第一種方法——“修改組策略”:
第一步,在“運行”輸入gpedit.msc,回車打開“組策略”,在組策略中的windows設置-安全設置中選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕,爲新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然後在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,爲它們建立相應的篩選器。
重複以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加一個點,表示已經激活,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作:在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最後回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然後選擇“指派”。
於是重新啓動後,電腦中上述網絡端口就被關閉了,病毒和黑客再也不能連上這些端口,從而保護了你的電腦。
第二種方法——"TCP/IP篩選功能":
1、右鍵點擊“網上鄰居”,選擇“屬性”,然後雙擊“本地連接”(如果是撥號上網用戶,選擇“我的連接”圖標),彈出“本地連接狀態”對話框。
2、點擊[屬性]按鈕,彈出“本地連接屬性”,選擇“此連接使用下列項目”中的“Internet協議(TCP/IP)”,然後點擊[屬性]按鈕。
3、在彈出的“Internet協議(TCP/IP)”對話框中點擊[高級]按鈕。在彈出的“高級TCP/IP設置”中,選擇“選項”標籤,選中“TCP/IP篩選”,然後點擊[屬性]按鈕。
4、在彈出的“TCP/IP篩選”對話框裏選擇“啓用TCP/IP篩選”的複選框,然後把左邊“TCP端口”上的“只允許”選上(請見附圖)。
這樣,您就可以來自己添加或刪除您的TCP或UDP或IP的各種端口了。
添加或者刪除完畢,重新啓動機器以後,您的服務器就被保護起來了。
如果只上網瀏覽的話,可以不添加任何端口。但是要利用一些網絡聯絡工具,比如OICQ的話,就要把“4000”這個端口打開,同理,如果發現某個常用的網絡工具不能起作用的時候,請搞清它在您主機所開的端口,然後在“TCP/IP篩選”中添加端口即可。
爲了讓你的系統變爲銅牆鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的後門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389。
另外每一項服務都對應相應的端口,比如衆如周知的WWW服務的端口是80,smtp是25,ftp是21,win2000/XP/2003安裝中默認的都是這些服務開啓的。對於個人用戶來說確實沒有必要,可關閉無用的服務。“控制面板”的“管理工具”中的“服務”中來配置。
1、7.9等等端口:關閉SimpleTCP/IPService,支持以下TCP/IP服務:CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、80口:關掉WWW服務。在“服務”中顯示名稱爲"WorldWideWebPublishingService",通過Internet信息服務的管理單元提供Web連接和管理。
3、25端口:關閉SimpleMailTransportProtocol(SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、21端口:關閉FTPPublishingService,它提供的服務是通過Internet信息服務的管理單元提供FTP連接和管理。
5、23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運i行控制檯程序。
6、還有一個很重要的就是關閉server服務,此服務提供RPC支持、文件、打印以及命名管道共享。關掉它就關掉了win2k/XP/2003的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139端口,它是NetBIOSSession端口,用來文件和打印共享,注意的是運行samba的unix機器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139端口開放即認爲是NT機,現在好了。關閉139端口方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裏面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。對於個人用戶來說,可以在各項服務屬性設置中設爲“禁用”,以免下次重啓服務也重新啓動。
第一步,在“運行”輸入gpedit.msc,回車打開“組策略”,在組策略中的windows設置-安全設置中選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕,爲新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然後在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,爲它們建立相應的篩選器。
重複以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加一個點,表示已經激活,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作:在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最後回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然後選擇“指派”。
於是重新啓動後,電腦中上述網絡端口就被關閉了,病毒和黑客再也不能連上這些端口,從而保護了你的電腦。
第二種方法——"TCP/IP篩選功能":
1、右鍵點擊“網上鄰居”,選擇“屬性”,然後雙擊“本地連接”(如果是撥號上網用戶,選擇“我的連接”圖標),彈出“本地連接狀態”對話框。
2、點擊[屬性]按鈕,彈出“本地連接屬性”,選擇“此連接使用下列項目”中的“Internet協議(TCP/IP)”,然後點擊[屬性]按鈕。
3、在彈出的“Internet協議(TCP/IP)”對話框中點擊[高級]按鈕。在彈出的“高級TCP/IP設置”中,選擇“選項”標籤,選中“TCP/IP篩選”,然後點擊[屬性]按鈕。
4、在彈出的“TCP/IP篩選”對話框裏選擇“啓用TCP/IP篩選”的複選框,然後把左邊“TCP端口”上的“只允許”選上(請見附圖)。
這樣,您就可以來自己添加或刪除您的TCP或UDP或IP的各種端口了。
添加或者刪除完畢,重新啓動機器以後,您的服務器就被保護起來了。
如果只上網瀏覽的話,可以不添加任何端口。但是要利用一些網絡聯絡工具,比如OICQ的話,就要把“4000”這個端口打開,同理,如果發現某個常用的網絡工具不能起作用的時候,請搞清它在您主機所開的端口,然後在“TCP/IP篩選”中添加端口即可。
爲了讓你的系統變爲銅牆鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的後門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389。
另外每一項服務都對應相應的端口,比如衆如周知的WWW服務的端口是80,smtp是25,ftp是21,win2000/XP/2003安裝中默認的都是這些服務開啓的。對於個人用戶來說確實沒有必要,可關閉無用的服務。“控制面板”的“管理工具”中的“服務”中來配置。
1、7.9等等端口:關閉SimpleTCP/IPService,支持以下TCP/IP服務:CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、80口:關掉WWW服務。在“服務”中顯示名稱爲"WorldWideWebPublishingService",通過Internet信息服務的管理單元提供Web連接和管理。
3、25端口:關閉SimpleMailTransportProtocol(SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、21端口:關閉FTPPublishingService,它提供的服務是通過Internet信息服務的管理單元提供FTP連接和管理。
5、23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運i行控制檯程序。
6、還有一個很重要的就是關閉server服務,此服務提供RPC支持、文件、打印以及命名管道共享。關掉它就關掉了win2k/XP/2003的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139端口,它是NetBIOSSession端口,用來文件和打印共享,注意的是運行samba的unix機器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139端口開放即認爲是NT機,現在好了。關閉139端口方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裏面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。對於個人用戶來說,可以在各項服務屬性設置中設爲“禁用”,以免下次重啓服務也重新啓動。
