如何開(kāi)放端口

開(kāi)放與關(guān)閉應(yīng)該類似，參照下面的操作看一下吧，如果不行，請(qǐng)給我發(fā)論壇短消息。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),鐵門(mén)關(guān)企業(yè)網(wǎng)站建設(shè),鐵門(mén)關(guān)品牌網(wǎng)站建設(shè),網(wǎng)站定制,鐵門(mén)關(guān)網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,鐵門(mén)關(guān)網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

你的系統(tǒng)是不是1XP SP1，但是安裝了2005瑞星殺毒軟件后總是提示系統(tǒng)有 MS-4011 Exploit 和Blaster Rpc Exploit 兩個(gè)漏洞。。。。。。。

最直接的辦法，把系統(tǒng)不用的端口都關(guān)閉掉，然后從新啟動(dòng)，如果瑞星還提示有漏洞攻擊，你沒(méi)法子了，注：關(guān)閉的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，還有tcp.

具體操作如下:默認(rèn)情況下，Windows有很多端口是開(kāi)放的，在你上網(wǎng)的時(shí)候，網(wǎng)絡(luò)病毒和黑客可以通過(guò)這些端口連上你的電腦。

為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門(mén)端口(如 TCP 2745、3127、6129 端口)，以及遠(yuǎn)程服務(wù)訪問(wèn)端口3389。下面介紹如何在WinXP/2000/2003下關(guān)閉這些網(wǎng)絡(luò)端口：

第一步，點(diǎn)擊開(kāi)始菜單/設(shè)置/控制面板/管理工具，雙擊打開(kāi)本地安全策略，選中IP 安全策略，在本地計(jì)算機(jī)，在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇創(chuàng)建 IP 安全策略(如右圖)，于是彈出一個(gè)向?qū)АＴ谙驅(qū)е悬c(diǎn)擊下一步按鈕，為新的安全策略命名；再按下一步，則顯示安全通信請(qǐng)求畫(huà)面，在畫(huà)面上把激活默認(rèn)相應(yīng)規(guī)則左邊的鉤去掉，點(diǎn)擊完成按鈕就創(chuàng)建了一個(gè)新的IP 安全策略。

第二步，右擊該IP安全策略，在屬性對(duì)話框中，把使用添加向?qū)ё筮叺你^去掉，然后單擊添加按鈕添加新的規(guī)則，隨后彈出新規(guī)則屬性對(duì)話框，在畫(huà)面上點(diǎn)擊添加按鈕，彈出IP篩選器列表窗口；在列表中，首先把使用添加向?qū)ё筮叺你^去掉，然后再點(diǎn)擊橋滑右邊的添加按鈕添加新的篩選器。

第三步，進(jìn)入篩選器屬性對(duì)話框，首先看到的是尋址，源地址選任何 IP 地址，目標(biāo)地址選我的 IP 地址；點(diǎn)擊協(xié)議選項(xiàng)卡，在選擇協(xié)議類型的下拉列表中選擇TCP，然后在到此端口下的文本框中輸入135，點(diǎn)擊確定按鈕(如左圖)，這樣就添加了一個(gè)屏蔽 TCP 135(RPC)端口的篩選器，它可以防止外界通過(guò)135端口連上你的電腦。

點(diǎn)擊確定后回到篩選器列表的對(duì)話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，為它們建立相應(yīng)的篩選器。

重復(fù)以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的篩選器，最后點(diǎn)擊確定按鈕。

第四步，在新規(guī)則屬性對(duì)話框中，選擇新 IP 篩選器列表，然后點(diǎn)擊其左邊的圓圈上加一個(gè)點(diǎn)，表示已經(jīng)激活，最后點(diǎn)擊篩選器操作選項(xiàng)卡。在篩選器操作選項(xiàng)卡中，把使用添加向?qū)ё筮叺你^去掉，點(diǎn)擊添加按鈕，添加阻止操作(右圖)：在新篩選器操作屬性的安全措施選項(xiàng)卡中，選擇阻止，然后點(diǎn)擊確定按鈕。

第五步、進(jìn)入新規(guī)則屬性對(duì)話框，點(diǎn)擊新篩團(tuán)消衫選器操作，其左邊的圓圈會(huì)加了一個(gè)點(diǎn)塌腔，表示已經(jīng)激活，點(diǎn)擊關(guān)閉按鈕，關(guān)閉對(duì)話框；最后回到新IP安全策略屬性對(duì)話框，在新的IP篩選器列表左邊打鉤，按確定按鈕關(guān)閉對(duì)話框。在本地安全策略窗口，用鼠標(biāo)右擊新添加的 IP 安全策略，然后選擇指派。

于是重新啟動(dòng)后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了，病毒和黑客再也不能連上這些端口，從而保護(hù)了你的電腦。目前還沒(méi)聽(tīng)說(shuō)有補(bǔ)丁下載。

什么是端口 端口會(huì)中病毒嗎 如果會(huì)中病毒怎么找端口殺毒呢

在Internet上，各主機(jī)間通過(guò)TCP/TP協(xié)議發(fā)送和接收數(shù)據(jù)報(bào)，各個(gè)數(shù)據(jù)報(bào)根據(jù)其目的主機(jī)的ip地址來(lái)進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇。可見(jiàn)，把數(shù)據(jù)報(bào)順利的傳送到目的主機(jī)是沒(méi)有問(wèn)題的。問(wèn)題出在哪里呢?我們知道大多數(shù)操作系統(tǒng)都支持多程序（進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)報(bào)傳送給眾多同時(shí)轎鎮(zhèn)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問(wèn)題有待解決，端口機(jī)制便由此被引入進(jìn)來(lái)。

本地操作系統(tǒng)會(huì)給那些有需求的進(jìn)程分配協(xié)議端口（protocal port，即我們常說(shuō)的端口），每個(gè)協(xié)議端口由一個(gè)正整數(shù)標(biāo)識(shí)，如：80，139，445，等等。當(dāng)目的主機(jī)接收到數(shù)據(jù)報(bào)后，將根據(jù)頃檔報(bào)文首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對(duì)應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來(lái)。說(shuō)到這里，端口的概念似乎仍然抽象，那么繼續(xù)跟我來(lái)，別走開(kāi)。

端口其實(shí)就是隊(duì)，操作系統(tǒng)為各個(gè)進(jìn)程分配了不同的隊(duì)，數(shù)據(jù)報(bào)按照目的端口被推入相應(yīng)的隊(duì)中，等待被進(jìn)程取用，在極特殊的情況下，這個(gè)隊(duì)也是有可能溢出的，不過(guò)操作系統(tǒng)允許各進(jìn)程指定和調(diào)整自己的隊(duì)的大小。

不光接受數(shù)據(jù)報(bào)的進(jìn)程需要開(kāi)啟它自己的端口，發(fā)送數(shù)據(jù)報(bào)的進(jìn)程也需要開(kāi)啟端口，這樣，數(shù)據(jù)報(bào)中將會(huì)標(biāo)識(shí)有源端口，以便接受方能順利的回傳數(shù)據(jù)報(bào)到這個(gè)端口。

端口的分類:

在Internet上，按照協(xié)議類型分類，端口被分為T(mén)CP端口和UDP端口兩類，雖然他們都用正整數(shù)標(biāo)識(shí)，但這并不會(huì)引起歧義，比如TCP的80端口和UDP的80端口，因?yàn)閿?shù)據(jù)報(bào)在標(biāo)明端口的同時(shí)，還將標(biāo)明端口的類型。

從端口的分配來(lái)看，端口被分為固定端口和動(dòng)態(tài)端口兩大類（一些教程還將極少被用到的高端口劃分為第三類：私有端口）：

固定端口（0－1023）：

使用集中式管理機(jī)制，即服從一個(gè)管理機(jī)構(gòu)對(duì)端口的指派，這個(gè)機(jī)構(gòu)負(fù)責(zé)發(fā)布這些指派。由雀帆亂于這些端口緊綁于一些服務(wù)，所以我們會(huì)經(jīng)常掃描這些端口來(lái)判斷對(duì)方是否開(kāi)啟了這些服務(wù)，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的端口；

動(dòng)態(tài)端口（1024－49151）：

這些端口并不被固定的捆綁于某一服務(wù)，操作系統(tǒng)將這些端口動(dòng)態(tài)的分配給各個(gè)進(jìn)程，同一進(jìn)程兩次分配有可能分配到不同的端口。不過(guò)一些應(yīng)用程序并不愿意使用操作系統(tǒng)分配的動(dòng)態(tài)端口，他們有其自己的‘商標(biāo)性’端口，如oicq客戶端的4000端口，木馬冰河的7626端口等都是固定而出名的。

端口在入侵中的作用:

有人曾經(jīng)把服務(wù)器比作房子，而把端口比作通向不同房間（服務(wù)）的門(mén)，如果不考慮細(xì)節(jié)的話，這是一個(gè)不錯(cuò)的比喻。入侵者要占領(lǐng)這間房子，勢(shì)必要破門(mén)而入（物理入侵另說(shuō)），那么對(duì)于入侵者來(lái)說(shuō)，了解房子開(kāi)了幾扇門(mén)，都是什么樣的門(mén)，門(mén)后面有什么東西就顯得至關(guān)重要。

入侵者通常會(huì)用掃描器對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，以確定哪些端口是開(kāi)放的，從開(kāi)放的端口，入侵者可以知道目標(biāo)主機(jī)大致提供了哪些服務(wù)，進(jìn)而猜測(cè)可能存在的漏洞，因此對(duì)端口的掃描可以幫助我們更好的了解目標(biāo)主機(jī)，而對(duì)于管理員，掃描本機(jī)的開(kāi)放端口也是做好安全防范的第一步。

常見(jiàn)端口的介紹

由于本人知識(shí)有限，在這里只介紹一些淺顯的內(nèi)容。

1）21 ftp

此端口開(kāi)放表示服務(wù)器提供了FTP服務(wù)，入侵者通常會(huì)掃描此端口并判斷是否允許匿名登陸，如果能找到可寫(xiě)目錄，還可以上傳一些黑客程序做近一步入侵。要想關(guān)閉此端口，需要關(guān)閉FTP服務(wù)。

2）23 Telnet

此端口開(kāi)放表示服務(wù)器提供了遠(yuǎn)程登陸服務(wù)，如果你有管理員的用戶名和密碼，可以通過(guò)這個(gè)服務(wù)來(lái)完全控制主機(jī)（不過(guò)要先搞定NTLM身份認(rèn)證），獲得一個(gè)命令行下的shell。許多入侵者喜歡開(kāi)啟這個(gè)服務(wù)作為后門(mén)。要想關(guān)閉此端口，需要關(guān)閉Telnet服務(wù)。

3）25 smtp

此端口開(kāi)放表示服務(wù)器提供了SMTP服務(wù)，一些不支持身份驗(yàn)證的服務(wù)器允許入侵者發(fā)送郵件到任何地點(diǎn)，SMTP服務(wù)器（尤其是sendmail）也是進(jìn)入系統(tǒng)的最常用方法之一。要想關(guān)閉此端口，需要關(guān)閉SMTP服務(wù)。

4）69 TFTP(UDP)

此端口開(kāi)放表示服務(wù)器提供了TFTP服務(wù)，它允許從服務(wù)器下載文件，也可以寫(xiě)入文件，如果管理員錯(cuò)誤配置，入侵者甚至可以下載密碼文件。許多入侵者通過(guò)在自己機(jī)器運(yùn)行此服務(wù)來(lái)傳文件到目標(biāo)機(jī)器，從而實(shí)現(xiàn)文件的傳輸。要想關(guān)閉此端口，需要關(guān)閉TFTP服務(wù)。

5）79 finger

用于獲得用戶信息，查詢操作系統(tǒng)，探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤， 回應(yīng)從自己機(jī)器到其它機(jī)器finger掃描。

6）80 http

此端口開(kāi)放表示服務(wù)器提供了HTTP服務(wù)，可以讓訪問(wèn)者瀏覽其網(wǎng)頁(yè)等，大部分針對(duì)IIS服務(wù)器的溢出攻擊都是通過(guò)這個(gè)端口的，可以說(shuō)是入侵者最常攻擊的一個(gè)端口了。要想關(guān)閉此端口，需要關(guān)閉HTTP服務(wù)。

7）110 POP3

用于客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè)，這意味著入侵者可以在真正登陸前進(jìn)入系統(tǒng)，成功登陸后還有其它緩沖區(qū)溢出錯(cuò)誤。

8）TCP的139和445

許多人都很關(guān)心這兩個(gè)端口，那我就來(lái)詳細(xì)的介紹一下吧：

首先我們來(lái)了解一些基礎(chǔ)知識(shí)：

1 SMB:(Server Message Block) Windows協(xié)議族，用于文件打印共享的服務(wù)；

2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口實(shí)現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。

3 在WindowsNT中SMB基于NBT實(shí)現(xiàn)，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT實(shí)現(xiàn)，還可以直接通過(guò)445端口實(shí)現(xiàn)。

有了這些基礎(chǔ)知識(shí)，我們就可以進(jìn)一步來(lái)討論訪問(wèn)網(wǎng)絡(luò)共享對(duì)端口的選擇了：

對(duì)于win2000客戶端（發(fā)起端）來(lái)說(shuō)：

1 如果在允許NBT的情況下連接服務(wù)器時(shí)，客戶端會(huì)同時(shí)嘗試訪問(wèn)139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開(kāi)連接，用455端口進(jìn)行會(huì)話，當(dāng)445端口無(wú)響應(yīng)時(shí)，才使用139端口，如果兩個(gè)端口都沒(méi)有響應(yīng)，則會(huì)話失敗；

2 如果在禁止NBT的情況下連接服務(wù)器時(shí)，那么客戶端只會(huì)嘗試訪問(wèn)445端口，如果445端口無(wú)響應(yīng)，那么會(huì)話失敗。

對(duì)于win2000服務(wù)器端來(lái)說(shuō)：

1 如果允許NBT, 那么UDP端口137, 138, TCP 端口 139, 445將開(kāi)放（LISTENING）；

2 如果禁止NBT，那么只有445端口開(kāi)放。

我們建立的ipc$會(huì)話對(duì)端口的選擇同樣遵守以上原則。顯而易見(jiàn)，如果遠(yuǎn)程服務(wù)器沒(méi)有監(jiān)聽(tīng)139或445端口，ipc$會(huì)話是無(wú)法建立的。那么如何關(guān)閉2000上這兩個(gè)端口呢？

139端口可以通過(guò)禁止NBT來(lái)屏蔽

本地連接－TCP/IT屬性－高級(jí)－WINS－選‘禁用TCP/IT上的NETBIOS’一項(xiàng)

445端口可以通過(guò)修改注冊(cè)表來(lái)屏蔽

添加一個(gè)鍵值

Hive: HKEY_LOCAL_MACHINE

Key: System\Controlset\Services\NetBT\Parameters

Name: SMBDeviceEnabled

Type: REG_DWORD

value: 0

修改完后重啟機(jī)器

9）3389 Terminal Services

此端口開(kāi)放表示服務(wù)器提供了終端服務(wù)，如果你獲得了管理員的用戶名和密碼，那么你可以通過(guò)這個(gè)服務(wù)在圖形界面下完全控制主機(jī)，這的確是一件令人向往的事情，但如果你得不到密碼也找不到輸入法漏洞，你會(huì)感到束手無(wú)策。要想關(guān)閉此端口，需要關(guān)閉終端服務(wù)。

端口的相關(guān)工具

1 netstat -an

的確，這并不是一個(gè)工具，但他是查看自己所開(kāi)放端口的最方便方法，在cmd中輸入這個(gè)命令就可以了。如下：

C:\netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING

TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING

UDP 0.0.0.0:135 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1027 *:*

UDP 127.0.0.1:1029 *:*

UDP 127.0.0.1:1030 *:*

這是我沒(méi)上網(wǎng)的時(shí)候機(jī)器所開(kāi)的端口，兩個(gè)135和445是固定端口，其余幾個(gè)都是動(dòng)態(tài)端口。

2 fport.exe和mport.exe

這也是兩個(gè)命令行下查看本地機(jī)器開(kāi)放端口的小程序，其實(shí)與netstat -an這個(gè)命令大同小異，只不過(guò)它能夠顯示打開(kāi)端口的進(jìn)程，信息更多一些而已，如果你懷疑自己的奇怪端口可能是木馬，那就用他們查查吧。

3 activeport.exe（也稱aports.exe）

還是用來(lái)查看本地機(jī)器開(kāi)放端口的東東，除了具有上面兩個(gè)程序的全部功能外，他還有兩個(gè)更吸引人之處：圖形界面以及可以關(guān)閉端口。這對(duì)菜鳥(niǎo)來(lái)說(shuō)是個(gè)絕對(duì)好用的東西，推薦使用喔。

4 superscan3.0

它的大名你不會(huì)沒(méi)聽(tīng)說(shuō)過(guò)吧，純端口掃描類軟件中的NO.1，速度快而且可以指定掃描的端口，不多說(shuō)了，絕對(duì)必備工具。

保護(hù)好自己的端口:

剛接觸網(wǎng)絡(luò)的朋友一般都對(duì)自己的端口很敏感，總怕自己的電腦開(kāi)放了過(guò)多端口，更怕其中就有后門(mén)程序的端口，但由于對(duì)端口不是很熟悉，所以也沒(méi)有解決辦法，上起網(wǎng)來(lái)提心吊膽。其實(shí)保護(hù)自己的端口并不是那么難，只要做好下面幾點(diǎn)就行了：

1 查看：經(jīng)常用命令或軟件查看本地所開(kāi)放的端口，看是否有可疑端口；

2 判斷：如果開(kāi)放端口中有你不熟悉的，應(yīng)該馬上查找端口大全或木馬常見(jiàn)端口等資料（網(wǎng)上多的很），看看里面對(duì)你那個(gè)可疑端口的作用描述，或者通過(guò)軟件查看開(kāi)啟此端口的進(jìn)程來(lái)進(jìn)行判斷；

3 關(guān)閉：如果真是木馬端口或者資料中沒(méi)有這個(gè)端口的描述，那么應(yīng)該關(guān)閉此端口，你可以用防火墻來(lái)屏蔽此端口，也可以用本地連接－TCP/IP－高級(jí)－選項(xiàng)－TCP/IP篩選，啟用篩選機(jī)制來(lái)篩選端口；

網(wǎng)站標(biāo)題：服務(wù)器安全策略開(kāi)放端口 服務(wù)器安全策略設(shè)置
轉(zhuǎn)載注明：http://chinadenli.net/article14/dspjpde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護(hù)、Google、電子商務(wù)、App設(shè)計(jì)、做網(wǎng)站、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)