一、默認端口配置及功能概述

Windows系統防火墻為保障基礎安全，默認開放部分常用服務端口，各端口對應協議及功能如下：

- 20/21端口：FTP文件傳輸協議端口，其中20端口用于數據傳輸（主動模式），21端口用于控制連接，支持文件上傳下載服務。

- 80端口：HTTP超文本傳輸協議端口，用于常規網頁訪問服務，是Web服務的基礎通信入口。

- 443端口：HTTPS安全超文本傳輸協議端口，基于SSL/TLS加密技術，保障網頁數據傳輸安全，支持電商、網銀等高安全性Web服務。

- 110端口：POP3郵局協議端口，用于郵件客戶端接收服務器郵件，是傳統郵件接收服務的標準端口。

- 1433端口：MSSQL數據庫服務端口，支持遠程數據庫連接與數據查詢操作，需結合身份驗證保障訪問安全。

- 3306端口：MySQL數據庫服務端口，廣泛用于開源數據庫遠程連接，需配合防火墻規則限制非授權訪問。

- 3389端口：Windows遠程桌面協議（RDP）默認端口，用于遠程服務器管理，建議修改為非默認端口以降低安全風險。

- 33000-33003端口：FTP被動模式擴展端口范圍，用于解決主動模式下的NAT穿透問題，提升文件傳輸靈活性。

注：25端口（SMTP郵件發送協議）因涉及中繼郵件安全風險，防火墻默認關閉，如需開啟需提交工單申請并說明用途。

二、端口放行操作指南

當業務需啟用防火墻默認未開放的端口時，可通過以下兩種方式實現端口放行，操作前建議確認端口號范圍（1-65535）及協議類型（TCP/UDP）。

##### （一）自動化工具快速放行

針對不同Windows系統版本，官方提供自動化腳本工具，簡化配置流程：

- Windows Server 2003系統：下載專用腳本[http://downinfo.myhostadmin.net/vps/2003allow.bat](http://downinfo.myhostadmin.net/vps/2003allow.bat)，雙擊運行后按提示輸入端口號即可完成放行。

- Windows Server 2008/2012系統：下載腳本[http://downinfo.myhostadmin.net/vps/2008allow.bat](http://downinfo.myhostadmin.net/vps/2008allow.bat)，執行后根據界面指示輸入目標端口，系統將自動創建入站規則。

- 通用可視化工具：下載[http://download.myhostadmin.net/win系統防火墻放行端口.exe](http://download.myhostadmin.net/win系統防火墻放行端口.exe)（需服務器內部登錄下載），工具提供圖形化界面，支持批量端口配置，操作更直觀。

##### （二）手動創建入站規則

如需精細化控制規則，可通過防火墻高級設置手動配置：

1. 右鍵點擊“網上鄰居”，選擇“屬性”，進入“網絡連接”界面；

2. 右鍵點擊“本地連接”，選擇“屬性”，切換至“高級”選項卡，點擊“設置”按鈕；

3. 在“防火墻設置”對話框中切換至“例外”選項卡，點擊“添加端口”；

4. 輸入需放行的端口號，選擇協議類型（TCP/UDP），為規則命名（建議標注服務名稱），確認后保存規則。

提示：修改遠程桌面連接端口（默認3389）可參考[https://www.west.cn/faq/list.asp?unid=560](https://www.west.cn/faq/list.asp?unid=560)，操作前需確保新端口已放行防火墻規則。

三、安全注意事項

端口放行需遵循“最小權限原則”，僅開放業務必需端口，避免全端口開放增加安全風險。定期檢查防火墻規則，清理冗余規則，同時建議啟用日志記錄功能，監控端口訪問行為，及時發現異常連接。