如何关闭与开启端口_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
8页1下载券8页免费12页免费17页免费10页免费 6页免费7页免费4页免费1页免费5页免费
喜欢此文档的还喜欢10页免费4页免费1页免费21页免费55页免费
如何关闭与开启端口|
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
阅读(707)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'\t\t如何利用安全策略关闭端口',
blogAbstract:'端口对应的是服务，关掉端口也就是关闭服务。 例如可以通过：&控制面板&的&管理工具&中的&服务&中来配置。知道怎么查看机器的端口情况之后，接下来一个问题是，哪些端口是必需的，哪些端口是可以关闭的？这个问题稍微复杂一点，因为除了Windows XP默认开放的135、137、138、139和445，有些跟网络有关的软件需要使用到一些端口，最常用的比如QQ使用4000端口。这里笔者把情况想像成最简单：一台只需要浏览网页的电脑。那么针对这个系统，我们自己来配置一下以提高安全性。1、关闭软件开启的端口。可以打开本地连接的&属性→Internet协议（TCP/IP）→属性→高级→选项→TCP/IP筛选属性&，然后都选上&只允许&（如图2）。请注意，如果发',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:2,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}ca如何屏蔽135 139 445 3389端口+网络端口安全防护技巧ss
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
ca如何屏蔽135 139 445 3389端口+网络端口安全防护技巧ss
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口|||||| 更多
比特客户端
我们也在这里：
如何使用IPSec保护我的网络通信
关键字：IP 技巧
　　在执行以下指导步骤之前，确保您知道以下术语的：
　　身份验证：确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证：Kerberos、证书和预共享密钥。只有当两个终结点(计算机)都位于同一个 Windows 2000 域时，Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域中，或者至少有一台计算机不在某个域中，则必须使用证书或预共享密钥。只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时，证书才有效。预共享密钥与密码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中，并且无法获得证书，则预共享密钥是唯一的身份验证选择。
　　加密：使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法，每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥，而且如果任何密钥交换序列被拦截，拦截者不会得到任何有价值的内容。
　　筛选器：对 Internet 协议 (IP) 地址和协议的描述，可触发 IPSec 安全关联的建立。
　　筛选器操作：安全要求，可在与筛选器列表中的筛选器相匹配时启用。
　　筛选器列表：筛选器的集合。
　　Internet 协议安全策略：规则集合，描述计算机之间的通讯是如何得到保护的。
　　规则：筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时，可触发相应的筛选器操作。IPSec 策略可包含多个规则。
　　安全关联：终结点为建立安全会话而协商的身份验证与加密方法的集合。
　　在 管理控制台中查找 IPSec
　　通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。若要查找 IPSec，请单击开始，指向程序，单击管理工具，然后单击本地安全策略。在打开的 MMC 中的左窗格中，单击本地计算机上的 IP 安全策略。MMC 将在右窗格中显示现有的默认策略。
　　更改 IP 地址、计算机名和用户名
　　为了此示例的目的，假设 Alice 是一个计算机用户，该计算机名为"Alicepc"、IP 地址为 172.16.98.231，Bob 的计算机名为"Bobslap"，IP 地址为 172.31.67.244。他们使用 Abczz 程序连接他们的计算机。
　　通过使用 Abczz 程序互相连接时，Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时，启动程序使用其本身上的随机高端口并连接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目标(其中，TCP 是"传输控制协议"的缩写)。通常，这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接，所以该策略必须存在于两端。
　　创建筛选器列表
　　通过在 MMC 控制台中右键单击 IP 安全策略，可访问用于创建 IPSec 策略的菜单。第一个菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置，但却不应从此位置开始。在可创建策略及其相关规则之前，您需要定义筛选器列表和筛选器操作，它们是任何 IPSec 策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。
　　将显示带有两个选项卡的框：一个用于筛选器列表，另一个用于筛选器操作。首先，打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表，您不会使用它们。相反，您可以创建一个特定的筛选器列表，使其与要连接到的其他计算机对应。
　　假设您在 Alice 的计算机上创建策略：
　　单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。
　　单击添加添加新筛选器。将启动一个向导。
　　单击我的 IP 地址作为源地址。
　　单击一个特定的 IP 地址作为目标地址，然后输入 Bob 的计算机的 IP 地址 (172.31.67.244)。或者，如果 Bob 的计算机已在系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册，则可选择特定的 DNS 名，然后输入 Bob 的计算机名，Bobslap。
　　Abczz 使用 TCP 进行通讯，因此单击 TCP 作为协议类型。
　　对于 IP 协议端口，单击从任意端口。单击到此端口，键入：6667，然后单击完成完成该向导。
　　重复上述步骤，但这次键入：6668作为端口号，然后单击关闭。
　　您的筛选器列表中包含两个筛选器：一个在端口 6667 (属于 Bob)上用于从 Alice 到 Bob 的通讯，另一个在端口 6668 (属于 Bob)上。(Bob 在自己的计算机上设置了 6667 和 6668 两个端口：一个端口用于传出的通讯，另一个用于传入的通讯。)这些筛选器是镜像的，每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器，该列表可包含(但不显示)与其正好相反的筛选器(即目标和源地址与其相反的筛选器)。如果没有镜像筛选器，IPSec 通讯通常不成功。
　　创建筛选器操作
　　您已经定义了必须受到保护的通信的种类。现在，您必须指定安全机制。单击管理筛选器操作选项卡。列出三个默认操作。不要使用要求安全操作，您必须创建一个更严格的新操作。
　　若要创建新操作，请：
　　单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。
　　对于常规选项，单击协商安全，然后单击不和不支持 IPsec 的计算机通讯。
　　单击 IP 通信安全性为高选项，然后单击完成以关闭该向导。
　　双击新的筛选器操作(前面命名的"Encrypt Abczz")。
　　单击清除接受不安全的通讯，但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。
　　单击会话密钥完全向前保密以确保不重新使用密钥资料，单击确定，然后单击关闭。
　　创建 IPSec 策略
　　您已经获得了策略元素。现在，您可以创建策略本身了。右键单击 MMC 的右窗格，然后单击创建 IP 安全策略。当向导启动时：
　　将该策略命名为"Alice's IPSec"。
　　单击清除激活默认响应规则复选框。
　　单击编辑属性(如果未选中的话)，然后完成该向导。该策略的属性对话框将打开。
　　为使 IPSec 策略有效，它必须至少包含一个将筛选器列表链接到筛选器操作的规则。
　　若要在属性对话框中指定规则，请：
　　单击添加以创建新规则。启动向导后，单击此规则不指定隧道。
　　单击 (LAN) 作为网络类型。
　　如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中，单击 Windows 2000 默认值(Kerberos V5 协议)作为身份验证方法。如果不在一个域中，则单击使用此字串来保护密钥交换(预共享密钥)，然后输入字符串(使用您可记住的长字符串，不要有任何键入错误)。
　　选择前面创建的筛选器列表。在此示例中，该筛选器列表为"Abczz to Bob's PC"。然后，选择前面创建的筛选器操作。在此示例中，该筛选器操作为"Encrypt Abczz"。
　　完成该向导，然后单击关闭。
　　配置其他终结点
　　在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。显然要进行一些必要的更改，例如，"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。
　　指派策略
　　您已经在两个端点上定义了策略。现在，必须指派它们：
　　在本地安全设置 MMC 中，右键单击策略(在此示例中为 Abczz )。
　　单击指派。
　　一次只能指派一个 IPSec 策略，但是一个策略可根据需要拥有多个规则。例如，如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯，则您必须创建相应的筛选器列表和操作，并向 IPSec (属于 Alice)添加一个规则，以便将特定的筛选器列表和筛选器操作链接起来。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则：一个用于与 Bob 进行 Abczz 通讯，另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯，所以 Bob 的策略中未添加任何规则，Eve 的策略中包含一个用于与 Alice 进行通讯的规则。
　　疑难解答
　　使用 IPSecMon 测试策略
　　Windows 2000 包括一个实用程序 (IPSecMon.exe)，它可用于测试 IPSec 安全关联是否已成功建立。若要启动 IPSecMon，请：
　　单击开始，然后单击运行。
　　键入：ipsecmon，然后按 ENTER 键。
　　单击选项。
　　将刷新间隔更改为 1。
　　必须在不同终结点之间建立通讯。可能会有一个延迟，这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们的安全关联，可在 IPSecMon 中观察到显示此行为的条目。
　　如果期望的安全协商没有建立，则返回并检查每个终结点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时，确保已经收到所使用协议的正确定义。您可能要考虑创建一个指定所有通信的新筛选器列表。同样，可向使用此筛选器列表的策略添加一个新规则，然后禁用现有的规则。
相关文章：
[ 责任编辑：于捷 ] &&&&
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte& 具体操作如下:默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。 为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 、6129 端口），以及远程服务访问端口3389。
下面介绍如何在WinXP/下关闭这些网络端口：
&&&& 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。
&& & 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
&&& &第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP
135、139、445 端口，为它们建立相应的筛选器。 重复以上步骤添加TCP 、、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
&& &第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
&&& &第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。 于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。
&& 目前还没听说有补丁下载。 113端口木马的清除（仅适用于windows系统）： 这是一个基于irc聊天室控制的木马程序。 1.首先使用netstat -an命令确定自己的系统上是否开放了113端口 2.使用fport命令察看出是哪个程序在监听113端口 fport工具下载 例如我们用fport看到如下结果： Pid Process Port Proto Path 392 svchost -& 113 TCP C:\WINNT\system32\vhos.exe 我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。 3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程， 并使用管理器结束该进程。 4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序， 并将相关的键值全部删掉。 5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如 rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据 木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序） 6.重新启动机器。 3389端口的关闭： 首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先 确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。 win2000关闭的方法： win2000server 开始--&程序--&管理工具--&服务里找到Terminal Services服务项， 选中属性选项将启动类型改成手动，并停止该服务。 win2000pro 开始--&设置--&控制面板--&管理工具--&服务里找到Terminal
Services 服务项，选中属性选项将启动类型改成手动，并停止该服务。 winxp关闭的方法： 在我的电脑上点右键选属性--&远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 4899端口的关闭： 首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能 算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭4899端口： 请在开始--&运行中输入cmd(98以下为command),然后cd
C:\winnt\system32(你的系统 安装目录），输入r_server.exe /stop后按回车。 然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件 端口： 1.首先使用fport命令确定出监听在端口的程序所在位置（通常会是c:\winnt\fonts\ explorer.exe) 2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新
运行c:\winnt\explorer.exe) 3.删除C:\winnt\fonts\中的explorer.exe程序。 4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的 Explorer项。 5.重新启动机器。 6129端口的关闭： 首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是 一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的，如果不是请关闭。 关闭6129端口： 选择开始--&设置--&控制面板--&管理工具--&服务 找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后 停止该服务。 到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。 到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。 1029端口和20168端口： 这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见：Lovgate蠕虫： TopicExplorerPagePackage/lovgate.htm 你可以下载专杀工具：
使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。 45576端口： 这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带 来额外的流量） 关闭代理软件： 1.请先使用fport察看出该代理软件所在的位置 2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。 3.到该程序所在目录下将该程序删除。 Windows XP关闭端口保安全 Windows XP作为一个被广泛使用的系统，现在已经受到了越来越多攻击者的“青睐”。当然最简单的防范方法是装个网络防火墙，不过在没有防火墙时，我们有什么办法呢？关闭Windows
XP中的无用端口可以让系统安全很多。 一、找出自身开放的端口 扫描端口，然后找漏洞是攻击者入侵的基本思路。可以说，机器上开放的端口越多，攻击者入侵的机会就越大，因此我们可以通过关闭一些我们不用的端口来提高电脑的安全性。那如何知道我们的Windows XP开放了哪些端口呢？我们可以用命令“Netstat”来查看系统中开放的端口。 我们需要用到这个命令的两个参数：-a、-n。参数-a显示当前所有连接和侦听端口，而参数-n以数字格式显示地址和端口号（而不是尝试查找名称），两者可以结合起来使用：Netstatan（如图1），就能查看当前端口的开放情况。
通过这个命令，如果我们发现一个异常的端口号在监听，可以先去网上查找常见木马的端口号对照一下，如果发现有木马使用的端口，就应该用杀除木马的软件检查系统了。 二、关闭无用端口 知道怎么查看机器的端口情况之后，接下来一个问题是，哪些端口是必需的，哪些端口是可以关闭的？这个问题稍微复杂一点，因为除了Windows XP默认开放的135、137、138、139和445，有些跟网络有关的软件需要使用到一些端口，最常用的比如QQ使用4000端口。这里笔者把情况想像成最简单：一台只需要浏览网页的电脑。那么针对这个系统，我们自己来配置一下以提高安全性。
1. 关闭软件开启的端口。可以打开本地连接的“属性→Internet协议（TCP/IP）→属性→高级→选项→TCP/IP筛选属性”，然后都选上“只允许”（如图2）。请注意，如果发现某个常用的网络工具不能起作用的时候，请搞清它在你主机所开的端口，然后在“TCP/IP筛选”中添加相应的端口。 2. 禁用NetBIOS。打开本地连接的“属性→Internet协议（TCP/IP）→属性→高级→WINS→禁用TCP/IP上的NetBIOS”（如图3）。这样一来就关闭了137、138以及139端口，从而预防IPC$入侵。
3. 开启Windows XP自带的网络防火墙。打开本地连接的“属性→高级”（如图4），启用防火墙之后，单击设置可以设置系统开放关闭哪些服务。一般来说，这些服务都可以不要，关闭这些服务后，这些服务涉及的端口就不会被轻易打开了。 4. 禁用445端口。向注册表“HKEY_ LO-CAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetBT\\Parameters”中追加名为“SMBDeviceEnabled”的DWORD值，并将其设置为0，就OK了。 通过以上设置，你的Windows
XP系统的安全性将大大提高。要补充的是，文章是针对那些直接拨号上网的机器，而不包括通过网关代理上网的机器。
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：112105次
积分：2566
积分：2566
排名：第5236名
原创：136篇
转载：106篇
评论：40条
&&5年大型外企经验，历任java程序员、软件测试工程师、高级软件测试工程师，自动化测试工程师
2009年11月加入惠普武汉公司，先后参与了2个项目的测试工作，主要业务是ITIL，航空。
&&在惠普期间，业余时间，和朋友创办BQuickTest自动化测试咨询工作室()(提供自动化测试技术讨论，自动化测试服务，企业内训，企业测试解决方案)，2011年7月由于各种原因被迫关闭
&&号因个人职业规划发展的需要离开惠普武汉分公司，加盟武汉科码软件有限公司，任测试部门主管，负责组建测试部门，加盟3天后，为其建立测试部门流程规范，建立测试部门绩效考核，招人用人等一系列规范，基于项目建立测试技术选型和团队建设，人才培养机制等一系列举措，最后因某种不得不离开。
&&号加入无锡海辉。
&&2013年8月因个人职业规划原因离开无锡海辉软件有限公司，加入塔塔(TCS)信息技术股份有限公司中国深圳分公司
&&现在主要专注于测试理论与质量保证、自动化测试，性能测试的研究，经常活跃于各大技术论坛。2013年8月开始主攻性能测试
学习是一个永无止境的过程，而且是越学越感觉&无知&,博客在于思考、总结、提升自己
(1)(12)(2)(13)(13)(1)(3)(2)(7)(1)(4)(2)(3)(3)(1)(6)(2)(2)(6)(5)(1)(2)(3)(2)(24)(7)(6)(3)(2)(4)(7)(40)(3)(20)(6)(12)(7)(1)(3)