現(xiàn)如今病毒、木馬攻擊的方式是多種多樣，尤其是計(jì)算機(jī)端口更是病毒"攻占"的重點(diǎn)部位，你是否曾遇到這樣的情況，當(dāng)我們安裝上諸如天網(wǎng)防火墻上網(wǎng)時(shí)，只見感嘆號(hào)跳個(gè)不停。打開一看都是類似于"xxx.xxx.xxx.xxx 試圖連接本機(jī)的xxx端口，該操作被拒絕"之類的操作提示，這就是一些病毒、木馬攻擊端口的表現(xiàn)。

概念常識(shí)

在上述情況進(jìn)行解決之前，我們先要對(duì)一些常識(shí)性概念進(jìn)行一番了解，尤其是涉及到端口方面的知識(shí)。什么是端口?在網(wǎng)絡(luò)技術(shù)中，端口(Port)大致有兩種意思：一是物理意義上的端口，比如，ADSL Modem、集線器、交換機(jī)、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號(hào)的范圍從0到65535，比如用于瀏覽網(wǎng)頁(yè)服務(wù)的80端口，用于FTP服務(wù)的21端口等等。

本文所講的端口指的是邏輯意義上的端口，它是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障。默認(rèn)情況下，Windows有很多端口是開放的，上網(wǎng)的時(shí)候，網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，我們除了一些重要的端口，如80端口為Web網(wǎng)站服務(wù);21端口為FTP服務(wù);25端口為E-mail SMTP服務(wù);110端口為E-mail POP3服務(wù);1433端口為SQL Server服務(wù)等外，一些沒有服務(wù)的端口都可以關(guān)閉，如TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口)，以及遠(yuǎn)程服務(wù)訪問端口3389等。對(duì)于一些沒有服務(wù)的端口，除了使用一些網(wǎng)絡(luò)防火墻來關(guān)閉外，借助IP安全策略來進(jìn)行關(guān)閉可以說是一個(gè)阻止入侵者入侵的好辦法，下面我們就來定制IP策略。

了解IP安全策略

IP安全策略是一個(gè)給予通訊分析的策略，它將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的"隨意信任"重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全，也就是說，當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)，但功能完善的個(gè)人防火墻。

實(shí)戰(zhàn)IP安全策略

1、 創(chuàng)建一個(gè)IP安全策略

第一步：?jiǎn)螕?開始"菜單，然后選擇"設(shè)置→控制面板"，在彈出的"控制面板"中，雙擊"管理工具"圖標(biāo)，進(jìn)入到"管理工具"中，再次雙擊其中的"本地安全策略"圖標(biāo)并進(jìn)入到"本地安全策略"對(duì)話框中。

第二步：用鼠標(biāo)右擊"IP安全策略"，選擇"創(chuàng)建IP安全策略"命令

在彈出的"IP安全策略向?qū)?對(duì)話框中，單擊"下一步"按鈕，輸入IP安全策略的名稱

如"屏蔽135端口"，再次單擊"下一步"按鈕，保持默認(rèn)參數(shù)設(shè)置不變，直至完成位置，這樣就創(chuàng)建出來了一個(gè)"屏蔽135端口"的安全策略，單擊"確定"按鈕返回。

2、設(shè)置IP篩選器

鼠標(biāo)右擊"IP安全策略"，選擇"管理IP篩選器和篩選器操作"，進(jìn)入到相應(yīng)得對(duì)話框中，在"管理IP篩選器列表"頁(yè)面中，點(diǎn)擊"添加"按鈕，在彈出的"IP篩選器列表"中輸入名稱"屏蔽135端口"，單擊"添加"按鈕，再點(diǎn)擊"下一步"按鈕。在目標(biāo)地址中選擇"我的IP地址"，點(diǎn)擊"下一步"按鈕，在協(xié)議中選擇"TCP"(一般選擇此項(xiàng)，根據(jù)具體的端口設(shè)定，如關(guān)閉ICMP協(xié)議時(shí)，這里選擇ICMP)，如圖3所示，點(diǎn)擊"下一步"按鈕，在設(shè)置IP協(xié)議端口中選擇從任意端口到此端口，在此端口中輸入135，點(diǎn)擊"下一步"按鈕，即可完成屏蔽135端口的設(shè)置，單擊"確定"按鈕返回。其他端口的設(shè)置與此類似。

3、篩選器操作

還是在"管理IP篩選器和篩選器操作"對(duì)話框，進(jìn)入到"管理篩選器操作"頁(yè)面，點(diǎn)擊"添加"按鈕后，再單擊"下一步"按鈕，在名稱中輸入"拒絕"，點(diǎn)擊"下一步"按鈕。在篩選器操作中選擇"阻止"項(xiàng)，點(diǎn)擊"下一步"按鈕，這樣在管理篩選器操作中就會(huì)增加"拒絕"一項(xiàng)了。

單擊"關(guān)閉"按鈕返回到"本地安全設(shè)置"對(duì)話框中。

在"本地安全設(shè)置"對(duì)話框中雙擊左側(cè)窗口中的"IP安全策略 在本地計(jì)算機(jī)"，我們可以看到右側(cè)窗口中會(huì)出現(xiàn)"屏蔽135端口"字樣，用鼠標(biāo)右擊這個(gè)新建的IP安全策略"屏蔽135端口"，選擇"屬性"。在規(guī)則中選擇"添加"，點(diǎn)擊"下一步"按鈕，選擇"此規(guī)則不指定隧道"，接著點(diǎn)擊"下一步"按鈕，在選擇網(wǎng)絡(luò)類型中選擇"所有網(wǎng)絡(luò)連接"，點(diǎn)擊"下一步"按鈕，在IP篩選器列表中選擇"屏蔽135端口。

點(diǎn)擊"下一步"按鈕，在出現(xiàn)的窗口中選中前面操作中添加的"拒絕"，單擊"下一步"按鈕，這樣就將篩選器加入到了名為 "屏蔽135端口"的IP安全策略中了，單擊"確定"按鈕返回。

4、指派

完成了"屏蔽135端口"的IP安全策略的建立，但是在未被指派之前，它并不會(huì)起作用。用鼠標(biāo)右擊"屏蔽135端口"，選擇"指派"后，IP安全策略就生效了。同樣的方法還可以關(guān)閉其他的無用端口，這樣我們就親手創(chuàng)建一個(gè)了安全的網(wǎng)絡(luò)防火墻。