系統網絡端口安全防護

引言：計算機之間通信是通過端口進行的，在默認狀態下，Windows會在用戶的電腦上打開許多服務端口，掌握端口安全防護方面的有關知識對網絡運維維護有著相當大的幫助。

常用端口及分類

電腦在因特網上相互通信需要使用TCP/IP協議，而電腦總共有65536個端口，這些端口分為TCP端口和UDP端口兩種。按照端口號劃分，它們又可分為系統保留端口和動態端口兩大類。其具體劃分如下:

系統保留端口（0-1023）。這些端口不允許用戶私自使用，因為在系統層面上它們都有確切的定義，一個或者多個端口號對應著因特網上常見的一些服務，即每一個打開的端口都代表一個系統服務，如8O端口就代表Web服務，21對應FTP，25對 應SMTP，110對 應POP3。

動態端口(1024-65 53 5）。這些端口號是動態的，當用戶需要與別人通信時，Windows系統會從1024起，在本機上分配一個動態端口，如果1024端口未關閉，再需要時就會分配1025端口供用戶使用，依此類推。但有個別的系統服務會綁定在1024-49151的端口上，如3389端口為遠程終端服務。從49l52-65535端口，通常沒有捆綁系統服務，允許Windows動態分配使用。

查看本機開放的端口

在默認狀態下，Windows系統會打開很多“服務端口”，如果用戶想查看本機打開了哪些端口、有哪些電腦正在與本機連接，可以使用以下兩種方法。

方法一：利用Netstat命令。Windows系統提供了Netstat命令，能夠顯示當前的TCP/IP網絡連接情況，前提條件是只有安裝了TCP/IP協議才能使用Netstat命令。

操作方法：單擊“開始→程序→附件→命令提示符”，進入MS-DOS窗口，輸入命令Netstat-na回車，就會顯示本機連接情況及打開的端口。其中Local Address代表本機IP地址和打開的端口號；Foreign Address是 遠程計算機IP地址和端口號；State表明當前TCP的連接狀態；Listening是監聽狀態，表明本機正在打開135端口監聽，等待遠程電腦的連接。如果在DOS窗口輸入了Netstat-na命令，還將顯示每個連接都是由哪些程序創建的。

如本機在135端口監聽，就是由Svchost.exe程序創建的，該程序一共調用了5個組件（WS2.32.dll、RPCRT4.dll、rpCSS.dll、Svchost.exe、ADVAPI32.d11）來完成創建工作。如果發現本機打開了可疑的端口，就可以用該命令查看它調用了哪些軟件，然后檢查各組件的創建時間和修改時間，如果發現異常則電腦就可能被植入了木馬病毒。

方法二：使用端口監視類軟件。與Netstat命令類似，端口監視類軟件也能查看本機打開了哪些端口，這類軟件非常多，如TcpvIEw、Port Reportre、綠鷹PC萬能精靈、網絡端口查看器等。密切監視本機端口連接情況，這樣就能及時發現非法連接，及時采取有效措施。

關閉本機不用的端口

默認情況下Windows系統有很多端口是開放的，一旦上網，黑客可以通過這些端口連接上用戶電腦，因此為了提高安全性可以關閉不用的端口。這些端口主要有 TCP139、445、593、1025端口，UDP123、137、138、445、1900端口,流行病毒的后門端口TCP2513、2745、3127、6129，以及遠程服務訪問端口3389。關閉方法如下：

關閉 137、138、139、445端口。它們都是為共享而開放的端口，所以用戶要把這些端口全部關閉。單擊“開始→控制面板→系統→硬件→設備管理器” →“查看”菜單→顯示隱藏的設備→非即插即用驅動程序→NetBIOS over TCPIP→在屬性窗口中選“常規”→不要使用這個設備（停用） →確定，重新啟動機器。

關閉UDP123端口。單擊“開始→設置→控制面板→管理工具→服務→停止SSDP Discovery Service。關閉UIP123端口，可以防范某些蠕蟲病毒。

關閉UDP1900端口。在控制面板中雙擊管理工具→服務→停止SSDP Discovery Service服務。關閉UDP1900端口,可以防范DDos攻擊。

關閉其他端口。用戶可以用網絡防火墻來關閉，或者在控制面板中雙擊管理→本地安全策略→選中“IP安全策略，在本地計算機” →創建IP安全策略→關閉。

重定向本機默認端口，保護系統安全

如果本機的默認端口不能關閉，建議可以使用端口“重定向”功能來提高系統的安全性，即把該端口重定向到另一個地址，這樣可以隱藏公認的默認端口，降低系統受破壞的幾率。例如，若用戶電腦上開放了遠程終端服務（Terminal Server）端口（默認是3389），可以將它重定向到另一個端口（如1234）。具體操作方法如下：

首先是在本機上（服務器端）修改。定位到下列兩個注冊表項，將其中的Port Number全部改成自定義的端口（如1234）即可。

而后在客戶機上修改，將遠程登錄端口修改成1234。方法如下：依次單擊開始→程序→附件→通訊→遠程桌面連接→選項→擴展窗口→填寫相關參數→常規→另存為，將該連接參數導出為.rdp文件。用記事本打開該文件，在文件最后添加一行：server port:i:1234（這里填寫用戶服務器自定義的端口）。以后直接雙擊這個.rdp文件，便可以連接到服務器的這個定義端口了。