【IT168 专稿】随着网络的普及，企业的应用也在不断的提高，需要企业网络和互联网同时共存，大部分企业为了 节省一部分资金，而选择了ADSL MODEM的路由功能，而现在很多ADSL MODEM都是通过 80 23 21 三个端 口来管理，这些端口的开放，是黑客主要攻击的砝码。为了防止穿透ADSL路由功能入侵企业网络，首先共同 研究如何入侵，经过一番努力，找到了穿透ADSL路由入侵企业网络的方法，在这里和大家一起分享我的心得。 

    入侵原理
    首先恶意用户会利用软件xscan_gui： 60.xxx.xxx.xxx /22-24，在浏览器那里输入IP： 60.xxx.xxx.xxx，软件会进入adsl modem 的web页面，此时会在lan配置中看到lan ip的地址，如图一

lan ip地址图

    小提示:大多数就把自己主机的IP设成192.168.1.2。只要试试把192.168.1.2的端口映射出来即可，再用xscan_gui对60.xxx.xxx.xxx进行扫描，开放的端口只是139 、1433而对RPC、LSASS溢出也无法 成功，此时恶意用户将目光转移到1433等其它端口上 ，尝试再一次入侵……上面简单地入侵方法，即 可穿透ADSL，其实要想断掉恶意用户之手，也并非难事只要做到以下五点即可。

    关闭常见危险端口
    在企业网络中，根据每台计算机用途分类，也要做一定ip策略，把不需要端口关闭，防止让黑客经常的 扫描不到你的网络，危险系数能够降低大部分。（注：不能关闭的端口，可以更改为其它端口）。 　

    第一步、点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安 全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略 ”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显 示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建 了一个新的IP 安全策略。 　　

    第二步、右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击 “添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛 选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添 加新的筛选器。

    第三步、进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“ 我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到 此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口 的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可 以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139 、445 端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口 的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。 　　

    第四步、在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圈上加一个 点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导 ”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选 项卡中，选择“阻止”，然后点击“确定”按钮。 　

    第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示 已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选 器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP  安全策略，然后选择“指派”。 于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你 的电脑。

    注意事项：用户要经常更改新口令。不能使用简单口令或者使用设备初始化的密码。建议把密码更改为字母和数字 组合，长度8到11位，有计划地更换密码，才能保证别人窃取不了你的密码。使用360安全卫士扫描端口 漏洞，并经常为系统及软件打补丁，而在ADSL设备上要做到利用软件或手工进行重启以便更换动态IP地 址让恶意用户无可趁之机，而有重要资料的电子文件最好使用移动盘或不在公网的计算机以防后患。