馬霞

如何管理網(wǎng)絡(luò)端口讓系統(tǒng)更安全

馬霞

默認(rèn)狀態(tài)下，Windows會在我們的電腦上打開許多服務(wù)端口，黑客常常利用這些端口來實(shí)施入侵，因此掌握端口方面的知識，會幫助我們提升上網(wǎng)的安全性。

首先，我們看一下什么是端口：

在網(wǎng)絡(luò)技術(shù)中，端口（Port）大致有2種意思：一是物理意義上的端口，比如，ADSL Modem、集線器、交換機(jī)、路由器以及用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號的范圍從0到65535，比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的21端口等等。我們這里將要介紹的就是邏輯意義上的端口。

根據(jù)提供服務(wù)類型的不同，端口分為2種，一種是TCP端口，一種是UDP端口。計(jì)算機(jī)之間相互通信的時(shí)候，分為兩種方式：一種是發(fā)送信息以后，可以確認(rèn)信息是否到達(dá)，也就是有應(yīng)答的方式，這種方式大多采用TCP協(xié)議；一種是發(fā)送以后就不管了，不去確認(rèn)信息是否到達(dá)，這種方式大多采用UDP協(xié)議。對應(yīng)這兩種協(xié)議的服務(wù)提供的端口，也就分為TCP端口和UDP端口。

下面來看看端口是做什么用的：

比方說現(xiàn)在有2臺電腦利用TCP/IP進(jìn)行通信。聯(lián)網(wǎng)瀏覽Internet Explorer的同時(shí)還在用MSN傳著文件。這2臺電腦各自有一個(gè)IP地址，所以他們之間可以互相通信。這就好像說A電腦說："把這個(gè)包傳到B電腦那兒去。他的IP地址是????。"于是包就傳過去了。

如果一個(gè)電腦上同時(shí)只有一個(gè)程序，一個(gè)服務(wù)在進(jìn)行一項(xiàng)傳輸，那么很簡單直接傳就是了?？墒巧厦娴睦又?，如果兩臺電腦間同時(shí)進(jìn)行著兩項(xiàng)傳輸——既在瀏覽網(wǎng)頁，又在MSN上傳文件。這問題就來了——A電腦說了："把這個(gè)包傳到B電腦那兒去。IP地址是……"。然后B電腦高興地收到了，一看,不好，這個(gè)包是瀏覽器的數(shù)據(jù)呢？還是MSN的數(shù)據(jù)呢？分不清了。這個(gè)時(shí)候就要考慮端口號（port number）的作用了。

我們知道，一臺擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個(gè)IP地址來實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，實(shí)際上，我們是通過IP地址+端口的組合方式使不同的網(wǎng)絡(luò)服務(wù)得到區(qū)分的。端口只是一個(gè)抽象的概念。比方說你收到了一個(gè)數(shù)據(jù)包，上面寫著發(fā)給80端口，你就得查一下80端口是給誰用的呀？一看是給HTTP服務(wù)器用的，那好，把這個(gè)包給它。

一、常用端口及其分類

按端口號可分為三大類

（1）公認(rèn)端口（WellKnownPorts）：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實(shí)際上總是HTTP通訊。

（2）注冊端口（RegisteredPorts）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其他目的。例如：許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開始。

（3）動(dòng)態(tài)和/或私有端口（Dynamicand/orPrivatePorts）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外：SUN的RPC端口從32768開始。

二、如何查看本機(jī)開放了哪些端口

Windows提供了netstat命令，能夠顯示當(dāng)前的TCP/IP網(wǎng)絡(luò)連接情況，注意：只有安裝了TCP/IP協(xié)議，才能使用netstat命令。

操作方法：單擊"開始→程序→附件→命令提示符"，進(jìn)入命令提示符窗口，輸入命令netstat-na回車，于是就會顯示本機(jī)連接情況及打開的端口，如圖。本地地址下面的一串?dāng)?shù)字代表本機(jī)IP地址和打開的端口號，外部地址下面的一串?dāng)?shù)字代表遠(yuǎn)程計(jì)算機(jī)的IP地址和打開的端口號，圖中LISTENING是監(jiān)聽狀態(tài)，表明本機(jī)正在打開135端口監(jiān)聽，等待遠(yuǎn)程電腦的連接。

如果你在命令提示符窗口中輸入了netstat -nab命令，還將顯示每個(gè)連接都是由哪些程序創(chuàng)建的。如果你發(fā)現(xiàn)本機(jī)打開了可疑的端口，就可以用該命令察看它調(diào)用了哪些組件，然后再檢查各組件的創(chuàng)建時(shí)間和修改時(shí)間，如果發(fā)現(xiàn)異常，就可能是中了木馬。

三、如何保護(hù)自己的端口

默認(rèn)情況下Windows有很多端口是開放的，一旦你上網(wǎng)，黑客可以通過這些端口連上你的電腦，因此你應(yīng)該封閉這些端口。主要有：TCP139、445、593、1025端口和UDP123、137、138、445、1900端口、一些流行病毒的后門端口（如TCP 2513、2745、3127、6129端口），以及遠(yuǎn)程服務(wù)訪問端口3389，我們可以通過下面方法關(guān)閉本機(jī)不用的端口：

操作方法：

（1）單擊開始，在搜索框內(nèi)輸入高級安全windows防火墻，然后選中并單擊入站規(guī)則，如圖示：

（2）選中端口，并單擊下一步。

（3）在特定本地端口中寫入自己要禁用的端口號，分別用逗號隔開，然后下一步。

（4）選擇阻止連接，下一步。

（5）名稱和描述可以任意寫，然后點(diǎn)擊完成即可成功阻止該端口。