下载文档原格式
Windows操作系统禁用危险端口保护系统安全的步骤Windows操作系统禁用危险端口保护系统安全的步骤以139端口为例来说明如何禁用端口即使你对策略一点不懂也可以按照下面一步一步地完成禁用端口。
以139为例1.开始->控制面板(或者管理)->管理工具->本地安全策略2.右击"Ip安全策略,在本地计算机",选择"管理IP筛选器表和筛选器操作",<就可以启动管理ip筛选器表和筛选器操作对话框>3.在"管理IP筛选器表"中,按"添加"按钮<打开了ip筛选器列表>4.⑴在名称(N)下面添上"禁止139端口"<任何名字都行,只要你知道就行>描述(D)也写上"禁止139端口"⑵添加按扭<进入ip筛选向导>⑶点击下一步<进入筛选向导>⑷在源地址(s):出选择下拉里的第二项"任何ip地址"下一步⑸在目标地址(D):选上"我的ip地址"下一步⑹选择协议类型(S):把"任意"选改为"tcp"下一步⑺设置ip协议断口:<可以看到很相似的两组选项>选择到端口(O)<注意不是从端口?>添上你要禁止的端口"139"下一步⑻完成5<止此回到了筛选列表窗口,可以看到筛选器(s)窗口有了信息>看完了吗?按确定按扭呵呵..<将回到了"管理ip筛选器表和筛选器操作"窗口>6点击"管理筛选器操作"同4中的⑴⑵⑶<将进入:"筛选器操作"窗口7呵呵当然是选择第二个"阻止"了"下一步"-->"完成"8<回到了"管理ip筛选器表和筛选器操作"窗口>点击"关闭"按扭9<回到了本地安全设置窗口>右击"Ip安全策略,在本地计算机",选择"创建ip安全策略"同4中的⑴⑵⑶进入"为此安全规则设置初始身份验证方法管他<使用默认项"activedirectory默认值(kerberosv5协议)> 下一步10出现一个警告窗口."只有当这个规则在一台为域成员的'计算机上Kerberos才有效。
以封堵445端口为例2.1.2、Windows系统IP策略优化对于Windows系统,可以通过配置本地安全策略——IP安全策略,来优化对服务器的访问控制权限。
2.1.2.1、创建IP安全策略控制面板——管理工具——本地安全策略——IP安全策略,右侧空白处点击右键,选择创建IP安全策略,点击下一步,输入策略名称及描述,点击下一步直到完成创建。
2.1.2.1、编辑IP安全策略属性1、右键策略名称,点击属性进行策略配置,点击“添加”创建IP安全规则,点击下一步。
2、选择“此规则不指定隧道”,点击下一步,3、选择网络类型,可根据需要进行网络类型选择,默认以“所有网络连接”进行配置。
点击下一步4、点击添加,用于添加445、3389端口访问匹配规则。
5、点击下一步,可选择添加描述,点击下一步。
6、选择IP流量源,可根据需要进行选择,如果是全局封堵,选择“任何IP地址”即可,如果是做访问白名单,选择“一个特定IP地址或子网”即可,以下以全局封堵445端口为例,选择“任何IP地址”,点击下一步。
7、选择协议类型,根据需要对协议类型进行选择,此次以选择TCP协议类型,下一步。
8、配置需要封堵的端口号,由于此次是用于禁止任意源端口访问到本机的445端口,因此勾选“从任意端口”,在“到此端口”处填入“445”即可。
点击下一步,确认完成配置。
9、以上配置完后,右键已创建好的IP安全策略,点击属性,点击添加,下一步,直到出现IP筛选器列表。
10、在IP筛选器列表处,勾选之前已经建好的445端口匹配规则,点击下一步,进行筛选器动作配置。
当需要添加其他端口时,在以下界面点击编辑,选择添加即可,添加端口步骤同上第5、6、7、8步骤。
11、点击添加,用于添加筛选器动作12、配置筛选器操作,点击下一步,填入名称,选择填入描述。
13、筛选器操作常规选项配置,由于此次操作用于阻止455端口通信,因此勾选阻止即可,点击下一步,确认完成。
电脑端口封禁
1:运行gpedit.msc
2:Windows设置
3:安全设置
4:IP安全策略
5:右击创建IP安全策略或双击已经有的
6:选择添加
7:选择下一步直到出现第三个界面
8:选择添加,修改名称
9:选择添加,点击下一步直至此界面
10:原地址选择然后IP,目标地址选择我的IP
11:协议类型选择TCP(根据类型决定)
12:按此图设置,端口号设置成需要阻止的
13:点击下一步,完成,出现此界面点击确定
14:选择刚刚建立的选择下一步
15:选择添加
16:点击下一步直至此界面,更改名字
17:选择阻止,点击下一步然后完成
18:选择刚刚建立,点击下一步然后完成
19:点击确认
20:选择需要阻止的端口然后确定
21:右击自己创建的策略选择分配即可
为了让我们的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP135、139、445、593、1025 端口和UDP 135、137、138、445端口,一些流行病毒的后门端口(如TCP 2745、3127、6129端口),以及远程服务访问端口3389。
网康下一代防火墙封堵“TCP 445”配置指引
近期国内多处高校网络出现ONION/Wncry勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网并没有此限制,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前此蠕虫在教育网内大量传播,大概量级是每天5000个用户中招。
当前,尽快从网络中阻断不必要的“Windows文件共享协议(SMB)”和445端口通信,是最为有效的网络处置方案。
网康NF系列下一代防火墙可通过配置安全策略完成封堵,具体操作步骤如下:
1.登录设备WebUI,在“策略配置-对象配置-服务”中新建一个SMB协
议的服务对象,“协议”选择“TCP”,“目的端口”填写为“445”;
2.在“策略配置-安全策略”中新建一条策略,“服务”选择步骤1中新建
的服务对象,“动作”选择“阻断”,“源地址”、“源区域”、“用
户”、“目的地址”、“目的区域”、“应用”均保持默认留空即可;
3.完成策略新建。
封杀IP和端口(2000以上)常常看到有好多朋友问如何关闭端口~ 其实不用防火墙,在自己的电脑中做下设置就能做到:其实这样的贴已经发了好多了,但是这里还是要重复一下,为的是那些还不太了解的朋友,在这里我就简单的说说:1. 通过对开始->程序->管理工具-> 本地安全策略-> (鼠标右击)IP安全策略,在本地机器点击"管理IP 筛选器表和筛选器操作"后在"管理IP筛选器列表"选项卡上点击"添加"管理IP筛选器列表"选项卡上点击"添加"这个时候就会弹出"IP筛选器列表"窗口分别添入名称和描述,随便填写的哦,,然后点击"添加",接着出现一个IP"筛选器向导",点下一步。
此时"指定IP源地址"窗口,在"源地址"中选择"任何IP地址",点下一步。
在"IP通信目标"的"目标地址"选择"我的IP地址",点下一步。
在"IP协议类型"的"选择协议类型"选择"TCP",点下一步。
在"筛选器向导"的"设置IP协议端口"里第一栏为"从任意端口",第二栏为"到此端口"并添上"139",点下一步接着点击"完成" ,然后再单击"关闭" 回到"管理IP筛选器表和筛选器操作"窗口大家有没有看见封杀139端口几个字啊,,呵呵,,这个就是我们需要的!:)选择择"管理筛选器操作"选项卡点"添加"大家注意一下就在刚才我们添加的那个活动页的旁边的另外一个活动页就是这个管理筛选器的咚咚,,,要选上使用添加向导哦样会出现一个"筛先器操作向导"的窗口,点击"下一步",在"名称"里随便填写,,不用和我的一样,,呵呵,,自己想填什么就填什么但是别忘记了,,按"下一步",并选择"阻止",再按"下一步"点击"完成"和"关闭"。
路由器如何禁用端口,路由器过滤端口的方法路由器如何禁用端口,路由器过滤端口的方法企业内有时候会对某些软件进行禁止,那么反映到路由器做策略的时候其实就是禁用端口,也叫端口过滤,下面小编就来跟大家分享下路由器过滤端口具体的实施方法。
1、在电脑桌面双击打开任意浏览器,在搜索框中输入路由器的web管理地址,然后点击回车键。
2、在web登录界面中根据提示输入账号和密码,然后点击确定。
3、在web管理界面找到并点击上网控制,然后在右侧窗口中选中凡是符合已生效上网控制规则的数据包,禁止通过本设备,勾选开启上网控制,点击保存,最后在下方找到并点击快速设置。
4、模式选择IP地址,主机名随便填写,这些小编填写办公电脑,局域网IP地址里面填写需要限制的网段,小编这里只填写一个网段的,如果你所在的企业拥有多网段,那么就得分开设置,最后点击下一步。
5、模式选择IP地址,目标描述随便填写,比如如果要禁用80端口,那么就可以填写禁用80,目标IP地址这里填写想要禁用80端口的主机IP地址,目标端口号这里填写要禁用的端口号范围,如果只禁用一个端口,那么都填写一样的就行了,如果要禁用多个,可以直接禁用一个连续的段,协议请根据具体的需求填写,比如要禁用的是TCP的80端口,那么这里就选择TCP,最后点击下一步。
6、日程描述随便填写,可以填写具体的要禁用的时间段,这样方便检查,下方具体的时间根据需要勾选,然后点击下一步。
7、规则描述随便填写,这里小编填写禁用80端口,其他不变,点击结束即可,通过路由器禁用端口的操作方法就是这样,希望大家举一反三。
8、现在很多企业对于上网行为管理一般会使用专业的网管软件,下面小编再来分享下网管软件如何过滤端口。
百度聚生网管下载,下载完成后解压,在解压的文件中找到LanQos.exe 和WinPcap.exe这两个安装文件,首先双击安装主控程序LanQos.exe,待其安装完成后再双击WinPcap.exe安装这个抓包程序。
防火墙禁止135,137,138,139,445端口攻击的方法1.Win10自带防火墙关闭端口步骤(本设置步骤仅适用于启用了系统自带防火墙的操作系统)第一步:打开系统的“控制面板”,点击“系统和安全”第二步:进入“windows防火墙”第三步:点击左侧的“高级设置”(注:下图中未启用系统防火墙,仅做参考)第四步:点击左侧的“入站规则”,再点右边的“新建规则…”第五步:选择“端口”,点“下一步”。
第六步:按下图设置,选择TCP和特定本地端口,填入端口号135,137,138,139,445,点下一步。
第七步:选择“阻止连接”,点下一步。
第八步:在“何时应用该规则?”这一步默认全选,点下一步。
第九步:定义规则名称和规则描述(按自己习惯填写),点击完成,可在入站规则中查看到上述步骤自定义的规则。
第十步:重复上述步骤新建规则禁用UDP的135,137,138,139,445的入站。
仅上述第六步选择UDP,端口号依然相同,其它步骤一样。
第九步自定义规则的名称不要相同。
2.ESET NOD32防火墙关闭端口步骤(本设置步骤仅适用于使用ESET NOD32防火墙的操作系统)第一步:打开ESET NOD32软件,点击主界面左侧的“设置”。
第二步:点击右侧的“网络保护”,再点击“个人防火墙”右侧的,选择“配置…”。
第三步:点击“规则”右侧的“编辑”。
第四步:点击“添加”。
第五步:按如下设置“添加规则”中的“常规”、“本地”选项卡,“远程”选项卡默认空白。
第六步:点击“确定”。
完成!3.卡巴斯基安全软件2016防火墙关闭端口步骤(本设置步骤仅适用于使用卡巴斯基安全软件防火墙的操作系统)第一步:打开卡巴斯基安全软件,点击其左下角的设置按钮。
第二步:点击左侧的“保护”。
第三步:点击“防火墙”,然后点“配置包规则”。
第四步:点右下角的“添加”,分别按下面两图所示设置,添加TCP和UDP的规则,并“保存”。
第五步:至此,就能在“包规则”中查看所添加的两个规则。
一、关闭服务器端口关闭服务器下列端口,把系统不用的端口都关闭掉,然后从新启动。
注:关闭的端口有,80,25,21,23,135,137,139,445。
WinXP/2000/2003关闭这些网络端口的步骤:第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”(如右图),于是弹出一个向导。
在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 80,25,21,23,135,137,139,445。
端口,为它们建立相应的筛选器。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。
在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
开启防火墙及阻止445端口连接的具体操作步骤如下:
一、Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows 防火墙
2、选择启动防火墙,并点击确定
3、点击高级设置
、点击入站规则,新建规则
、选择端口,下一步
、特定本地端口,输入445,下一步
、选择阻止连接,下一步
、配置文件,全选,下一步
、名称,可以任意输入,完成即可。
二、XP系统的处理流程
、依次打开控制面板,安全中心,Windows防火墙,选择启用
、点击开始,运行,输入cmd,确定执行下面三条命令
net stoprdr
net stopsrv
net stopnetbt
、由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
封端口方法为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129 端口),以及远程服务访问端口3389。
下面介绍如何在WindowsXP/2000/2003下通过组策略关闭关闭这些网络端口。
第一步,点击“开始”—>“运行”—>输入“gpedit.msc”,进入组策略,双击“windows设置”,双击打开“安全设置”,选中“IP 安全策略”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”,于是弹出一个向导。
在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP 地址”,目标地址选“我的IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
封闭端口资料1即使你对策略一点不懂也可以按照下面一步一步地完成禁用端口这里以139端口为例:1.开始->控制面板(或者管理)->管理工具->本地安全策略2.右击"Ip安全策略,在本地计算机", 选择"管理IP 筛选器表和筛选器操作",<就可以启动管理IP 筛选器表和筛选器操作对话框>3.在"管理IP 筛选器表"中,按"添加"按钮<打开了IP筛选器列表>4.在⑴名称(N) 下面添上"禁止139端口" <任何名字都行,只要你知道就行>描述(D) 也写上"禁止139端口"⑵添加按扭<进入ip筛选向导>⑶惦记下一步<进入筛选向导>⑷在源地址(s): 出选择下拉里的第二项"任何ip 地址" 下一步⑸在目标地址(D): 选上"我的ip 地址" 下一步⑹选择协议类型(S): 把"任意"选改为"tcp" 下一步⑺设置ip协议断口: <可以看到很相似的两组选项>选择到端口(O)<注意不是从端口(R)> 添上你要禁止的端口"139" 下一步⑻完成5 <止此回到了筛选列表窗口,可以看到筛选器(S)窗口有了信息>看完了吗? 按确定按扭呵呵..<将回到了"管理IP 筛选器表和筛选器操作"窗口>6 惦记"管理筛选器操作" 同4 中的⑴⑵⑶<将进入:"筛选器操作"窗口7 呵呵当然是选择第二个"阻止"了"下一步"--> "完成"8 <回到了"管理IP 筛选器表和筛选器操作"窗口>惦记"关闭"按扭9 <回到了本地安全设置窗口>右击"Ip安全策略,在本地计算机", 选择"创建ip安全策略"同4 中的⑴⑵⑶进入"为此安全规则设置初始身份验证方法不管他<使用默认项"Active Directory 默认值(Kerberos V5 协议)>下一步10 出现一个警告窗口"只有当这个规则在一台为域成员的计算机上Kerberos 才有效。
电脑防止入侵、关闭主要端口版权:(果冻)内容445.135多为蠕虫病毒的攻击性端口建议关闭创建IP 安全策略来屏蔽端口:关闭的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,还有tcp.具体操作如下:默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129 端口),以及远程服务访问端口3389。
下面介绍如何在WinXP/2000/2003下关闭这些网络端口:第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”(如右图),于是弹出一个向导。
在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP 地址”,目标地址选“我的IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
Win10关闭445端口的图文教程:预防勒索病毒必备臭名昭著的勒索病毒已经急速蔓延了,截止至今,不仅是在电脑端疯狂的蔓延,就连安卓设备以及越狱的苹果手机也纷纷中枪。
对于还没有中毒的用户来说,预防勒索病毒刻不容缓。
在专家的指导和建议下,关闭电脑中的445端口可以一定程度上防止勒索病毒的侵害。
下文就给大家分享一篇Win10关闭445端口的图文教程。
Win10关闭445端口的教程(如果是Windows7用户,可以参考:/news/445-duan-kou-guan-bi-468-2.html) 首先我们同时摁住Windows键和R键,执行“运行”命令,然后输入“gpedit.msc”指令,输入完成后,点击【确定】,如图所示。
∙然后我们进入到【本地组策略编辑器】界面,我们在左侧找到【安全设置】,并且点击打开。
∙然后找到【高级安全Windows防火墙】选项,点击打开。
∙然后再选择【高级安全Windows防火墙-本地组策略对象】打开。
∙打开后,我们就可以右击【入站规则】,然后左击选择【新建规则】,如图所示。
∙然后我们点击选择【端口(O)】,点击【下一步】。
∙然后输出我们要关闭的端口:445,135,137,138,139(提醒:英文状态下输入逗号),输入完成后,我们点击【下一步】。
于是我们点击选择【阻止连接】,再点击【下一步】。
在【配置文件】界面,我们直接点击【下一步】,继续操作。
然后设置端口名称,便于区分,如小编设置的就是“预防勒索病毒”。
编辑完成后,我们就可以点击【完成】了。
以上就是Windows10系统关闭445端口的方法了。
不过还是建议大家要及时更新微软发布的预防勒索病毒Windows系统补丁。
永恒之蓝这个勒索病毒事件再次给大家敲响了警钟,告诫我们要注重电脑数据文件的备份。
当然,不仅是电脑数据需要备份加强防范,我们平时使用的最多还是手机,所以我们的手机更要及时做好数据备份。
对于苹果手机而言,导出、备份数据最好的方式就是通过苹果恢复大师来操作了,简单、安全、有效。
堵住木马进入的可疑端口的方法
大家知道堵住木马进入的可疑端口吗?如果不知道的赶紧看看我们给大家整理出来的教程
木马”一个让用户头疼的字眼,它们悄然无声的进入我们的系统,叫人防不胜防。
当木马悄悄打开某扇方便之门”(端口)时,不速之客就会神不知鬼不觉地侵入你的电脑。
如果被种下木马其实也不必担心,首先我们要切断它们与外界的联系(就是堵住可疑端口)。
在Win 2000/XP/2003系统中,Microsoft管理控制台(MMC)已将系统的配置功能汇集成配置模块,大大方便我们进行特殊的设置(以Telnet利用的23端口为例,操作系统为Windows XP)。
操作步骤
首先单击运行”在框中输入mmc”后回车,会弹出控制台
1”的窗口。
我们依次选择文件→添加/删除管理单元→在独立标签栏中点击添加’→IP安全策略管理”,最后按提示完成操作。
这时,我们已把IP安全策略,在本地计算机”(以下简称IP安全策略”)添加到控制台根节点”下。
现在双击IP安全策略”就可以新建一个管理规则了。
右击IP安全策略”,在弹出的快捷菜单中选择创建IP安全策略”,打开IP安全。
这里以禁用Remote默认端口4899来作为禁用端口,也可以顺便检测该操作是否可以成功禁用端口,禁用之前先使用Remote默认端口4899连接登陆一次,以证明该端口确实是开放的。
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP安全策略,在本地计算机”,(或者运行gpedit.msc,计算机配置/Windows设置/安全设置/)在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP安全策略”。
弹出一个向导。
在向导中点击“下一步”按钮,为新的安全策略命名为关闭指定端口策略;再按“下一步”。
则显示“安全通信请求”画面,在画面上把“激活默认响应规则”左边的钩去掉点击“完成”按钮就创建了一个新的IP安全策略。
在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则。
随后弹出“新规则属性”对话框。
在画面上点击“添加”按钮。
弹出IP筛选器列表窗口;把“使用添加向导”左边的钩去掉, 再点添加。
进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP地址”,目标地址选“我的IP 地址”。
(注意:源地址与目标地址的更改)点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“4899”,点击“确定”按钮。
(注意:填写需要禁用端口号的时候是在“到此端口”下方文本框填写,不是“从此端口”)点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复添加筛选器列表步骤可继续添加其它需要禁用端口,为它们建立相应的筛选器。
返回到“新规则属性”对话框中,选择“关闭端口的筛选列表”,然后点击其左边的圆圈上加一个点,表示已经激活。
点击“筛选器操作”选项卡。
在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮。
在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
交换机空闲端口封堵方法说实话交换机空闲端口封堵方法这事,我一开始也是瞎摸索。
我最开始想到的是直接在物理端口上做点手脚,就像给门加个锁一样。
我试过用胶布把端口封起来,这方法虽然简单粗暴,但其实不是个真正意义上的技术封堵。
在实际操作场景里,这顶多算个临时措施,万一有人手欠或者急需这个端口又找不到其他可用的,很容易就把胶布撕了,完全不保险。
后来我就开始研究交换机的配置了。
因为对于交换机来说,它的灵魂就在那些配置指令嘛。
我最先尝试的是端口安全相关的配置。
在这里有个命令,我记得当时犯错就错在这个命令的参数设置上。
我没仔细看每个参数代表的含义就瞎写。
像端口安全中的MAC地址绑定这个功能,其实可以起到封堵空闲端口的作用。
我当时以为只要简单绑定个MAC地址就万事大吉,可忽略了其他的一些必要设置,结果就失败了。
重新深入研究端口安全配置后,我才明白。
比如说端口安全里的限制连接数这个设置,如果把连接数设置为0或者1(1的话是根据你绑定MAC地址后的合法连接情况),对于那些空闲端口而言,就相当于告诉交换机除了特定的MAC地址能连或者根本就不许任何连接,这就起到封堵的作用了。
而且我还发现,如果能再配合设置违规动作,比如关闭端口或者通知管理员(当然对于封堵空闲端口来说关闭端口更有用),就更完善了。
另外一个方法我也试过,就是通过VLAN划分来封堵。
你可以把空闲端口划分到一个特别的VLAN里,就像是把这些端口单独圈起来当作一个特殊的小岛。
这个特殊的VLAN里面不设置任何能让端口正常通信的配置,这也就间接封堵了端口。
但是这个方法有一个不太确定的地方,就是在复杂的网络环境下,要确保这个特殊VLAN和其他VLAN之间的隔离彻底性,我也还在探索更好的办法确保这一点。
总的来说,无论是端口安全设置还是VLAN划分的方法,都得把每个参数或者配置细节给琢磨透,不然很容易出现问题,我就是这么一步一步摸着石头过河才渐渐知道怎么封堵交换机空闲端口的。
