从端口出发让网络远离安全威胁

文章作者 100test 发表时间 2007:03:14 13:31:57
来源 100Test.Com百考试题网

经常在网上冲浪时，我们总会不可避免地遭遇到来自网络中的各种恶意攻击，一旦遭受到非法攻击时，轻则导致本地工作站不能正常上网或系统运行不正常，严重的话能导致本地网络发生瘫痪现象。为了保护本地网络或工作站的安全，相信多数网络管理人员都会寻求专业安全工具的保护；事实上，即使我们手头一时没有专业安全工具的“护驾”，也能赤手空拳地让本地网络远离安全威胁。这不，本文下面就从系统端口出发，来贡献几则通过管理服务端口的方法来实现保护本地网络安全的技巧，相信这些内容一定能帮助各位更好地保护好本地网络或工作站的安全。

着眼端口，禁止随意下载

当其他人借用自己的计算机时，我们肯定担心他会在自己的计算机中随意下载信息，从而有可能“招惹”病毒，以致于影响本地计算机或本地网络的安全。如果我们采用禁用网卡或拔掉网络连接线缆的方法，来阻止他人随意下载信息的话，那肯定容易得罪朋友，要是使用第三方网络控制程序来实现禁止下载目的的话，那也很容易被朋友看穿真相。面对如此两难进地，我们难道就没有很礼貌的拒绝方法了？其实借助Windows系统自带的端口控制功能，我们可以很轻松、很友善地禁止朋友在本地计算机中随意下载信息，而且这种拒绝方法会让朋友根本觉察不出是我们在故意“捣蛋”，下面就是该方法的具体实施步骤：

首先用鼠标右键单击本地系统桌面中的“网上邻居”图标，从弹出的快捷菜单中单击“属性”选项，打开本地的网络连接列表窗口，再在该窗口中右击“本地连接”图标，并执行右键菜单中的“属性”命令，进入到本地连接属性设置窗口；

图1

单击该窗口中的“常规”标签，并在对应的标签页面中选中“Internet协议（TCP/IP）”项目，再单击“属性”按钮，然后在其后出现的TCP/IP属性设置窗口中单击“高级”按钮，打开TCP/IP的高级属性设置界面；

接下来单击“选项”标签，并选中对应标签页面中的“TCP/IP筛选”项目，再单击“属性”按钮，打开如图1所示的参数设置窗口。将该设置窗口中的“TCP端口”、“UDP端口”以及“IP协议”由“全部允许”统统修改为“只允许”，再单击“添加”按钮，指定“TCP端口”、“UDP端口”以及“IP协议”数值全部为“1”，最后单击“确定”按钮，并将本地计算机系统重新启动一下，这么一来当他人日后再次借用本地计算机时，他就无法上网浏览了，但是本地网络连接看上去很正常，仍然能够象往常一样接收和发送信息，朋友肯定不会想到是我们在暗中“捣鬼”。倘若日后我们自己需要上网下载信息时，可以将“TCP端口”、“UDP端口”以及“IP协议”恢复成“全部允许”，并重新启动一下计算机系统就可以了。

着眼端口，限制非法连接

为了方便管理服务器，不少网络管理人员会使用服务器默认开通的3389端口，来与服务器建立远程连接，以便实现随处管理服务器的目的；不过一旦开通了3389端口，黑客或者非法攻击者也能通过该端口来非法与服务器建立远程连接，那样的话服务器的安全性就会受到严重威胁。为了防止其他人随意与服务器建立远程连接，我们可以将默认的远程连接端口号码修改成其他不为人所知的号码，以后只有知道远程端口号码的人才能与服务器建立远程连接，这么一来服务器安全性就能得到有效保证了；要修改默认的远程连接端口号码，我们可以按照如下步骤来操作：

首先以超级管理员帐号登录进服务器系统，并在该系统桌面中单击“开始”按钮，从弹出的“开始”菜单中执行“运行”命令，打开本地服务器系统的运行对话框，在其中输入“Regedit”字符串命令，单击回车键后，打开系统的注册表编辑窗口；

在该编辑窗口的左侧显示区域，用鼠标双击“HKEY_LOCAL_MACHINE”项目，在其后弹出的注册表分支下面依次选中“SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”选项，并在“tcp”选项所对应的右侧显示区域中，用鼠标双击“PortNumber”键值，在弹出的数值设置对话框中，我们会发现终端服务默认的端口号码为“3389”，此时我们不妨在“数值数据”框中直接输入新的端口号码，当新号码一定不能与服务器中已有的号码相同，不然服务器中的相关功能就无法正常运行。例如，倘若我们希望服务器的终端服务端口为“11111”时，那只要在如图2所示的文本框中直接输入数字“11111”，并单击“确定”按钮就可以了；

图2

接下来返回到“HKEY_LOCAL_MACHINE”注册表分支下面，用鼠标依次选中注册表子键“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”，在“RDP-Tcp”子键所对应的右侧显示窗口中，找到双字节值“PortNumber”并用鼠标双击之，在其后出现的数值设置对话框中输入“11111”，并单击一下“确定”按钮，再重新启动一下服务器系统，如此一来服务器的远程连接端口号码就被修改为了“11111”。

一旦将服务器中的终端服务端口号码修改成“11111”后，我们日后企图与服务器建立远程桌面连接时，必须在工作站端及时修改一下终端服务使用的端口号码。在调整工作站端的远程桌面连接端口号码时，我们可以依次单击“开始”/“运行”命令，在弹出的系统运行框中输入远程桌面连接命令“mstsc.exe”，再单击其后界面中的“选项”按钮，进入到如图3所示的设置窗口。在该设置窗口的各个标签页面中，对远程桌面连接的各项参数进行合适设置，当然我们也可以直接使用默认的设置，设置好所有参数后再单击“常规”标签页面中的“另存为”按钮，以便将所有的远程桌面连接参数保存成rdp类型的远程连接配置文件；

接下来进入到系统资源管理器窗口，找到前面保存好的远程连接配置文件，并用记事本之类的应用程序将该文件打开，在其后弹出的文本编辑界面中，插入一行“server port:i:11111”，之后依次单击文本编辑窗口中的“文件”/“另存为”菜单命令，将该远程连接配置文件进行换名保存。

紧接着，重新回到如图3所示的“常规”标签页面中，单击其中的“打开”按钮，将前面新创建的远程桌面连接配置文件导入进来，再单击“连接”按钮，这样一来我们才能使用“11111”端口与服务器建立远程桌面连接。如果其他人不知道新的远程桌面连接端口号码时，那么他们在尝试与服务器建立远程桌面连接时就会失败，从这个意义上来说服务器的安全就能得到保证了。