数据库端口到底设多少才合适，怎么用才方便又安全？

关于数据库端口到底设多少才合适,怎么用才方便又安全，这确实是一个很实际的问题，很多人在刚开始接触数据库的时候，可能就直接用了默认的设置，没有多想，但实际上，端口的设置虽然只是一个小细节，却对安全性和便利性有着不小的影响，下面我们就来详细聊聊这个话题。

我们来说说端口号到底设多少合适,最常见的数据库，比如MySQL或者MariaDB，它们的默认端口是3306，PostgreSQL的默认端口是5432，Oracle数据库是1521，Microsoft SQL Server是1433，MongoDB是27017，Redis是6379，这些默认端口就像是这些服务的“家门牌号”，大家都知道，所以找起来很方便。（来源：各数据库官方文档中关于默认端口的说明）

问题就来了：我们到底应不应该使用这些默认端口呢？答案是：视情况而定，但出于安全考虑，强烈建议在生产环境中更改默认端口。

为什么这么说？我们可以用一个简单的比喻来理解，假设你家住在一个小区里，你家门牌号是众所周知的“101”，如果一个别有用心的人想试试能不能撬开你家的门，他肯定会优先去尝试那些他知道的、常见的门牌号，同样道理，在互联网上，有大量的自动化扫描工具（通常被称为“机器人”或“脚本小子”）一天24小时不间断地扫描整个网络，它们的主要目标就是这些默认端口，一旦发现某个IP地址的3306端口是开放的，它们就会立刻尝试用一些常见的用户名和密码组合（比如root/root, root/123456等）进行攻击，如果你恰好使用了弱密码，那么数据库在几分钟内就可能被攻陷。（来源：网络安全领域常见的攻击方式描述，如暴力破解和端口扫描）

更改默认端口是一种非常有效且低成本的安全措施，通常被称为“安全通过隐匿”（Security through obscurity），虽然它不能替代强密码、防火墙等核心安全手段，但它能极大地减少你的数据库被自动化工具扫描和攻击的“噪音”，这就好比把你的家门从众所周知的“101”换成了“307”，那些漫无目的的小偷可能根本不会尝试到307号来，从而大大降低了被“碰运气”式攻击的风险。

应该改成什么样的端口呢？这里有几个实用的原则：

第一,不要使用其他常见服务的端口，你不能把数据库端口改成80（HTTP）或443（HTTPS），因为这些端口是Web服务的，如果被占用会导致其他服务异常，同样，要避免使用21（FTP）、22（SSH）等广为人知的端口。

第二,可以选择一个大于1024的、不太常见的端口号，在计算机系统中，1024以下的端口号被称为“知名端口”，通常分配给系统核心服务，我们可以从1025到65535之间选择一个数字，你可以选一个对你有特殊意义但别人很难猜到的数字，比如你公司成立的年份后四位，或者某个对你来说很重要的日期的组合，只要确保这个端口没有被系统上的其他应用程序占用即可。（来源：关于TCP/IP端口号范围的通用知识）

第三,保持一致性，并做好记录，如果你管理多个数据库实例，可以制定一个内部的小规则，MySQL基础端口从33060开始，PostgreSQL从54320开始，然后根据项目编号进行递增，这样既避免了冲突，也方便你自己记忆和管理，但最重要的是，一定要把修改后的端口号清晰地记录在团队的文档或密码管理工具中，否则时间长了，连你自己都可能忘记，那就弄巧成拙了。

说完了端口号设置,我们再谈谈怎么用才方便又安全，光改个端口号是远远不够的，它必须和其他措施配合起来：

防火墙是必须的防线。 这是最关键的一步，你的数据库端口（无论是默认的还是修改过的）绝对不应该对全世界开放，正确的做法是使用防火墙规则，只允许特定的、可信的IP地址访问这个端口，只有你的应用程序服务器所在的IP、或者需要远程管理的运维人员的固定IP，才能连接数据库端口，对于云服务（如阿里云、腾讯云AWS等）这通常是通过配置“安全组”来实现的，这样，即使攻击者猜对了你的端口号，因为他们的IP地址不在白名单里，连接请求也会在第一时间被防火墙拒绝，根本到达不了数据库服务本身。（来源：网络安全最佳实践中的“最小权限原则”）

强密码永远是基石。 修改端口只能防住自动化脚本，防不住有针对性的攻击，如果一个攻击者通过其他方式知道了你的端口号，那么抵御他的最后一道防线就是强大的密码，务必使用长且复杂的密码，并启用数据库的密码强度策略。

考虑使用SSH隧道。 对于一些需要临时远程连接数据库进行维护的场景，直接暴露数据库端口风险很高，一个更安全的方法是先通过SSH（22端口）安全地连接到服务器，然后建立一个SSH隧道（Tunnel），将本地电脑的某个端口“映射”到远程服务器的数据库端口，这样，所有的数据库通信都经过加密的SSH通道，数据库端口本身完全不用对公网开放，极大地提升了安全性。（来源：系统管理员常用的安全远程访问技术）

区分环境设置。 为了方便开发，在你自己本地的开发环境或者测试环境中，使用默认端口是完全没问题的，这样可以省去每次连接都要输入端口号的麻烦，一旦涉及到预发布环境（Staging）或者生产环境（Production），就必须严格执行修改端口、配置防火墙等安全策略。

数据库端口设置的核心思路是在安全性和便利性之间找到一个平衡。对于生产系统，安全永远是第一位的，最佳实践是：修改默认端口 + 严格配置防火墙IP白名单 + 使用强密码，这几招组合起来，就能为你的数据库构建起一道坚实的防线，让你在用得安心的同时，也能相对方便地进行管理和维护。