網絡安全之端口防禦

在默認狀態下，Windows會打開不少「服務端口」，若是你想查看本機打開了哪些端口、有哪些電腦正在與本機鏈接.Windows提供了netstat命令，可以顯示當前的 TCP/IP 網絡鏈接狀況，注意：只有安裝了TCP/IP協議，才能使用netstat命令。在命令提示符下打netstat -an命令進行查看！其中Proto表明協議, Local Address表明本機IP地址和打開的端口號，Foreign Address是遠程計算機IP地址和端口號，State代表當前TCP的鏈接狀態.還能夠輸入了netstat -nab命令，顯示每一個鏈接都是由哪些程序建立的和該程序調用的組件。下面是State一些英文的含義:

LISTEN：偵聽來自遠方的TCP端口的鏈接請求

SYN-SENT：再發送鏈接請求後等待匹配的鏈接請求

SYN-RECEIVED：再收到和發送一個鏈接請求後等待對方對鏈接請求的確認

ESTABLISHED：表明一個打開的鏈接

FIN-WAIT-1：等待遠程TCP鏈接中斷請求，或先前的鏈接中斷請求的確認

FIN-WAIT-2：從遠程TCP等待鏈接中斷請求

CLOSE-WAIT：等待從本地用戶發來的鏈接中斷請求

CLOSING：等待遠程TCP對鏈接中斷的確認

LAST-ACK：等待原來的發向遠程TCP的鏈接中斷請求的確認

TIME-WAIT：等待足夠的時間以確保遠程TCP接收到鏈接中斷請求的確認

CLOSED：沒有任何鏈接狀態

默認狀況下Windows有不少端口是開放的，一旦你上網，黑客能夠經過這些端口連上你的電腦，所以你應該封閉這些端口。主要有：TCP13九、44五、59三、1025 端口和 UDP12三、13七、13八、44五、1900端口、一些流行病毒的後門端口（如 TCP 251三、274五、312七、6129 端口），以及遠程服務訪問端口3389。關閉端口的方法不少,這裏介紹一點:

①13七、13八、13九、445端口：它們都是爲共享而開放的，你應該禁止別人共享你的機器，因此要把這些端口所有關閉，方法是：單擊「開始→控制面板→系統→硬件→設備管理器」，單擊「查看」菜單下的「顯示隱藏的設備」，雙擊「非即插即用驅動程序」，找到並雙擊NetBios over Tcpip，在打開的「NetBios over Tcpip屬性」窗口中，單擊選中「常規」標籤下的「不要使用這個設備（停用）」，如圖3，單擊「肯定」按鈕後從新啓動後便可。

②關閉UDP123端口：單擊「開始→設置→控制面板」，雙擊「管理工具→服務」，中止Windows Time服務便可。關閉UDP 123端口，能夠防範某些蠕蟲病毒。

③關閉UDP1900端口：在控制面板中雙擊「管理工具→服務」，中止SSDP Discovery Service 服務便可。關閉這個端口，能夠防範DDoS攻擊。

④其餘端口：你能夠用網絡防火牆來關閉，或者在「控制面板」中，雙擊「管理工具→本地安全策略」，選中「IP 安全策略，在本地計算機」，建立 IP 安全策略來關閉。

還有就是重定向本機默認端口，保護系統安全

若是本機的默認端口不能關閉，你應該將它「重定向」。把該端口重定向到另外一個地址，這樣便可隱藏公認的默認端口，下降受破壞機率，保護系統安全。

例如你的電腦上開放了遠程終端服務（Terminal Server）端口（默認是3389），能夠將它重定向到另外一個端口(例如1234)，方法是：

1.在本機上（服務器端）修改

定位到下列兩個註冊表項，將其中的 PortNumber，所有改爲自定義的端口（例如1234）便可：

[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]

[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp]

2.在客戶端上修改

依次單擊「開始→程序→附件→通信→遠程桌面鏈接」，打開「遠程桌面鏈接」窗口，單擊「選項」按鈕擴展窗口，填寫完相關參數後，單擊「常規」下的「另存爲」按鈕，將該鏈接參數導出爲.rdp文件。用記事本打開該文件，在文件最後添加一行：server port:i:1234 （這裏填寫你服務器自定義的端口）。之後，直接雙擊這個.rdp 文件便可鏈接到服務器的這個自定義端口了。