网络安全系列之三十三 关闭端口

端口是应用层的程序与传输层的TCP或UDP协议之间联系的通道,每个端口都对应着一个应用程序。一个系统中运行的程序越多,它所开放的端口就越多,系统被入侵的风险也就越大。本文将介绍在Windows中常用的一些关闭端口的方法。

(1)停止程序运行

一个端口就对应着一个应用层的程序,所以关闭端口的最直接办法就是停止程序运行。

比如在FTP服务器上将所有的FTP站点全部停止运行,然后再查看21端口就被关闭了。

(2)关闭服务

服务是在后台运行的程序,对于服务可以通过在【运行】中输入services.msc,打开【服务】对其进行管理。

比如我们开启“Telnet”服务,此时执行netstat命令,便会看到开放了23端口。

将服务终止,23端口也随之关闭。

(3)TCP/IP筛选

TCP/IP筛选的功能类似于防火墙,它可以将发往端口的数据过滤,设置了TCP/IP筛选之后,端口并不会被关闭,但是却无法接收数据了。

比如我们在一台服务器上开启了Web服务和FTP服务,执行netstat命令可以看到开放了80和21端口,在客户端也可以正常访问web和ftp。

然后在【高级TCP/IP设置】的“选项”中打开“TCP/IP筛选”。

勾选“启用TCP/IP筛选”,然后在“TCP端口”中设置只允许发往80端口的数据可以通过。

设置完成后,需要重启系统。

系统重启之后,可以看到21和80端口依然开放,但此时只能访问web服务,ftp服务就不可用了。

另外,如果在“TCP端口”中选择“只允许”,但在列表中不添加任何端口,这相当于将所有TCP端口全部禁用了。

需要注意的是,“TCP/IP筛选”只影响入站流量,对出站无任何限制。

在Windows 2008以后的系统中,TCP/IP筛选功能已被防火墙所取代。

(4)关闭系统默认端口

对于Windows系统,135、139、445是默认开放的三个端口,如果将这些端口强制关闭,可能会对系统或某些程序造成影响,因而在不确定的情况下,不建议关闭这些端口。

要关闭这些端口,操作也相对比较复杂。

  • 关闭139端口

139端口主要用于NetBIOS协议,该协议主要用于局域网,通过协议可以将计算机名解析为IP地址。因而关闭139端口的方法就是禁用NetBIOS协议。

  • 关闭445端口

445端口用于网络共享,可以通过修改注册表来关闭445端口。

打开注册表,展开项[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters],添加DWORD类型键值SMBDeviceEnabled,并将值设置为0,修改完重启计算机。

  • 关闭135端口

135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,因而关闭135端口需要将DCOM服务停用。

首先修改注册表,

展开项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole],将键值“EnableDCOM”的值改为“N”;

展开项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc],在键值“DCOM Protocols”中删除“ncacn_ip_tcp”。

再在命令行运行services.msc,停止“Distributed Transaction Coordinator”服务。

修改完重启计算机。

需要注意的是,这种方法不适用于Win2003。

时间: 2024-11-06 12:50:56

网络安全系列之三十三 关闭端口的相关文章

网络安全系列之三 搭建Web渗透平台(ASP)

在学习或是讲授网络安全方面的课程时,最大的麻烦就是如何设置各种实验.若是找真实的网站练手,一方面有漏洞的网站已经很难找了,另一方面即使能找到存在漏洞的网站,那也存在法律方面的风险,所以最好的途径还是自己来搭建实验环境. 在实验环境中,系统平台当然还是选择VMWare+Win2003(Win2003是进行网络安全方面实验的首选操作系统):困难在于渗透平台怎么解决?渗透平台要包括Web服务器和漏洞网站两部分.经过在51cto一番翻箱倒柜之后,终于找到了解决的方法.在这里先介绍如何搭建一个ASP的We

网络安全系列之三十一 组策略中的用户权限分配

在Win2003系统中打开组策略编辑器,展开[计算机配置\Windows设置\安全设置\本地策略\用户权限分配]. 通过用户权限分配,可以为某些用户和组授予或拒绝一些特殊的权限,如关闭系统.更改系统时间.拒绝本地登录.允许在本地登录等. 常用的用户权限分配策略主要有以下几个: (1)"从网络访问此计算机" 默认情况下任何用户都可以从网络访问计算机,可以根据实际需要撤销某用户或某组用户从网络访问计算机的权限. (2)"拒绝从网络访问这台计算机" 如果某些用户只在本地使

网络安全系列之三十九 在Linux中配置访问控制列表ACL

Linux系统中传统的权限设置方法比较简单,仅有3种身份.3种权限而已,通过配合chmod和chown等命令来对文件的权限或所有者进行设置.如果要进行比较复杂的权限设定,例如某个目录要开放给某个特定的使用者使用时,这些传统的方法就无法满足要求了. 例如对于/home/project目录,该目录的所有者是student用户,所属组是users组,预设权限是770.现在有个名为natasha的用户,属于natasha组,希望能够对/home/project目录具有读写执行权限:还有一个名为instr

网络安全系列之三十四 预防ARP欺骗

预防ARP欺骗的有效方式是将网关IP地址与MAC地址进行绑定.比如网关的IP地址是10.49.6.254,MAC地址00-0f-e2-69-2c-d2,那么可以执行下面的命令将之绑定. arp –s 10.49.6.254 00-0f-e2-69-2c-d2 由于ARP表是动态更新的,系统每次重启之后,还需要重新执行命令进行绑定,因而可以将该命令设为开机脚本,在每次系统启动时自动运行. 我们先创建一个名为arp.bat的批处理文件 然后打开组策略编辑器,展开[计算机配置\Windows设置\脚本

网络安全系列之三十二 组策略中的安全选项

在Win2003系统中打开组策略编辑器,展开[计算机配置\Windows设置\安全设置\本地策略\安全选项].通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置. 下面是一些常用的安全选项策略: (1)"关机:允许系统在未登录前关机" 正常情况下,用户只有登录到系统后,具有权限的用户才能关机,启用此策略后,登录屏幕上的关机命令可用. (2)"账户:使用空白密码的本地账户只允许进行控制台登录" 启用此策略后,密码为空的用户只能在本地登录,而无法通过网络访问

网络安全系列之三十七 Pangolin(穿山甲)和Havij(胡萝卜)的使用

在入侵过程中,必然要借助于一些工具软件,像明小子和啊D都属于比较古老的软件,功能有限,而Pangolin和Havij则是两款相对功能比较强大的软件,本文将介绍它们的基本用法.实验环境采用NMPServer搭建,使用其中的第一个网站. 网站页面http://192.168.80.129/info_show.php?info_id=142明显存在注入漏洞,我们先用明小子进行注入,前几步在猜解表名和列名时都没问题,但是在最后关键的猜解用户名和密码的步骤中却失败了. 下面用Pangolin来注入,首先对

网络安全系列之三十六 目录遍历攻击

目录遍历攻击又称目录穿越.恶意浏览.文件泄露等,攻击者利用系统漏洞访问合法应用之外的数据或文件目录,导致数据泄露或被篡改. 比如我们之前一直使用的Web服务器平台NMPServer,它的网站主目录为C:\NMPServer\NPMserv\www,理论上讲网站的所有内容都应该位于这个主目录里,即使内容位于别的位置,也应该采用虚拟目录的形式将之链接到主目录中.作为客户端,当然也只能访问主目录中的内容.但是如果网站存在漏洞,那么客户端就可以突破主目录的限制,而去访问其他目录中(比如C:\Window

网络安全系列之十三 Linux中su与sudo的安全设置

1. 限制使用su命令的用户 Linux系统中的root用户权限过大,所以在实际使用中一般都是以普通用户的身份登录,当需要时可以切换到root用户身份.切换用户身份使用su命令. 但是我们可能并不希望所有用户都能切换到root身份,而是只想指定某个用户可以切换,比如只允许zhangsan用户使用su命令切换身份. 要限制使用su命令的用户,需要进行两个方面的设置. 首先需要启用pam_wheel认证模块, [[email protected] ~]# vim /etc/pam.d/su '将文件

网络安全系列之四十三 在IIS6中配置ASP网站

本文将介绍如何在Win2003系统中通过IIS6.0来搭建一个ASP网站,网站数据库采用的是ACCESS,对于这类简单的小型数据库,无需安装数据库程序,只需直接配置IIS即可. 首先在添加删除组件中选择安装应用程序服务器,在安装过程中需要插入系统安装光盘: 安装完成后,打开IIS管理器,将默认站点停止运行,然后新建一个名为test的站点. 在创建站点时给予运行脚本权限. 站点创建完成后,设置站点属性,启用父路径.所谓父路径也就是在网页中允许使用"../"来代表上一级父目录. 在Web服