轉至:http://blog.chinaunix.net/u2/70076/showart_1159907.html
一、查看已開放的端口:
1、藉助系統自帶MS-DOS命令查看開放的端口(Win2000/XP/server2003)
在開始-運行-輸入cmd,打入netstat -an(注意-前有個小空格),在IP地址“,”後面就是端口號了。(-a表示顯示當前所有連接和偵聽端口,-n表示以數字格式顯示地址和端口號)
小常
識:TCP(Transmission Control Protocol,傳輸控制協議)和UDP(User Datagram Protocol,用
戶數據包協議)都是網絡上傳輸數據的通信協議,UDP協議面向非連接,而TCP協議面向連接,他們各自的端口號是相互獨立的,列如TCP可以有個255端
口,UDP也可以有個255端口,他們兩者並不衝突的。
2、藉助第三方軟件查看開放的端口
(1)例如:Active Ports(SmartLine出品):可以用來監視所有打開的TCP/IP/UDP端口,將你所有端口顯示出來,還顯示所有端口以及對應的程序所在的路徑,查看本地IP和遠端IP(試圖連接你電腦的IP)是否正在活動。
(2)列如:fpor命令行工具:特點小巧,但功能不
亞於Active Ports哦,同樣可以查看端口與相應程序路徑。顯示模式
爲:Pid Process Port Proto Path ,392 svchost -> 113 TCP,C:\WINNT
\system32\vhos.exe 。
(3)例如:防火牆或反毒工具的網絡活動顯示:比如瑞星防火牆就能及時刷新開放的端口和相關進程,反間諜專家也有此功能,這樣的軟件很多,就不一一舉出了。
二、限制或關閉端口的方法:
1、通過系統自帶功能“限制開放”需要的端口(Win2000/XP/server2003)
通過系統自有的“TCP/IP篩選功能”限制服務器端
口,控制面板-網絡連接-“本地連接”-右鍵-屬性,然後選擇internet(tcp/ip)-屬性-高級-選項-選中TCP/IP篩選-屬性,在這裏
分爲3項,分別是TCP、UDP、IP協議,假設我的系統只想開放21、80、25、110這4個端口(qq爲4000端口),只要在“TCP端口”上勾
選“只允許”然後點擊“添加”依次把這些端口添加到裏面,然後確定,重新啓動後生效。
2、通過系統自帶防火牆增加“允許通過”的端口
(1)未升級SP2的WINXP/Server2003
控制面板-網絡連接-本地連接-屬性-高級,把
“Inernet連接防火牆”下面的選項勾選上,這樣防火牆就自動啓動了,點擊“設置”,我們可以在“高級設置”窗口的“服務”選項卡中點擊“添加”按
鈕,在“服務設置”對話框中,把服務描述、計算機名或IP地址、端口號、是TCP or UDP,填完後打勾確認,如果不需要了去掉勾確認。(防火牆啓動
以後“本地連接”圖標會出現一個可愛的小鎖頭。)
(2)升級WIin XP SP2的Windows XP
控制面版-windows防火牆-例外-添加端口,在取名後,輸入端口號,確認TCP或者UDP協議,然後確認,在你取名的這個設置前打勾,表示允許通過此端口,不打勾表示不例外。
3、利用帶有的“本地安全策略”功能關閉端口(WINXP HOME版本無此功能)
關閉TCP:135(Win2000、WinXP防止
RPC135溢出漏洞)、139、445(註冊表“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet
\\Services\\NetBT\\Parameters”中追加名爲“SMBDeviceEnabled”的DWORD值,並將其設置爲0能禁用
445端口)、593、1025 和UDP:135、137、138、445 端口,關閉一些流行病毒的後門端口(如 TCP 2745、3127、
6129 端口),以及遠程服務訪問端口3389。以下看步驟,共8個。
⑴ 控制面板-管理工具,打開“本地安全策略”,選中
“IP 安全策略,在本地計算機”,在右邊窗口的空白處右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,於是彈出一個嚮導,在嚮導中點擊“下一
步”按鈕,爲新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一
個新的IP 安全策略。
⑵ 右擊該IP安全策略,在“屬性”對話框中,把“使
用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列
表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
⑶ 進入“篩選器屬性”對話框,首先看到的是尋址,源
地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然後在“到此端口”
下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電
腦。
⑷ 點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,爲它們建立相應的篩選器。
⑸ 重複以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最後點擊“確定”按鈕。
⑹ 在“新規則屬性”對話框中,選擇“新 IP 篩選
器列表”,然後點擊其左邊的圓圈上加一個點,表示已經激活,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,
點擊“添加”按鈕,添加“阻止”操作,在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
⑺ 進入“新規則屬性”對話框,點擊“新篩選器操
作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最後回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打
鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然後選擇“指派”。
⑻ 完後重啓電腦,這些端口就被關閉了~~
4、利用關閉系統服務的同時關閉端口
控制面板-管理工具-服務。
⑴ 關閉7.9等等端口:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
⑵ 關閉80端口:關掉WWW服務。在“服務”中顯示名稱爲"World Wide Web Publishing Service",通過 Internet 信息服務的管理單元提供 Web 連接和管理。
⑶ 關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
⑷ 關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
⑸ 關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運行控制檯程序。
⑹ 關閉server服務,此服務提供 RPC 支持、文件、打印以及命名管道共享。關掉它就關掉了win2k的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
⑺ 關閉139端口,139端口是NetBIOS Session端口,用來文件和打印共享,注意的是運行samba的unix機器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139端口開放既認爲是NT機,現在好了。
關閉方法:
在“網
絡連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裏面有一項“禁用TCP
/IP的NETBIOS”,打勾就關閉了139端口。 對於個人用戶來說,可以在各項服務屬性設置中設爲“禁用”,以免下次重啓服務也重新啓動,端口也開
放了。
5、通過第三方防火牆來關閉端口
例如國內的:天網,金山,瑞星;國外的:諾頓,IIS。這類防火牆關閉端口就比較方便了,添加關閉就OK了,一般都有專門的設置選項。下載哪個防火牆看其幫助設置吧~。