不讓網絡端口任人擺布

揚帆

在上網沖浪的過程中，我們經常要和網絡端口打交道。網絡端口對上網連接的重要性不言而喻，任何網絡應用都要借助特定的網絡端口，才能正常進行。但是，您上網沖浪這么長時間了，對網絡端口有過關注嗎？我們現在的網絡應用需求五花八門，可能是簡單訪問網頁內容，可能是遠程控制管理，也有可能是網絡下載或其他需求，不同的需求都有對應的網絡端口在默默地承受著我們所有的任務。正因為網絡端口如此重要，許多病毒、木馬等惡意程序才會緊緊盯住它，并偷偷利用它進行各種惡意操作。為了避免非法應用和攻擊，我們需要及時了解端口狀態，加強端口安全控制，不讓其任人擺布。

關閉易被利用端口

135、137、138、139、445等網絡端口，很容易在無意中會被開啟。事實上，我們在平時工作中，可能很少會用到它們，或者根本就用不到它們，如果對它們的開啟狀態不聞不問，黑客可能就會偷偷利用它們，對本地系統進行惡意攻擊。所以，對待上面幾個很少用到，但會被非法利用的端口，我們必須及時將其關閉，以切斷黑客的入侵通道。

一般來說，只有啟動運行了RPC系統服務時，黑客才能利用135端口發動攻擊，所以，在RPC服務暫停運行的情況下，135端口根本就沒有任何作用，這就相當于135端口已被關閉了。在關閉RPC服務工作狀態時，只要依次點擊“開始”|“運行”命令，彈出系統運行文本框，輸入“services.msc”命令并回車，展開系統服務管理窗口。用鼠標雙擊其中的“Remote Procedure Call”服務，彈出如圖1所示的服務屬性對話框，點擊“停止”按鈕，并且將啟動類型設置為“已禁用”選項，單擊“確定”按鈕保存設置操作，這樣135端口就不會被黑客偷偷利用了。

在局域網環境中，啟動NetBIOS協議組件的情況下，網絡端口137、138、139會被自動打開。相反，要是關閉該協議組件時，那么137、138、139端口自然也就不會被他人非法利用了。在進行這項操作時，可以逐一選擇“開始”|“設置”|“網絡連接”選項，切換到網絡連接列表窗口，用鼠標右擊“本地連接”圖標，點擊右鍵菜單中的“屬性”命令，選中“Internet協議（TCP/IP）”選項，單擊“屬性”按鈕，再按下“高級”按鈕展開高級設置對話框。點擊“WINS”選項卡，打開如圖2所示的選項設置頁面，在“NetBIOS設置”位置處，選中“禁用TCP/IP上的NetBIOS（S）”選項，單擊“確定”按鈕返回，這樣137、138、139端口就相當于被關閉了。

要關閉445端口運行狀態時，不妨使用“Win+R”快捷鍵，彈出系統運行對話框，輸入“regedit”命令，單擊“確定”按鈕，打開系統注冊表編輯界面，依次跳轉到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters”注冊表節點上，在目標節點下手工創建好“SMBDeviceEnabled”雙字節鍵值，再將其數值輸入為“0”，最后將計算機重新啟動一下即可。

探測端口連接安全

俗話說“知己知彼，百戰不殆”，如果能夠通透系統中所有網絡端口的安全連接狀態，那么我們就能對網絡應用的安全性進行有效控制，確保系統始終能夠安全、穩定運行。要做到這一點，不妨“請”CurrPorts這款免費的網絡端口探測工具幫忙，它能直觀列出所有TCP連接和UDP連接端口，并能將開放端口使用的應用程序信息顯示出來，當發現有惡意程序在使用網絡端口時，還能配合Process Explorer工具，強行終止惡意程序的運行狀態，避免系統繼續遭遇非法攻擊。

CurrPorts工具啟動運行后，會自動掃描系統，將系統中所有網絡應用程序使用的本地端口和遠程端口列寫出來，如圖3所示。除此之外，所有程序的名稱、ID標識、路徑、本地IP地址、遠程IP地址等信息，也能被探測并顯示出來。如果探測出來的內容比較多時，可以點擊主程序界面中的標題欄，程序會根據名稱內容排序顯示，這樣查看起來會高效一些。

用鼠標雙擊某個應用程序，彈出對應程序屬性對話框，在這里能看到該程序使用的進程名稱、進程ID、進程路徑、進程創建時間，程序使用的本地端口、遠程端口、本地地址、遠程地址，應用程序使用的網絡協議以及協議連接狀態。當懷疑某個程序為惡意程序時，不妨先用鼠標選中它，同時單擊右鍵，選擇右鍵菜單中的“關閉選定的TCP連接”命令，強行關閉目標程序的運行狀態。接著繼續跟蹤目標程序有沒有再次打開新的網絡端口，如果它還會悄悄打開端口，基本就能斷定目標程序為惡意程序。這個時候，可以下載使用Process Explorer工具，將探測出來的惡意進程強行殺死，該工具支持殺死進程樹功能，也就是說它能自動將與惡意進程有關的所有進程全部殺死，并且會利用Autoruns程序檢查本地計算機中的所有自啟動項和服務，以確保將惡意程序的自動加載項刪除干凈，之后它還能進入惡意文件所在文件夾，強行刪除惡意程序的可執行文件，避免它繼續危害Windows系統的安全運行。

當然，如果發現系統中存在多個可疑程序時，可以借助Shift或Ctrl功能鍵，一次性選中多個應用程序選項，并用鼠標右鍵單擊之，選擇快捷菜單中的“結束選定端口的進程”命令，這樣就能快速斷開多個可疑網絡連接。通過這種方法，也能將多余的網絡連接快速切斷，以利于高效排查惡意程序。

調整遠程桌面端口

為了改善網絡管理維護效率，不少網管員經常會利用遠程桌面連接程序，遠程管理局域網中的重要主機系統。然而，在享受方便、快捷服務的同時，遠程桌面連接程序會用到人所皆知的3389端口，而該端口也是黑客或惡意程序重點瞄準的對象，所以輕易建立遠程桌面連接，容易給本地網絡或系統帶來安全威脅。

事實上，將遠程桌面連接服務端口，調整為陌生的號碼，日后使用指定的新端口號碼與重要主機建立遠程桌面連接，就能保證遠程桌面連接操作不會受到黑客或惡意程序的攻擊了。例如，要將遠程桌面連接端口號碼修改為“68721”時，可以進行下面的設置操作：

首先使用“Win+R”快捷鍵，打開系統運行對話框，輸入“Regedit”命令，點擊“確定”按鈕，彈出系統注冊表編輯窗口。在該編輯窗口左側區域，依次跳轉到注冊表節點“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp”上，找到該節點下的“PortNumber”鍵值，并用鼠標雙擊之，彈出編輯鍵值對話框，在這里將默認使用的“3389”端口號碼設置為“68721”，點擊“確定”按鈕保存設置操作。需要注意的是，新設定的端口號碼，不能與已經打開的端口相同。

接著逐一跳轉到注冊表節點“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp”上，用鼠標雙擊指定節點下的“PortNumber”鍵值（如圖4所示），切換到編輯鍵值對話框，在這里也輸入“68721”，確認后刷新系統注冊表，這樣遠程桌面連接程序使用的端口號碼就變成“68721”了。

將本地系統的遠程桌面連接端口設置為“68721”后，還需要在使用遠程桌面連接程序的計算機中指定好該端口號碼。在進行該操作時，依次點擊“開始”|“運行”命令，彈出系統運行文本框，輸入“mstsc.exe”命令并回車，打開遠程桌面連接設置框。按下“選項”按鈕，彈出如圖5所示的選項設置界面，在“計算機”文本框中，設置好遠程主機的IP地址，在IP地址后面直接加上“：68721”，再輸入好登錄賬號與密碼，點擊“連接”按鈕后，Windows系統就會使用新的端口號碼與目標主機建立遠程桌面連接了，其他不知道新端口的用戶，是無法遠程連接到目標主機系統中的。當然，為了保證下次可以高效建立遠程桌面連接，我們還可以按下“保存”按鈕，將本次的遠程桌面連接各項參數保存下來，日后不需要重復設置，就能快速建立遠程桌面連接。

禁止別人使用端口

關閉一些安全威脅大的網絡端口后，我們自己在上網連接時，可能也會受到“牽連”。能否找到一種合適的辦法，確保我們自己可以隨意使用任何網絡端口，而別人不能使用一切端口呢？雖然利用專業防火墻工具，能夠有效管理網絡端口的啟用或關閉狀態，可是防火墻程序使用起來一般很麻煩，都要經過復雜設置，而且消耗的系統資源也比較多。現在，只要通過“PortsLock”這款小巧的工具，根據實際控制要求簡單地設置好端口訪問規則，就能達到禁止別人使用網絡端口的目的，同時還不影響自己的上網連接。

啟動運行“PortsLock”工具后，打開對應程序主操作界面（如圖6所示），逐一點擊“File”|“Quick Start Wizard”選項，打開快速設置向導框，按下“下一步”按鈕，選中“The Administrators local group has full access but access for all other users is denied”選項，再按默認設置完成剩余操作。日后，在“PortsLock”工具的控制下，只有本地管理員用戶有權限訪問計算機系統中的任何網絡端口，而其他用戶嘗試使用網絡端口時，都會遇到訪問受限的提示。

如果希望普通用戶能夠上網訪問本地網絡資源時，不妨選中“access but all other users can only access the local network resources”選項，這樣除了本地管理員用戶可以隨意訪問所有網絡端口外，其他用戶也能訪問本地網絡資源，只不過是無法訪問外網內容而已。倘若想更加靈活地控制網絡端口的訪問權限時，也可以進入“Permissions”控制面板，在這里根據實際訪問要求，定義好用戶或用戶組訪問網絡端口的控制規則。在每個用戶的配置項下面，都存在“Incoming”、“Outgoing”等控制選項，通過它們可以定制接受規則和發送規則，確保網絡端口訪問既高效又安全。

限制使用下載端口

在多用戶共用一臺計算機的情況下，要是允許任意用戶在公共計算機中自由進行下載操作，很容易引起安全麻煩。為了拒絕他人下載，很多網管員會采取禁用網卡、斷開網線等措施，來保護本地系統的上網安全，不過這些措施容易得罪人，要是通過專業工具進行限制，也會被他人輕易看穿。那么怎樣才能禮貌地限制他人使用網絡下載端口呢？使用TCP/IP篩選法，就能很禮貌地拒絕他人在本地系統進行網絡下載操作：

首先打開公共計算機的“開始”菜單，選擇“設置”|“網絡連接”選項，展開網絡連接列表窗口，選中“本地連接”圖標并用鼠標右鍵單擊之，執行快捷菜單中的“屬性”命令，彈出本地連接屬性設置框。選中“常規”標簽頁面中的“Internet協議（TCP/IP）”選項，點擊“屬性”按鈕，進入TCP/IP協議屬性設置框，按下“高級”按鈕，打開TCP/IP協議高級設置框。點擊“選項”標簽，選中“TCP/IP篩選”選項，按下“屬性”按鈕，這時我們能看到如圖7所示的設置對話框。

將“TCP端口”、“UDP端口”、“IP協議”都設置為“只允許”，同時點擊“添加”按鈕，將它們的數值都調整為“1”，單擊“確定”按鈕保存設置內容，再重啟計算機系統。這時，我們嘗試在公共計算機系統中下載信息，或進行其他網絡應用操作時，就發現操作無法成功了，但是查看網絡連接狀態時卻一切正常，既能接收信息，也能發送信息，一般用戶根本看不出其中的“貓膩”。日后，如果我們自己想從網上下載信息或訪問內容時，只要重新打開TCP/IP篩選設置框，將這里的“TCP端口”、“UDP端口”、“IP協議”都設置為“全部允許”即可。

當然，上面的方法在限制下載端口的同時，也會限制其他網絡應用端口。如果要對下載端口單獨限制時，可以使用防火墻來幫忙。例如，在Windows 7系統中，我們可以設置高級防火墻規則，限制使用默認開放的21端口，禁止用戶進行FTP操作，下面就是詳細的限制步驟：

首先打開Windows 7系統高級安全防火墻配置界面，選擇“入站規則”選項，右擊目標規則選項，點擊快捷菜單中的“新規則”命令，彈出入站規則新建向導對話框。選中“端口”選項，點擊“下一步”后，依次選中“TCP”選項和“特定本地端口”選項，輸入要限制使用的網絡端口號碼，這里應該輸入“21”。

接著向導設置框會彈出提示，詢問我們要執行什么操作時，必須選中“阻止連接”（如圖8所示），并將“域”、“公用”、“專用”等選項按需選中，再設置好安全規則名稱，并點擊“完成”按鈕，這樣Win7系統就會禁止用戶使用21端口進行FTP上傳操作了。按照同樣的操作，再手工定義一個出站規則，禁止用戶使用21端口進行FTP下載操作。

查看端口使用程序

利用Windows系統自帶的一些命令，例如tasklist、netstat等，可以查看到Windows系統究竟有哪些端口處于開放狀態。但如果想進一步了解開放的網絡端口，正被哪些應用程序使用，這些程序的路徑位于什么位置時，Windows系統自身的命令就無能為力了。此時，我們可以使用DOS環境下的Fport工具，來查看開放端口使用的應用程序名稱和路徑。

從網上下載獲得Fport工具后，將其解壓到特定目錄中，例如解壓到“D：＼aaa”目錄中。之后，依次點擊“開始”|“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，切換到DOS命令行窗口。使用“cd”命令，將當前目錄設置為Fport工具所在的路徑，再執行“fport /ap”命令，在其后返回的結果信息中，就能查看到開放端口使用的應用程序名稱和路徑了。通過這些信息，我們往往能夠大概判斷出，開放端口究竟是被木馬程序打開的，還是被正常程序打開的。

當確認某端口是被木馬程序打開時，我們必須及時殺死木馬病毒進程，之后根據應用程序路徑信息，進入相應的文件夾窗口，將木馬源頭文件刪除干凈，避免它們繼續攻擊Windows系統。值得注意的是，只有管理員級別的用戶才能使用Fport工具。