作者:許本新
上次我們說到利用IPsec實現對ICMP協議Ping命令的禁用,其實我的用意主要是希望起到穿針引線的功效,讓讀者能夠以此爲契機舉一反三,利用相同的方法實現對其他協議的處理。
今天我們接着討論如何利用IPsec實現對開放端口的禁用,大家都知道微軟件系統爲了能夠實現對更多的應用軟件支持,所以迫不得已開放了很多端口,比如445端口和139端口,這兩個端口都與共享有很大的管理,如果這兩個端口禁用的話將會導致共享功能無法進行。針對微軟系統而言端口的開放是必然的,但是開放了不必要的端口又是很危險的,所以很矛盾,爲了能夠有效的保證計算機系統的安全,建議大家將不必要的端口實現禁用操作。
其實衆所周知禁用端口的方法有很多,但是具體採用什麼方法,我覺得方便安全最爲重要。目前可以禁用端口的方法主要有以下幾種:
Ø 利用第三方的防火牆軟件
Ø 利用系統自帶的功能
Ø 利用IPsec建立策略
利用第三方軟件可能是很多朋友經常採用的一種方法,但是大家不知道有沒有想過,如果純粹的只是爲了端口禁用用,有必要特意下載一款第三方軟件嗎?我覺得大可不必。其實利用系統自帶的功能也完全可以實現對端口的禁用,但是這種方法又顯得有點麻煩,大家可以看看圖1便知。
圖1
在圖1中大家不難看出,利用系統自帶的斷口禁用功能,在默認的情況下是允許全部端口的,如果大家要選擇“只允許”則需要指明允許的端口號,所以很麻煩。
根據以上相關內容我們可以想象以下,筆者在這爲什麼要給大家推薦使用IPsec實現對端口的禁用了。
一、 查看和連接當前系統的開放端口
如果用戶想查看本機的開放端口,可以利用netstat –na命令實現,如圖2所示。在圖中可以看到相關的開放端口。特別需要給大家提醒的是LISTENING都表示的該端口是處於開放狀態,是可以連接的;ESTABLISHED則表示該端口處於被連接狀態。例如在圖中用紅線標識的10.18.0.51:139表示IP地址爲10.18.0.51的計算機中的139端口是可以連接的。例如圖3所示,是使用telnet連接139端口後的狀態。
圖2
圖3
一、 利用IPsec禁用139端口具體操作
具體步驟就不在以文字描述了,具體可以參照圖例.
注意:最後IPsec設置好後,別忘了應用一下策略.
一、 驗證屏蔽後的端口
當
當端口屏蔽完成後,再使用telnet連接端口則會出現連接失敗的提示,如下圖所示.
