是否保证了网络端口的安全，理论上就可以阻止一切外部入侵或是病毒感染？

安全没有绝对。理论上也没有。
你没法保证你开的这些服务是绝对安全的，你没法保证你用的服务器系统是绝对安全的，你没法保证你的系统管理员是绝对安全的......某一个环节出错可能整个体系就崩了。

理论上，如果服务器代码是 100%安全的，限制 IP 登录，安全性还是有保障的，可惜没有代码 100%安全

因为：
1、你开放的服务端口，可能会有 buffer overflow 或其他应用层的漏洞可以被利用
2、你的服务器可以被物理泼水 DOS，可以被物理拔盘拷数据
3、密码再强也有可能被碰撞或被 key logger 或被写在日记上或被 MITM 呢
4、不用密码用公钥？好吧这就要继续聊聊客户端安全了
5、限制 IP，万一内网其他人主机被上马当成跳板做横向渗透了呢

绝对安全，是你把数据锁在保险库里，找人看着，这都不算绝对安全，万一监守自盗呢，万一保险库被干了呢，万一核弹了呢

参考一下信息安全三要素（ C.I.A.），做一个取舍就好了

公众访问只开放业务端口比如 80、443
运维端口只开放给运维的固定 IP
密码做失败策略

我曾经道听途说某浪的 SSH 服务器 IP 白名单是被硬编码直接编译到 exec 里面的

纯抬个杠 233

人也是突破口

注意把 USB 端口堵住

绝对的安全... 不存在的。假若有，那就是把这台服务器烧成灰之后。

3# 直击要害，整个体系里，最薄弱的环节历来都是人。

@xi2008wang 真的有

社工

美剧 [黑客军团 （ Mr.Robot)] 先看一遍吧，信息安全圈子里对这部剧的专业和严谨度是非常认同称赞的。

理论上保证服务器不插电才能保障不被入侵

我认为做这些，实际上都是在降低中奖的机率，只能是无限接近'绝对安全'。

sql 注入了解下

水坑攻击了解一下？

@BOYPT 不插电？还可以派线人 /特工，直接去机房偷硬盘 /整机。

楼上的胸得们 真是笑死人

没法保证 0day 的存在。

要是你的数据没有价值可言，放心，没人黑泥的

HTTP、HTTPS、SSH 等协议的端口、以及数据库连接端口
//这几个端口谁告诉你是绝对安全的，只要用户能数据输入，就有潜在的安全隐患的

理论上只要连了网就可能被攻击，无论你端口怎么的，毕竟还有很多不知道的漏洞

那些开放的端口，可能存在未知的远程缓冲区溢出漏洞。
提供 http/https 的 web 服务，可能存在漏洞。
web 服务上运行的 web 程序，可能存在漏洞。
如果机房网络环境不好，可能存在 arp 问题。

以前 nginx 有过一个严重的文件类型解析漏洞。几乎都被人玩坏了，才公开，并出补丁。

听说过机器转动的声音都能泄密的吗.瑞典有人做到了