[电脑基础知识]项目三：Windows系统安全.doc

端口分类按端口号分布划分知名端口动态端口2. 按协议类型划分　　按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。-a：显示所有连接和侦听端口。服务器连接通常不显示。-e：显示以太网统计。该参数可以与 -s 选项结合使用。-p protocol：显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。 -r：显示路由表的内容。netstat –an 用来查看系统端口状态，列出系统正在开放的端口号及其状态。解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。用netstat -a —n命令查看！再stat下面有一些英文，我来简单说一下这些英文具体都代表什么LISTEN：侦听来自远方的TCP端口的连接请求SYN-SENT：再发送连接请求后等待匹配的连接请求SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认ESTABLISHED：代表一个打开的连接FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认FIN-WAIT-2：从远程TCP等待连接中断请求CLOSE-WAIT：等待从本地用户发来的连接中断请求CLOSING：等待远程TCP对连接中断的确认LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认CLOSED：没有任何连接状态netstat –anb 可以查看系统端口的状态，显示每个连接是由哪些程序创建的，如下面：监听135端口的是由svchost.exe程序创建的。通过这个命令可以查看是哪些程序使用了哪些端口，可以帮助我们发现可疑的程序应用。 （3）关闭IP端口和共享端口实例 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉点击“完成”按钮就创建了一个新的IP 安全策略。右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框 随后弹出“新规则属性”对话框，在画面上点击“添加”按钮弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。方法1：关闭RPC服务由于通过135网络端口，只能远程运行一些通过DCOM技术开发出来的应用程序，而DCOM技术在通信过程中，需要用到RPC服务；因此如果将服务器中的RPC服务停用的话，就能达到禁用135网络端口的目的了。在禁用RPC服务时，可以依次单击开始/程序/管理工具/服务命令，在随后打开的服务列表中，双击其中的Remote Procedure Call选项，打开如所示的设置界面，将该界面的启动类型设置为已禁用选项，再单击一下确定按钮，服务器的RPC服务就会被暂时停用了。不过这种方法有很大的弊病，因为一旦将服务器的RPC服务停用的话，那么服务器将无法正常对外提供相关服务，比如数据库查询服务、远程登录服务等，因此这种方法只适合于普通的计算机，或者适合仅对外提供WWW服务、DNS服务的服务器。方法2：禁用系统DCOM考虑到服务器中的DCOM服务