在Windows server 2008系统上,有两种途经可以禁用本地端口:
1、通过Windows防火墙(比较简单,设置方便)
2、通过IP安全策略(比较复杂,功能强大,不依赖防火墙)
3、关闭端口:TCP:135,139,445
UDP:137,138
一、通过Windows防火墙禁用端口:
1、点击 “控制面板-Windows防火墙”,确保启用了Windows防火墙。在左边栏点击“高级设置”,系统会自动弹出Windows防火墙高级配置窗口。
2、点击“入站规则”,然后再点“新建规则…”,在向导窗口中选择要创建的规则类型,这里选“端口”,点击“下一步”。
3、接下来选择你要禁用的网络类型(TCP或者UDP),在“特定本地端口”写入你要禁用的端口,例如“135,139,445”,然后下一步。选择“阻止连接”,下一步,应用规则看情况修改,可以维持不变,继续下一步,填写名称“禁用TCP的135,139,445端口”,点击完成。
注:要用英文状态下逗号进行分隔
4、到这里应该就完成了,默认情况下新建的规则会直接启用。如果没有,那么右键 “启用规则”即可。
二、通过IP安全策略禁用端口:
首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器
1、操作方式一,无需向导的方式
在打开的组策略编辑器中,依次展开“计算机配置 - Windows 设置 - 安全设置 - IP安全策略”如图
接下来右键单击“IP安全策略,在 本地计算机”,并选择“创建IP安全策略”,如图
随后在跳出的“IP安全策略向导“点击“下一步”
填写一个容易分别策略方案的名称,我这里填了“关闭危险端口策略”,然后点击“下一步”,如图
安全通讯请求中的“激活默认响应规则”不要打勾,然后点击“下一步”,如图
“编辑属性”打上勾,然后点击“完成”,如图
选择“规则”菜单栏,”使用添加向导前面不用打勾,点击”添加”,如图
在新规则属性“IP筛选器列表“,点击“添加”
输入名称输入为“135\137\138\139\445”,描述:”危险端口-TCP-UDP 135\137\138\139\445
“,然后再点击“添加“
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何 IP 地址”,目标地址选择“任何的 IP 地址或是我的 IP 地址”都可以,
连续默认点击3次”下一步“,如图
选择”协议“菜单,协议类型选择”TCP“,这里以关闭135端口为例,其它端口关闭方法相同。在最后一栏”到此端口“输入”135“然后按”确定“,如图
描述”危险端口135“,点击确定
就在“IP筛选器列表“,点击“添加”重复操作,添加137、138、139、445规则
以上端口添加完后确定返回”新规则属性“,如图
如果直接点应用是会有如下报错的
点击”筛选器操作“,点击”添加“,无需向导
在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡。
切换到常规选项卡,将名称改为”阻止端口“,确定
IP筛选器列表和筛选器操作对应名称前面选中,点击应用
最后点击确定
再右键点击分配即可生效
2、操作方式二,有向导的方式的步骤
填写一个容易分别策略方案的名称,这里填了“关闭端口策略”,然后点击“下一步”,如图
安全通讯请求中的“激活默认响应规则”不要打勾,然后点击“下一步”,如图“编辑属性”打上勾,然后点击“完成”,如图
选择“规则”菜单栏,”使用添加向导“打上勾,点击”添加”,如图
点了添加,在新弹出的“安全规则向导”连续默认点击“下一步”,如图IP筛选器列表,点击右侧的“添加”按钮
输入名称,这里输入为“关闭445端口”,然后再点击“添加“
点击”下一步输入描述,这里描述为”关闭445端口“,然后点击”下一步“
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“任何的IP地址”,
连续默认点击3次”下一步“,如图 ”编辑属性“打上勾,点击”完成“选择”协议“菜单,协议类型选择”TCP“,这里以关闭445端口为例,其它端口关闭方法相同。在最后一栏”到此端口“输入”445“然后按”确定“,如图
返回”ip筛选器列表“点击”确定“,如图
”筛选器操作“,单击下方的添加,并且不要勾选右侧的使用添加向导。在新筛选器操作属性中,选择“阻止端口”,并切换到常规选项卡,将名称改为阻止端口。
单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止端口”
“编辑属性打勾”下一步
在切换到IP筛选器列表,勾选刚才建立的“445”。然后单击应用,再单击关闭
处于安全的考虑,两种方法都使用了,防火墙禁止了端口,ip组策略也禁止了端口。
三、可以用命令把相关端口的tcp/udp协议全部封掉。
--------------------------------------------------------------------------------------------
netsh advfirewall set allprofiles state on (启用系统防火墙)
netsh advfirewall firewall add rule name=”deny tcp 445” dir=in protocol=tcp localport=445 action=block (关闭445端口)
netsh advfirewall firewall add rule name=”deny tcp 139” dir=in protocol=tcp localport=139 action=block (关闭139 tcp端口)
netsh advfirewall firewall add rule name=”deny udp 139” dir=in protocol=udp localport=139 action=block (关闭139 udp端口)
netsh advfirewall firewall add rule name=”deny tcp 138” dir=in protocol=tcp localport=138 action=block (关闭138 tcp端口)
netsh advfirewall firewall add rule name=”deny dup 138” dir=in protocol=udp localport=138 action=block (关闭138 udp端口)
netsh advfirewall firewall add rule name=”deny tcp 135” dir=in protocol=tcp localport=135 action=block (关闭135 tcp端口)
netsh advfirewall firewall add rule name=”deny udp 135” dir=in protocol=udp localport=135 action=block (关闭135 udp端口)
netsh advfirewall firewall add rule name=”deny tcp 137” dir=in protocol=tcp localport=137 action=block (关闭137 tcp端口)
netsh advfirewall firewall add rule name=”deny udp 137” dir=in protocol=udp localport=137 action=block (关闭137 udp端口)