引言：端口既可以用于Windows系统之间的网络通信，也可以作为黑客入侵的主要途径。为了便于读者关闭Windows系统的危险端口，防止黑客入侵，本文总结了几种常见的关闭Windows系统端口的方法。

端口既可以用于Windows系统之间的网络通信，也可以作为黑客入侵的主要途径。因此端口也具有一定的安全风险。为了便于读者关闭Windows系统的危险端口，防止黑客入侵，本文总结了几种常见的关闭Windows系统端口的方法。

系统关闭法

系统关闭法，就是利用Windows系统图形界面的直观操作设置来关闭危险的端口。利用该方法可以关闭常见的一些端口，如TCP23、80、135、139、445、3389 端口，UDP137、138端口等等，其典型的方法如下：

1.TCP23端口

TCP23端口主要用于为Windows系统提供Telnet服务。

其关闭方法为：依次选择“控制面板”、“管理工具”打开“服务”对话框，选择停止并禁用“Telnet”服务，如图1所示。

图1 Telnet属性

2.TCP80端口

TCP80端口主要用于为Windows系统提供HTTP服务。

关闭方法是：依次打开“控制面板”、“管理工具”以及“服务”对话框，选择停止并禁用“World Wide Web Publishing Service”服务选项。

3.TCP135端口

TCP135端口主要用于为Windows系统提供RPC（远程过程调用）服务。

关闭方法是：依次选择“开始”、“运 行”选项，执行命令“dcomcnfg”，然后依次选择“组件服务”、“计算机”和“属性”选项，选择“默认属性”，去掉“在此计算机上启用分布式COM”前面的勾选项的设置即可完成。

4.UDP137、UDP138和TCP139端口

UDP137和UDP138端口主要用于为Windows系统提供计算机名称和IP地址的查询服务，而TCP139端口则主要用于为Windows系统提供基于SMB协议的文件和打印机共享服务。

这个三个端口的关闭方法是：依次选择“网上邻居”、“属性”、“本 地 连接”、“属性”、“TCP/IP 属性”、“高级”以及“WINS-NetBIOS设置”选项，打开“WINSNetBIOS设置”对话框，选择“禁用TCP/IP上的NetBIOS”选项。

5.TCP445端口

TCP445端口主要用于为Windows系统提供基于CIFS协议的文件和打印机共享服务。

关闭方法是：依次选 择“开 始”、“运 行”选项，执 行 命 令“regedit”选项，打开“注册表”窗口，在HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters路径下新建名称为“SMBDeviceEnabled”，数值为“0”的REG_DWORD选项。

6.TCP3389端口

TCP3389端口主要用于为Windows系统提供远程桌面服务。

关闭方法是：依次选择“控制面板”、“管理工具”以及“服务”选项，停止并禁用名 为“Terminal Services”的服务。

TCP/IP筛选关闭法

TCP/IP筛选关闭法，就是利用本地连接属性中的TCP/IP筛选来过滤，该方法仅允许指定端口通过，其余端口默认全部屏蔽与外界的通信，下面以只打开TCP100和UDP200端口为例进行描述，方法是：打开“本地连接”，右击选择“属性”按钮，依次选择“Internet协议（TCP/IP）”、“属性”、“高级”、“选项”标签页、“TCP/IP 筛选”、“属性”选项，在打开的“TCP/IP筛选”对话框中勾选“启用TCP/IP筛选”， 选择“TCP端口”，勾选“只允许添加（允许的 TCP 端口，如100）”，打开“UDP端口”，勾选“只允许添加（允许的UDP端口，如200）”，如图2所示。为：

图2 TCP/IP筛选

IP安全策略关闭法

IP安全策略关闭法，就是通过IP安全策略来关闭Windows系统的端口，该方法可以关闭任意的Windows端口，下面以关闭TCP4899和UDP135端口为例进行描述，其关闭方法

1.打开本地安全策略

依次打开“控制面板”、“管理工具”和“本地安全策略”选项，打开“本地安全策略”窗口。

2.创建IP安全策略

在“本地安全策略”窗口中，右击依次选择“IP安全策略”和“创建IP安全策略”选项，点击“下一步”选项之后填写策略名称，单击“下一步”选项，去掉“激活默认响应规则”前面的勾选项，点击“下一步”以及“完成”选项，打开“新建的IP安全策略属性”窗口。

3.添加IP安全规则

在“新建的IP安全策略属性”窗口中，去掉“使用‘添加向导’”前面的勾选项，添加“IP安全规则”，打开“新规则属性”窗口。

4.添加筛选器操作

在“新规则属性”窗口中选择“筛选器操作”选项，去掉“使用‘添加向导’”前面的勾选项的设置，选择添加“筛选器操作”的选项，打开“筛选器属性”对话框，依次打开“安全方法”标签页、“阻止”和“常规”对话框，填写好“筛选器操作”名称后完成操作。

5.添加筛选器

在“新规则属性”窗口中，选择“IP筛选器列表”，添加“筛选器列表”，打开“筛选器列表”窗口，填写“筛选器列表”名称，去掉“使用‘添加向导’”前面的勾选项，添加“筛选器”，打开“筛选器属性”窗口、“地址”标签页以及“源地址”选项，分别选择“任何IP地址”和“目标地址”选项，选择“我的IP地址”与“协议”标签页，选择“协议类型”为“TCP”，选择“到此端口”填写为“4899”，然后点击“确定”按钮。在“筛选器列表”窗口继续点击“添加”按钮，同理可以继续添加“UDP135端口”，也可以添加其他需要关闭的端口，如图3所示。

6.关联并生效该规则

在“IP安全规则属性”窗口中，选择“IP筛选器列表”标签页，依次选择新建的“IP筛选器列表”和“筛选器操作”标签页，选择新建的“筛选器操作”选项，然后点击“确定”按钮。最后，返回“本地安全策略”窗口中，右击新建的“IP安全策略”，选择“指派”选项，重启计算机后，即可关闭TCP4899和UDP135端口。

图3 IP筛选器列表

图4 防火墙设置

防火墙关闭法

防火墙关闭法主要是利用防火墙对Windows系统端口进行屏蔽，该方法仅允许指定端口通过，其余端口默认全部屏蔽与外界的通信。下面以Windows防火墙只允许TCP80端口通信为例进行具体描述，方法是：依次打开“控制面板”、“Windows防火墙”、“例外”和“添加端口”对话框，填写好名称，然后填写端口号为“80”，选择协议为“TCP”，如图4所示。

经验总结

系统关闭法相对而言比较直观，操作较为简便，直接从操作系统层面对危险端口进行了关闭，但是不同端口的关闭方法各不相同，因而该方法仅适用于常见端口的关闭。TCP/IP筛选关闭法、IP安全策略关闭法和防火墙关闭法通用性较强，其中，TCP/IP筛选关闭法和防火墙关闭法可以只放开任意指定的端口通信，对其他所有端口进行屏蔽，IP安全策略关闭法则可以对任意指定的端口进行屏蔽。

但是由于这三种方法实质上是从网络协议层对端口进行了屏蔽，让攻击者无法访问受保护的指定端口。因而建议：关闭常见端口时，使用系统关闭法；关闭不常见的端口时，使用IP安全策略关闭法；而如果只放开指定端口通信时，则使用TCP/IP筛选关闭法或防火墙关闭法。