第4章 Windows端口安全

端口也稱“網絡接口”，是服務器對外提供網絡服務的主要通道，不同的網絡服務使用不同的端口。一臺服務器可以同時綁定多個IP地址，每個IP地址又可以通過開辟不同的端口來提供不同的網絡服務。通過這個形象的比喻不難看出：開放端口越多，服務器的安全性就越差；因此，如何保證Windows端口安全是網絡安全中的一個重要問題。

4.1 端口概述

正因為有了端口的概念，才使得一臺服務器可同時提供多種網絡服務。每一種網絡服務和網絡應用程序使用的端口都是不相同的，例如WWW服務使用80端口，FTP服務使用21端口，局域網通信使用445端口等。每個IP地址可提供65536個端口，有些端口是默認開放的，有些則是關閉的；而開放的端口隨時都有可能成為非法入侵者的跳板，故必須充分了解計算機的端口開放情況。

4.1.1 端口分類

通常情況下，IP地址的端口都是以端口號來標記的，端口號是從0～65535之間的一個任意整數。從邏輯意義上說，端口分類有多種分類標準，其中較為常用的兩種分類方法是按端口號分布劃分和按協議類型劃分。

1.按端口號劃分

按照端口號劃分，可以將端口分為三大類，即公認端口、注冊端口、動態或私有端口。

（1）公認端口

公認端口（Well Known Ports）范圍為0～1023。這些端口號一般被系統固定地分配給一些服務。例如21端口被分配給FTP服務，25端口被分配給SMTP（簡單郵件傳輸協議）服務，110端口被分配給POP3服務，80端口被分配給WWW服務，135端口被分配給RPC（遠程過程調用）服務等。

（2）注冊端口

注冊端口（Registered Ports）范圍為1024～49151。注冊端口松散綁定于一些服務，即端口號一般都不會固定地分配給某個服務，許多服務都可以使用這些端口。只要運行的程序向系統提出訪問網絡的申請，那么系統就可以從這些端口號中自動分配一個端口給程序使用。比如，1024端口就是分配給第一個向系統發出申請的程序，而在該程序進程關閉后，就會釋放其所占用的1024端口。因此，注冊端口在一定程度上降低了系統的安全性。

（3）動態或私有端口

動態或私有端口（Dynamic and/or Private Ports）范圍為49512～65535。通常情況下，不建議為服務分配這些端口。動態端口和注冊端口并無太大區別，因此可以直接將端口按照端口號劃分為公認端口（0～1023）和私有端口（1024～65535）。

2.協議類型劃分

端口按協議類型劃分，可以分為TCP、UDP等端口。

（1）TCP端口

TCP端口是由TCP協議而來的，即傳輸控制協議端口，需要在客戶端和服務器之間建立連接，這樣可以提供可靠的數據傳輸。

常用的TCP端口有如下幾種。

HTTP：超文本傳送協議使用80端口，用于實現Web服務和網頁瀏覽；

FTP：文件傳輸協議使用21端口，用于實現文件的上傳和下載；

SMTP：簡單郵件傳送協議使用25端口，用于發送電子郵件；

POP3：郵局協議使用110端口，用于接收電子郵件。

（2）UDP端口

UDP端口，即用戶數據包協議端口，無須在客戶端和服務器之間建立連接，安全性得不到保障。常見的有DNS服務的53端口，SNMP（簡單網絡管理協議）服務的161端口，QQ使用的8000和4000端口等。

常用的UDP端口有如下幾種。

DNS：域名解析服務使用53端口。用于實現將域名解析為IP地址；

SNMP：簡單網絡管理協議使用161 端口，用于實現對網絡設備的遠程管理和監視。由于網絡設備很多，無連接的服務就體現出其優勢；

QQ：QQ服務使用8000端口，偵聽是否有信息發送過來，客戶端使用的是4000端口，并通過該端口向外發送信息。但如果上述端口正在使用（例如，同時與幾個好友聊天），則端口號順序自動遞增4001、4002……。

4.1.2 應用程序和服務端口

IP地址和端口之間是一對多的關系，因此服務器只需設置一個IP地址，即可同時提供各種服務，并且可以通過其他應用程序訪問網絡。其實，任何網絡服務的提供都是基于“IP地址+端口號”形式實現的，只不過許多常用網絡服務都使用公認端口，所以客戶端通常可以省略；但是如果服務器端提供服務的端口發生變化，客戶端也必須隨之調整才能繼續訪問。因此，了解常見應用程序和服務端口對系統安全有著重要意義。Windows服務器和常見應用程序所使用的端口號及端口類型如表4-1所示。

表4-1 常見應用程序和服務端口

4.1.3 端口攻擊

看似神秘的網絡攻擊其實很多都是通過端口實現的，默認情況下，系統為了提供各種網絡服務和網絡訪問功能，已經開放了許多端口，并處于“待命”狀態。入侵者通常都是借助各種掃描工具探測某用戶計算機的端口開放情況，最終實施系統攻擊的。植入木馬是比較常用的端口攻擊方式之一。簡單地講，木馬就是未經用戶許可，而在計算機中安裝的非法外聯軟件。木馬主要有兩種方式。

開放服務端口的木馬。這類木馬都需要在計算機使用者的計算機上開啟某個服務端口作為“后門（BackDoor）”。成功后，該后門處于LISTENING狀態，其端口號可能固定一個數，也可能變化，還有的木馬可以與正常的端口合用。例如開著正常的80 端口（WWW服務），木馬也用80端口。這種木馬最大的特點就是有端口處于LISTENING狀態，需要遠程計算機連接。對一般用戶來說，這種木馬容易防范，將防火墻設為拒絕從外到內的連接即可。

反彈型木馬。反彈型木馬是從內向外的連接，可以有效地穿透防火墻，即使使用的是內網IP地址，一樣也能訪問計算機使用者的計算機。這種木馬的原理是服務端主動連接客戶端（黑客）地址。木馬的服務端軟件就像Internet Explorer一樣，使用動態分配端口去連接客戶端的某一端口，通常是常用端口（例如端口80），而且會使用隱蔽性較強的文件名，例如iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。

計算機病毒和木馬通過端口和其他的計算機進行鏈接，在網絡環境中，可以使用防火墻或者本地安全策略的方式關閉某些端口。表4-2所示是常見病毒和木馬的端口使用情況。

表4-2 常見病毒和木馬使用端口

續表

續表

續表

續表

續表

續表

續表

4.1.4 查看使用端口

所有網絡攻擊，都必須借助相應TCP/UDP端口才能實現。因此，及時了解和控制系統端口的開放情況才是應對各種網絡攻擊的有效措施。但是系統端口共有65536個，要想了解當前端口的開放情況和工作狀態并非易事。這里，介紹幾種常用的端口查看工具，可以適用于各種系統環境。

1.Windows系統內置端口查看工具——Netstat

Netstat是內置于Windows系統的一款功能強大的命令行工具，可以查看本地TCP、ICMP、UDP、IP協議的使用，查看各個端口的開放情況，顯示活動的TCP連接、計算機偵聽的端口、以太網統計信息、IP路由表、IPv4統計信息（對于IP、ICMP、TCP和UDP協議）以及IPv6統計信息（對于IPv6、ICMPv6、通過IPv6的TCP以及通過IPv6的UDP協議）。

（1）Netstat命令的基本語法

Netstat命令的語法格式及參數使用情況如下：

Netstat [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

-a：顯示所有連接和監聽端口。

-b：顯示包含于創建每個連接或監聽端口的可執行組件。在某些情況下已知可執行組件擁有多個獨立組件，并且在這些情況下顯示包含于創建連接或監聽端口的組件序列。這種情況下，可執行組件名在底部的[ ]中，頂部是其調用的組件。注意此選項可能需要很長時間，如果沒有足夠權限可能失敗。

-e：顯示以太網統計信息。此選項可以與“-s”選項組合使用。

-n：以數字形式顯示地址和端口號。

-o：顯示與每個連接相關的所屬進程ID。

-p proto：顯示proto指定的協議的連接；proto可以使用的協議包括：TCP、UDP、TCPv6或UDPv6。如果與-s選項一起使用則顯示按協議統計信息，proto可以使用的協議包括：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。

-r：顯示路由表。

-s：顯示按協議統計信息。默認顯示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的統計信息。

-p：選項用于指定默認情況的子集。

-v：與-b選項一起使用時，將顯示包含于為所有可執行組件創建連接或監聽端口的組件。

Interval：重新顯示選定統計信息，每次顯示之間暫停時間間隔（以秒計）。按下Ctrl+C快捷鍵停止重新顯示統計信息。如果省略，netstat顯示當前配置信息（只顯示一次）。

（2）查看當前連接使用的端口

查看當前有哪些計算機正在與本機連接，以及所使用的IP地址以及端口等信息，根據這些信息即可判斷一個連接的安全性。在Windows Server 2008系統中，依次選擇“開始”→“所有程序”→“附件”→“命令提示符”選項，打開“命令提示符”窗口。輸入如下命令：

Netstat -na

回車確認，命令成功執行，如圖4-1所示。

圖4-1 查看本地計算機目前連接的端口

命令執行結果顯示當前計算機連接情況及打開的端口。其中，“Local Address”表示本機IP地址和所打開的端口號，“Foreign Address”表示遠程計算機的IP地址和端口號，“State”表示當前TCP的連接狀態，“LISTENING”是監聽狀態，表示本機正在打開135 端口監聽，正在等待遠程計算機的連接。

（3）查看鏈接端口的宿主

在某些情況下，不但要確認哪些端口是打開的，還要確認使用這些已經打開的端口的應用程序，這種做法通常用來確認一些木馬所使用的程序，以及其所使用的端口。在“命令提示符”窗口中輸入如下命令：

Netstat -nab

回車確認，命令成功執行，如圖4-2所示。

圖4-2 顯示應用程序打開的端口

從圖4-2中可以看出，在命令執行結果中，顯示了每個連接都是由哪些程序創建的。例如本機在49203和49208端口，都是由系統內置的應用程序“iexplore.exe”創建的。如果發現有可疑程序正在打開某些端口，則根據端口和木馬、病毒的對應情況，即可發現是否是網絡攻擊。

2.端口查詢工具——PortQry

Portqry.exe是Windows Support Tools中的一個實用命令行工具，其英文全稱為PortQry Command Line Port Scanner。PortQry可以報告本地計算機或遠程計算機上，目標TCP端口和用戶數據報協議（UDP）端口的狀態。Windows 2000/XP/2003用戶，可以從系統安裝光盤中的支持工具包中獲得，路徑為：X:\SUPPORT\TOOLS\SUPPORT.CAB。Windows Vita/2008用戶則可以登錄微軟網站下載該工具，網址為：

http://download.microsoft.com/download/0/d/9/0d9d81cf-4ef2-4aa5-8cea-95a935ee09c9/PortQryV2.exe。

（1）PortQry概述

PortQry的安裝非常簡單，下載或提取之后直接運行即可。安裝完成后，打開命令提示符窗口，并轉至PortQry的安裝目錄，即可執行各種查詢命令。PortQry命令的語法格式及參數用法說明如下：

portqry /n ServerName [/-p Protocol][/e port||/r start port:end port ||/o port,port,
port...][/l filename][/s][/i][/q]

/n ServerName：指定目標計算機，可以是主機名或IP地址。但是，主機名稱或IP地址中不能包括空格。PortQry將主機名稱解析為IP地址。如果PortQry無法將主機名稱解析為IP地址，此工具會報告錯誤，并自動退出。如果輸入IP地址，則PortQry會將其解析為主機名稱。如果解析不成功，PortQry會報告錯誤，但仍繼續處理命令。

/p Protocol：指定用于連接目標計算機上目標端口的端口或協議的類型。如果不指定協議，PortQry使用TCP作為協議。Protocol的有效參數為TCP、UDP或BOTH（即同時包含TCP和UDP）。

/e port：指定端口取值范圍為1～65535。該參數不能與參數/r或/o同時使用。

/r start port:end port：指定一個連續的端口范圍，start port為起始端口值，end port為終止端口值，取值范圍為1～65535。該參數不能與參數/e或/o同時使用。

/o port,port,port...：指定若干不相連的端口，取值范圍為1～65535。

/l filename：將PortQry輸出到文本文件filename，該文件位于運行PortQry的文件夾。如果同名的日志文件已經存在，PortQry將提示重命名還是直接覆蓋。

/s：PortQryto等待更長的UDP查詢響應時間。由于UDP是無連接協議，所以PortQry無法確定端口是響應緩慢還是端口被篩選。在PortQry確定端口是未偵聽還是篩選之前，此選項使PortQry等待UDP端口響應的時間加倍。在速度較慢或不穩定的網絡鏈接中查詢UDP端口時，使用此選項。

/q：使PortQry取消錯誤信息之外的所有屏幕輸出。在配置PortQry、以便在批處理文件中使用時，此參數尤其有用。根據端口的狀態，此參數可能返回如下結果：

如果目標端口是偵聽，則返回0（零）；

如果目標端口是未偵聽，則返回1；

如果目標端口為偵聽或篩選，則返回2。

只能將此參數與-e參數一起使用，不能將此參數與-o參數或-r參數一起使用。此外，將-p參數的值設置為Both時，也不能將此參數與-p參數一起使用。

/i：忽略默認的IP地址-主機名查找。

Portqry.exe通過以下三種不同方式報告系統端口的狀態：

偵聽。某些進程正在偵聽所選計算機系統的端口，Portqry.exe收到該端口的響應；

未偵聽。沒有進程偵聽目標系統上的目標端口。Portqry.exe收到目標UDP端口發回的“Destination Unreachable-Port Unreachable”（無法達到目標-無法達到端口）消息，或者如果目標端口是TCP端口，Portqry則收到已設置重置標志的TCP確認數據包；

篩選。目標計算機系統的端口正在被篩選。Portqry.exe沒有收到該端口的響應。進程可能在偵聽端口，也可能不在偵聽端口。默認情況下，在報告目標端口被篩選之前，將對TCP端口查詢三次，對UDP端口查詢一次。Portqry.exe可查詢單個端口、端口的順序列表或多個連續的端口。

（2）查看本地主機端口開放情況

打開命令提示符窗口，并轉至Portqry所在目錄下，輸入如下命令：

portqry -local

回車確認，運行后顯示如圖4-3所示的結果。

圖4-3 本地計算機端口開放情況

查看本地計算機端口狀態及開放情況，應使用“portqry”命令的local工作模式，運行結果中顯示，當前有一臺IP地址為192.168.1.21的計算機正在打開本地計算機系統的445端口。如果想要偵聽本地計算機的某個端口工作狀態，可以在命令提示符窗口中，輸入如下命令：

portqry -local -wport 445

回車確認，顯示如圖4-4所示結果。

圖4-4 偵聽本地計算機的445端口

默認情況下，執行上述命令后，portqry將持續偵聽445端口的工作情況，并且每60秒鐘刷新一次結果，直至用戶按下“ESC”按鍵結束偵聽為止。在此過程中，偵聽結果將隨著端口狀態的變化而自動記錄。

（3）查看遠程主機系統端口

借助Portqry命令還可以查看遠程主機的某個端口工作狀態，此時需要使用“Portqry -n”模式。例如，在命令提示符窗口中，轉至Portqry所在目錄下，輸入如下命令：

Portqry -n tjl.coolpen.net -e 445

回車確認，顯示如圖4-5所示運行結果。

圖4-5 查看遠程主機端口狀態

運行結果顯示目標計算機系統的445端口，目前正處于FILTERED（過濾）狀態，即當前端口正在被防火墻或其他程序保護。

3.端口分析大師

對于經驗豐富的用戶而言，以上介紹的兩款端口查看命令行工具顯然簡便易用，可以用來查看和管理本地或遠程主機的端口開放情況。但是，對于初級用戶而言，可能難以駕馭命令行工具，只能實現簡單的本地查看。目前，用于系統端口查看和分析的圖形工具非常多，“全能助手Windows端口診斷專家”就是其中非常不錯的一個，下載網址為：http://www.onlinedown.net/soft/39429.htm。其主要應用如下：

“全能助手Windows端口診斷專家”的應用非常簡單。安裝完成后，依次選擇“開始”→“所有程序”→“全能助手”→“Windows端口診斷專家”選項，其窗口顯示如圖4-6所示。默認情況下，將顯示本地計算機的所有活動連接使用端口情況。

圖4-6 “全能助手Windows端口診斷專家”窗口

相對于命令提示符窗口中的英文信息而言，中文界面更適合初級用戶使用，簡潔直觀，包括活動連接使用的端口號、類型、狀態，以及遠程主機的IP地址和端口等信息。在該窗口中，單擊“防火墻”按鈕，可快速啟動Windows防火墻，隨時修改配置信息。

4.2 配置端口

通過端口查看工具的應用不難發現，默認情況下的Windows系統會開放很多端口。只要計算機連接網絡，黑客就可以通過這些打開的端口入侵計算機系統。因此，對于一些非必要的端口應該將其關閉掉。其中一些常用端口包括：Telnet服務的23端口、FTP服務的21端口、SMTP服務的25端口、RPC服務的135、139、445、593、1025端口和UDP123、137、138、445、1900端口、一些流行病毒的后門端口，以及遠程服務訪問端口3389。

4.2.1 啟動/關閉服務法

關閉服務可以關閉相應的端口。這里以關閉Windows Server 2008系統的FTP服務為例，介紹如何通過這種方法配置Windows端口。

第1步，依次選擇“開始”→“管理工具”→“服務”，顯示如圖4-7所示的“服務”控制臺窗口。

圖4-7 “服務”控制臺窗口

第2步，在右側窗口中，雙擊“FTP Publishing Service”服務，顯示如圖4-8所示的“FTP Publishing Service的屬性”對話框。如果安裝了FTP服務，則此服務將隨系統啟動而自動運行。

圖4-8 “FTP Publishing Service的屬性”對話框

第3步，單擊“停止”按鈕，停止該服務，然后在“啟動類型”下拉列表中選擇“已禁用”，如圖4-9所示。

圖4-9 關閉服務

第4步，單擊“確定”按鈕，即可關閉FTP服務對應的端口。

如果要開啟該端口，只需先在“啟動類型”選擇“自動”選項，單擊“應用”按鈕，然后單擊“啟動”按鈕即可。

4.2.2 IP安全策略法

IP安全策略也可以用來配置Windows端口的開放狀態。在Windows域環境中，還可以將該策略應用到域內的其他客戶機上，從而實現更大范圍的端口安全。下面，以關閉139端口為例，詳細描述在組策略編輯器中創建IP安全策略的步驟，分為以下幾部分：

創建IP篩選器；

創建IP篩選器操作；

創建IP安全規則；

創建IP安全策略；

指派IP安全策略。

1.創建新的組織單位、策略

IP安全策略控制法主要是針對客戶端系統而言的，因此在實施之前必須確保客戶計算機已經加入域中，為了便于管理，建議將欲配置的客戶統一添加到新建OU中。Window Server 2008中創建基于OU或域的組策略，與Windows Server 2003略有不同，所有的組策略配置都是在“組策略管理”控制臺中完成的，主要操作步驟如下。

第1步，打開“Active Directory用戶和計算機”窗口，新建OU并將欲配置的客戶計算機加入到該OU，如圖4-10所示。

圖4-10 創建OU

第2步，依次選擇“開始”→“管理工具”→“組策略管理”選項，打開如圖4-11所示“組策略管理”控制臺窗口。

圖4-11 “組策略管理”窗口

第3步，右擊需要創建組策略的組織單位，選擇快捷菜單中的“在這個域中創建GPO并在此處鏈接”選項，打開如圖4-12所示的“新建GPO”對話框，在“名稱”文本框中輸入新建GPO的名稱。

圖4-12 “新建GPO”對話框

第4步，單擊“確定”按鈕，即可完成組策略的創建，如圖4-13所示。

圖4-13 新創建的組策略

2.定義IP篩選器

可以在創建策略時或者在創建策略之前定義篩選器列表，已經創建的篩選器列表可用于任何策略。每個篩選器定義入站或出站網絡通信的子集，即篩選器操作通過保護通信（使用身份驗證、數據完整性或數據加密）、以完全阻止或允許（不使用身份驗證、數據完整性或數據加密）的方式進行操作。創建IP篩選器的主要操作步驟如下。

第1步，右擊新創建的組策略“IP安全策略-控制端口”，選擇“編輯”，打開“組策略管理編輯器”窗口。依次展開“計算機配置”→“Windows設置”→“安全設置”→“IP安全策略，在Active Directory（coolpen.net）”，如圖4-14所示。

圖4-14 “組策略管理編輯器”窗口

第2步，右擊“IP安全策略，在Active Directory（coolpen.net）”，選擇快捷菜單中的“管理IP篩選器表和篩選器操作”，顯示如圖4-15所示的“管理IP篩選器表和篩選器操作”對話框。

圖4-15 “管理IP篩選器表和篩選器操作”對話框

第3步，在默認顯示的“管理IP篩選器列表”選項卡中，單擊“添加”按鈕，顯示如圖4-16所示的“IP篩選器列表”對話框。在“名稱”文本框中，輸入容易記憶的篩選器名稱，便于與其他IP篩選器區別，如“TCP 139”。在“描述”文本框中，輸入相關描述信息，可以方便日后應用和管理。

圖4-16 “IP篩選器列表”對話框

第4步，單擊“添加”按鈕，打開“IP篩選器向導”，顯示如圖4-17所示的“歡迎使用IP篩選器向導”對話框。

圖4-17 “歡迎使用IP篩選器向導”對話框

第5步，單擊“下一步”按鈕，顯示如圖4-18所示的“IP篩選器描述和鏡像屬性”對話框。默認情況下，已經選中“鏡像”復選框，此時將根據篩選器設置自動創建兩個篩選器，一個用于到目標的通信，一個用于來自目標的通信。如果取消“鏡像”復選框，則將只創建基于篩選器設置的單一篩選器。

圖4-18 “IP篩選器描述和鏡像屬性”對話框

第6步，單擊“下一步”按鈕，顯示如圖4-19所示的“IP流量源”對話框。在“源地址”下拉列表框中選擇“任何IP地址”選項。“源地址”下拉列表中共包括我的IP地址、任何IP地址、一個特定的IP地址或子網、DNS服務器（動態）、WINS服務器（動態）、DHCP服務器（動態）和默認網關（動態）等選項。

圖4-19 “IP流量源”對話框

第7步，單擊“下一步”按鈕，顯示如圖4-20所示的“IP流量目標”對話框，在“目標地址”下拉列表中，選擇“我的IP地址”選項。

圖4-20 “IP通信目標”對話框

第8步，單擊“下一步”按鈕，顯示如圖4-21所示的“IP協議類型”對話框，在“選擇協議類型”下拉列表中，選擇“TCP”選項。

圖4-21 “IP協議類型”對話框

“選擇協議類型”下拉列表的選擇策略如下：

如果選擇TCP或UDP，則還可以通過目標端口篩選數據包；

如果要篩選從選定協議類型所用的任意端口上發送的數據包，可選擇“從任意端口”選項；

如果要篩選從選定協議類型所用的特定端口上發送的數據包，可選擇“從此端口”選項，然后輸入端口號；

如果要篩選從選定協議類型所用的任意端口上接收的數據包，可選擇“到任意端口”選項；

如果只篩選在指定的端口號上接收的數據包，可選擇“到此端口”項。

第9步，單擊“下一步”按鈕，顯示如圖4-22所示的“IP協議端口”對話框，分別選擇“從任意端口”和“到此端口”單選按鈕，并在“到此端口”文本框中輸入端口號“139”。

圖4-22 “IP協議端口”對話框

第10步，單擊“下一步”按鈕，顯示如圖4-23所示的“正在完成IP篩選器向導”對話框，如果同時選擇“編輯屬性”復選框，則單擊“完成”按鈕后即可立即編輯該IP篩選器。

圖4-23 “正在完成IP篩選器向導”對話框

第11步，單擊“完成”按鈕，顯示如圖4-24所示的“IP篩選器列表”對話框，新創建的篩選器已經顯示在列表中。

圖4-24 成功創建的IP篩選器

將新的靜態IP地址添加到受安全策略保護的計算機中時：

應修改對受保護的計算機進行安全保護的所有客戶機和服務器上的IPSec策略篩選器，在添加新地址之前，應確保這些客戶機已經更新其策略；

檢查將在受保護的計算機上使用的策略。如果篩選器為本地連接指定靜態IP地址，則在向其接口添加新的IP地址后，應編輯并保存新的篩選器列表，并保證在其中包含新的靜態IP地址。需要注意的是，在添加新的靜態IP地址時，“我的IP地址”篩選器將自動更新，而不用用戶再進行手動更新。

如果受保護的計算機是WWW服務器，并且客戶機使用的是代理服務器，則應確保網絡上所有的通信都受IPSec保護：

WWW服務器和所有直接連接的客戶端之間的通信；

WWW服務器和代理服務器之間的通信；

代理服務器及其所有客戶機之間的通信。

下列的篩選器，被默認設置為允許（不保護）通信：

Internet密鑰交換（IKE）。源地址=任意，目標地址=任意，協議=UDP，源端口=500，目標端口=500；

IP多播通信；

IP廣播通信；

KerberosV5。源地址=任意，目標地址=任意，協議=UDP或TCP，源端口=88，目標端口=88；

資源保留協議（RSVP）源地址=任意，目標地址=任意，協議=46。

3.定義IP篩選器操作

篩選器操作主要用于定義數據傳輸的安全需求，即對于符合篩選器條件的傳輸進行哪些處理，放行、阻止還是協商安全等。定義IP篩選器操作的主要步驟如下。

第1步，在“管理IP篩選器表和篩選器操作”對話框中，切換至如圖4-25所示的“管理篩選器操作”選項卡。

圖4-25 “管理篩選器操作”選項卡

第2步，單擊“添加”按鈕，啟動“篩選器操作向導”，顯示如圖4-26所示的“歡迎使用IP安全篩選器操作向導”對話框。

圖4-26 “歡迎使用IP安全篩選器操作向導”對話框

第3步，單擊“下一步”按鈕，顯示如圖4-27所示的“篩選器操作名稱”對話框。在“名稱”文本框中輸入“拒絕訪問139端口”。在“描述”文本框中，輸入該篩選器的描述出處，例如這里輸入“拒絕訪問139端口”。

圖4-27 “篩選器操作名稱”對話框

第4步，單擊“下一步”按鈕，顯示如圖4-28所示的“篩選器操作常規選項”對話框，本文定義IPSec策略的目的是關閉139端口，即拒絕其他主機對本地系統139端口的訪問，所以應選擇“阻止”單選按鈕。

圖4-28 “篩選器操作常規選項”對話框

篩選器操作類型具體內容如下：

許可：允許以純文本方式接收或發送數據包，不要求對這些數據包提供安全保護措施；

阻止：丟棄數據包。不要求對這些數據包提供安全措施；

協商安全：可使用“安全措施首選順序”中的安全措施列表為數據包提供安全性，這些數據包的安全請求將被接受。

第5步，單擊“下一步”按鈕，顯示如圖4-29所示的“正在完成IP安全篩選器操作向導”對話框。選中“編輯屬性”復選框并單擊“完成”按鈕，則可以立即編輯該篩選器操作。

圖4-29 “正在完成IP安全篩選器操作向導”對話框

第6步，單擊“完成”按鈕，即可完成篩選器操作的創建。另外，如果不希望完全阻止來自其他主機的139端口訪問，即希望允許與其他不支持IPSec的計算機通信，則可以在“管理IP篩選器表和篩選器操作”對話框的“管理篩選器操作”選項卡中，選擇剛剛創建的“拒絕訪問139端口”篩選器操作，并單擊“編輯”按鈕，打開如圖4-30所示的“拒絕訪問139端口屬性”對話框。選擇“協商安全”單選按鈕，并根據下列需要選擇合適的協商條件即可。

圖4-30 “拒絕訪問139端口 屬性”對話框

接受不安全的通信，但始終用IPSec響應。IPSec允許與不安全（未受IPSec保護）配置的篩選器列表相匹配的傳入數據包。但是，必須對傳入數據包的傳出響應提供保護。將默認響應規則用于客戶端時，該設置十分有用。將一組服務器用以下規則進行配置：該規則能夠保護與任何IP地址的通信并能接受不安全通信，同時只用安全通信進行響應，并在客戶端計算機上啟用默認響應規則以確保客戶端能夠響應服務器的協商安全請求。若要阻止拒絕服務攻擊，應當對連接到Internet的安全計算機禁用此選項。

如果無法建立安全連接，則允許回退到不安全的通信。如有必要，IPSec將回退到不安全的通信。應當再次將IP篩選器列表限制在更小范圍內。否則，當協商失敗時，運用該篩選器的規則將會使不安全連接發送數據。如果環境對通信安全要求不高，則可以考慮禁用該設置。然而，這樣可能會阻止與無法啟動IPSec保護計算機的通信。若要阻止拒絕服務攻擊，應當對連接到Internet的安全計算機禁用此選項。

使用會話密鑰完全向前保密（PFS）。啟用會話密鑰PFS可以確保無法使用主密鑰密鑰資料以派生多個會話密鑰。啟用會話密鑰PFS時，會執行新的Diffie-Hellman（一種公開密鑰交換算法）密鑰交換，以便在創建新的會話密鑰前生成新的主密鑰密鑰資料。會話密鑰PFS不需要重新進行主模式身份驗證，并且使用的資源比主密鑰PFS更少。

第7步，在“安全方法首選順序”列表中，可以設置篩選操作使用方法的先后順序，默認是空白的。通常情況下，應當按照從最高安全性到最低安全性的順序排列列表中的方法，這樣可使用最安全的方法。單擊“添加”按鈕，打開如圖4-31所示的“新增安全方法”對話框。

圖4-31 “新增安全方法”對話框

可供用戶選擇安全方法包括如下三項內容：

完整性和加密。使用ESP協議可提供具有“三重數據加密標準（3DES）”算法的數據加密、具有“安全散列算法1（SHA1）”完整性算法的數據完整性和身份驗證，以及默認密鑰壽命（100 MB，1 h）；

僅保持完整性。使用ESP協議可以提供數據完整性和身份驗證（具有SHA1完整性算法）與默認密鑰壽命（100 MB，1 h）。配置ESP不提供數據加密；

自定義。單擊“設置”可配置自定義安全措施或密鑰壽命。

第8步，選擇“自定義”單選按鈕并單擊“設置”按鈕，顯示如圖4-32所示的“自定義安全方法設置”對話框。

圖4-32 “自定義安全方法設置”對話框

若想要保障數據包尋址信息（IP報頭）和數據的完整性，可選中“數據和地址不加密的完整性（AH）”復選框。然后，在“完整性算法”下拉列表中，選擇要用于數據完整性的算法。其中，各種加密算法的具體含義如下：

MD5：使用“消息摘要5（MD5）”完整性算法，該算法使用的是128位的密鑰；

SHA1：使用“安全散列算法1”完整性算法，該算法使用的是160位的密鑰。

要為數據提供完整性和加密（保密性），選擇“數據完整性和加密（ESP）”復選框，此時還應在“完整性算法”下拉列表中，選擇數據完整性算法和加密算法。其中，各種完整性驗證算法的具體含義如下：

<無>：不使用數據完整性。如果已啟用了“AH”，則可選擇ESP完整性算法的“無”，以提高計算機的各項性能；

MD5：使用MD5完整性算法，該算法使用128位的密鑰；

SHA1：使用SHA1完整性算法，該算法使用160位的密鑰。

配合使用的各種加密算法的具體含義如下：

<無>：不使用加密；

DES：使用56位密鑰的“數據加密標準（DES）”；

3DES：使用3個56位密鑰的三重“數據加密標準”。

第9步，連續單擊“確定”按鈕，保存設置即可。其實，第6步之后的操作都是為實現與未受安全策略保護計算機的通信而設置的，管理員可以根據實際需要選擇設置。

4.創建IP安全策略

做好上述準備工作之后，即可開始創建IP安全策略，主要操作步驟如下。

第1步，在“組策略管理編輯器”窗口中，右擊“IP安全策略，在Active Directory（coolpen.net）”選項，選擇快捷菜單中的“創建IP安全策略”選項啟動“IP安全策略向導”，顯示如圖4-33所示的“歡迎使用IP安全策略向導”對話框。

圖4-33 “歡迎使用IP安全策略向導”對話框

第2步，單擊“下一步”按鈕，顯示如圖4-34所示的“IP安全策略名稱”對話框，在“名稱”和“描述”文本框中，分別輸入便于區分的策略名稱，如“拒絕訪問139端口”等。

圖4-34 “IP安全策略名稱”對話框

第3步，單擊“下一步”按鈕，顯示如圖4-35所示的“安全通信請求”對話框，保持系統默認設置即可。“激活默認響應規則（僅限于Windows的早期版本）（R）”復選框僅對較早版本Windows系統有效，對于Windows Vista/2008系統無效。

圖4-35 “安全通信求”對話框

第4步，單擊“下一步”按鈕，顯示如圖4-36所示的“正在完成IP安全策略向導”對話框，取消“編輯屬性”復選框，具體的策略屬性將在“設置IP安全規則”中完成。

圖4-36 “正在完成IP安全策略向導”對話框

第5步，單擊“完成”按鈕，關閉“IP安全策略向導”，創建完成的“IP安全策略”顯示在“組策略管理編輯器”窗口中。

5.設置IP安全規則

管理員在設置IP安全規則時，應當注意以下幾個方面：

要定義基于Active Directory的IPSec策略，必須具有“組策略”管理權限。要管理計算機的本地或遠程IPSec策略，必須是本地或遠程計算機Administrators組的成員；

成功添加的新規則將自動應用于正在創建或編輯的策略。在“IP安全策略”中，策略規則基于為每一規則選擇的篩選器列表的名稱以相反的字母順序顯示。需要注意的是，目前還沒有方法能夠指定應用于策略中規則的順序。IPSec會根據從最具體的篩選器列表到最不具體的篩選器列表進行自動排序；

自動在每個新的IPSec策略中，添加（并在選擇后激活）默認響應規則。如果不希望此規則成為策略的一部分，可通過取消“動態”復選框停用該規則，默認響應規則不能刪除。

設置IP安全規則的步驟如下。

第1步，在“組策略管理編輯器”窗口中，雙擊需要設置安全規則的IP安全策略，顯示如圖4-37所示的“拒絕訪問139端口 屬性”對話框。

圖4-37 “拒絕訪問139端口 屬性”對話框

第2步，單擊“添加”按鈕，打開“安全規則向導”，顯示如圖4-38所示的“歡迎使用創建IP安全規則向導”對話框。將要設置的安全操作包括：IP隧道操作屬性、身份驗證方法和篩選器操作。

圖4-38 “歡迎使用創建IP安全規則向導”對話框

第3步，單擊“下一步”按鈕，顯示如圖4-39所示的“隧道終結點”對話框，選擇“此規則不指定隧道”單選按鈕，即可禁用該規則的隧道。如果想對特定隧道終結點使用隧道通信，則選擇“隧道終點由下列IP地址指定”單選按鈕，并輸入隧道終點的IP地址。

圖4-39 “隧道終結點”對話框

第4步，單擊“下一步”按鈕，顯示如圖4-40所示的“網絡類型”對話框，選擇“所有網絡連接”單選按鈕。

圖4-40 “網絡類型”對話框

可供選擇的“網絡類型”如下。

所有網絡連接：可以將此規則應用到在該計算機中創建的所有網絡連接；

局域網（LAN）：單選按鈕，可以將此規則應用到在該計算機中創建的所有LAN連接；

遠程訪問：可以將此規則應用到在該計算機中創建的所有遠程或撥號連接。

第5步，單擊“下一步”按鈕，顯示如圖4-41所示的“IP篩選器列表”對話框，選擇新創建的“TCP139”篩選器。

圖4-41 “IP篩選器列表”對話框

第6步，單擊“下一步”按鈕，顯示如圖4-42所示的“篩選器操作”對話框，選擇已經創建好的“拒絕訪問139端口”篩選器即可。如果在此之前沒有創建IP篩選器，也可以單擊“添加”按鈕立刻添加。

圖4-42 “篩選器操作”對話框

第7步，單擊“下一步”按鈕，顯示如圖4-43所示的“正在完成安全規則向導”對話框，取消“編輯屬性”復選框。

圖4-43 “正在完成安全規則向導”對話框

第8步，單擊“完成”按鈕，關閉“安全規則向導”，返回“拒絕訪問139端口屬性”對話框，如圖4-44所示，新創建的安全規則已被添加到“IP安全規則”列表中。

圖4-44 成功創建的IP安全規則

6.分配IP安全策略

默認情況下，所有的IP安全策略都是未分配的，即不對任何網絡訪問進行保護和過濾。在“組策略管理編輯器”窗口的“IP安全策略，在Active Directory（coolpen.net）”中，右擊想要分配的IP安全策略，并選擇快捷菜單中的“分配”選項，如圖4-45所示。稍等，該策略的“策略已指派”欄即可變為“是”狀態，分配成功。

圖4-45 分配IP安全策略

4.2.3 禁用NetBIOS端口

NetBIOS協議主要用于Windows 98/2000等早期操作系統實現局域網通信，對于服務器而言，如果網絡中沒有此類客戶端，則完全可以禁用NetBIOS協議，以確保服務器的安全。NetBIOS協議使用139端口，所以禁用協議的同時也就是關閉139端口。主要操作步驟如下。

第1步，打開“網絡和共享中心”窗口，在網絡連接列表中，單擊想要設置的本地連接對應的“查看狀態”連接，打開“本地連接 狀態”對話框，如圖4-46所示。

圖4-46 “本地連接 狀態”對話框

第2步，單擊“屬性”按鈕，打開“本地連接 屬性”對話框，選擇“此連接使用下列項目”列表中的“Internet協議版本4（TCP/IPv4）”，單擊“屬性”按鈕，顯示如圖4-47所示“Internet協議版本4（TCP/IPv4）屬性”對話框。

圖4-47 “Internet協議版本 4（TCP/IPv4）屬性”對話框

第3步，單擊“高級”按鈕，打開“高級TCP/IP設置”對話框，切換到“WINS”選項卡，在“NetBIOS設置”選項區域中，選擇“禁用TCP/IP上的NetBIOS”單選按鈕，如圖4-48所示。

圖4-48 “WINS”選項卡

第4步，單擊“確定”按鈕，即可完成“禁用NetBIOS”設置。