方法一、通过第三方关闭端口软件来关闭非关键端口、禁用不常用端口。
目前,国内有很多可以关闭电脑端口的软件,只需要添加相应的端口号就可以封堵某些端口。
例如通过“大势至服务器文件被系统”(下载地址:http://www.grabsun.com/filebackup.html),不仅可以自动、实时备份服务器文件到其他磁盘、其他服务器、NAS外接存储设备等,有效保护服务器文件安全。而且,还提供了针对服务器的一系列安全保障,可以实现导出注册表备份、导出组策略备份、导出系统账号和密码、禁用非关键服务、修改远程桌面端口、只让特定IP地址连接服务器,而且还可以关闭非关键端口、禁用不常用端口。
具体设置方法:在软件界面上点击“安全设置”,然后点击“系统端口管理”,如下图:
然后在这里添加许可的端口即可(然后其他端口会被强制关闭)。如下图:
如果需要禁止UDP的80端口,则需要再次添加即可。
这样我们就实现了只让特定端口传输而禁止除此之外其他端口的功能。
方法二、通过Windows防火墙来关闭不常用端口、禁用非关键端口
1、在“控制面板”-“系统和安全”-“Windows防火墙”,里面点击“打开或关闭Windows防火墙”,保持防火墙开启状态。如下图:
然后点击左侧的“高级设置”,并点击“新建规则”,如下图:
然后,我们在这里勾选“端口”,如下图:
然后在这里选择协议和端口,如果要禁用UDP则需要重新操作一遍。如下图:
然后,我们勾选“阻止连接”,如下图:
然后,继续点击下一步。如图:
然后我们创建一个名称,如下图:
至此,我们就成功添加了禁止端口。如下图:
三、通过IP组策略来关闭Windows不常用端口。
1、检查端口开放情况(是否开放了137、139、445、3389端口),本机cmd命令netstat –an 查看端口监听情况,
2、然后在服务器本机以外的电脑telnet 目标主机端口,如:telnet 10.1.16.143 445(你要排查的服务器的IP地址,445表示端口),如果出现无法打开到主机连接,说明在外部无法访问该端口。
如果处于开放状态则telnet 进入,必须对该端口进行IP策略限制和防火墙限制。
一、通过Windows防火墙禁用端口:
1、点击 “控制面板-Windows防火墙”,确保启用了Windows防火墙。在左边栏点击“高级设置”,系统会自动弹出Windows防火墙高级配置窗口。
2、点击“入站规则”,然后再点“新建规则…”,在向导窗口中选择要创建的规则类型,这里选“端口”,点击“下一步”。
3、接下来选择你要禁用的网络类型(TCP或者UDP),在“特定本地端口”写入你要禁用的端口,例如“445”,然后下一步。选择“阻止连接”,下一步,应用规则看情况修改,可以维持不变,继续下一步,填写名称“禁用445端口”,点击完成。
4、到这里应该就完成了,默认情况下新建的规则会直接启用。如果没有,那么右键 “启用规则”即可。
二、通过IP安全策略禁用端口:
1、首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。
2、在左侧边栏中,依次选取 “Windows 设置- 安全设置- IP安全策略,在 本地计算机”
接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”
随后在跳出的“IP安全策略向导”中点击“下一步”
在第二步的名称中输入“封禁端口”然后一路“下一步”。
不要选择“激活默认响应规则”,然后选择“下一步”。
然后单击“完成”,编辑属性处“勾选上”。
8、在随后跳出的封禁端口属性窗口中,单击添加。
需要注意的是不要勾选右下角的“使用添加向导”
9、然后在”新规则 属性”窗口中,单击左下角的”添加”
在IP筛选器列表窗口中,单击右侧的添加按钮,需要注意的是这里也不要点击右下角的”使用添加向导”
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“我的IP地址”
12、然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为”从任意端口”“到此端口”:445,并单击确定。
13、然后在IP筛选器列表中,修改筛选器名称为端口号,单击确定。
重复操作,添加135、137、138、139规则
然后在新规则属性中,单击筛选器操作选项卡,单击下方的添加,并且不要勾选右侧的使用添加向导。
在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止。
单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”。
切换到IP筛选器列表,勾选刚才建立的“445”。单击“应用”,然后单击“确定”。
在“封禁端口”页面再次选择添加。
选择IP筛选器列表中的“135”,
21、选择筛选器操作页面的“阻止”
22、点击页面下方的确定。
22、循环上述操作,把445、135端口都加入进去,如果命令行的端口检测中137、138、139端口也在监听,就需要把相应的端口也加入进去,如果没有开放就不要增加。
确定回到组策略编辑器。
右键单击右侧刚才创建的“封禁端口”,在右键菜单当中选择分配,就成功关闭了端口。
这种方法只是阻止了外部的端口访问,并不是关闭监听。
所以通过netstat仍然能够看到该端口。
在IP安全策略处于分配状态下,通过telnet测试,无法连接该端口。
在IP安全策略处于未分配状态下,通过telnet测试,可以直接连接该端口。
出于安全的考虑,建议两种方法都使用了,防火墙禁止了端口,ip组策略也禁止了端口。
当然还有其他修改注册表的方法,我没有进行测试。
