端口过滤与禁止
这是一篇菜鸟级"教程",高手们不要笑哟!但如有不馁之处还请各位多多指正!
有一段时间我经常在论谈上看到一些网友总是报怨说微软的系统漏洞太多尤其WIN2000的问世更让人担心其安全性。其实我认为WIN2000还是一个不错的系统。因为其有着强大的功能和简易的管理。与其说你担心它的安全性倒不如说你自己的管理水平:)!说笑,俗话说:智者千滤必有一失吗!其实我也是一个初级大菜鸟。
还有望各位大侠的教诲!!
好了,废话少说切入正题,今天我要讲是关于“端口过滤与拒绝”。就以WIN2KServer为例:
首先使用ipsec阻止对端口的访问(这里以ipsec阻止对135端口的访问为例):
一.创建IP筛选器和筛选器操作
1."开始"/"程序"/"管理工具"/"本地安全策略".("无图",呵!不要骂我呀!)
2.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理IP筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
1)在IP筛选器列表对话框内,填上"135",描述随便填写.单击右侧的"添加..."按钮,启动IP
2)跳过欢迎对话框,下一步.
3)在IP通信源页面,源地方选"任何IP地址",因为我们要阻止传入的访问.下一步
4)在IP通信目标页面,目标地址选"我的IP地址".下一步.
5)在IP协议类型页面,选择"TCP".下一步.
6)在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步.
7)完成.关闭IP筛选器列表对话框.会发现135IP筛选器出现在IP筛选器列表中.
4.选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
2)在筛选器操作名称页面,填写名称,这儿填写"拒绝".下一步.
3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
4)完成.
5.关闭"管理 IP 筛选器表和筛选器操作"对话框.
2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对135端口的访问",描述可以随便填写.下一步.
3.在安全通信要求页面,不选择"激活默认响应规则".下一步.
4.在完成页面,选择"编辑属性".完成.
二.创建IP安全策略
1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步.
5.在"拒绝对135端口的访问属性"对话框中进行设置.首先设置规则:
1)单击下面的"添加..."按钮,启动安全规则向导.跳过欢迎页面,下一步.
2)在隧道终结点页面,选择默认的"此规则不指定隧道".下一步.
3)在网络类型页面,选择默认的"所有网络连接".下一步.
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步.
5)在IP筛选器列表页面选择我们刚才建立的"135"筛选器.下一步.
6)在筛选器操作页面,选择我们刚才建立的"拒绝"操作.下一步.
7)在完成页面,不选择"编辑属性",确定.
6.关闭"拒绝对135端口的访问属性"对话框.
三.指派和应用IPsec安全策略
1.缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的""拒绝对135端口的访问属性"安全策略,选择"指派".
2.刷新组策略.可使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略.
下面是如何禁用默认共享你可以通过注册表来实现:
1,运行"regedit"找到"HKEY_LOCAL_MACHIN\system\currentcontrolset\services\lanmanserver"在其下找到主健"Parameters"在其下新建一个"二进值"名为"AutoShareServer"并拊值为"0"即可.
(太累了就不加图了,还望谅解哟!^_^)
2,如果你想彻底去除共享,你可在"服务"里找到"SERVER"项将其改为"手动""禁用"或卸载"MICROSOFT网络的文件和打印机共享"即可.
另外:
1,拒绝135端口也可在服务里将"拒绝从网络访问"最好设为Everyone.当然你也可以将"RPC"服务关闭,但这样会留下许多弊端,一般不提倡.因为许多服务都是依赖于"RPC"运行的.
2,拒绝"137""138"端口可在"INTTERNET协议TCP/IP"的属性在"常规"/"高级"里选"WINS"选中"禁用TCP/IP上的NETBIOS(S)"
3,如果你想关闭"139""445"端口你可以将"文件夹和打印机共享"服务卸载.当然除非你是在家一个人上网要不然这些端口可都有用哟~!
4,如果你只为了上网又为了安全,那么建议你这样设置会更安全一点:你在"INTTERNET协议TCP/IP"的属性在"常规"/"高级"/"选项"属性/选中"启用ICP/IP"筛选(所有适配器)(E)/在TCP端口选中"只允许"然后"添加"一些上网最常用的端口如"21,23,25,80,110"/"确定".应该说这样会比较安全了.但如果你作为WEB服务器只这些还是远不够的!(如图)
http://netadmin.77169.com/HTML/20040809034600_10.html
