH 22 埠上,並非使用 115 埠

遠端連線通訊埠

  • 22:SSH/SCP

    • 安全的遠端連線和檔案傳輸
    • 現代系統的標準遠端管理工具
  • 23:Telnet

    • 傳統的遠端連線協定
    • 注意:不加密,建議改用 SSH
  • 3389:Windows Remote Desktop

    • Windows 遠端桌面連線
    • 提供圖形化的遠端操作介面

網路基礎服務通訊埠

  • 53:DNS

    • 網域名稱解析服務,將網域名稱轉換為 IP 位址
    • 一般查詢走 UDP/53;回應超過 512 bytes 或進行 Zone Transfer 時改用 TCP/53
    • DNS over TLS(DoT)使用 853 埠
  • 67/68:DHCP

    • 67:DHCP 伺服器
    • 68:DHCP 客戶端
    • 自動分配 IP 位址的服務
  • 80:HTTP

    • 網頁瀏覽的基本協定
    • 未加密的網頁傳輸
  • 443:HTTPS

    • 加密的網頁傳輸,現代網站標配
    • TCP/443 走 TLS;QUIC(HTTP/3)同樣使用 UDP/443,部署比例持續上升

郵件相關通訊埠

  • 25:SMTP

    • 郵件伺服器之間的轉發(MTA to MTA)
    • ISP 通常封鎖一般用戶外寄 25 埠以防止垃圾郵件
  • 465:SMTPS(Submission over Implicit TLS)

    • 連線一開始即啟用 TLS 加密,RFC 8314 正式確立
    • 現代郵件客戶端發信的兩個主要選擇之一
  • 587:SMTP Submission(STARTTLS)

    • RFC 6409 定義的郵件提交標準埠,連線後升級為 TLS
    • 目前最廣泛使用的郵件客戶端發信埠,設定 SMTP 客戶端時優先選這個
  • 110:POP3

    • 郵件接收協定,從伺服器下載後預設從伺服器刪除
    • 加密版本使用 995(POP3S)
  • 143:IMAP

    • 郵件存取協定,郵件留在伺服器端,支援多裝置同步
    • 相較 POP3 更適合多裝置使用情境
    • 加密版本使用 993(IMAPS)

資料庫服務通訊埠

  • 1433:SQL Server

    • Microsoft SQL Server 的預設通訊埠
    • 企業級資料庫服務
  • 1434:SQL Server Browser

    • SQL Server Browser 服務(UDP 協定)
    • 用於回報具名執行個體的動態埠號,讓客戶端知道要連哪個埠
    • SQL Slammer 蠕蟲(2003)正是利用此埠發動攻擊,安全性建議:非必要應停用 SQL Server Browser 服務
  • 3306:MySQL

    • MySQL 資料庫的預設通訊埠
  • 5432:PostgreSQL

    • PostgreSQL 的預設通訊埠
  • 5022:SQL Server Always On 可用性群組

    • Always On Availability Groups 的 database mirroring endpoint 預設埠
    • 用於主要複本與次要複本之間的同步通訊;防火牆需放行此埠才能建立複本連線

開發與 DevOps 常用通訊埠

  • 6379:Redis

    • Redis 的預設通訊埠,無加密
    • 生產環境應綁定至 127.0.0.1 或透過 TLS Proxy 對外,避免直接暴露
  • 27017:MongoDB

    • MongoDB 的預設通訊埠
  • 8080:HTTP 替代埠

    • 開發環境常用的 HTTP 測試埠,Tomcat、各類反向代理預設亦使用此埠
  • 8443:HTTPS 替代埠

    • 開發環境常用的 HTTPS 測試埠,對應 8080 的加密版本
  • 9090:Prometheus

    • Prometheus 監控伺服器的預設 Web 介面與 API 埠

其他重要服務通訊埠

  • 119:NNTP

    • 網路新聞傳輸協定
    • 用於新聞組服務
  • 123:NTP

    • 網路時間協定(UDP)
    • 用於時間同步
  • 389:LDAP

    • 輕量級目錄存取協定,用於集中式身分驗證
    • 明文傳輸;可透過 StartTLS 在同一埠升級為加密連線
    • 加密版本使用 636(LDAPS),連線一開始即啟用 TLS,安全性更高
  • 445:SMB(Server Message Block)

    • Windows 現代檔案與印表機共享的主力埠
    • Windows 2000 起即走 TCP 445 直接傳輸,跨路由器、VPN 均可使用
  • 137/138/139:NetBIOS over TCP/IP(遺留)

    • 137:名稱服務
    • 138:資料廣播(UDP)
    • 139:連線服務(NetBIOS Session)
    • 這是 SMB 1.0 時代的舊機制;現代環境應優先使用 445,並考慮關閉 NetBIOS over TCP/IP 以縮小攻擊面

安全性建議

  1. 定期檢查開放的通訊埠
  2. 關閉不必要的服務和通訊埠
  3. 使用防火牆限制通訊埠存取
  4. 優先選用加密版本的協定(如 HTTPS 替代 HTTP、IMAPS 替代 IMAP、LDAPS 替代 LDAP)
  5. 定期更新系統和服務以修補安全漏洞