在没有配置动态路由协议的情况下，交换机的链路层协议状态和端口物理状态都处于up状态，不过IP数据报文的转发操作始终不正常，不知道是什么原因？

答：出现这种情况，很可能是交换机的静态路由不正常，此时我们不妨通过“display ip routingtable protocol static”命令，看看交换机有没有配置好相应的静态路由，之后再通过“display ip routingtable”命令，检查一下对应的静态路由有没有正式生效。

对于普通用户来说，为了保护Windows系统运行安全，完成可以限制所有网络端口，因为它根本不必对外提供任何网络应用服务。而对于对外提供网络服务的用户来说，只要将必须利用的端口打开，而将其他端口全部关闭，请问如何限制网络端口的使用？

答：以WinXP系统为例，不需要安装任何其他软件，只要通过Windows系统自带的“TCP/IP筛选”功能，就能轻松限制网络端口的使用，具体操作步骤为：首先用鼠标右键点击系统桌面上的“网上邻居”图标，执行快捷菜单中的“属性”命令，打开网络连接列表窗口，双击其中的“本地连接”图标，展开本地连接状态对话框。按下“属性”按钮，切换到本地连接属性窗口，在此连接使用下列项目列表中选择“Internet协 议 (TCP/IP)”选项，然后点击“属性”按钮。

在其后出现的“Internet协 议 (TCP/IP)”设置框中，点击“高级”按钮，打开高级TCP/IP设置对话框，点击“选项”选项卡，选中“TCP/IP筛选”，之后点击“属性”按钮。进入TCP/IP筛选设置框，选择“启用TCP/IP筛选”复选框，将左边“TCP端口”上的“只允许”选上，这样就按需添加或删除自己想要的TCP或UDP

或IP的各种端口了。添加或删除操作结束后，重新启动计算机系统，服务器系统的安全就能被有效保护起来了。

445网络端口是一个毁誉参半的端口，局域网用户通过它，能方便访问网络中的各种共享文件夹或共享打印机，但也正是由于有了它，恶意用户才有了可乘之机，他们能利用该端口悄悄共享本地计算机硬盘，甚至能在悄无声息中格式化本地硬盘！为了不让黑客有机可乘，请问如何封堵住445网络端口漏洞？

答：依次单击“开始”、“运行”选项，在弹出的系统运行对话框，输入“regedit”命令并回车，弹出系统注册表编辑界面。在该界面左侧列表中，依次跳转到“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters” 分支上，用鼠标右键单击“Parameters”选项，从弹出的快捷菜单中逐一选择“新建”、“DWORD值”命 令，将新创建的键值名称设置为“SMBDeviceEnabled”。

之后，再用鼠标右键单击“SMBDeviceEnabled”键值，执行右键菜单中的“修改”命令，弹出编辑DWORD值对话框，在“数值数据”文本框中输入“0”，确认后保存设置操作，最后重新启动计算机系统即可。

黑客攻击Linux系统前，往往要进行端口扫瞄操作，要是能在第一时间发现和阻止黑客的端口扫瞄行为，那么就能有效减少入侵事件的发生率。那么我们该如何才能做到这一点，让黑客入侵消灭在萌芽状态呢？

答：可以使用Abacus Port Sentry之类的专业工具，来监视Linux系统的网络连接接口并且与防火墙交互操作，从而实现关闭端口扫瞄攻击的目的。当发现端口扫瞄行为存在时，目标工具就能迅速阻止它继续执行。不过要是配置不当，它也可能允许敌意的外部者在本地系统中安装拒绝服务攻击。正确地使用目标工具，完全可以有效地预防对端口大量并行扫瞄，同时能阻止所有这样的恶意入侵行为。

要是交换机级联端口的位置发生了调整，那么对应该交换机上的其他VLAN工作状态可能会受到影响，请问如何保证在级联端口位置变化时，其他VLAN还能正常工作呢？

答：只要进入目标交换机后台系统，修改级联端口的工作模式，让其允许所有VLAN访问通过就可以了。比方说，SSS交换机从VLAN2中转移到VLAN4中时，我们可以先通过interface命令进入新的级联端口视图模式状态，之后依次通过“port link-type trunk”、“port trunk permit vlan all”命令，来确保其他VLAN工作状态不受级联端口位置变化的影响。

H3C路由交换机链路层协议状态、端口物理状态都正常，与该交换端口直接相连的客户端系统，向路由交换机传送IP报文时，路由交换机却无法成功对其进行转发，不知道是怎么回事？

答：遇到这种现象时，先要看看交换机有没有开启动态路由功能，如果发现其还没有开启，那多半就是交换机的静态路由存在错误。这个时候，不妨切换到交换机后台系统指定端口视图模式状态，在命令行状态下执行字符串命令“display ip routing-table protocol static”，从返回结果信息中看看交换机的静态路由有没有配置正确。

在静态路由配置正确的情况，继续执行命令“display ip routingtable”，检查指定静态路由是否工作正常。一般来说，在静态路由启用同时参数配置正确的情况下，路由交换机应该能对数据报文执行转发操作。

在调整网络端口号码时，经常会遇到某个端口已被占用的现象，请问如何查看特定端口是否已被程序占用？

答：可以依次点击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令并回车，切换到DOS命令行窗口，在命令提示符下 输 入“netstat -an”命令，在其后界面中后面为Listening的端口，就表示对应端口处于开放状态。如果想查看某个端口被哪个应用程序占用时，可以在DOS命令行提示符下，执行“netstat-ano”命令，找到特定端口使用的进程PID。接着使用“Ctrl+Alt+Del”快捷键，弹出系统任务管理器窗口，依次点击“查看”、“选择列”命令，在其后界面中选中“PID”选项，这样任务管理器就能把所有程序使用的PID显示出来了。之后，再根据PID信息，就能知道特定端口被什么应用程序占用了。

有的时候操作不小心，将一条直连线缆同时连接在同一台H3C交换机的两个不同交换端口上，结果这台交换机立即发生了“死机”，具体现象表现为该交换机下层连接的所有无线上网接入点全部停止了工作，请问这是什么原因？

答：要是我们没有为交换机端口划分设置VLAN的话，那么一台交换机上的所有交换端口在默认状态下都处于相同的VLAN中，它们共用一个VLAN虚拟接口。当我们不小心使用直通线缆将同一台交换机相同VLAN的两个交换端口相互连接起来时，那就相当于使用一条网线将同一块网卡的两个网卡接口连接在一起（假设目标网卡同时存在两个接口），最终结果会导致交换机或网卡出现内部死循环，IP地址发生冲突现象（因为这个时候目的IP地址和源IP地址是相同的），数据包自然会发送不出去。从物理的角度来理解，那就是交换机发生了物理性短路故障，从而造成该设备停止了工作。

单位局域网中有一台H3C S3100系列的楼层交换机，该交换机某端口下面连接的是一台虚拟机的物理服务器，其中的虚拟机所处的网段各不相同，倘若要确保这些虚拟机既能同时访问外面，又能相互访问，那么是否需要对交换端口进行单独的参数配置操作？

答：不需要在交换端口上对每个虚拟机进行依次配置，只需要在物理服务器中进行集中配置就可以实现上述访问目的了，因为每个虚拟机相互之间的访问，都是通过虚拟机软件的NAT模式来配置的，与交换端口的配置没有什么关系。

TCP 协议的 135、137、138、139等端口，经常会被不小心打开。其实，这些端口平时被使用的机率不高，但它们的开启，容易引来黑客对本地系统的恶意攻击，请问如何关闭TCP协议的这些端口？

答：正常来说，关闭RPC系统服务，就相当于关闭了135端口。在关闭RPC服务运行状态时，只要先打开系统运行对话框，执行“services.msc”命令，弹出系统服务列表界面。找到“Remote Procedure Call”服务并用鼠标双击，点击其后界面中的“停止”按钮，同时将启动类型修改为“已禁用”选项，确认后保存设置即可。

要关闭TCP协议的137、138、139等端口时，只要禁止使用NetBIOS协议组件即可：首先进入网络连接列表界面，右击其中的“本地连接”图标，执行快捷菜单中的“属性”命令，选中“Internet协议（TCP/IP）”选项，按下“属性”按钮，点击“高级”按钮切换到高级设置窗口。选择“WINS”标签，在对应标签页面的“NetBIOS设置”位置处，将“禁用TCP/IP上的NetBIOS（S）”选中，确认后退出设置对话框即可。

同样地，如果要停用TCP协议的445端口时，可以在系统运行对话框中，输 入“regedit”命 令并 回车，进入系统注册表编辑窗口，将鼠标定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters” 分 支 上，在该分支下手工创建好“SMBDeviceEnabled”双字节键值，同时将其数值设置为“0”，最后重启计算机系统。

最近，笔者在搭建Web服务器的时候，竟然发现80端口已被其他应用程序占用，请问如何将该端口释放出来？

答：首先进入DOS命令行窗口，在命令提示符下输入netstat -aon|findstr “80”命令，找到TCP80端口使用的进程PID，比方说该进程PID为2020。之后，执行字符串命令tasklist|findstr“2020”，就能知道究竟是哪个应用程序占用了80端口。关闭目标应用程序，就能将已被占用的80端口释放出来了。如果查找不到是哪个应用程序占用80端口时，可以直接在任务管理器窗口中，选中PID为“2020”的进程选项，并用鼠标右键单击之，执行右键菜单中的“结束进程”命令即可。

Telnet协议在工作时，会用到23端口，不过该协议端口常常被黑客悄悄利用，容易给远程管理工作带来安全威胁。而且，Telnet协议在传输数据时，都是以明文形式进行，黑客通过专业工具很方便窃听或拦截到，请问如何才能保证Telnet协议工作安全呢？

答：首先将Telnet协议端口号码设置成别人不熟悉的号码。在进行该操作时，先使用“Win+R”快捷键，调用系统运行文本框，输入“cmd”命令并回车，切换到MS-DOS命令行窗口。在该窗口提示符下，执 行“tlntadmn config port=2240”命令（其中“2240”为新的协议端口号码），这样就能将计算机系统的Telnet协议端口号码调整为“2240”了。

要提醒大家的是，新设置的协议端口号码，必须与计算机系统中已开启的端口号码错开，不然的话Telnet协议将不能正常工作。日后，要通过Telnet协议远程连接到本地计算机时，一定在本地计算机名称后面添加“：2240”，才能确保远程连接成功。

如果对远程管理安全要求较高，不妨通过SSH协议连接代替Telnet协议连接，因为在缺省状态下，SSH协议以加密方式传输内容，黑客即使采取技术手段，悄悄窃取到了传输的数据内容，也不能看到其中的内容。

请问如何判断恶意程序是否使用了开放网络端口，如果发现端口被恶意使用时，该怎样采取措施，防范非法的网络应用和入侵？

答：使 用CurrPorts工具，就能直观地将开放端口使用的应用程序信息显示出来，当看到有恶意程序在偷偷占用开放端口时，可以借助Process Explorer工具，对恶意程序的开启状态进行关闭，防止Windows系统继续遭遇恶意程序攻击。

开启CurrPorts工具运行状态后，它会自动将计算机中所有网络应用程序使用的端口号码显示出来，包括本地端口和远程端口，还有端口所用程序的进程名称、进程ID、进程路径、本地地址、远程地址等内容，也会被自动显示出来。要是显示出来的信息比较多时，不妨按下主程序界面中的标题栏，程序会依照名称内容排序显示，这样有利于高效查看信息。用鼠标双击某个记录，弹出对应记录属性信息框，在这里能直观了解到端口所用程序的各种状态信息，包括程序使用的网络协议、协议连接状态、进程名称、进程创建时间、进程ID、进程路径、进程占用端口、进程使用地址等。

根据查看到的信息，大概就能判断出某个陌生程序是否为恶意程序了。当确认恶意程序存在时，可以先用鼠标右击它，点击快捷菜单中的“关闭选定的TCP连接”命令，将恶意程序运行状态强行关闭。之后观察恶意程序是否再次打开了网络端口，要是发现它又打开了端口，那说明恶意程序十分狡猾。此时，不妨利用Process Explorer工具的杀死进程树功能，将扫描发现的恶意程序进程强行杀死，而且该工具还会通过Autoruns程序，扫描系统中的所有自启动项和服务，确保将恶意自动加载项删除干净，避免恶意攻击“卷土重来”。

要是看到Windows系统中运行了多个陌生程序时，不妨使用Shift或Ctrl快捷键，将多个应用程序集中选中，并用鼠标右键单击之，点击右键菜单中的“结束选定端口的进程”命令，这样就能将若干个可疑网络连接快速切断了。通过该方法，也可以将多余网络连接快速断开，以方便排除恶意程序。

为了便于管理宽带路由器，不少管理员会启用该设备的远程管理功能，但该功能缺省会用到80端口，该端口很容易被黑客非法利用，不利于网络的安全稳定运行。请问如何避免这种现象发生？

答：要想保护宽带路由器远程管理安全，不妨将缺省的远程管理端口调整为陌生号码，日后只有知道新端口的人，才能对路由器进行远程管理。比方说，要将TP-Link无线路由器Web管理端口调整为“3456”时，只要先进入路由器后台系统管理界面，依次展开“安全设置”、“远端Web管理”节点，在对应节点下面，将“Web管理端口”参数设置为“3456”。之后，在“远端Web管理IP地址”位置处，输入可以对宽带路由器进行远程管理的计算机公网IP地址，单击“保存”按钮执行设置保存操作，最后重启宽带路由器设备，这样日后只有在特定计算机上，并输入新的端口号码，才能对宽带路由器进行远程管理。

某单位使用Quidway S8500核心路由交换机进行组网的，由于平时管理不善，局域网中经常出现网络回路现象，严重影响了网络的稳定运行。请问如何才能快速检测到局域网中的网络回路现象，以提高网络故障的排查效率？

答：使用Quidway S8500核心路由交换机自带的回路检测功能，就能快速判断局域网中是否存在网络回路现象。默认状态下，有的交换端口没有启用端口环回检测功能，只有启用该功能，才能发挥交换机的动态监控优势。在启用该功能时，先在交换机后台系统执行“system-view”命令，切换到系统全局视图模式，在该模式下执行“loopbackdetection enable”命令，就能启用全局端口环回监测功能。之后，使用“interface e0/2”命令（这里的“e0/2”为特定端口号码），进入特定交换端口视图模式状态，在该状态下执行“loopbackdetection enable”命令，将特定交换端口的网络回路检测功能启用起来。日后，通 过“display loopbackdetection”字符串命令，就能查看到核心交换机下面的哪个交换端口存在网络回路现象。一旦发现某个交换端口下面存在网络回路，必须进入对应端口视图模式状态，在该状态下执行“shutdown”命令，将对应端口工作状态暂时关闭，以避免网络回路现象影响整个网络的稳定运行。

为了提高管理效率，用户经常会用远程桌面连接方式，对重要主机进行远程控制。而远程桌面连接会用到默认的3389端口，为了防止恶意用户趁机利用该端口，对重要主机发动恶意攻击，请问如何将该端口修改成陌生号码？

答：很简单！在重要主机系统中，打开系统注册表编辑窗口，将鼠标定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注 册表分支上，双击目标分支下的PortNumber键 值，在 弹出的编辑键值对话框中，输入新的端口号码，比方说输入“8564”，确认后保存设置操作。之后，将鼠标定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 册表分支上，双击目标分支下的PortNumber键值，在弹出的编辑键值对话框中，也输入“8564”，确认后保存设置操作，最后重新启动计算机系统即可。

如果Linux系统开放了太多的端口和服务，容易招来恶意攻击，为了保护Linux系统的安全运行，请问如何将那些不需要的或无效的系统服务和网络端口关闭掉？

答：由于所有系统服务的运行状态都受“/etc/inetd.conf”文件控制，我们可以打开该文件，检查其中有哪些系统服务不需要，通过在对应服务前面添加“#”的方法，取消并反安装目标服务，再通过“sighup”命令对“/etc/inetd.conf”文件进行升级，让上述操作正式生效。一般来说，fingerd、rexec、rlogin、rshd等服务不常使用，我们应该将其取消安装。

虽然将有安全威胁的网络端口关闭后，能保证系统上网安全，但是用户自己在上网访问时，同样也会受到影响，请问有没有一种两全其美的办法，既能保证用户自己使用任何网络端口，又能限制别人使用其他端口呢？

答：利用“PortsLock”这款外力工具，依照具体的访问要求，正确定义好网络端口访问规则，就能达到上述目的，也就是既不影响自己上网连接，又能限制他人使用端口。

打 开“PortsLock” 程序界面，从菜单栏中依次选择“File”、“Quick Start Wizard”命令，弹出向导设置对话框，点击“下一步”，将“The Administrators local group has full access but access for all other users is denied”选中，再按提示完成其余设置即可。日后，在“PortsLock”工具的作用下，只有本地管理员级别的用户，才能使用任何网络端口上网访问，而其他用户不能访问任何网络端口。