揚帆

在上網(wǎng)沖浪的過程中，我們經(jīng)常要和網(wǎng)絡(luò)端口打交道。網(wǎng)絡(luò)端口對上網(wǎng)連接的重要性不言而喻，任何網(wǎng)絡(luò)應(yīng)用都要借助特定的網(wǎng)絡(luò)端口，才能正常進行。但是，您上網(wǎng)沖浪這么長時間了，對網(wǎng)絡(luò)端口有過關(guān)注嗎？我們現(xiàn)在的網(wǎng)絡(luò)應(yīng)用需求五花八門，可能是簡單訪問網(wǎng)頁內(nèi)容，可能是遠程控制管理，也有可能是網(wǎng)絡(luò)下載或其他需求，不同的需求都有對應(yīng)的網(wǎng)絡(luò)端口在默默地承受著我們所有的任務(wù)。正因為網(wǎng)絡(luò)端口如此重要，許多病毒、木馬等惡意程序才會緊緊盯住它，并偷偷利用它進行各種惡意操作。為了避免非法應(yīng)用和攻擊，我們需要及時了解端口狀態(tài)，加強端口安全控制，不讓其任人擺布。

關(guān)閉易被利用端口

135、137、138、139、445等網(wǎng)絡(luò)端口，很容易在無意中會被開啟。事實上，我們在平時工作中，可能很少會用到它們，或者根本就用不到它們，如果對它們的開啟狀態(tài)不聞不問，黑客可能就會偷偷利用它們，對本地系統(tǒng)進行惡意攻擊。所以，對待上面幾個很少用到，但會被非法利用的端口，我們必須及時將其關(guān)閉，以切斷黑客的入侵通道。

一般來說，只有啟動運行了RPC系統(tǒng)服務(wù)時，黑客才能利用135端口發(fā)動攻擊，所以，在RPC服務(wù)暫停運行的情況下，135端口根本就沒有任何作用，這就相當于135端口已被關(guān)閉了。在關(guān)閉RPC服務(wù)工作狀態(tài)時，只要依次點擊“開始”|“運行”命令，彈出系統(tǒng)運行文本框，輸入“services.msc”命令并回車，展開系統(tǒng)服務(wù)管理窗口。用鼠標雙擊其中的“Remote Procedure Call”服務(wù)，彈出如圖1所示的服務(wù)屬性對話框，點擊“停止”按鈕，并且將啟動類型設(shè)置為“已禁用”選項，單擊“確定”按鈕保存設(shè)置操作，這樣135端口就不會被黑客偷偷利用了。

在局域網(wǎng)環(huán)境中，啟動NetBIOS協(xié)議組件的情況下，網(wǎng)絡(luò)端口137、138、139會被自動打開。相反，要是關(guān)閉該協(xié)議組件時，那么137、138、139端口自然也就不會被他人非法利用了。在進行這項操作時，可以逐一選擇“開始”|“設(shè)置”|“網(wǎng)絡(luò)連接”選項，切換到網(wǎng)絡(luò)連接列表窗口，用鼠標右擊“本地連接”圖標，點擊右鍵菜單中的“屬性”命令，選中“Internet協(xié)議（TCP/IP）”選項，單擊“屬性”按鈕，再按下“高級”按鈕展開高級設(shè)置對話框。點擊“WINS”選項卡，打開如圖2所示的選項設(shè)置頁面，在“NetBIOS設(shè)置”位置處，選中“禁用TCP/IP上的NetBIOS（S）”選項，單擊“確定”按鈕返回，這樣137、138、139端口就相當于被關(guān)閉了。

要關(guān)閉445端口運行狀態(tài)時，不妨使用“Win+R”快捷鍵，彈出系統(tǒng)運行對話框，輸入“regedit”命令，單擊“確定”按鈕，打開系統(tǒng)注冊表編輯界面，依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters”注冊表節(jié)點上，在目標節(jié)點下手工創(chuàng)建好“SMBDeviceEnabled”雙字節(jié)鍵值，再將其數(shù)值輸入為“0”，最后將計算機重新啟動一下即可。

探測端口連接安全

俗話說“知己知彼，百戰(zhàn)不殆”，如果能夠通透系統(tǒng)中所有網(wǎng)絡(luò)端口的安全連接狀態(tài)，那么我們就能對網(wǎng)絡(luò)應(yīng)用的安全性進行有效控制，確保系統(tǒng)始終能夠安全、穩(wěn)定運行。要做到這一點，不妨“請”CurrPorts這款免費的網(wǎng)絡(luò)端口探測工具幫忙，它能直觀列出所有TCP連接和UDP連接端口，并能將開放端口使用的應(yīng)用程序信息顯示出來，當發(fā)現(xiàn)有惡意程序在使用網(wǎng)絡(luò)端口時，還能配合Process Explorer工具，強行終止惡意程序的運行狀態(tài)，避免系統(tǒng)繼續(xù)遭遇非法攻擊。

CurrPorts工具啟動運行后，會自動掃描系統(tǒng)，將系統(tǒng)中所有網(wǎng)絡(luò)應(yīng)用程序使用的本地端口和遠程端口列寫出來，如圖3所示。除此之外，所有程序的名稱、ID標識、路徑、本地IP地址、遠程IP地址等信息，也能被探測并顯示出來。如果探測出來的內(nèi)容比較多時，可以點擊主程序界面中的標題欄，程序會根據(jù)名稱內(nèi)容排序顯示，這樣查看起來會高效一些。

用鼠標雙擊某個應(yīng)用程序，彈出對應(yīng)程序?qū)傩詫υ捒?，在這里能看到該程序使用的進程名稱、進程ID、進程路徑、進程創(chuàng)建時間，程序使用的本地端口、遠程端口、本地地址、遠程地址，應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議以及協(xié)議連接狀態(tài)。當懷疑某個程序為惡意程序時，不妨先用鼠標選中它，同時單擊右鍵，選擇右鍵菜單中的“關(guān)閉選定的TCP連接”命令，強行關(guān)閉目標程序的運行狀態(tài)。接著繼續(xù)跟蹤目標程序有沒有再次打開新的網(wǎng)絡(luò)端口，如果它還會悄悄打開端口，基本就能斷定目標程序為惡意程序。這個時候，可以下載使用Process Explorer工具，將探測出來的惡意進程強行殺死，該工具支持殺死進程樹功能，也就是說它能自動將與惡意進程有關(guān)的所有進程全部殺死，并且會利用Autoruns程序檢查本地計算機中的所有自啟動項和服務(wù)，以確保將惡意程序的自動加載項刪除干凈，之后它還能進入惡意文件所在文件夾，強行刪除惡意程序的可執(zhí)行文件，避免它繼續(xù)危害Windows系統(tǒng)的安全運行。

當然，如果發(fā)現(xiàn)系統(tǒng)中存在多個可疑程序時，可以借助Shift或Ctrl功能鍵，一次性選中多個應(yīng)用程序選項，并用鼠標右鍵單擊之，選擇快捷菜單中的“結(jié)束選定端口的進程”命令，這樣就能快速斷開多個可疑網(wǎng)絡(luò)連接。通過這種方法，也能將多余的網(wǎng)絡(luò)連接快速切斷，以利于高效排查惡意程序。

調(diào)整遠程桌面端口

為了改善網(wǎng)絡(luò)管理維護效率，不少網(wǎng)管員經(jīng)常會利用遠程桌面連接程序，遠程管理局域網(wǎng)中的重要主機系統(tǒng)。然而，在享受方便、快捷服務(wù)的同時，遠程桌面連接程序會用到人所皆知的3389端口，而該端口也是黑客或惡意程序重點瞄準的對象，所以輕易建立遠程桌面連接，容易給本地網(wǎng)絡(luò)或系統(tǒng)帶來安全威脅。

事實上，將遠程桌面連接服務(wù)端口，調(diào)整為陌生的號碼，日后使用指定的新端口號碼與重要主機建立遠程桌面連接，就能保證遠程桌面連接操作不會受到黑客或惡意程序的攻擊了。例如，要將遠程桌面連接端口號碼修改為“68721”時，可以進行下面的設(shè)置操作：

首先使用“Win+R”快捷鍵，打開系統(tǒng)運行對話框，輸入“Regedit”命令，點擊“確定”按鈕，彈出系統(tǒng)注冊表編輯窗口。在該編輯窗口左側(cè)區(qū)域，依次跳轉(zhuǎn)到注冊表節(jié)點“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp”上，找到該節(jié)點下的“PortNumber”鍵值，并用鼠標雙擊之，彈出編輯鍵值對話框，在這里將默認使用的“3389”端口號碼設(shè)置為“68721”，點擊“確定”按鈕保存設(shè)置操作。需要注意的是，新設(shè)定的端口號碼，不能與已經(jīng)打開的端口相同。

接著逐一跳轉(zhuǎn)到注冊表節(jié)點“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp”上，用鼠標雙擊指定節(jié)點下的“PortNumber”鍵值（如圖4所示），切換到編輯鍵值對話框，在這里也輸入“68721”，確認后刷新系統(tǒng)注冊表，這樣遠程桌面連接程序使用的端口號碼就變成“68721”了。

將本地系統(tǒng)的遠程桌面連接端口設(shè)置為“68721”后，還需要在使用遠程桌面連接程序的計算機中指定好該端口號碼。在進行該操作時，依次點擊“開始”|“運行”命令，彈出系統(tǒng)運行文本框，輸入“mstsc.exe”命令并回車，打開遠程桌面連接設(shè)置框。按下“選項”按鈕，彈出如圖5所示的選項設(shè)置界面，在“計算機”文本框中，設(shè)置好遠程主機的IP地址，在IP地址后面直接加上“：68721”，再輸入好登錄賬號與密碼，點擊“連接”按鈕后，Windows系統(tǒng)就會使用新的端口號碼與目標主機建立遠程桌面連接了，其他不知道新端口的用戶，是無法遠程連接到目標主機系統(tǒng)中的。當然，為了保證下次可以高效建立遠程桌面連接，我們還可以按下“保存”按鈕，將本次的遠程桌面連接各項參數(shù)保存下來，日后不需要重復(fù)設(shè)置，就能快速建立遠程桌面連接。

禁止別人使用端口

關(guān)閉一些安全威脅大的網(wǎng)絡(luò)端口后，我們自己在上網(wǎng)連接時，可能也會受到“牽連”。能否找到一種合適的辦法，確保我們自己可以隨意使用任何網(wǎng)絡(luò)端口，而別人不能使用一切端口呢？雖然利用專業(yè)防火墻工具，能夠有效管理網(wǎng)絡(luò)端口的啟用或關(guān)閉狀態(tài)，可是防火墻程序使用起來一般很麻煩，都要經(jīng)過復(fù)雜設(shè)置，而且消耗的系統(tǒng)資源也比較多?，F(xiàn)在，只要通過“PortsLock”這款小巧的工具，根據(jù)實際控制要求簡單地設(shè)置好端口訪問規(guī)則，就能達到禁止別人使用網(wǎng)絡(luò)端口的目的，同時還不影響自己的上網(wǎng)連接。

啟動運行“PortsLock”工具后，打開對應(yīng)程序主操作界面（如圖6所示），逐一點擊“File”|“Quick Start Wizard”選項，打開快速設(shè)置向?qū)Э?，按下“下一步”按鈕，選中“The Administrators local group has full access but access for all other users is denied”選項，再按默認設(shè)置完成剩余操作。日后，在“PortsLock”工具的控制下，只有本地管理員用戶有權(quán)限訪問計算機系統(tǒng)中的任何網(wǎng)絡(luò)端口，而其他用戶嘗試使用網(wǎng)絡(luò)端口時，都會遇到訪問受限的提示。

如果希望普通用戶能夠上網(wǎng)訪問本地網(wǎng)絡(luò)資源時，不妨選中“access but all other users can only access the local network resources”選項，這樣除了本地管理員用戶可以隨意訪問所有網(wǎng)絡(luò)端口外，其他用戶也能訪問本地網(wǎng)絡(luò)資源，只不過是無法訪問外網(wǎng)內(nèi)容而已。倘若想更加靈活地控制網(wǎng)絡(luò)端口的訪問權(quán)限時，也可以進入“Permissions”控制面板，在這里根據(jù)實際訪問要求，定義好用戶或用戶組訪問網(wǎng)絡(luò)端口的控制規(guī)則。在每個用戶的配置項下面，都存在“Incoming”、“Outgoing”等控制選項，通過它們可以定制接受規(guī)則和發(fā)送規(guī)則，確保網(wǎng)絡(luò)端口訪問既高效又安全。

限制使用下載端口

在多用戶共用一臺計算機的情況下，要是允許任意用戶在公共計算機中自由進行下載操作，很容易引起安全麻煩。為了拒絕他人下載，很多網(wǎng)管員會采取禁用網(wǎng)卡、斷開網(wǎng)線等措施，來保護本地系統(tǒng)的上網(wǎng)安全，不過這些措施容易得罪人，要是通過專業(yè)工具進行限制，也會被他人輕易看穿。那么怎樣才能禮貌地限制他人使用網(wǎng)絡(luò)下載端口呢？使用TCP/IP篩選法，就能很禮貌地拒絕他人在本地系統(tǒng)進行網(wǎng)絡(luò)下載操作：

首先打開公共計算機的“開始”菜單，選擇“設(shè)置”|“網(wǎng)絡(luò)連接”選項，展開網(wǎng)絡(luò)連接列表窗口，選中“本地連接”圖標并用鼠標右鍵單擊之，執(zhí)行快捷菜單中的“屬性”命令，彈出本地連接屬性設(shè)置框。選中“常規(guī)”標簽頁面中的“Internet協(xié)議（TCP/IP）”選項，點擊“屬性”按鈕，進入TCP/IP協(xié)議屬性設(shè)置框，按下“高級”按鈕，打開TCP/IP協(xié)議高級設(shè)置框。點擊“選項”標簽，選中“TCP/IP篩選”選項，按下“屬性”按鈕，這時我們能看到如圖7所示的設(shè)置對話框。

將“TCP端口”、“UDP端口”、“IP協(xié)議”都設(shè)置為“只允許”，同時點擊“添加”按鈕，將它們的數(shù)值都調(diào)整為“1”，單擊“確定”按鈕保存設(shè)置內(nèi)容，再重啟計算機系統(tǒng)。這時，我們嘗試在公共計算機系統(tǒng)中下載信息，或進行其他網(wǎng)絡(luò)應(yīng)用操作時，就發(fā)現(xiàn)操作無法成功了，但是查看網(wǎng)絡(luò)連接狀態(tài)時卻一切正常，既能接收信息，也能發(fā)送信息，一般用戶根本看不出其中的“貓膩”。日后，如果我們自己想從網(wǎng)上下載信息或訪問內(nèi)容時，只要重新打開TCP/IP篩選設(shè)置框，將這里的“TCP端口”、“UDP端口”、“IP協(xié)議”都設(shè)置為“全部允許”即可。

當然，上面的方法在限制下載端口的同時，也會限制其他網(wǎng)絡(luò)應(yīng)用端口。如果要對下載端口單獨限制時，可以使用防火墻來幫忙。例如，在Windows 7系統(tǒng)中，我們可以設(shè)置高級防火墻規(guī)則，限制使用默認開放的21端口，禁止用戶進行FTP操作，下面就是詳細的限制步驟：

首先打開Windows 7系統(tǒng)高級安全防火墻配置界面，選擇“入站規(guī)則”選項，右擊目標規(guī)則選項，點擊快捷菜單中的“新規(guī)則”命令，彈出入站規(guī)則新建向?qū)υ捒?。選中“端口”選項，點擊“下一步”后，依次選中“TCP”選項和“特定本地端口”選項，輸入要限制使用的網(wǎng)絡(luò)端口號碼，這里應(yīng)該輸入“21”。

接著向?qū)гO(shè)置框會彈出提示，詢問我們要執(zhí)行什么操作時，必須選中“阻止連接”（如圖8所示），并將“域”、“公用”、“專用”等選項按需選中，再設(shè)置好安全規(guī)則名稱，并點擊“完成”按鈕，這樣Win7系統(tǒng)就會禁止用戶使用21端口進行FTP上傳操作了。按照同樣的操作，再手工定義一個出站規(guī)則，禁止用戶使用21端口進行FTP下載操作。

查看端口使用程序

利用Windows系統(tǒng)自帶的一些命令，例如tasklist、netstat等，可以查看到Windows系統(tǒng)究竟有哪些端口處于開放狀態(tài)。但如果想進一步了解開放的網(wǎng)絡(luò)端口，正被哪些應(yīng)用程序使用，這些程序的路徑位于什么位置時，Windows系統(tǒng)自身的命令就無能為力了。此時，我們可以使用DOS環(huán)境下的Fport工具，來查看開放端口使用的應(yīng)用程序名稱和路徑。

從網(wǎng)上下載獲得Fport工具后，將其解壓到特定目錄中，例如解壓到“D：＼aaa”目錄中。之后，依次點擊“開始”|“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，切換到DOS命令行窗口。使用“cd”命令，將當前目錄設(shè)置為Fport工具所在的路徑，再執(zhí)行“fport /ap”命令，在其后返回的結(jié)果信息中，就能查看到開放端口使用的應(yīng)用程序名稱和路徑了。通過這些信息，我們往往能夠大概判斷出，開放端口究竟是被木馬程序打開的，還是被正常程序打開的。

當確認某端口是被木馬程序打開時，我們必須及時殺死木馬病毒進程，之后根據(jù)應(yīng)用程序路徑信息，進入相應(yīng)的文件夾窗口，將木馬源頭文件刪除干凈，避免它們繼續(xù)攻擊Windows系統(tǒng)。值得注意的是，只有管理員級別的用戶才能使用Fport工具。