上机作业6端口扫描与防范(2)

计算机 端口扫描与防范

2) 切换到“管理筛选器操作”选项卡，创建一个拒绝操作

管理筛选器操作->添加->在名称中填写“拒绝对135端口的访问”->筛选器操作常规选项->阻止->下一步->"完成。

（2）创建ip安全策略

1）ip安全策略，本地机器->右击->创建ip安全策略->在名称中填写135端口号->不选择“激活默认响应原则” ->编辑属性->完成。

2）135属性->规则->添加->下一步->此规则不指定隧道->下一步->所有网络连接-> WIN2000默认值(Kerberos V5 协议)> ->使用默认项 "Active Directory "只有当这个规则在一台为域成员的计算机上 Kerberos 才有效->是->选择135->下一步->拒绝对135端口的访问->完成->确定。

（3）指派和应用IPSec安全策略

1）Ip安全策略，本地机器->拒绝对135端口的访问->右击->指派。

2）运行->CMD->使用”secedit/refreshpolic machine_policy”命令刷新组策略。

3）管理工具->事件查看器->应用程序日志，查看结果。

（二) 在网络邻居中设置：

网络邻居->右键->本地连接->INTERNET协议（TCP/IP）->属性->高级->选项->TCP/IP筛选->在“只允许”中填入除了137，138，139外的其它端口。

（三）关闭端口

每一项服务都对应相应的端口，如WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的，对于个人用户来说没有必要，可在各项服务属性设置中设为“禁用”，以免下次重启服务时重新启动，端口又开放了。

控制面板－管理工具－服务

1、关闭79端口：关闭Simple TCP/IP Service。

2、关闭80口：关掉WWW服务。

3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供跨网传送电子邮件功能。

4、关掉21端口：关闭FTP Publishing Service,它提供FTP 连接和管理。

5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

6、关闭server服务，关闭win2k的默认共享。

7、关闭139端口，关闭文件和打印共享。运行samba的unix机器也开放了139端口。 网络和拨号连接-> 本地连接->Internet协议(TCP/IP) ->属性->高级TCP/IP设置－ WINS设置－禁用TCP/IP的NETBIOS。