端口安全與穩定問答

在沒有配置動態路由協議的情況下，交換機的鏈路層協議狀態和端口物理狀態都處于up狀態，不過IP數據報文的轉發操作始終不正常，不知道是什么原因？

答：出現這種情況，很可能是交換機的靜態路由不正常，此時我們不妨通過“display ip routingtable protocol static”命令，看看交換機有沒有配置好相應的靜態路由，之后再通過“display ip routingtable”命令，檢查一下對應的靜態路由有沒有正式生效。

對于普通用戶來說，為了保護Windows系統運行安全，完成可以限制所有網絡端口，因為它根本不必對外提供任何網絡應用服務。而對于對外提供網絡服務的用戶來說，只要將必須利用的端口打開，而將其他端口全部關閉，請問如何限制網絡端口的使用？

答：以WinXP系統為例，不需要安裝任何其他軟件，只要通過Windows系統自帶的“TCP/IP篩選”功能，就能輕松限制網絡端口的使用，具體操作步驟為：首先用鼠標右鍵點擊系統桌面上的“網上鄰居”圖標，執行快捷菜單中的“屬性”命令，打開網絡連接列表窗口，雙擊其中的“本地連接”圖標，展開本地連接狀態對話框。按下“屬性”按鈕，切換到本地連接屬性窗口，在此連接使用下列項目列表中選擇“Internet協 議 (TCP/IP)”選項，然后點擊“屬性”按鈕。

在其后出現的“Internet協 議 (TCP/IP)”設置框中，點擊“高級”按鈕，打開高級TCP/IP設置對話框，點擊“選項”選項卡，選中“TCP/IP篩選”，之后點擊“屬性”按鈕。進入TCP/IP篩選設置框，選擇“啟用TCP/IP篩選”復選框，將左邊“TCP端口”上的“只允許”選上，這樣就按需添加或刪除自己想要的TCP或UDP

或IP的各種端口了。添加或刪除操作結束后，重新啟動計算機系統，服務器系統的安全就能被有效保護起來了。

445網絡端口是一個毀譽參半的端口，局域網用戶通過它，能方便訪問網絡中的各種共享文件夾或共享打印機，但也正是由于有了它，惡意用戶才有了可乘之機，他們能利用該端口悄悄共享本地計算機硬盤，甚至能在悄無聲息中格式化本地硬盤！為了不讓黑客有機可乘，請問如何封堵住445網絡端口漏洞？

答：依次單擊“開始”、“運行”選項，在彈出的系統運行對話框，輸入“regedit”命令并回車，彈出系統注冊表編輯界面。在該界面左側列表中，依次跳轉到“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters” 分支上，用鼠標右鍵單擊“Parameters”選項，從彈出的快捷菜單中逐一選擇“新建”、“DWORD值”命 令，將新創建的鍵值名稱設置為“SMBDeviceEnabled”。

之后，再用鼠標右鍵單擊“SMBDeviceEnabled”鍵值，執行右鍵菜單中的“修改”命令，彈出編輯DWORD值對話框，在“數值數據”文本框中輸入“0”，確認后保存設置操作，最后重新啟動計算機系統即可。

黑客攻擊Linux系統前，往往要進行端口掃瞄操作，要是能在第一時間發現和阻止黑客的端口掃瞄行為，那么就能有效減少入侵事件的發生率。那么我們該如何才能做到這一點，讓黑客入侵消滅在萌芽狀態呢？

答：可以使用Abacus Port Sentry之類的專業工具，來監視Linux系統的網絡連接接口并且與防火墻交互操作，從而實現關閉端口掃瞄攻擊的目的。當發現端口掃瞄行為存在時，目標工具就能迅速阻止它繼續執行。不過要是配置不當，它也可能允許敵意的外部者在本地系統中安裝拒絕服務攻擊。正確地使用目標工具，完全可以有效地預防對端口大量并行掃瞄，同時能阻止所有這樣的惡意入侵行為。

要是交換機級聯端口的位置發生了調整，那么對應該交換機上的其他VLAN工作狀態可能會受到影響，請問如何保證在級聯端口位置變化時，其他VLAN還能正常工作呢？

答：只要進入目標交換機后臺系統，修改級聯端口的工作模式，讓其允許所有VLAN訪問通過就可以了。比方說，SSS交換機從VLAN2中轉移到VLAN4中時，我們可以先通過interface命令進入新的級聯端口視圖模式狀態，之后依次通過“port link-type trunk”、“port trunk permit vlan all”命令，來確保其他VLAN工作狀態不受級聯端口位置變化的影響。

H3C路由交換機鏈路層協議狀態、端口物理狀態都正常，與該交換端口直接相連的客戶端系統，向路由交換機傳送IP報文時，路由交換機卻無法成功對其進行轉發，不知道是怎么回事？

答：遇到這種現象時，先要看看交換機有沒有開啟動態路由功能，如果發現其還沒有開啟，那多半就是交換機的靜態路由存在錯誤。這個時候，不妨切換到交換機后臺系統指定端口視圖模式狀態，在命令行狀態下執行字符串命令“display ip routing-table protocol static”，從返回結果信息中看看交換機的靜態路由有沒有配置正確。

在靜態路由配置正確的情況，繼續執行命令“display ip routingtable”，檢查指定靜態路由是否工作正常。一般來說，在靜態路由啟用同時參數配置正確的情況下，路由交換機應該能對數據報文執行轉發操作。

在調整網絡端口號碼時，經常會遇到某個端口已被占用的現象，請問如何查看特定端口是否已被程序占用？

答：可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，切換到DOS命令行窗口，在命令提示符下 輸 入“netstat -an”命令，在其后界面中后面為Listening的端口，就表示對應端口處于開放狀態。如果想查看某個端口被哪個應用程序占用時，可以在DOS命令行提示符下，執行“netstat-ano”命令，找到特定端口使用的進程PID。接著使用“Ctrl+Alt+Del”快捷鍵，彈出系統任務管理器窗口，依次點擊“查看”、“選擇列”命令，在其后界面中選中“PID”選項，這樣任務管理器就能把所有程序使用的PID顯示出來了。之后，再根據PID信息，就能知道特定端口被什么應用程序占用了。

有的時候操作不小心，將一條直連線纜同時連接在同一臺H3C交換機的兩個不同交換端口上，結果這臺交換機立即發生了“死機”，具體現象表現為該交換機下層連接的所有無線上網接入點全部停止了工作，請問這是什么原因？

答：要是我們沒有為交換機端口劃分設置VLAN的話，那么一臺交換機上的所有交換端口在默認狀態下都處于相同的VLAN中，它們共用一個VLAN虛擬接口。當我們不小心使用直通線纜將同一臺交換機相同VLAN的兩個交換端口相互連接起來時，那就相當于使用一條網線將同一塊網卡的兩個網卡接口連接在一起（假設目標網卡同時存在兩個接口），最終結果會導致交換機或網卡出現內部死循環，IP地址發生沖突現象（因為這個時候目的IP地址和源IP地址是相同的），數據包自然會發送不出去。從物理的角度來理解，那就是交換機發生了物理性短路故障，從而造成該設備停止了工作。

單位局域網中有一臺H3C S3100系列的樓層交換機，該交換機某端口下面連接的是一臺虛擬機的物理服務器，其中的虛擬機所處的網段各不相同，倘若要確保這些虛擬機既能同時訪問外面，又能相互訪問，那么是否需要對交換端口進行單獨的參數配置操作？

答：不需要在交換端口上對每個虛擬機進行依次配置，只需要在物理服務器中進行集中配置就可以實現上述訪問目的了，因為每個虛擬機相互之間的訪問，都是通過虛擬機軟件的NAT模式來配置的，與交換端口的配置沒有什么關系。

TCP 協議的 135、137、138、139等端口，經常會被不小心打開。其實，這些端口平時被使用的機率不高，但它們的開啟，容易引來黑客對本地系統的惡意攻擊，請問如何關閉TCP協議的這些端口？

答：正常來說，關閉RPC系統服務，就相當于關閉了135端口。在關閉RPC服務運行狀態時，只要先打開系統運行對話框，執行“services.msc”命令，彈出系統服務列表界面。找到“Remote Procedure Call”服務并用鼠標雙擊，點擊其后界面中的“停止”按鈕，同時將啟動類型修改為“已禁用”選項，確認后保存設置即可。

要關閉TCP協議的137、138、139等端口時，只要禁止使用NetBIOS協議組件即可：首先進入網絡連接列表界面，右擊其中的“本地連接”圖標，執行快捷菜單中的“屬性”命令，選中“Internet協議（TCP/IP）”選項，按下“屬性”按鈕，點擊“高級”按鈕切換到高級設置窗口。選擇“WINS”標簽，在對應標簽頁面的“NetBIOS設置”位置處，將“禁用TCP/IP上的NetBIOS（S）”選中，確認后退出設置對話框即可。

同樣地，如果要停用TCP協議的445端口時，可以在系統運行對話框中，輸 入“regedit”命 令并 回車，進入系統注冊表編輯窗口，將鼠標定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters” 分 支 上，在該分支下手工創建好“SMBDeviceEnabled”雙字節鍵值，同時將其數值設置為“0”，最后重啟計算機系統。

最近，筆者在搭建Web服務器的時候，竟然發現80端口已被其他應用程序占用，請問如何將該端口釋放出來？

答：首先進入DOS命令行窗口，在命令提示符下輸入netstat -aon|findstr “80”命令，找到TCP80端口使用的進程PID，比方說該進程PID為2020。之后，執行字符串命令tasklist|findstr“2020”，就能知道究竟是哪個應用程序占用了80端口。關閉目標應用程序，就能將已被占用的80端口釋放出來了。如果查找不到是哪個應用程序占用80端口時，可以直接在任務管理器窗口中，選中PID為“2020”的進程選項，并用鼠標右鍵單擊之，執行右鍵菜單中的“結束進程”命令即可。

Telnet協議在工作時，會用到23端口，不過該協議端口常常被黑客悄悄利用，容易給遠程管理工作帶來安全威脅。而且，Telnet協議在傳輸數據時，都是以明文形式進行，黑客通過專業工具很方便竊聽或攔截到，請問如何才能保證Telnet協議工作安全呢？

答：首先將Telnet協議端口號碼設置成別人不熟悉的號碼。在進行該操作時，先使用“Win+R”快捷鍵，調用系統運行文本框，輸入“cmd”命令并回車，切換到MS-DOS命令行窗口。在該窗口提示符下，執 行“tlntadmn config port=2240”命令（其中“2240”為新的協議端口號碼），這樣就能將計算機系統的Telnet協議端口號碼調整為“2240”了。

要提醒大家的是，新設置的協議端口號碼，必須與計算機系統中已開啟的端口號碼錯開，不然的話Telnet協議將不能正常工作。日后，要通過Telnet協議遠程連接到本地計算機時，一定在本地計算機名稱后面添加“：2240”，才能確保遠程連接成功。

如果對遠程管理安全要求較高，不妨通過SSH協議連接代替Telnet協議連接，因為在缺省狀態下，SSH協議以加密方式傳輸內容，黑客即使采取技術手段，悄悄竊取到了傳輸的數據內容，也不能看到其中的內容。

請問如何判斷惡意程序是否使用了開放網絡端口，如果發現端口被惡意使用時，該怎樣采取措施，防范非法的網絡應用和入侵？

答：使 用CurrPorts工具，就能直觀地將開放端口使用的應用程序信息顯示出來，當看到有惡意程序在偷偷占用開放端口時，可以借助Process Explorer工具，對惡意程序的開啟狀態進行關閉，防止Windows系統繼續遭遇惡意程序攻擊。

開啟CurrPorts工具運行狀態后，它會自動將計算機中所有網絡應用程序使用的端口號碼顯示出來，包括本地端口和遠程端口，還有端口所用程序的進程名稱、進程ID、進程路徑、本地地址、遠程地址等內容，也會被自動顯示出來。要是顯示出來的信息比較多時，不妨按下主程序界面中的標題欄，程序會依照名稱內容排序顯示，這樣有利于高效查看信息。用鼠標雙擊某個記錄，彈出對應記錄屬性信息框，在這里能直觀了解到端口所用程序的各種狀態信息，包括程序使用的網絡協議、協議連接狀態、進程名稱、進程創建時間、進程ID、進程路徑、進程占用端口、進程使用地址等。

根據查看到的信息，大概就能判斷出某個陌生程序是否為惡意程序了。當確認惡意程序存在時，可以先用鼠標右擊它，點擊快捷菜單中的“關閉選定的TCP連接”命令，將惡意程序運行狀態強行關閉。之后觀察惡意程序是否再次打開了網絡端口，要是發現它又打開了端口，那說明惡意程序十分狡猾。此時，不妨利用Process Explorer工具的殺死進程樹功能，將掃描發現的惡意程序進程強行殺死，而且該工具還會通過Autoruns程序，掃描系統中的所有自啟動項和服務，確保將惡意自動加載項刪除干凈，避免惡意攻擊“卷土重來”。

要是看到Windows系統中運行了多個陌生程序時，不妨使用Shift或Ctrl快捷鍵，將多個應用程序集中選中，并用鼠標右鍵單擊之，點擊右鍵菜單中的“結束選定端口的進程”命令，這樣就能將若干個可疑網絡連接快速切斷了。通過該方法，也可以將多余網絡連接快速斷開，以方便排除惡意程序。

為了便于管理寬帶路由器，不少管理員會啟用該設備的遠程管理功能，但該功能缺省會用到80端口，該端口很容易被黑客非法利用，不利于網絡的安全穩定運行。請問如何避免這種現象發生？

答：要想保護寬帶路由器遠程管理安全，不妨將缺省的遠程管理端口調整為陌生號碼，日后只有知道新端口的人，才能對路由器進行遠程管理。比方說，要將TP-Link無線路由器Web管理端口調整為“3456”時，只要先進入路由器后臺系統管理界面，依次展開“安全設置”、“遠端Web管理”節點，在對應節點下面，將“Web管理端口”參數設置為“3456”。之后，在“遠端Web管理IP地址”位置處，輸入可以對寬帶路由器進行遠程管理的計算機公網IP地址，單擊“保存”按鈕執行設置保存操作，最后重啟寬帶路由器設備，這樣日后只有在特定計算機上，并輸入新的端口號碼，才能對寬帶路由器進行遠程管理。

某單位使用Quidway S8500核心路由交換機進行組網的，由于平時管理不善，局域網中經常出現網絡回路現象，嚴重影響了網絡的穩定運行。請問如何才能快速檢測到局域網中的網絡回路現象，以提高網絡故障的排查效率？

答：使用Quidway S8500核心路由交換機自帶的回路檢測功能，就能快速判斷局域網中是否存在網絡回路現象。默認狀態下，有的交換端口沒有啟用端口環回檢測功能，只有啟用該功能，才能發揮交換機的動態監控優勢。在啟用該功能時，先在交換機后臺系統執行“system-view”命令，切換到系統全局視圖模式，在該模式下執行“loopbackdetection enable”命令，就能啟用全局端口環回監測功能。之后，使用“interface e0/2”命令（這里的“e0/2”為特定端口號碼），進入特定交換端口視圖模式狀態，在該狀態下執行“loopbackdetection enable”命令，將特定交換端口的網絡回路檢測功能啟用起來。日后，通 過“display loopbackdetection”字符串命令，就能查看到核心交換機下面的哪個交換端口存在網絡回路現象。一旦發現某個交換端口下面存在網絡回路，必須進入對應端口視圖模式狀態，在該狀態下執行“shutdown”命令，將對應端口工作狀態暫時關閉，以避免網絡回路現象影響整個網絡的穩定運行。

為了提高管理效率，用戶經常會用遠程桌面連接方式，對重要主機進行遠程控制。而遠程桌面連接會用到默認的3389端口，為了防止惡意用戶趁機利用該端口，對重要主機發動惡意攻擊，請問如何將該端口修改成陌生號碼？

答：很簡單！在重要主機系統中，打開系統注冊表編輯窗口，將鼠標定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注 冊表分支上，雙擊目標分支下的PortNumber鍵 值，在 彈出的編輯鍵值對話框中，輸入新的端口號碼，比方說輸入“8564”，確認后保存設置操作。之后，將鼠標定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 冊表分支上，雙擊目標分支下的PortNumber鍵值，在彈出的編輯鍵值對話框中，也輸入“8564”，確認后保存設置操作，最后重新啟動計算機系統即可。

如果Linux系統開放了太多的端口和服務，容易招來惡意攻擊，為了保護Linux系統的安全運行，請問如何將那些不需要的或無效的系統服務和網絡端口關閉掉？

答：由于所有系統服務的運行狀態都受“/etc/inetd.conf”文件控制，我們可以打開該文件，檢查其中有哪些系統服務不需要，通過在對應服務前面添加“#”的方法，取消并反安裝目標服務，再通過“sighup”命令對“/etc/inetd.conf”文件進行升級，讓上述操作正式生效。一般來說，fingerd、rexec、rlogin、rshd等服務不常使用，我們應該將其取消安裝。

雖然將有安全威脅的網絡端口關閉后，能保證系統上網安全，但是用戶自己在上網訪問時，同樣也會受到影響，請問有沒有一種兩全其美的辦法，既能保證用戶自己使用任何網絡端口，又能限制別人使用其他端口呢？

答：利用“PortsLock”這款外力工具，依照具體的訪問要求，正確定義好網絡端口訪問規則，就能達到上述目的，也就是既不影響自己上網連接，又能限制他人使用端口。

打 開“PortsLock” 程序界面，從菜單欄中依次選擇“File”、“Quick Start Wizard”命令，彈出向導設置對話框，點擊“下一步”，將“The Administrators local group has full access but access for all other users is denied”選中，再按提示完成其余設置即可。日后，在“PortsLock”工具的作用下，只有本地管理員級別的用戶，才能使用任何網絡端口上網訪問，而其他用戶不能訪問任何網絡端口。