不讓網(wǎng)絡(luò)端口任人擺布

揚(yáng)帆

在上網(wǎng)沖浪的過程中，我們經(jīng)常要和網(wǎng)絡(luò)端口打交道。網(wǎng)絡(luò)端口對(duì)上網(wǎng)連接的重要性不言而喻，任何網(wǎng)絡(luò)應(yīng)用都要借助特定的網(wǎng)絡(luò)端口，才能正常進(jìn)行。但是，您上網(wǎng)沖浪這么長(zhǎng)時(shí)間了，對(duì)網(wǎng)絡(luò)端口有過關(guān)注嗎？我們現(xiàn)在的網(wǎng)絡(luò)應(yīng)用需求五花八門，可能是簡(jiǎn)單訪問網(wǎng)頁(yè)內(nèi)容，可能是遠(yuǎn)程控制管理，也有可能是網(wǎng)絡(luò)下載或其他需求，不同的需求都有對(duì)應(yīng)的網(wǎng)絡(luò)端口在默默地承受著我們所有的任務(wù)。正因?yàn)榫W(wǎng)絡(luò)端口如此重要，許多病毒、木馬等惡意程序才會(huì)緊緊盯住它，并偷偷利用它進(jìn)行各種惡意操作。為了避免非法應(yīng)用和攻擊，我們需要及時(shí)了解端口狀態(tài)，加強(qiáng)端口安全控制，不讓其任人擺布。

關(guān)閉易被利用端口

135、137、138、139、445等網(wǎng)絡(luò)端口，很容易在無意中會(huì)被開啟。事實(shí)上，我們?cè)谄綍r(shí)工作中，可能很少會(huì)用到它們，或者根本就用不到它們，如果對(duì)它們的開啟狀態(tài)不聞不問，黑客可能就會(huì)偷偷利用它們，對(duì)本地系統(tǒng)進(jìn)行惡意攻擊。所以，對(duì)待上面幾個(gè)很少用到，但會(huì)被非法利用的端口，我們必須及時(shí)將其關(guān)閉，以切斷黑客的入侵通道。

一般來說，只有啟動(dòng)運(yùn)行了RPC系統(tǒng)服務(wù)時(shí)，黑客才能利用135端口發(fā)動(dòng)攻擊，所以，在RPC服務(wù)暫停運(yùn)行的情況下，135端口根本就沒有任何作用，這就相當(dāng)于135端口已被關(guān)閉了。在關(guān)閉RPC服務(wù)工作狀態(tài)時(shí)，只要依次點(diǎn)擊“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行文本框，輸入“services.msc”命令并回車，展開系統(tǒng)服務(wù)管理窗口。用鼠標(biāo)雙擊其中的“Remote Procedure Call”服務(wù)，彈出如圖1所示的服務(wù)屬性對(duì)話框，點(diǎn)擊“停止”按鈕，并且將啟動(dòng)類型設(shè)置為“已禁用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作，這樣135端口就不會(huì)被黑客偷偷利用了。

在局域網(wǎng)環(huán)境中，啟動(dòng)NetBIOS協(xié)議組件的情況下，網(wǎng)絡(luò)端口137、138、139會(huì)被自動(dòng)打開。相反，要是關(guān)閉該協(xié)議組件時(shí)，那么137、138、139端口自然也就不會(huì)被他人非法利用了。在進(jìn)行這項(xiàng)操作時(shí)，可以逐一選擇“開始”|“設(shè)置”|“網(wǎng)絡(luò)連接”選項(xiàng)，切換到網(wǎng)絡(luò)連接列表窗口，用鼠標(biāo)右擊“本地連接”圖標(biāo)，點(diǎn)擊右鍵菜單中的“屬性”命令，選中“Internet協(xié)議（TCP/IP）”選項(xiàng)，單擊“屬性”按鈕，再按下“高級(jí)”按鈕展開高級(jí)設(shè)置對(duì)話框。點(diǎn)擊“WINS”選項(xiàng)卡，打開如圖2所示的選項(xiàng)設(shè)置頁(yè)面，在“NetBIOS設(shè)置”位置處，選中“禁用TCP/IP上的NetBIOS（S）”選項(xiàng)，單擊“確定”按鈕返回，這樣137、138、139端口就相當(dāng)于被關(guān)閉了。

要關(guān)閉445端口運(yùn)行狀態(tài)時(shí)，不妨使用“Win+R”快捷鍵，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令，單擊“確定”按鈕，打開系統(tǒng)注冊(cè)表編輯界面，依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters”注冊(cè)表節(jié)點(diǎn)上，在目標(biāo)節(jié)點(diǎn)下手工創(chuàng)建好“SMBDeviceEnabled”雙字節(jié)鍵值，再將其數(shù)值輸入為“0”，最后將計(jì)算機(jī)重新啟動(dòng)一下即可。

探測(cè)端口連接安全

俗話說“知己知彼，百戰(zhàn)不殆”，如果能夠通透系統(tǒng)中所有網(wǎng)絡(luò)端口的安全連接狀態(tài)，那么我們就能對(duì)網(wǎng)絡(luò)應(yīng)用的安全性進(jìn)行有效控制，確保系統(tǒng)始終能夠安全、穩(wěn)定運(yùn)行。要做到這一點(diǎn)，不妨“請(qǐng)”CurrPorts這款免費(fèi)的網(wǎng)絡(luò)端口探測(cè)工具幫忙，它能直觀列出所有TCP連接和UDP連接端口，并能將開放端口使用的應(yīng)用程序信息顯示出來，當(dāng)發(fā)現(xiàn)有惡意程序在使用網(wǎng)絡(luò)端口時(shí)，還能配合Process Explorer工具，強(qiáng)行終止惡意程序的運(yùn)行狀態(tài)，避免系統(tǒng)繼續(xù)遭遇非法攻擊。

CurrPorts工具啟動(dòng)運(yùn)行后，會(huì)自動(dòng)掃描系統(tǒng)，將系統(tǒng)中所有網(wǎng)絡(luò)應(yīng)用程序使用的本地端口和遠(yuǎn)程端口列寫出來，如圖3所示。除此之外，所有程序的名稱、ID標(biāo)識(shí)、路徑、本地IP地址、遠(yuǎn)程IP地址等信息，也能被探測(cè)并顯示出來。如果探測(cè)出來的內(nèi)容比較多時(shí)，可以點(diǎn)擊主程序界面中的標(biāo)題欄，程序會(huì)根據(jù)名稱內(nèi)容排序顯示，這樣查看起來會(huì)高效一些。

用鼠標(biāo)雙擊某個(gè)應(yīng)用程序，彈出對(duì)應(yīng)程序?qū)傩詫?duì)話框，在這里能看到該程序使用的進(jìn)程名稱、進(jìn)程ID、進(jìn)程路徑、進(jìn)程創(chuàng)建時(shí)間，程序使用的本地端口、遠(yuǎn)程端口、本地地址、遠(yuǎn)程地址，應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議以及協(xié)議連接狀態(tài)。當(dāng)懷疑某個(gè)程序?yàn)閻阂獬绦驎r(shí)，不妨先用鼠標(biāo)選中它，同時(shí)單擊右鍵，選擇右鍵菜單中的“關(guān)閉選定的TCP連接”命令，強(qiáng)行關(guān)閉目標(biāo)程序的運(yùn)行狀態(tài)。接著繼續(xù)跟蹤目標(biāo)程序有沒有再次打開新的網(wǎng)絡(luò)端口，如果它還會(huì)悄悄打開端口，基本就能斷定目標(biāo)程序?yàn)閻阂獬绦?。這個(gè)時(shí)候，可以下載使用Process Explorer工具，將探測(cè)出來的惡意進(jìn)程強(qiáng)行殺死，該工具支持殺死進(jìn)程樹功能，也就是說它能自動(dòng)將與惡意進(jìn)程有關(guān)的所有進(jìn)程全部殺死，并且會(huì)利用Autoruns程序檢查本地計(jì)算機(jī)中的所有自啟動(dòng)項(xiàng)和服務(wù)，以確保將惡意程序的自動(dòng)加載項(xiàng)刪除干凈，之后它還能進(jìn)入惡意文件所在文件夾，強(qiáng)行刪除惡意程序的可執(zhí)行文件，避免它繼續(xù)危害Windows系統(tǒng)的安全運(yùn)行。

當(dāng)然，如果發(fā)現(xiàn)系統(tǒng)中存在多個(gè)可疑程序時(shí)，可以借助Shift或Ctrl功能鍵，一次性選中多個(gè)應(yīng)用程序選項(xiàng)，并用鼠標(biāo)右鍵單擊之，選擇快捷菜單中的“結(jié)束選定端口的進(jìn)程”命令，這樣就能快速斷開多個(gè)可疑網(wǎng)絡(luò)連接。通過這種方法，也能將多余的網(wǎng)絡(luò)連接快速切斷，以利于高效排查惡意程序。

調(diào)整遠(yuǎn)程桌面端口

為了改善網(wǎng)絡(luò)管理維護(hù)效率，不少網(wǎng)管員經(jīng)常會(huì)利用遠(yuǎn)程桌面連接程序，遠(yuǎn)程管理局域網(wǎng)中的重要主機(jī)系統(tǒng)。然而，在享受方便、快捷服務(wù)的同時(shí)，遠(yuǎn)程桌面連接程序會(huì)用到人所皆知的3389端口，而該端口也是黑客或惡意程序重點(diǎn)瞄準(zhǔn)的對(duì)象，所以輕易建立遠(yuǎn)程桌面連接，容易給本地網(wǎng)絡(luò)或系統(tǒng)帶來安全威脅。

事實(shí)上，將遠(yuǎn)程桌面連接服務(wù)端口，調(diào)整為陌生的號(hào)碼，日后使用指定的新端口號(hào)碼與重要主機(jī)建立遠(yuǎn)程桌面連接，就能保證遠(yuǎn)程桌面連接操作不會(huì)受到黑客或惡意程序的攻擊了。例如，要將遠(yuǎn)程桌面連接端口號(hào)碼修改為“68721”時(shí)，可以進(jìn)行下面的設(shè)置操作：

首先使用“Win+R”快捷鍵，打開系統(tǒng)運(yùn)行對(duì)話框，輸入“Regedit”命令，點(diǎn)擊“確定”按鈕，彈出系統(tǒng)注冊(cè)表編輯窗口。在該編輯窗口左側(cè)區(qū)域，依次跳轉(zhuǎn)到注冊(cè)表節(jié)點(diǎn)“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp”上，找到該節(jié)點(diǎn)下的“PortNumber”鍵值，并用鼠標(biāo)雙擊之，彈出編輯鍵值對(duì)話框，在這里將默認(rèn)使用的“3389”端口號(hào)碼設(shè)置為“68721”，點(diǎn)擊“確定”按鈕保存設(shè)置操作。需要注意的是，新設(shè)定的端口號(hào)碼，不能與已經(jīng)打開的端口相同。

接著逐一跳轉(zhuǎn)到注冊(cè)表節(jié)點(diǎn)“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp”上，用鼠標(biāo)雙擊指定節(jié)點(diǎn)下的“PortNumber”鍵值（如圖4所示），切換到編輯鍵值對(duì)話框，在這里也輸入“68721”，確認(rèn)后刷新系統(tǒng)注冊(cè)表，這樣遠(yuǎn)程桌面連接程序使用的端口號(hào)碼就變成“68721”了。

將本地系統(tǒng)的遠(yuǎn)程桌面連接端口設(shè)置為“68721”后，還需要在使用遠(yuǎn)程桌面連接程序的計(jì)算機(jī)中指定好該端口號(hào)碼。在進(jìn)行該操作時(shí)，依次點(diǎn)擊“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行文本框，輸入“mstsc.exe”命令并回車，打開遠(yuǎn)程桌面連接設(shè)置框。按下“選項(xiàng)”按鈕，彈出如圖5所示的選項(xiàng)設(shè)置界面，在“計(jì)算機(jī)”文本框中，設(shè)置好遠(yuǎn)程主機(jī)的IP地址，在IP地址后面直接加上“：68721”，再輸入好登錄賬號(hào)與密碼，點(diǎn)擊“連接”按鈕后，Windows系統(tǒng)就會(huì)使用新的端口號(hào)碼與目標(biāo)主機(jī)建立遠(yuǎn)程桌面連接了，其他不知道新端口的用戶，是無法遠(yuǎn)程連接到目標(biāo)主機(jī)系統(tǒng)中的。當(dāng)然，為了保證下次可以高效建立遠(yuǎn)程桌面連接，我們還可以按下“保存”按鈕，將本次的遠(yuǎn)程桌面連接各項(xiàng)參數(shù)保存下來，日后不需要重復(fù)設(shè)置，就能快速建立遠(yuǎn)程桌面連接。

禁止別人使用端口

關(guān)閉一些安全威脅大的網(wǎng)絡(luò)端口后，我們自己在上網(wǎng)連接時(shí)，可能也會(huì)受到“牽連”。能否找到一種合適的辦法，確保我們自己可以隨意使用任何網(wǎng)絡(luò)端口，而別人不能使用一切端口呢？雖然利用專業(yè)防火墻工具，能夠有效管理網(wǎng)絡(luò)端口的啟用或關(guān)閉狀態(tài)，可是防火墻程序使用起來一般很麻煩，都要經(jīng)過復(fù)雜設(shè)置，而且消耗的系統(tǒng)資源也比較多?，F(xiàn)在，只要通過“PortsLock”這款小巧的工具，根據(jù)實(shí)際控制要求簡(jiǎn)單地設(shè)置好端口訪問規(guī)則，就能達(dá)到禁止別人使用網(wǎng)絡(luò)端口的目的，同時(shí)還不影響自己的上網(wǎng)連接。

啟動(dòng)運(yùn)行“PortsLock”工具后，打開對(duì)應(yīng)程序主操作界面（如圖6所示），逐一點(diǎn)擊“File”|“Quick Start Wizard”選項(xiàng)，打開快速設(shè)置向?qū)Э?，按下“下一步”按鈕，選中“The Administrators local group has full access but access for all other users is denied”選項(xiàng)，再按默認(rèn)設(shè)置完成剩余操作。日后，在“PortsLock”工具的控制下，只有本地管理員用戶有權(quán)限訪問計(jì)算機(jī)系統(tǒng)中的任何網(wǎng)絡(luò)端口，而其他用戶嘗試使用網(wǎng)絡(luò)端口時(shí)，都會(huì)遇到訪問受限的提示。

如果希望普通用戶能夠上網(wǎng)訪問本地網(wǎng)絡(luò)資源時(shí)，不妨選中“access but all other users can only access the local network resources”選項(xiàng)，這樣除了本地管理員用戶可以隨意訪問所有網(wǎng)絡(luò)端口外，其他用戶也能訪問本地網(wǎng)絡(luò)資源，只不過是無法訪問外網(wǎng)內(nèi)容而已。倘若想更加靈活地控制網(wǎng)絡(luò)端口的訪問權(quán)限時(shí)，也可以進(jìn)入“Permissions”控制面板，在這里根據(jù)實(shí)際訪問要求，定義好用戶或用戶組訪問網(wǎng)絡(luò)端口的控制規(guī)則。在每個(gè)用戶的配置項(xiàng)下面，都存在“Incoming”、“Outgoing”等控制選項(xiàng)，通過它們可以定制接受規(guī)則和發(fā)送規(guī)則，確保網(wǎng)絡(luò)端口訪問既高效又安全。

限制使用下載端口

在多用戶共用一臺(tái)計(jì)算機(jī)的情況下，要是允許任意用戶在公共計(jì)算機(jī)中自由進(jìn)行下載操作，很容易引起安全麻煩。為了拒絕他人下載，很多網(wǎng)管員會(huì)采取禁用網(wǎng)卡、斷開網(wǎng)線等措施，來保護(hù)本地系統(tǒng)的上網(wǎng)安全，不過這些措施容易得罪人，要是通過專業(yè)工具進(jìn)行限制，也會(huì)被他人輕易看穿。那么怎樣才能禮貌地限制他人使用網(wǎng)絡(luò)下載端口呢？使用TCP/IP篩選法，就能很禮貌地拒絕他人在本地系統(tǒng)進(jìn)行網(wǎng)絡(luò)下載操作：

首先打開公共計(jì)算機(jī)的“開始”菜單，選擇“設(shè)置”|“網(wǎng)絡(luò)連接”選項(xiàng)，展開網(wǎng)絡(luò)連接列表窗口，選中“本地連接”圖標(biāo)并用鼠標(biāo)右鍵單擊之，執(zhí)行快捷菜單中的“屬性”命令，彈出本地連接屬性設(shè)置框。選中“常規(guī)”標(biāo)簽頁(yè)面中的“Internet協(xié)議（TCP/IP）”選項(xiàng)，點(diǎn)擊“屬性”按鈕，進(jìn)入TCP/IP協(xié)議屬性設(shè)置框，按下“高級(jí)”按鈕，打開TCP/IP協(xié)議高級(jí)設(shè)置框。點(diǎn)擊“選項(xiàng)”標(biāo)簽，選中“TCP/IP篩選”選項(xiàng)，按下“屬性”按鈕，這時(shí)我們能看到如圖7所示的設(shè)置對(duì)話框。

將“TCP端口”、“UDP端口”、“IP協(xié)議”都設(shè)置為“只允許”，同時(shí)點(diǎn)擊“添加”按鈕，將它們的數(shù)值都調(diào)整為“1”，單擊“確定”按鈕保存設(shè)置內(nèi)容，再重啟計(jì)算機(jī)系統(tǒng)。這時(shí)，我們嘗試在公共計(jì)算機(jī)系統(tǒng)中下載信息，或進(jìn)行其他網(wǎng)絡(luò)應(yīng)用操作時(shí)，就發(fā)現(xiàn)操作無法成功了，但是查看網(wǎng)絡(luò)連接狀態(tài)時(shí)卻一切正常，既能接收信息，也能發(fā)送信息，一般用戶根本看不出其中的“貓膩”。日后，如果我們自己想從網(wǎng)上下載信息或訪問內(nèi)容時(shí)，只要重新打開TCP/IP篩選設(shè)置框，將這里的“TCP端口”、“UDP端口”、“IP協(xié)議”都設(shè)置為“全部允許”即可。

當(dāng)然，上面的方法在限制下載端口的同時(shí)，也會(huì)限制其他網(wǎng)絡(luò)應(yīng)用端口。如果要對(duì)下載端口單獨(dú)限制時(shí)，可以使用防火墻來幫忙。例如，在Windows 7系統(tǒng)中，我們可以設(shè)置高級(jí)防火墻規(guī)則，限制使用默認(rèn)開放的21端口，禁止用戶進(jìn)行FTP操作，下面就是詳細(xì)的限制步驟：

首先打開Windows 7系統(tǒng)高級(jí)安全防火墻配置界面，選擇“入站規(guī)則”選項(xiàng)，右擊目標(biāo)規(guī)則選項(xiàng)，點(diǎn)擊快捷菜單中的“新規(guī)則”命令，彈出入站規(guī)則新建向?qū)?duì)話框。選中“端口”選項(xiàng)，點(diǎn)擊“下一步”后，依次選中“TCP”選項(xiàng)和“特定本地端口”選項(xiàng)，輸入要限制使用的網(wǎng)絡(luò)端口號(hào)碼，這里應(yīng)該輸入“21”。

接著向?qū)гO(shè)置框會(huì)彈出提示，詢問我們要執(zhí)行什么操作時(shí)，必須選中“阻止連接”（如圖8所示），并將“域”、“公用”、“專用”等選項(xiàng)按需選中，再設(shè)置好安全規(guī)則名稱，并點(diǎn)擊“完成”按鈕，這樣Win7系統(tǒng)就會(huì)禁止用戶使用21端口進(jìn)行FTP上傳操作了。按照同樣的操作，再手工定義一個(gè)出站規(guī)則，禁止用戶使用21端口進(jìn)行FTP下載操作。

查看端口使用程序

利用Windows系統(tǒng)自帶的一些命令，例如tasklist、netstat等，可以查看到Windows系統(tǒng)究竟有哪些端口處于開放狀態(tài)。但如果想進(jìn)一步了解開放的網(wǎng)絡(luò)端口，正被哪些應(yīng)用程序使用，這些程序的路徑位于什么位置時(shí)，Windows系統(tǒng)自身的命令就無能為力了。此時(shí)，我們可以使用DOS環(huán)境下的Fport工具，來查看開放端口使用的應(yīng)用程序名稱和路徑。

從網(wǎng)上下載獲得Fport工具后，將其解壓到特定目錄中，例如解壓到“D：＼aaa”目錄中。之后，依次點(diǎn)擊“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車，切換到DOS命令行窗口。使用“cd”命令，將當(dāng)前目錄設(shè)置為Fport工具所在的路徑，再執(zhí)行“fport /ap”命令，在其后返回的結(jié)果信息中，就能查看到開放端口使用的應(yīng)用程序名稱和路徑了。通過這些信息，我們往往能夠大概判斷出，開放端口究竟是被木馬程序打開的，還是被正常程序打開的。

當(dāng)確認(rèn)某端口是被木馬程序打開時(shí)，我們必須及時(shí)殺死木馬病毒進(jìn)程，之后根據(jù)應(yīng)用程序路徑信息，進(jìn)入相應(yīng)的文件夾窗口，將木馬源頭文件刪除干凈，避免它們繼續(xù)攻擊Windows系統(tǒng)。值得注意的是，只有管理員級(jí)別的用戶才能使用Fport工具。