灌溉梦想,记录脚步
« »
2008年5月19日技术合集

关闭高危端口

首先创建IP筛选器和筛选器操作
1、"开始"->"程序"->"管理工具"->"本地安全策略",微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。
2、右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP 筛选器表和筛选器操作对话框。只有创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
3、在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
1)、在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加…"按钮,启动IP筛选器向导;
2)、跳过欢迎对话框,下一步;
3)、在IP通信源页面,源地址选"任何IP地址",下一步;
4)、在IP通信目标页面,目标地址选"我的IP地址",下一步;
5)、在IP协议类型页面,选择"TCP".下一步;
6)、在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步;
7)、完成后关闭IP筛选器列表对话框时会发现tcp135IP筛选器出现在IP筛选器列表中。
注:可接着增加端口号,方法同上,这里不在一一陈述。
4、选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",下一步;
2)在筛选器操作名称页面,填写名称,这儿填写"拒绝",下一步;
3)在筛选器操作常规选项页面,将行为设置为"阻止",下一步;
4)完成,关闭"管理 IP 筛选器表和筛选器操作"对话框。
接着创建IP安全策略
1、右击"Ip安全策略,在本地机器"选择"创建IP安全策略",启动IP安全策略向导,跳过欢迎页面,下一步;
2、在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写,下一步;
3、在安全通信要求页面,不选择"激活默认响应规则",下一步;
4.、在完成页面选择"编辑属性",完成。
5、在"拒绝对tcp135端口的访问属性"对话框中进行设置,首先设置规则:
1)、单击下面的"添加…"按钮,启动安全规则向导,下一步;
2)、在隧道终结点页面选择默认的"此规则不指定隧道",下一步;
3)、在网络类型页面选择默认的"所有网络连接",下一步;
4)、在身份验证方法页面选择默认的"windows 2000默认值(Kerberos V5 协议)",下一步;
5)、在IP筛选器列表页面选择刚建立的"tcp135"筛选器,下一步;
6)、在筛选器操作页面刚建立的"拒绝"操作,下一步;
7)、在完成页面中不选择"编辑属性",随后确定完成,关闭"拒绝对tcp135端口的访问属性"对话框即可。
指派和应用IPsec安全策略
1、缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派,在本地安全策略MMC中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指派。
2、立即刷新组策略,使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略。
通过以上方法融会贯通可以关闭自己本机不需要的端口,至于哪些是高危,在这里就不用我说了吧。

日志信息 »

该日志于2008-05-19 14:40由 admin 发表在技术合集分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

发表回复