端口安全與穩(wěn)定問答

在沒有配置動態(tài)路由協(xié)議的情況下，交換機的鏈路層協(xié)議狀態(tài)和端口物理狀態(tài)都處于up狀態(tài)，不過IP數(shù)據(jù)報文的轉(zhuǎn)發(fā)操作始終不正常，不知道是什么原因？

答：出現(xiàn)這種情況，很可能是交換機的靜態(tài)路由不正常，此時我們不妨通過“display ip routingtable protocol static”命令，看看交換機有沒有配置好相應(yīng)的靜態(tài)路由，之后再通過“display ip routingtable”命令，檢查一下對應(yīng)的靜態(tài)路由有沒有正式生效。

對于普通用戶來說，為了保護(hù)Windows系統(tǒng)運行安全，完成可以限制所有網(wǎng)絡(luò)端口，因為它根本不必對外提供任何網(wǎng)絡(luò)應(yīng)用服務(wù)。而對于對外提供網(wǎng)絡(luò)服務(wù)的用戶來說，只要將必須利用的端口打開，而將其他端口全部關(guān)閉，請問如何限制網(wǎng)絡(luò)端口的使用？

答：以WinXP系統(tǒng)為例，不需要安裝任何其他軟件，只要通過Windows系統(tǒng)自帶的“TCP/IP篩選”功能，就能輕松限制網(wǎng)絡(luò)端口的使用，具體操作步驟為：首先用鼠標(biāo)右鍵點擊系統(tǒng)桌面上的“網(wǎng)上鄰居”圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，打開網(wǎng)絡(luò)連接列表窗口，雙擊其中的“本地連接”圖標(biāo)，展開本地連接狀態(tài)對話框。按下“屬性”按鈕，切換到本地連接屬性窗口，在此連接使用下列項目列表中選擇“Internet協(xié) 議 (TCP/IP)”選項，然后點擊“屬性”按鈕。

在其后出現(xiàn)的“Internet協(xié) 議 (TCP/IP)”設(shè)置框中，點擊“高級”按鈕，打開高級TCP/IP設(shè)置對話框，點擊“選項”選項卡，選中“TCP/IP篩選”，之后點擊“屬性”按鈕。進(jìn)入TCP/IP篩選設(shè)置框，選擇“啟用TCP/IP篩選”復(fù)選框，將左邊“TCP端口”上的“只允許”選上，這樣就按需添加或刪除自己想要的TCP或UDP

或IP的各種端口了。添加或刪除操作結(jié)束后，重新啟動計算機系統(tǒng)，服務(wù)器系統(tǒng)的安全就能被有效保護(hù)起來了。

445網(wǎng)絡(luò)端口是一個毀譽參半的端口，局域網(wǎng)用戶通過它，能方便訪問網(wǎng)絡(luò)中的各種共享文件夾或共享打印機，但也正是由于有了它，惡意用戶才有了可乘之機，他們能利用該端口悄悄共享本地計算機硬盤，甚至能在悄無聲息中格式化本地硬盤！為了不讓黑客有機可乘，請問如何封堵住445網(wǎng)絡(luò)端口漏洞？

答：依次單擊“開始”、“運行”選項，在彈出的系統(tǒng)運行對話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊表編輯界面。在該界面左側(cè)列表中，依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters” 分支上，用鼠標(biāo)右鍵單擊“Parameters”選項，從彈出的快捷菜單中逐一選擇“新建”、“DWORD值”命 令，將新創(chuàng)建的鍵值名稱設(shè)置為“SMBDeviceEnabled”。

之后，再用鼠標(biāo)右鍵單擊“SMBDeviceEnabled”鍵值，執(zhí)行右鍵菜單中的“修改”命令，彈出編輯DWORD值對話框，在“數(shù)值數(shù)據(jù)”文本框中輸入“0”，確認(rèn)后保存設(shè)置操作，最后重新啟動計算機系統(tǒng)即可。

黑客攻擊Linux系統(tǒng)前，往往要進(jìn)行端口掃瞄操作，要是能在第一時間發(fā)現(xiàn)和阻止黑客的端口掃瞄行為，那么就能有效減少入侵事件的發(fā)生率。那么我們該如何才能做到這一點，讓黑客入侵消滅在萌芽狀態(tài)呢？

答：可以使用Abacus Port Sentry之類的專業(yè)工具，來監(jiān)視Linux系統(tǒng)的網(wǎng)絡(luò)連接接口并且與防火墻交互操作，從而實現(xiàn)關(guān)閉端口掃瞄攻擊的目的。當(dāng)發(fā)現(xiàn)端口掃瞄行為存在時，目標(biāo)工具就能迅速阻止它繼續(xù)執(zhí)行。不過要是配置不當(dāng)，它也可能允許敵意的外部者在本地系統(tǒng)中安裝拒絕服務(wù)攻擊。正確地使用目標(biāo)工具，完全可以有效地預(yù)防對端口大量并行掃瞄，同時能阻止所有這樣的惡意入侵行為。

要是交換機級聯(lián)端口的位置發(fā)生了調(diào)整，那么對應(yīng)該交換機上的其他VLAN工作狀態(tài)可能會受到影響，請問如何保證在級聯(lián)端口位置變化時，其他VLAN還能正常工作呢？

答：只要進(jìn)入目標(biāo)交換機后臺系統(tǒng)，修改級聯(lián)端口的工作模式，讓其允許所有VLAN訪問通過就可以了。比方說，SSS交換機從VLAN2中轉(zhuǎn)移到VLAN4中時，我們可以先通過interface命令進(jìn)入新的級聯(lián)端口視圖模式狀態(tài)，之后依次通過“port link-type trunk”、“port trunk permit vlan all”命令，來確保其他VLAN工作狀態(tài)不受級聯(lián)端口位置變化的影響。

H3C路由交換機鏈路層協(xié)議狀態(tài)、端口物理狀態(tài)都正常，與該交換端口直接相連的客戶端系統(tǒng)，向路由交換機傳送IP報文時，路由交換機卻無法成功對其進(jìn)行轉(zhuǎn)發(fā)，不知道是怎么回事？

答：遇到這種現(xiàn)象時，先要看看交換機有沒有開啟動態(tài)路由功能，如果發(fā)現(xiàn)其還沒有開啟，那多半就是交換機的靜態(tài)路由存在錯誤。這個時候，不妨切換到交換機后臺系統(tǒng)指定端口視圖模式狀態(tài)，在命令行狀態(tài)下執(zhí)行字符串命令“display ip routing-table protocol static”，從返回結(jié)果信息中看看交換機的靜態(tài)路由有沒有配置正確。

在靜態(tài)路由配置正確的情況，繼續(xù)執(zhí)行命令“display ip routingtable”，檢查指定靜態(tài)路由是否工作正常。一般來說，在靜態(tài)路由啟用同時參數(shù)配置正確的情況下，路由交換機應(yīng)該能對數(shù)據(jù)報文執(zhí)行轉(zhuǎn)發(fā)操作。

在調(diào)整網(wǎng)絡(luò)端口號碼時，經(jīng)常會遇到某個端口已被占用的現(xiàn)象，請問如何查看特定端口是否已被程序占用？

答：可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，切換到DOS命令行窗口，在命令提示符下 輸 入“netstat -an”命令，在其后界面中后面為Listening的端口，就表示對應(yīng)端口處于開放狀態(tài)。如果想查看某個端口被哪個應(yīng)用程序占用時，可以在DOS命令行提示符下，執(zhí)行“netstat-ano”命令，找到特定端口使用的進(jìn)程PID。接著使用“Ctrl+Alt+Del”快捷鍵，彈出系統(tǒng)任務(wù)管理器窗口，依次點擊“查看”、“選擇列”命令，在其后界面中選中“PID”選項，這樣任務(wù)管理器就能把所有程序使用的PID顯示出來了。之后，再根據(jù)PID信息，就能知道特定端口被什么應(yīng)用程序占用了。

有的時候操作不小心，將一條直連線纜同時連接在同一臺H3C交換機的兩個不同交換端口上，結(jié)果這臺交換機立即發(fā)生了“死機”，具體現(xiàn)象表現(xiàn)為該交換機下層連接的所有無線上網(wǎng)接入點全部停止了工作，請問這是什么原因？

答：要是我們沒有為交換機端口劃分設(shè)置VLAN的話，那么一臺交換機上的所有交換端口在默認(rèn)狀態(tài)下都處于相同的VLAN中，它們共用一個VLAN虛擬接口。當(dāng)我們不小心使用直通線纜將同一臺交換機相同VLAN的兩個交換端口相互連接起來時，那就相當(dāng)于使用一條網(wǎng)線將同一塊網(wǎng)卡的兩個網(wǎng)卡接口連接在一起（假設(shè)目標(biāo)網(wǎng)卡同時存在兩個接口），最終結(jié)果會導(dǎo)致交換機或網(wǎng)卡出現(xiàn)內(nèi)部死循環(huán)，IP地址發(fā)生沖突現(xiàn)象（因為這個時候目的IP地址和源IP地址是相同的），數(shù)據(jù)包自然會發(fā)送不出去。從物理的角度來理解，那就是交換機發(fā)生了物理性短路故障，從而造成該設(shè)備停止了工作。

單位局域網(wǎng)中有一臺H3C S3100系列的樓層交換機，該交換機某端口下面連接的是一臺虛擬機的物理服務(wù)器，其中的虛擬機所處的網(wǎng)段各不相同，倘若要確保這些虛擬機既能同時訪問外面，又能相互訪問，那么是否需要對交換端口進(jìn)行單獨的參數(shù)配置操作？

答：不需要在交換端口上對每個虛擬機進(jìn)行依次配置，只需要在物理服務(wù)器中進(jìn)行集中配置就可以實現(xiàn)上述訪問目的了，因為每個虛擬機相互之間的訪問，都是通過虛擬機軟件的NAT模式來配置的，與交換端口的配置沒有什么關(guān)系。

TCP 協(xié)議的 135、137、138、139等端口，經(jīng)常會被不小心打開。其實，這些端口平時被使用的機率不高，但它們的開啟，容易引來黑客對本地系統(tǒng)的惡意攻擊，請問如何關(guān)閉TCP協(xié)議的這些端口？

答：正常來說，關(guān)閉RPC系統(tǒng)服務(wù)，就相當(dāng)于關(guān)閉了135端口。在關(guān)閉RPC服務(wù)運行狀態(tài)時，只要先打開系統(tǒng)運行對話框，執(zhí)行“services.msc”命令，彈出系統(tǒng)服務(wù)列表界面。找到“Remote Procedure Call”服務(wù)并用鼠標(biāo)雙擊，點擊其后界面中的“停止”按鈕，同時將啟動類型修改為“已禁用”選項，確認(rèn)后保存設(shè)置即可。

要關(guān)閉TCP協(xié)議的137、138、139等端口時，只要禁止使用NetBIOS協(xié)議組件即可：首先進(jìn)入網(wǎng)絡(luò)連接列表界面，右擊其中的“本地連接”圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，選中“Internet協(xié)議（TCP/IP）”選項，按下“屬性”按鈕，點擊“高級”按鈕切換到高級設(shè)置窗口。選擇“WINS”標(biāo)簽，在對應(yīng)標(biāo)簽頁面的“NetBIOS設(shè)置”位置處，將“禁用TCP/IP上的NetBIOS（S）”選中，確認(rèn)后退出設(shè)置對話框即可。

同樣地，如果要停用TCP協(xié)議的445端口時，可以在系統(tǒng)運行對話框中，輸 入“regedit”命 令并 回車，進(jìn)入系統(tǒng)注冊表編輯窗口，將鼠標(biāo)定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters” 分 支 上，在該分支下手工創(chuàng)建好“SMBDeviceEnabled”雙字節(jié)鍵值，同時將其數(shù)值設(shè)置為“0”，最后重啟計算機系統(tǒng)。

最近，筆者在搭建Web服務(wù)器的時候，竟然發(fā)現(xiàn)80端口已被其他應(yīng)用程序占用，請問如何將該端口釋放出來？

答：首先進(jìn)入DOS命令行窗口，在命令提示符下輸入netstat -aon|findstr “80”命令，找到TCP80端口使用的進(jìn)程PID，比方說該進(jìn)程PID為2020。之后，執(zhí)行字符串命令tasklist|findstr“2020”，就能知道究竟是哪個應(yīng)用程序占用了80端口。關(guān)閉目標(biāo)應(yīng)用程序，就能將已被占用的80端口釋放出來了。如果查找不到是哪個應(yīng)用程序占用80端口時，可以直接在任務(wù)管理器窗口中，選中PID為“2020”的進(jìn)程選項，并用鼠標(biāo)右鍵單擊之，執(zhí)行右鍵菜單中的“結(jié)束進(jìn)程”命令即可。

Telnet協(xié)議在工作時，會用到23端口，不過該協(xié)議端口常常被黑客悄悄利用，容易給遠(yuǎn)程管理工作帶來安全威脅。而且，Telnet協(xié)議在傳輸數(shù)據(jù)時，都是以明文形式進(jìn)行，黑客通過專業(yè)工具很方便竊聽或攔截到，請問如何才能保證Telnet協(xié)議工作安全呢？

答：首先將Telnet協(xié)議端口號碼設(shè)置成別人不熟悉的號碼。在進(jìn)行該操作時，先使用“Win+R”快捷鍵，調(diào)用系統(tǒng)運行文本框，輸入“cmd”命令并回車，切換到MS-DOS命令行窗口。在該窗口提示符下，執(zhí) 行“tlntadmn config port=2240”命令（其中“2240”為新的協(xié)議端口號碼），這樣就能將計算機系統(tǒng)的Telnet協(xié)議端口號碼調(diào)整為“2240”了。

要提醒大家的是，新設(shè)置的協(xié)議端口號碼，必須與計算機系統(tǒng)中已開啟的端口號碼錯開，不然的話Telnet協(xié)議將不能正常工作。日后，要通過Telnet協(xié)議遠(yuǎn)程連接到本地計算機時，一定在本地計算機名稱后面添加“：2240”，才能確保遠(yuǎn)程連接成功。

如果對遠(yuǎn)程管理安全要求較高，不妨通過SSH協(xié)議連接代替Telnet協(xié)議連接，因為在缺省狀態(tài)下，SSH協(xié)議以加密方式傳輸內(nèi)容，黑客即使采取技術(shù)手段，悄悄竊取到了傳輸?shù)臄?shù)據(jù)內(nèi)容，也不能看到其中的內(nèi)容。

請問如何判斷惡意程序是否使用了開放網(wǎng)絡(luò)端口，如果發(fā)現(xiàn)端口被惡意使用時，該怎樣采取措施，防范非法的網(wǎng)絡(luò)應(yīng)用和入侵？

答：使 用CurrPorts工具，就能直觀地將開放端口使用的應(yīng)用程序信息顯示出來，當(dāng)看到有惡意程序在偷偷占用開放端口時，可以借助Process Explorer工具，對惡意程序的開啟狀態(tài)進(jìn)行關(guān)閉，防止Windows系統(tǒng)繼續(xù)遭遇惡意程序攻擊。

開啟CurrPorts工具運行狀態(tài)后，它會自動將計算機中所有網(wǎng)絡(luò)應(yīng)用程序使用的端口號碼顯示出來，包括本地端口和遠(yuǎn)程端口，還有端口所用程序的進(jìn)程名稱、進(jìn)程ID、進(jìn)程路徑、本地地址、遠(yuǎn)程地址等內(nèi)容，也會被自動顯示出來。要是顯示出來的信息比較多時，不妨按下主程序界面中的標(biāo)題欄，程序會依照名稱內(nèi)容排序顯示，這樣有利于高效查看信息。用鼠標(biāo)雙擊某個記錄，彈出對應(yīng)記錄屬性信息框，在這里能直觀了解到端口所用程序的各種狀態(tài)信息，包括程序使用的網(wǎng)絡(luò)協(xié)議、協(xié)議連接狀態(tài)、進(jìn)程名稱、進(jìn)程創(chuàng)建時間、進(jìn)程ID、進(jìn)程路徑、進(jìn)程占用端口、進(jìn)程使用地址等。

根據(jù)查看到的信息，大概就能判斷出某個陌生程序是否為惡意程序了。當(dāng)確認(rèn)惡意程序存在時，可以先用鼠標(biāo)右擊它，點擊快捷菜單中的“關(guān)閉選定的TCP連接”命令，將惡意程序運行狀態(tài)強行關(guān)閉。之后觀察惡意程序是否再次打開了網(wǎng)絡(luò)端口，要是發(fā)現(xiàn)它又打開了端口，那說明惡意程序十分狡猾。此時，不妨利用Process Explorer工具的殺死進(jìn)程樹功能，將掃描發(fā)現(xiàn)的惡意程序進(jìn)程強行殺死，而且該工具還會通過Autoruns程序，掃描系統(tǒng)中的所有自啟動項和服務(wù)，確保將惡意自動加載項刪除干凈，避免惡意攻擊“卷土重來”。

要是看到Windows系統(tǒng)中運行了多個陌生程序時，不妨使用Shift或Ctrl快捷鍵，將多個應(yīng)用程序集中選中，并用鼠標(biāo)右鍵單擊之，點擊右鍵菜單中的“結(jié)束選定端口的進(jìn)程”命令，這樣就能將若干個可疑網(wǎng)絡(luò)連接快速切斷了。通過該方法，也可以將多余網(wǎng)絡(luò)連接快速斷開，以方便排除惡意程序。

為了便于管理寬帶路由器，不少管理員會啟用該設(shè)備的遠(yuǎn)程管理功能，但該功能缺省會用到80端口，該端口很容易被黑客非法利用，不利于網(wǎng)絡(luò)的安全穩(wěn)定運行。請問如何避免這種現(xiàn)象發(fā)生？

答：要想保護(hù)寬帶路由器遠(yuǎn)程管理安全，不妨將缺省的遠(yuǎn)程管理端口調(diào)整為陌生號碼，日后只有知道新端口的人，才能對路由器進(jìn)行遠(yuǎn)程管理。比方說，要將TP-Link無線路由器Web管理端口調(diào)整為“3456”時，只要先進(jìn)入路由器后臺系統(tǒng)管理界面，依次展開“安全設(shè)置”、“遠(yuǎn)端Web管理”節(jié)點，在對應(yīng)節(jié)點下面，將“Web管理端口”參數(shù)設(shè)置為“3456”。之后，在“遠(yuǎn)端Web管理IP地址”位置處，輸入可以對寬帶路由器進(jìn)行遠(yuǎn)程管理的計算機公網(wǎng)IP地址，單擊“保存”按鈕執(zhí)行設(shè)置保存操作，最后重啟寬帶路由器設(shè)備，這樣日后只有在特定計算機上，并輸入新的端口號碼，才能對寬帶路由器進(jìn)行遠(yuǎn)程管理。

某單位使用Quidway S8500核心路由交換機進(jìn)行組網(wǎng)的，由于平時管理不善，局域網(wǎng)中經(jīng)常出現(xiàn)網(wǎng)絡(luò)回路現(xiàn)象，嚴(yán)重影響了網(wǎng)絡(luò)的穩(wěn)定運行。請問如何才能快速檢測到局域網(wǎng)中的網(wǎng)絡(luò)回路現(xiàn)象，以提高網(wǎng)絡(luò)故障的排查效率？

答：使用Quidway S8500核心路由交換機自帶的回路檢測功能，就能快速判斷局域網(wǎng)中是否存在網(wǎng)絡(luò)回路現(xiàn)象。默認(rèn)狀態(tài)下，有的交換端口沒有啟用端口環(huán)回檢測功能，只有啟用該功能，才能發(fā)揮交換機的動態(tài)監(jiān)控優(yōu)勢。在啟用該功能時，先在交換機后臺系統(tǒng)執(zhí)行“system-view”命令，切換到系統(tǒng)全局視圖模式，在該模式下執(zhí)行“l(fā)oopbackdetection enable”命令，就能啟用全局端口環(huán)回監(jiān)測功能。之后，使用“interface e0/2”命令（這里的“e0/2”為特定端口號碼），進(jìn)入特定交換端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“l(fā)oopbackdetection enable”命令，將特定交換端口的網(wǎng)絡(luò)回路檢測功能啟用起來。日后，通 過“display loopbackdetection”字符串命令，就能查看到核心交換機下面的哪個交換端口存在網(wǎng)絡(luò)回路現(xiàn)象。一旦發(fā)現(xiàn)某個交換端口下面存在網(wǎng)絡(luò)回路，必須進(jìn)入對應(yīng)端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“shutdown”命令，將對應(yīng)端口工作狀態(tài)暫時關(guān)閉，以避免網(wǎng)絡(luò)回路現(xiàn)象影響整個網(wǎng)絡(luò)的穩(wěn)定運行。

為了提高管理效率，用戶經(jīng)常會用遠(yuǎn)程桌面連接方式，對重要主機進(jìn)行遠(yuǎn)程控制。而遠(yuǎn)程桌面連接會用到默認(rèn)的3389端口，為了防止惡意用戶趁機利用該端口，對重要主機發(fā)動惡意攻擊，請問如何將該端口修改成陌生號碼？

答：很簡單！在重要主機系統(tǒng)中，打開系統(tǒng)注冊表編輯窗口，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注 冊表分支上，雙擊目標(biāo)分支下的PortNumber鍵 值，在 彈出的編輯鍵值對話框中，輸入新的端口號碼，比方說輸入“8564”，確認(rèn)后保存設(shè)置操作。之后，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 冊表分支上，雙擊目標(biāo)分支下的PortNumber鍵值，在彈出的編輯鍵值對話框中，也輸入“8564”，確認(rèn)后保存設(shè)置操作，最后重新啟動計算機系統(tǒng)即可。

如果Linux系統(tǒng)開放了太多的端口和服務(wù)，容易招來惡意攻擊，為了保護(hù)Linux系統(tǒng)的安全運行，請問如何將那些不需要的或無效的系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口關(guān)閉掉？

答：由于所有系統(tǒng)服務(wù)的運行狀態(tài)都受“/etc/inetd.conf”文件控制，我們可以打開該文件，檢查其中有哪些系統(tǒng)服務(wù)不需要，通過在對應(yīng)服務(wù)前面添加“#”的方法，取消并反安裝目標(biāo)服務(wù)，再通過“sighup”命令對“/etc/inetd.conf”文件進(jìn)行升級，讓上述操作正式生效。一般來說，fingerd、rexec、rlogin、rshd等服務(wù)不常使用，我們應(yīng)該將其取消安裝。

雖然將有安全威脅的網(wǎng)絡(luò)端口關(guān)閉后，能保證系統(tǒng)上網(wǎng)安全，但是用戶自己在上網(wǎng)訪問時，同樣也會受到影響，請問有沒有一種兩全其美的辦法，既能保證用戶自己使用任何網(wǎng)絡(luò)端口，又能限制別人使用其他端口呢？

答：利用“PortsLock”這款外力工具，依照具體的訪問要求，正確定義好網(wǎng)絡(luò)端口訪問規(guī)則，就能達(dá)到上述目的，也就是既不影響自己上網(wǎng)連接，又能限制他人使用端口。

打 開“PortsLock” 程序界面，從菜單欄中依次選擇“File”、“Quick Start Wizard”命令，彈出向?qū)гO(shè)置對話框，點擊“下一步”，將“The Administrators local group has full access but access for all other users is denied”選中，再按提示完成其余設(shè)置即可。日后，在“PortsLock”工具的作用下，只有本地管理員級別的用戶，才能使用任何網(wǎng)絡(luò)端口上網(wǎng)訪問，而其他用戶不能訪問任何網(wǎng)絡(luò)端口。