电信要把互联网的三个端口改成备案制，受影响的不仅是企业

电信要把互联网的三个端口改成备案制，受影响的不仅是企业

 

对个人用户来说，可能所有 VPN 都不能用了。

日前，有福建厦门的企业用户收到中国电信的通知，称公司“未开通 80 8080 端口…如有使用 443 端口的，请于 2018 年 1 月 10 日前完成备案，以免被关闭 443 端口”，落款是中国电信厦门公司。

通知中说的 80、8080、443 这些数字指的是国际互联网连接中使用的 TCP/IP、UDP 协议的某些特定端口。在国际互联网的通讯协议中，每个联网的设备依靠这些端口进行特定的数据交换，比如 TCP 25 端口是电子邮件收发必须的端口，如果 25 端口是关闭的，电子邮件就不能完成收发。

80、8080 是通讯协议中非常基础的端口，互联网的基础服务“超文本传输协议” HTTP 就依靠 80 端口或使用 8080 替代。443 端口则承载 HTTP 协议的加密版本 HTTPS “超文本传输安全协议”的流量，比如支付、账户登录等需要加密传输的数据。

如果电信提供商主动关闭了这三个端口，用户将无法使用几乎所有的 VPN 服务，因为 VPN 的连接和认证需要通过这些端口进行。就如同道路被关闭之后，汽车将无路可走一般。

除了普通用户科学访问国际互联网使用 VPN 这一种用途之外，VPN 技术也是企业用户 IT 服务的基础。一般企业的内部网络并不会直接开放至国际互联网，一般会给员工提供企业 VPN，以便让员工在公司的物理地址之外访问公司网络。

在厦门电信的通知中，说的并不是“关闭”端口，而是备案。也就是说如果企业用户需要使用这些端口，可以申请备案。但对一般家庭和个人用户来说，基本上就无法使用任何 VPN 服务了。

去年 8 月，中国电信在官方网站上贴出通知，称根据《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》、《互联网IP地址备案管理办法》和《工业和信息化部关于互联网基础管理专项行动的通知》，2017 年9 月 20 日起，将关闭个人宽带用户的 80/8080/443 端口，目的则是“规范互联网网站接入”，就是禁止用户在家中架设网站。

中国政府规定，所有网站必须备案，关闭这些端口确实可以从技术上阻断用户在家中架设允许整个国际互联网用户访问的网站。但实际上，关闭国际互联网的某些端口是“常见”的技术，只不过过去针对的是部分网站，现在可能正在被扩大，从个人用户开始扩展到企业用户。

去年 7 月彭博社报道，称中国电信运营商有可能按照政府要求全面禁止 VPN 的使用，时间节点是 2 月 1 日。从厦门电信的通知来看，这个措施似乎正在被落实。

 

---

 

其他参考文章：

前几天听同事在问“域名能指向xxxx:8090么？”，也有同事对使用域名指向VPN内网地址感觉很疑惑，或者对DNS里的CNAME、A记录不太熟悉。我感觉大家对DNS、域名、端口与网站存在一些不太清晰的地方，所以在这里简单解释下。

先解释几个名词之间的关系

DNS与域名

单从逻辑上域名就是IP的一个别名，为了方便记忆那一长串的IP。DNS是用来将域名转换为IP的服务器，可以理解为一个大字典。

DNS服务器从用途上一般分两种，一种是权威服务器，他对某个或某些域名有权威解析权，例如85ido.com及其下面的所有子域名，就是dns9.hichina.com和dns10.hichina.com负责权威解析的（hichina.com是万网的域名）；

另一种是非权威DNS服务器，也就是咱们配置本机IP地址的时候设置的那个DNS地址，只是起到代理和缓存的作用（客户端模式），不负责权威解析。

至于DNS如何配置，下面会有具体说明。

域名和端口

域名和端口实际上没有一毛钱的关系。域名只是IP的助记符，不包含任何端口信息。所以要求域名指向某个IP的某个端口是不可能的。

同时，因为域名只是IP的助记符，所以域名指向内网地址也没毛病……前提是访客真能连通那个IP地址。

域名端口和网站

同上，之所以把域名和端口搞混，是因为网站的关系。要求域名指向某个IP的某个端口的需求，本意是想使用域名直接访问这个 IP:端口 上的站点。

以使用域名lcgx.85ido.cn访问http://10.254.23.188:8090/为例，有两种办法：

一、域名指向10.254.23.188，使用http://lcgx.85ido.cn:8090/访问原来的站点；

二、域名指向某个开启了80端口的IP，如10.254.23.1，通过10.254.23.1做反向代理到10.254.23.188:8090，这样就可以使用 http://lcgx.85ido.com/访问原来的 http://10.254.23.188:8090/ 。

如果要求只使用域名不带端口，其实隐含了要求访问http的默认端口80（如果是https则是443端口）。如果目标IP的80端口无法访问，则只能通过反向代理（或端口映射）。

域名、IP和网站

因为可以配置虚拟主机（在同一个IP和端口上使用不同的Host Name/域名来访问不同的网站），所以在IP资源有限&调整防火墙开端口比较麻烦的情况下，我们推荐使用子域名指向反向代理的方式来访问网站，因为反向代理的IP只有1个，却可以绑任意多个域名——子域名又不要钱。

域名、网站和备案

任何国内的主域名、www子域名，以国内使用80、443端口对外服务的服务器都必须在工信部备案，否则网站一段时间后就会被关停。

备案的内容是域名所有者的实名信息+服务（器）提供商（ISP）的实名信息。

例如咱们公司的域名是85ido.com，所有者是姜总，服务器供应商是阿里云，所以咱公司就得找阿里云备案去。如果是地市的政务云，一般是找地市政务云去备案。

另外，一般只有主域名和www子域名必须备案，已备案主域名的其他子域名不需要再单独备案。

备案估计需要20天的时间，未备案期间网站是可以访问的，不过有被关停的风险。

如何配置DNS解析

待完成……