一、常用端口及其分类

电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类：

1.系统保留端口(从0到1023)

这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。

2.动态端口(从1024到65535)

当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。

二、如何查看本机开放了哪些端口

在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接，可以使用以下两种方法。

1.利用netstat命令

Windows提供了netstat命令，能够显示当前的 TCP/IP 网络连接情况，注意:只有安装了TCP/IP协议，才能使用netstat命令。

操作方法：单击“开始→程序→附件→命令提示符”，进入Dos窗口，输入命令 netstat -na 回车，于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号，Foreign Address是远程计算机IP地址和端口号，State表明当前TCP的连接状态，LISTENING是监听状态，表明本机正在打开135端口监听，等 待远程电脑的连接。

如果你在DOS窗口中输入了netstat -nab命令，还将显示每个连接都是由哪些程序创建的。例如：本机在135端口监听，就是由svchost.exe程序创建的，该程序一共调用了5个组件 (WS2_32.dll、RPCRT4.dll、rpCSS.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本 机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。

2.使用端口监视类软件

与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有TcpvIEw、Port Reporter、绿鹰PC万能精灵、网络端口查看器等，密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全。

三、关闭本机不用的端口

默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、 445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，以及远程服务访问端口3389。关闭的方法是：

①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控 制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。

②关闭UDP123端口：单击“开始→设置→控制面板”，双击“管理工具→服务”，停止Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。

③关闭UDP1900端口：在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDos攻击。

④其他端口：你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。

四、重定向本机默认端口，保护系统安全

如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到另一个端口(例如1234)，方法是：

1.在本机上(服务器端)修改

定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可: [HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\tcp] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

2.在客户端上修改

依次单击“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的 “另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后，直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。

Related Posts：

• 16/11/2009 -- 保护无线网络的安全 (1)
• 08/11/2009 -- 多元化无线局域网网络安全攻略 (0)
• 08/11/2009 -- 为windows 7操作系统减肥 (5)
• 25/10/2009 -- 让Windows7随时监控运行程序 (1)
• 22/10/2009 -- 解析新型僵尸网络攻击及如何防范 (0)

现在很多用户都会在工作场所使用工作设备进行网上冲浪，而这又是另一个令人头痛的安全风险。

企业安全人员负责确保用户不进行任何对用户带来安全威胁的操作，而终端用户不希望有任何问题会影响他们的正常工作。当安全人员开始锁定和关闭某些特定网络功能时（如关闭IE的Adobe文件阅读功能等），用户名总是不能按要求操作。

以下是用户进行互联网操作时常见的几种安全错误，并提供了相应的解决方法。

盲目安装ActiveX控件

用户在使用IE浏览网页时，往往需要安装Active X以查看特定信息。网页上方的弹出信息会提示用户安装该控件，而用户往往在不考虑后果的情况下盲目安装控件，以查看他们想要的信息。但是Active X控件只是运行的代码而已，很容易被黑客利用进行恶意攻击。

那么如何让用户了解Active X的坏处呢？应该让用户知道Active X就像其他任何应用程序一样，存在安全威胁。最新版本的IE能够将控件锁定在特定的网站，例如，如果用户使用Google要求的控件，那么该控件将只能在 Google网站使用。管理员应该在其组策略控制中部署这种IE以避免用户造成安全威胁。

轻信坏的SSL证书

当用户看到弹出信息“坏的SSL证书”时，往往会点击添加例外，然后继续操作，他们并不清楚这种危害。 这意味着用户访问的网站并不是真正想要访问的网站，有可能是钓鱼网站。
因此，应该建议用户下次看到这种提示时，必须格外小心。

允许未签名内容

我们可能会遇到这样的情况：浏览网页时，浏览器提示需要程序XYZ才能查看信息，然后提示你从该网站下载程序，点击安装程序后，会有提示说“未签名内容”，微软并不能验证这些程序的出处和操控者。
用户通常会不顾警告而点击ok，这是非常不安全的做法。

受好奇心驱使

大家可能都收到过这样的信息“点击查看你的视频”，或者提示你的银行帐户被泄漏的信息，而往往包含恶意链接要求你输入帐户号码。为什么这么多年以来，仍然有人会上当受骗呢？因为好奇心在作怪。必须让用户知道网络上的各种来历不明的信息和链接都会带来安全威胁。

抱着尝试的态度

大家都很忙，当遇到问题时，往往不管三七二十一，只要能够帮助他们完成工作都会点击任何内容和链接。用户在点击确定之前必须考虑清楚各种安全问题再采取行动。

Related Posts：

• 08/09/2010 -- 网络安全从端口防护开始 (2)
• 16/11/2009 -- 保护无线网络的安全 (1)
• 08/11/2009 -- 多元化无线局域网网络安全攻略 (0)
• 22/10/2009 -- 解析新型僵尸网络攻击及如何防范 (0)
• 13/10/2009 -- 对付恶意网站诡计六大绝招 (1)

　　安装一个无线路由器，像大多数人一样，按照产品的安装说明和安装向导架起了路由器并做了初始化。按照安装向导，通过改变管理员口令来保护路由器。不管怎样，尽管通过路由器的配置软件设置一个管理员口令是一个好的开端，但它仅仅能提供一个基本的安全保护。

　　如果像这样，无线网络保持大开状态，那么，你的无线路由器范围内的任何人都可以通过你的网络访问互联网和你的家庭PC。如果你正处于这样的境地，那么你需要做一些事情。你只要按照下面的五个步骤就可以为你的家庭无线网络提供保护了。

步骤1：改变路由器的缺省管理员口令

　　基本上所有的路由器都提供一个缺省的用户ID和口令。因为这个口令是众所周知的，你必须更改这个缺省的口令。你可以通过运行路由器安装和配置向导来更改它，这个操作很简单。

　　如果你使用的路由器没有提供这样的向导，你可以通过使用浏览器连接到路由器来改变它。比如说，要连接到Linksys路由器，在路由器加电并且连接以太网网线之后，打开一个Web浏览器，在地址栏中键入192.168.1.1，使用缺省的用户ID和口令就可以登录到路由器中，然后就可以更改缺省的口令。

步骤2：改变缺省的SSID，禁止SSID广播

　　所有的路由器都绑定了一个由制造商提供的SSID，也就是服务设置识别码。SSID是由32位字母或者数字组合成的，包含了一个无线局域网的ID或名字。例如，Linksys路由器的缺省SSID名字就是Linksys。缺省的SSID是众所周知并且公开发布的。因此，无线路由器的制造商建议你更改缺省的 SSID以便它是唯一的。此外，他们还建议尽可能的经常更改你的SSID，因为黑客们知道，为了加入一个无线网络，无线网络产品都首先监听周期性广播信标消息(beacon messages)，这些消息是不加密的，并且，这些消息包含了网络的信息，比如网络的SSID和访问网络的IP地址等。

　　同样的，一个路由器广播它的路由器SSID。你需要禁止掉这个属性。尽管这样做并不能提供级别很高的保护(一些常用的工具，比如NetStumbler 就能够探测隐藏的SSID)，禁止掉SSID广播能够为你增加一层保护措施。不过，如果你禁止了SSID广播，可能会引起一些设备的使用不便，比如HP Palmtops，可能就不能连接网络或者经常断线。

步骤3：更改IP地址设置

　　路由器制造商为每一个路由器都设置了相同的IP地址。比方说Linksys路由器的初始化IP地址为192.168.1.1。这些地址是公开的，众所周知的，这样，不怀好意的用户如果知道了你所使用的路由器的制造商和类型，他们就可以轻易地获取你的IP地址。因而，你应该把更改IP地址作为配置过程的一部分。我们继续以Linksys为例，你可以把缺省的IP地址192.168.1.1更改为192.168.10.1。尽管更改IP地址并不能保护路由器，但它能够使偷听者不容易猜到IP地址。

　　DHCP在每一个路由器上缺省状态也是激活的。DHCP提供客户机器的IP地址信息。通常， DHCP服务器分发2-254范围内的IP地址。所以，有253个客户机可以从你的路由器得到IP地址。你在家里可能没有那么多的系统，所以，最好缩减 DHCP的范围为你所期望你的网络中所包含机器的数量。根据经验，设置路由器处理的地址数量为网络中机器的数量，在额外加上两个为来访的亲朋好友准备的地址。
步骤4：配置你的路由器启用加密

　　路由器缺省的配置是不包含加密的。因为加密能够给你的无线通讯提供安全保护，你必须激活它。不管怎样，在配置加密之前，你必须了解一些关于无线加密的情况和不同类型加密标准的保护程度，特别是WEP(有线等效加密)和WPA(WiFi保护访问)。

WEP

　　WEP 是802.11标准中的一个可选加密方式。大多数的NIC和AP厂商都支持WEP，也是家庭无线网络安全中采用最普通的方式。然而，WEP有两方面的局限性。

　　第一，普通用户很难记住它的长密钥。对这样的用户来讲，配置网络就是一个挑战。

　　第二，WEP最严重的问题在于恶意用户能够使用一些免费的工具(比如 AirSnort、WEPCrack)轻易地破译WEP加密的数据。通过在一个频繁使用的无线网络sniff大约5个小时(比如截取传输的数据包等)，入侵者使用工具就可以确定WEP密钥并且能够访问网络。

　　WEP的漏洞是众所周知的。在2001年1月，UC Berkeley出版了关于WEP漏洞的白皮书，在同年3月，马里兰州大学的计算机科学系三位教授发表了一篇叫做《Your 802.11 Wireless Network Has No Clothes》的论文，里面列出了WEP的漏洞。
尽管WEP不是可使用的最安全的方法，那它也比不使用加密要好。家庭网络不像公司网络那样使用繁忙，所以入侵者要想破译WEP密钥，就不得不花费比从公司网络收集数据更多的时间来sniff家庭无线网络。

WPA

　　WPA是继承了WEP基本原理又解决了WEP缺点的一项新技术，是即将推出的802.11i标准的附属标准，它将替代现行的WEP协议。WPA被设计用来使用802.1X认证。

　　WPA 比起WEP来一个最大的提升就是附加了TKIP(临时密钥完整性协议)，它能够使用加密的数据动态(比如每10,000个数据包)改变密钥。仅这一个改变就使WPA比WEP更安全。WPA的另一个优势就是它把pass phrase作为密钥，这比WEP既长又复杂的密码更容易记忆和配置。图1显示了Linksys路由器的pass phrase密钥配置界面。

　　WPA仅仅是从2004年2月份才变成一种标准的。从那时起，必须支持WPA的设备才能通过认证，但是，旧的系统如果没有经过固件升级的话将不能支持WPA。如果你是在2004年2月以前购买的设备，你就需要升级你的固件才能够获得WPA支持。

　　对于旧的路由器除了必要的升级外，客户端的软件升级也是必要的。比如，如果你没有安装过Windows XP SP2，那么你就不能下载安装WPA的补丁。

步骤5：使用MAC地址过滤

　　每一个NIC都有一个惟一的MAC地址。你能够配置大多数的无线路由器基于这些地址进行过滤。要显示XP下的包含MAC地址在内的IP配置信息，需要键入 C:>ipconfig /all命令。当你知道了MAC地址后，你可以登录到路由器，然后把MAC地址加入到过滤中。

　　在增加MAC地址之前，你必须首先激活MAC过滤。大多数的路由器能够让你要么允许指定的特定PC访问网络，要么拒绝特定的PC访问网络。一般情况下，你不需要知道谁被拒绝访问，因此，最好使用仅允许特定客户访问选项。

　　过滤MAC地址也不是十分牢固的。入侵者能够根据MAC地址过滤改变设备的MAC地址。但是不要忘了，黑客在行动之前必须知道你的网络中设备的MAC地址。

　　就像紧锁你的房门和窗户使你家得到安全保护一样，你也必须紧锁你的无线网络以达到安全。通过改变你的路由器缺省管理员密码、改变缺省的SSID和禁止 SSID广播、改变你的IP地址配置、设置你的路由器使用加密，同时使用MAC地址过滤，你就能够容易地保护你的家庭无线网络。尽管这样并不能阻止疯狂的就想侵入你的系统的人，但它还是能够阻止大多数恶意用户。

Related Posts：

• 08/09/2010 -- 网络安全从端口防护开始 (2)
• 18/04/2010 -- 减少恶意软件引起的安全泄漏 (1)
• 15/11/2009 -- 如何有效防范溢出攻击 (0)
• 08/11/2009 -- 多元化无线局域网网络安全攻略 (0)
• 22/10/2009 -- 解析新型僵尸网络攻击及如何防范 (0)