系统网络端口安全防护
2016-11-26
引言:计算机之间通信是通过端口进行的,在默认状态下,Windows会在用户的电脑上打开许多服务端口,掌握端口安全防护方面的有关知识对网络运维维护有着相当大的帮助。
常用端口及分类
电脑在因特网上相互通信需要使用TCP/IP协议,而电脑总共有65536个端口,这些端口分为TCP端口和UDP端口两种。按照端口号划分,它们又可分为系统保留端口和动态端口两大类。其具体划分如下:
系统保留端口(0-1023)。这些端口不允许用户私自使用,因为在系统层面上它们都有确切的定义,一个或者多个端口号对应着因特网上常见的一些服务,即每一个打开的端口都代表一个系统服务,如8O端口就代表Web服务,21对应FTP,25对 应SMTP,110对 应POP3。
动态端口(1024-65 53 5)。这些端口号是动态的,当用户需要与别人通信时,Windows系统会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要时就会分配1025端口供用户使用,依此类推。但有个别的系统服务会绑定在1024-49151的端口上,如3389端口为远程终端服务。从49l52-65535端口,通常没有捆绑系统服务,允许Windows动态分配使用。
查看本机开放的端口
在默认状态下,Windows系统会打开很多“服务端口”,如果用户想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。
方法一:利用Netstat命令。Windows系统提供了Netstat命令,能够显示当前的TCP/IP网络连接情况,前提条件是只有安装了TCP/IP协议才能使用Netstat命令。
操作方法:单击“开始→程序→附件→命令提示符”,进入MS-DOS窗口,输入命令Netstat-na回车,就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号;Foreign Address是 远程计算机IP地址和端口号;State表明当前TCP的连接状态;Listening是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。如果在DOS窗口输入了Netstat-na命令,还将显示每个连接都是由哪些程序创建的。
如本机在135端口监听,就是由Svchost.exe程序创建的,该程序一共调用了5个组件(WS2.32.dll、RPCRT4.dll、rpCSS.dll、Svchost.exe、ADVAPI32.d11)来完成创建工作。如果发现本机打开了可疑的端口,就可以用该命令查看它调用了哪些软件,然后检查各组件的创建时间和修改时间,如果发现异常则电脑就可能被植入了木马病毒。
方法二:使用端口监视类软件。与Netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,如TcpvIEw、Port Reportre、绿鹰PC万能精灵、网络端口查看器等。密切监视本机端口连接情况,这样就能及时发现非法连接,及时采取有效措施。
关闭本机不用的端口
默认情况下Windows系统有很多端口是开放的,一旦上网,黑客可以通过这些端口连接上用户电脑,因此为了提高安全性可以关闭不用的端口。这些端口主要有 TCP139、445、593、1025端口,UDP123、137、138、445、1900端口,流行病毒的后门端口TCP2513、2745、3127、6129,以及远程服务访问端口3389。关闭方法如下:
关闭 137、138、139、445端口。它们都是为共享而开放的端口,所以用户要把这些端口全部关闭。单击“开始→控制面板→系统→硬件→设备管理器” →“查看”菜单→显示隐藏的设备→非即插即用驱动程序→NetBIOS over TCPIP→在属性窗口中选“常规”→不要使用这个设备(停用) →确定,重新启动机器。
关闭UDP123端口。单击“开始→设置→控制面板→管理工具→服务→停止SSDP Discovery Service。关闭UIP123端口,可以防范某些蠕虫病毒。
关闭UDP1900端口。在控制面板中双击管理工具→服务→停止SSDP Discovery Service服务。关闭UDP1900端口,可以防范DDos攻击。
关闭其他端口。用户可以用网络防火墙来关闭,或者在控制面板中双击管理→本地安全策略→选中“IP安全策略,在本地计算机” →创建IP安全策略→关闭。
重定向本机默认端口,保护系统安全
如果本机的默认端口不能关闭,建议可以使用端口“重定向”功能来提高系统的安全性,即把该端口重定向到另一个地址,这样可以隐藏公认的默认端口,降低系统受破坏的几率。例如,若用户电脑上开放了远程终端服务(Terminal Server)端口(默认是3389),可以将它重定向到另一个端口(如1234)。具体操作方法如下:
首先是在本机上(服务器端)修改。定位到下列两个注册表项,将其中的Port Number全部改成自定义的端口(如1234)即可。
而后在客户机上修改,将远程登录端口修改成1234。方法如下:依次单击开始→程序→附件→通讯→远程桌面连接→选项→扩展窗口→填写相关参数→常规→另存为,将该连接参数导出为.rdp文件。用记事本打开该文件,在文件最后添加一行:server port:i:1234(这里填写用户服务器自定义的端口)。以后直接双击这个.rdp文件,便可以连接到服务器的这个定义端口了。