网络安全之端口防御

在默认状态下，Windows会打开不少“服务端口”，若是你想查看本机打开了哪些端口、有哪些电脑正在与本机链接.Windows提供了netstat命令，可以显示当前的 TCP/IP 网络链接状况，注意：只有安装了TCP/IP协议，才能使用netstat命令。在命令提示符下打netstat -an命令进行查看！其中Proto表明协议, Local Address表明本机IP地址和打开的端口号，Foreign Address是远程计算机IP地址和端口号，State代表当前TCP的链接状态.还能够输入了netstat -nab命令，显示每一个链接都是由哪些程序建立的和该程序调用的组件。下面是State一些英文的含义:

LISTEN：侦听来自远方的TCP端口的链接请求

SYN-SENT：再发送链接请求后等待匹配的链接请求

SYN-RECEIVED：再收到和发送一个链接请求后等待对方对链接请求的确认

ESTABLISHED：表明一个打开的链接

FIN-WAIT-1：等待远程TCP链接中断请求，或先前的链接中断请求的确认

FIN-WAIT-2：从远程TCP等待链接中断请求

CLOSE-WAIT：等待从本地用户发来的链接中断请求

CLOSING：等待远程TCP对链接中断的确认

LAST-ACK：等待原来的发向远程TCP的链接中断请求的确认

TIME-WAIT：等待足够的时间以确保远程TCP接收到链接中断请求的确认

CLOSED：没有任何链接状态

默认状况下Windows有不少端口是开放的，一旦你上网，黑客能够经过这些端口连上你的电脑，所以你应该封闭这些端口。主要有：TCP13九、44五、59三、1025 端口和 UDP12三、13七、13八、44五、1900端口、一些流行病毒的后门端口（如 TCP 251三、274五、312七、6129 端口），以及远程服务访问端口3389。关闭端口的方法不少,这里介绍一点:

①13七、13八、13九、445端口：它们都是为共享而开放的，你应该禁止别人共享你的机器，因此要把这些端口所有关闭，方法是：单击“开始→控制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备（停用）”，如图3，单击“肯定”按钮后从新启动后便可。

②关闭UDP123端口：单击“开始→设置→控制面板”，双击“管理工具→服务”，中止Windows Time服务便可。关闭UDP 123端口，能够防范某些蠕虫病毒。

③关闭UDP1900端口：在控制面板中双击“管理工具→服务”，中止SSDP Discovery Service 服务便可。关闭这个端口，能够防范DDoS攻击。

④其余端口：你能够用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，建立 IP 安全策略来关闭。

还有就是重定向本机默认端口，保护系统安全

若是本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另外一个地址，这样便可隐藏公认的默认端口，下降受破坏机率，保护系统安全。

例如你的电脑上开放了远程终端服务（Terminal Server）端口（默认是3389），能够将它重定向到另外一个端口(例如1234)，方法是：

1.在本机上（服务器端）修改

定位到下列两个注册表项，将其中的 PortNumber，所有改为自定义的端口（例如1234）便可：

[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]

[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp]

2.在客户端上修改

依次单击“开始→程序→附件→通信→远程桌面链接”，打开“远程桌面链接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的“另存为”按钮，将该链接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行：server port:i:1234 （这里填写你服务器自定义的端口）。之后，直接双击这个.rdp 文件便可链接到服务器的这个自定义端口了。