从本月24日开始,中国部分ISP已经实施国外端口白名单政策,国内用户无法访问国外服务器的大部分端口,只能访问指定的几个白名单端口,目前我在深圳用的一个电信网络已经实施,该白名单实施的效果是,用户无法远程SSH管理国外服务器,大部分访问国外的软件和游戏都会异常,如此广泛而无区别的高强度审查,是历史上最严厉的一次,几乎和断网无异。
实施端口白名单政策,对于个人用户来说,会带有一些不便,但也可以避规,经过测试我发现,对于可以修改端口的软件或服务来说,将国外服务器端软件的通讯端口号修改为一个常用的端口号,就可以正常使用软件了,具体端口号例如8080,3389,443等等。
但对于企业来说,这一刀切政策的误伤性实在太大,带来的安全风险也不可忽视。
最先发现问题的可能是阿里云的云服务器租用业务,因为很多管理员无法远程访问自己的服务器了,对于服务器管理来说,通常使用SSH或远程桌面来管理,默认的SSH端口是22,默认远程桌面端口是3389,然而,为了防止恶意攻击和恶意扫描,大多数服务器不会使用默认端口进行远程管理,这也就是服务器业务被大量误伤的原因之一。
云服务器供应商阿里云发布公告称“北京时间2017年10月24日 09:15左右开始,国内无法通过ssh远程访问香港及其他海外地域个别ECS服务器(海外客户访问正常)。阿里云已经第一时间向运营商报障,目前运营商尚未反馈恢复信息。当前进展:国内用户无法远程(ssh、rdp协议)访问香港及其他海外地域个别ECS服务器(海外客户访问正常),目前运营商尚未确认恢复信息。如果您的业务仍受到影响,建议您尝试更换服务器并迁移服务,并确保您的业务中不要包含违规信息或违规服务。 ”
对于企业用户来说,这政策对外贸企业和外资企业的影响也很大,端口白名单几乎是完全切断了国内和国外的通讯端口,企业软件业务大多使用的并非80这样的常用端口,复杂的企业管理软件往往都是使用不常用端口,以免和其他软件发生冲突,并且一般来说服务器端口在软件里也不易修改,这种政策实施后直接导致一大批使用国外服务器的企业软件无法正常工作,对外贸外资等企业打击甚大,很可能会影响企业的关键业务流程。
更新:10月26日下午,我用深圳电信测试,ISP的端口白名单疑似已经取消,国内用户访问国外服务器的各个端口已经恢复正常。
