屏蔽掉系统里危险的端口.doc

默认情况下，Windows 有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过 这些端口连上你的电脑为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有： TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒 的后门端口（如 TCP 2745、3127、6129 端口） ，以及远程服务访问端口 3389下面介绍 如何在 WinXP/2000/2003 下关闭这些网络端口： 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安 全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图） ，于是弹出一个向导在向导中点击“下一步”按钮，为新的安全策略 命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边 的钩去掉，点击“完成”按钮就创建了一个新的 IP 安全策略 第二步，右击该 IP 安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后 单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮， 弹出 IP 筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右 边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标 地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”， 然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图） ，这样就添加了一 个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过 135 端口连上你的电脑 点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继 续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的 筛选器 重复以上步骤添加 TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端 口的筛选器，最后点击“确定”按钮 第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上 加一个点，表示已经激活，最后点击“筛选器操作”选项卡在“筛选器操作”选项卡中，把 “使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器 操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点， 表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新 IP 安全策略属性”对话框，在 “新的 IP 筛选器列表”左边打钩，按“确定”按钮关闭对话框在“本地安全策略”窗口，用鼠 标右击新添加的 IP 安全策略，然后选择“指派” 于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口， 从而保护了你的电脑 附录:计算机端口详解 计算机“端口”是英文 port 的义译，可以认为是计算机与外界通讯交流的出口其中硬件领 域的端口又称接口，如：USB 端口、串行端口等软件领域的端口一般指网络中面向连接 服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和 I/O（基本输入输出）缓冲区 可以先了解面向连接和无连接协议（Connection－Oriented and Connectionless Protocols） 面向连接服务的主要特点有：面向连接服务要经过三个阶段：数据传数前，先建立连接， 连接建立后再传输数据，数据传送完后，释放连接面向连接服务，可确保数据传送的次 序和传输的可靠性。

无连接服务的特点是：无连接服务只有传输数据阶段消除了除数据通信外的其它开销 只要发送实体是活跃的，无须接收实体也是活跃的它的优点是灵活方便、迅速，特别适合于传送少量零星的报文，但无连接服务不能防止报文的丢失、重复或失序 区分“面向连接服务”和“无连接服务”的概念，特别简单、形象的例子是：打和写信 两个人如果要通，必须先建立连接——拨号，等待应答后才能相互传递信息，最后还 要释放连接——挂写信就没有那么复杂了，地址姓名填好以后直接往邮筒一扔，收 信人就能收到TCP/IP 协议在网络层是无连接的（数据包只管往网上发，如何传输和到达 以及是否到达由网络设备来管理） 而“端口”，是传输层的内容，是面向连接的协议里面 低于 1024 的端口都有确切的定义，它们对应着因特网上常见的一些服务这些常见的服务 可以划分为使用 TCP 端口（面向连接如打）和使用 UDP 端口（无连接如写信）两种网络中可以被命名和寻址的通信端口是操作系统的一种可分配资源由网络 OSI（开放系 统互联参考模型，Open System Interconnection Reference Model）七层协议可知，传输层与 网络层最大的区别是传输层提供进程通信能力， 网络通信的最终地址不仅包括主机地址， 还包括可描述进程的某种标识。

所以 TCP/IP 协议提出的协议端口，可以认为是网络通信进 程的一种标识符 应用程序（调入内存运行后一般称为：进程）通过系统调用与某端口建立连接（binding， 绑定）后，传输层传给该端口的数据都被相应的进程所接收，相应进程发给传输层的数据 都从该端口输出在 TCP/IP 协议的实现中，端口操作类似于一般的 I/O 操作，进程获取一 个端口，相当于获取本地唯一的 I/O 文件，可以用一般的读写方式访问 类似于文件描述符，每个端口都拥有一个叫端口号的整数描述符，用来区别不同的端口 由于 TCP/IP 传输层的 TCP 和 UDP 两个协议是两个完全独立的软件模块，因此各自的端口 号也相互独立如 TCP 有一个 255 号端口，UDP 也可以有一个 255 号端口，两者并不冲 突 端口号有两种基本分配方式：第一种叫全局分配这是一种集中分配方式，由一个公认权威 的中央机构根据用户需要进行统一分配，并将结果公布于众，第二种是本地分配，又称动 态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯 一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来（binding，绑定） 。

TCP/IP 端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口， 以全局方式分配给服务进程每一个标准服务器都拥有一个全局公认的端口叫周知口，即 使在不同的机器上，其端口号也相同剩余的为自由端口，以本地方式进行分配TCP 和 UDP 规定，小于 256 的端口才能作为保留端口 按端口号可分为 3 大类： （1）公认端口（Well Known Ports）：从 0 到 1023，它们紧密绑定（binding）于一些服务 通常这些端口的通讯明确表明了某种服务的协议例如：80 端口实际上总是 HTTP 通讯 （2）注册端口（Registered Ports）：从 1024 到 49151它们松散地绑定于一些服务也就 是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的例如：许多系统处理 动态端口从 1024 左右开始 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从 49152 到 65535理论上，不 应为服务分配这些端口实际上，机器通常从 1024 起分配动态端口但也有例外：SUN 的 RPC 端口从 32768 开始。

系统管理员可以“重定向”端口： 一种常见的技术是把一个端口重定向到另一个地址例如默认的 HTTP 端口是 80，不少人 将它重定向到另一个端口，如 8080如果是这样改了，要访问本文就应改用这个地址 :8080/net/port.htm（当然，这仅仅是理论上的举例） 实现重定向是为了隐藏公认的默认端口，降低受破坏率这样如果有人要对一个公认的默认端口进行攻击则必须先进行端口扫描大多数端口重定向与原端口有相似之处，例如多 数 HTTP 端口由 80 变化而来：81，88，8000，8080，8888同样 POP 的端口原来在 110，也常被重定向到 1100也有不少情况是选取统计上有特别意义的数，象 1234，23456，34567 等许多人有其它原因选择奇怪的数，42，69，666，31337近来， 越来越多的远程控制木马( Remote Access Trojans, RATs 采用相同的默认端口如 NetBus 的默认端口是 12345Blake R. Swopes 指出使用重定向端口还有一个原因，在 UNIX 系统 上，如果你想侦听 1024 以下的端口需要有 root 权限。

如果你没有 root 权限而又想开 web 服务，你就需要将其安装在较高的端口此外，一些 ISP 的防火墙将阻挡低端口的通讯， 这样的话即使你拥有整个机器你还是得重定向端口 常用默认端口列表及功能中文注解 端口 功能英文注解 功能中文注解 1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器 2 compressnet Management Utility compressnet 管理实用程序 3 compressnet Compression Process 压缩进程 5 rje Remote Job Entry 远程作业登录 7 echo Echo 回显 9 discard Discard 丢弃 11 systat Active Users 用户 13 daytime Daytime 时间 17 qotd Quote of the Day 每日引用 18 msp Message Send Protocol 消息发送协议 19 chargen Character Generator 字符发生器 20 ftp-data File Transfer[Default Data] 文件传输协议(默认数据口) 21 ftp File Transfer[Control] 文件传输协议(控制) 22 ssh SSH Remote Login Protocol SSH 远程登录协议 23 telnet Telnet 终端仿真协议 24 ? any private mail system 预留给个人用邮件系统 25 smtp Simple Mail Transfer 简单邮件发送协议 27 nsw-fe NSW User System FE NSW 用户系统现场工程师 29 msg-icp MSG ICP MSG ICP 31 msg-auth MSG Authentication MSG 验证 33 dsp Display Support Protocol 显示支持协议 35 ? any private printer server 预留给个人打印机服务 37 time Time 时间 38 rap Route Access Protocol 路由访问协议 39 rlp Resource Location Protocol 资源定位协议 41 graphics Graphics 图形 42 nameserver WINS Host Name Server WINS 主机名服务 43 nicname Who Is “绰号“ who is 服务 44 mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议 45 mpm Message Processin。