在Internet上,各主機間通過TCP/IP協議發送和接收數據包,各個數據包根據其目的主機的ip地址來進行互聯網絡中的路由選擇。可見,把數據包順利的傳送到目的主機是沒有問題的。問題出在哪裏呢?我們知道大多數操作系統都支持多程序(進程)同時運行,那麽目的主機應該把接收到的數據包傳送給眾多同時運行的進程中的哪壹個呢?顯然這個問題有待解決,端口機制便由此被引入進來。
本地操作系統會給那些有需求的進程分配協議端口(protocol port,即我們常說的端口),每個協議端口由壹個正整數標識,如:80,139,445,等等。當目的主機接收到數據包後,將根據報文首部的目的端口號,把數據發送到相應端口,而與此端口相對應的那個進程將會領取數據並等待下壹組數據的到來。說到這裏,端口的概念似乎仍然抽象,那麽繼續跟我來,別走開。
端口其實就是隊,操作系統為各個進程分配了不同的隊,數據包按照目的端口被推入相應的隊中,等待被進程取用,在極特殊的情況下,這個隊也是有可能溢出的,不過操作系統允許各進程指定和調整自己的隊的大小。
不光接受數據包的進程需要開啟它自己的端口,發送數據包的進程也需要開啟端口,這樣,數據包中將會標識有源端口,以便接受方能順利的回傳數據包到這個端口。
壹個數據包包括了文件,ip,和端口號,ip是為了服務器可以找到妳的主機,端口號是妳接受數據包的門戶, 而所謂的端口監聽,是指主機網絡進程接受到IP數據包後,察看其的目標端口是不是自己的端口號,如果是的話就接受該數據包進行處理。進行網絡通訊的主機,既要發送數據,也要接受數據,所以就要開啟相應的端口以接受數據。壹個網絡上的主機有可能開啟多個網絡進程(如即瀏覽網頁又上QQ),也就是監聽了多個端口。開始→控制面板→管理工具→本地安全策略→ip策略 在本地計算機→右鍵,創建ip安全策略→“激活
默認響應規則”去掉→“編輯屬性”去掉→要把“使用添加向導”去掉→添加→新ip篩選列表→添加:源地
址“任何IP地址”→目標地址“我的ip地址”→協議“TCP協議”→選“從任意端口” 選“到此端口”→確
關閉需要關閉的端口
每壹項服務都對應相應的端口,比如眾如周知的WWW服務的端口是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉端口也就是關閉無用的服務。
“控制面板”的“管理工具”中的“服務”中來配置。
1、關閉7.9等等端口:關閉Simple TCP/IP Service,支持以下TCP/IP服務:Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service",通過 Internet 信息服務的管理單元提供 Web 連接和管理。
3、關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
5、關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運行控制臺程序。
6、還有壹個很重要的就是關閉server服務,此服務提供RPC支持、文件、打印以及命名管道***享。關掉它就關掉了win2k的默認***享,比如ipc$、c$、admin$等等,此服務關閉不影響您的其他操作。
7、還有壹個就是139端口,139端口是NetBIOS>>Session端口,用來文件和打印***享,註意的是運行samba的unix機器也開放了139端口,功能壹樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139端口開放既認為是NT機,現在好了。
關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選?gt;>癐nternet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裏面有壹項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
對於個人用戶來說,可以在各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動,端口也開放了。
第壹步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”(如右圖),於是彈出壹個向導。在向導中點擊“下壹步”按鈕,為新的安全策略命名;再按“下壹步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了壹個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然後在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了壹個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上妳的電腦。
點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了壹條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應的篩選器。
重復以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加壹個點,表示已經激活,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步、進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了壹個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最後回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然後選擇“指派”。
於是重新啟動後,電腦中上述網絡端口就被關閉了,病毒和黑客再也不能連上這些端口,從而保護了妳的電腦。目前還沒聽說有補丁下載。