作者:許本新
上次我們說到利用IPsec實作對ICMP協定Ping指令的禁用,其實我的用意主要是希望起到穿針引線的功效,讓讀者能夠以此為契機舉一反三,利用相同的方法實作對其他協定的處理。
今天我們接着讨論如何利用IPsec實作對開放端口的禁用,大家都知道微軟體系統為了能夠實作對更多的應用軟體支援,是以迫不得已開放了很多端口,比如445端口和139端口,這兩個端口都與共享有很大的管理,如果這兩個端口禁用的話将會導緻共享功能無法進行。針對微軟系統而言端口的開放是必然的,但是開放了不必要的端口又是很危險的,是以很沖突,為了能夠有效的保證計算機系統的安全,建議大家将不必要的端口實作禁用操作。
其實衆所周知禁用端口的方法有很多,但是具體采用什麼方法,我覺得友善安全最為重要。目前可以禁用端口的方法主要有以下幾種:
Ø 利用第三方的防火牆軟體
Ø 利用系統自帶的功能
Ø 利用IPsec建立政策
利用第三方軟體可能是很多朋友經常采用的一種方法,但是大家不知道有沒有想過,如果純粹的隻是為了端口禁用用,有必要特意下載下傳一款第三方軟體嗎?我覺得大可不必。其實利用系統自帶的功能也完全可以實作對端口的禁用,但是這種方法又顯得有點麻煩,大家可以看看圖1便知。
圖1
在圖1中大家不難看出,利用系統自帶的斷口禁用功能,在預設的情況下是允許全部端口的,如果大家要選擇“隻允許”則需要指明允許的端口号,是以很麻煩。
根據以上相關内容我們可以想象以下,筆者在這為什麼要給大家推薦使用IPsec實作對端口的禁用了。
<b>一、 </b><b>檢視和連接配接目前系統的開放端口</b>
如果使用者想檢視本機的開放端口,可以利用netstat –na指令實作,如圖2所示。在圖中可以看到相關的開放端口。特别需要給大家提醒的是LISTENING都表示的該端口是處于開放狀态,是可以連接配接的;ESTABLISHED則表示該端口處于被連接配接狀态。例如在圖中用紅線辨別的10.18.0.51:139表示IP位址為10.18.0.51的計算機中的139端口是可以連接配接的。例如圖3所示,是使用telnet連接配接139端口後的狀态。
圖2
圖3
<b>一、 </b><b>利用IPsec禁用139端口具體操作</b>
具體步驟就不在以文字描述了,具體可以參照圖例.
<b></b>
<b>注意:最後IPsec設定好後,别忘了應用一下政策.</b>
<b><b></b></b>
<b><b><b>一、 </b>驗證屏蔽後的端口</b></b>
<b>當</b>
<b>當端口屏蔽完成後,再使用telnet連接配接端口則會出現連接配接失敗的提示,如下圖所示.</b>
<b> 本文轉自xubenxin 51CTO部落格,原文連結:http://blog.51cto.com/windows/97400<b></b></b>
<b><b>,如需轉載請自行聯系原作者</b></b>
<b> </b>
![Windows辦公技能——在目前檔案夾中打開指令行視窗[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)