现如今病毒、木马攻击的方式是多种多样,尤其是计算机端口更是病毒攻占的重点部位,你是否曾遇到这样的情况,当我们安装上诸如天网防火墙上网时,只见感叹号跳个不停。打开一看都是类似于xxx.xxx.xxx.xxx 试图连接本机的xxx端口,该操作被拒绝之类的操作提示,这就是一些病毒、木马攻击端口的表现。
概念常识
在上述情况进行解决之前,我们先要对一些常识性概念进行一番了解,尤其是涉及到端口方面的知识。什么是端口在网络技术中,端口(Port) 大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCPIP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。
本文所讲的端口指的是逻辑意义上的端口,它是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障。默认情况下,Windows有很多端口是开放的,上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,我们除了一些重要的端口,如80端口为Web网站服务;21端口为FTP服务;25端口为E-mail SMTP服务;110端口为E-mail POP3服务;1433端口为SQL Server服务等外,一些没有服务的端口都可以关闭,如TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389等。对于一些没有服务的端口,除了使用一些网络防火墙来关闭外,借助IP安全策略来进行关闭可以说是一个阻止入侵者入侵的好办法,下面我们就来定制IP策略。
了解IP安全策略
IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCPIP设计上的随意信任重大安全漏洞,可以实现更仔细更精确的TCPIP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。
实战IP安全策略
1、 创建一个IP安全策略
第一步:单击开始菜单,然后选择设置→控制面板,在弹出的控制面板中,双击管理工具图标,进入到管理工具中,再次双击其中的本地安全策略图标并进入到本地安全策略对话框中。
第二步:用鼠标右击IP安全策略,选择创建IP安全策略命令
在弹出的IP安全策略向导对话框中,单击下一步按钮,输入IP安全策略的名称
如屏蔽135端口,再次单击下一步按钮,保持默认参数设置不变,直至完成位置,这样就创建出来了一个屏蔽135端口的安全策略,单击确定按钮返回。
2、设置IP筛选器
鼠标右击IP安全策略,选择管理IP筛选器和筛选器操作,进入到相应得对话框中,在管理IP筛选器列表页面中,点击添加按钮,在弹出的IP筛选器列表中输入名称屏蔽135端口,单击添加按钮,再点击下一步按钮。在目标地址中选择我的IP地址,点击下一步按钮,在协议中选择TCP(一般选择此项,根据具体的端口设定,如关闭ICMP协议时,这里选择ICMP),如图3所示,点击下一步按钮,在设置IP协议端口中选择从任意端口到此端口,在此端口中输入135,点击下一步按钮,即可完成屏蔽135端口的设置,单击确定按钮返回。其他端口的设置与此类似。
3、筛选器操作
还是在管理IP筛选器和筛选器操作对话框,进入到管理筛选器操作页面,点击添加按钮后,再单击下一步按钮,在名称中输入拒绝,点击下一步按钮。在筛选器操作中选择阻止项,点击下一步按钮,这样在管理筛选器操作中就会增加拒绝一项了。
单击关闭按钮返回到本地安全设置对话框中。
在本地安全设置对话框中双击左侧窗口中的IP安全策略在本地计算机,我们可以看到右侧窗口中会出现屏蔽135端口字样,用鼠标右击这个新建的IP安全策略屏蔽135端口,选择属性。在规则中选择添加,点击下一步按钮,选择此规则不指定隧道,接着点击下一步按钮,在选择网络类型中选择所有网络连接,点击下一步按钮,在 IP筛选器列表中选择屏蔽135端口。
点击下一步按钮,在出现的窗口中选中前面操作中添加的拒绝,单击下一步按钮,这样就将筛选器加入到了名为 屏蔽135端口的IP安全策略中了,单击确定按钮返回。
4、指派
完成了屏蔽135端口的IP安全策略的建立,但是在未被指派之前,它并不会起作用。用鼠标右击屏蔽135端口,选择指派后,IP安全策略就生效了。同样的方法还可以关闭其他的无用端口,这样我们就亲手创建一个了安全的网络防火墙。
网友评论