三、系統(tǒng)端口安全配置 
下面先是介紹關(guān)于端口的一些基礎(chǔ)知識，主要是便于我們下一步的安全配置打下基礎(chǔ)，如果
你對端口方面已經(jīng)有較深了解可以略過這一步。 
端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直
接影響到主機的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬
性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選。 
下面先介紹一下端口的基礎(chǔ)知識。在網(wǎng)絡(luò)技術(shù)中，端口（Port）大致有兩種意思：一是物理意義
上的端口，比如，ADSL Modem、集線器、交換機、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如
RJ-45 端口、SC 端口等等。二是邏輯意義上的端口，一般是指 TCP/IP 協(xié)議中的端口，端口號
的范圍從0到65535，比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的21端口等等。 
（一）按端口號分布劃分： 
（1）知名端口（Well-Known Ports） 
知名端口即眾所周知的端口號，范圍從 0 到 1023，這些端口號一般固定分配給一些服務(wù)。
比如21端口分配給FTP服務(wù)，25端口分配給SMTP（簡單郵件傳輸協(xié)議）服務(wù)，80端口分配
給HTTP服務(wù)，135端口分配給RPC（遠程過程調(diào)用）服務(wù)等等。 
（2）動態(tài)端口（Dynamic Ports） 
動態(tài)端口的范圍從1024到65535，這些端口號一般不固定分配給某個服務(wù)，也就是說許多
服務(wù)都可以使用這些端口。只要運行的程序向系統(tǒng)提出訪問網(wǎng)絡(luò)的申請，那么系統(tǒng)就可以從這些
端口號中分配一個供該程序使用。比如 1024 端口就是分配給第一個向系統(tǒng)發(fā)出申請的程序。在
關(guān)閉程序進程后，就會釋放所占用的端口號。 
不過，動態(tài)端口也常常被病毒木馬程序所利用，如冰河默認連接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。 
（二）按協(xié)議類型劃分： 
可以分為 TCP、UDP、IP 和 ICMP（Internet 控制消息協(xié)議）等端口。下面主要介紹 TCP 和
UDP端口。 
（1）TCP端口 
TCP端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之間建立連接，這樣可以提供可靠
的數(shù)據(jù)傳輸。常見的包括FTP服務(wù)的21端口，Telnet服務(wù)的23端口，SMTP服務(wù)的25 端口，
以及HTTP服務(wù)的80端口等等。 
（2）UDP端口 
UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務(wù)器之間建立連接，安全性得不到保
障。常見的有 DNS 服務(wù)的 53 端口，SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的 161 端口，QQ 使用
的8000和4000端口等等。 
介紹完了有關(guān)端口的基礎(chǔ)知識，下面我們就開始進行服務(wù)器的端口安全配置。 
在一般的 WEB+Email 服務(wù)器上，推薦同時使用 PcanyWhere 和終端服務(wù)進行遠程控制管
理，基于安全考慮把終端服務(wù)3389端口修改成6868端口，方法如下： 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal 
Server\Wds\Repwd\Tds\Tcp, 找到 PortNumber 項，雙擊選擇十進制，輸入你要改成的端
口即可，這里我們輸入6868。再找到鍵值：  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win
Stations，在右側(cè)窗口找到PortNumber并按上面的方法輸入6868，設(shè)置成新的端口就可以了。
這樣，在用MSTSC訪問遠程桌面時，IP或網(wǎng)址后加上：6868即端口號就可以了。如圖(1)：
接著根據(jù)要開放的服務(wù)，去設(shè)置TCP/IP篩選。要查看端口使用狀況，可以使用Netstat在
命令行狀態(tài)下查看，依次點擊“開始→運行”，鍵入“cmd”并回車，打開命令提示符窗口。在
命令提示符狀態(tài)下鍵入“netstat -a -n”，按下回車鍵后就可以看到以數(shù)字形式顯示的 TCP 和
UDP連接的端口號及狀態(tài)。 
我們根據(jù)服務(wù)器上端口的使用情況在TCP/IP 篩選設(shè)置我們需要開放的端口，右擊網(wǎng)上鄰居
屬性-->右擊本地連接屬性-->(雙擊TCP/IP) -->高級-->選項-->屬性啟用TCP/IP篩選，
在TCP端口篩選只允許21，25，110，
80，1433，3000，5631，6868，8735，
10001，10002，10003，10004，10005
等相關(guān)必須使用的端口（請根據(jù)你的實際情況
進行設(shè)定）；TCP/IP 端口里面的都是幾個常
有的知名端口，10001-10005 是設(shè)置
Serv-U的PASV模式使用的端口，3000是 
MDaemon默認的WEB登陸端口，6868        
是自定義修改的MSTSC遠程桌面端口，當然也可以使用別的。IP協(xié)議和UDP端口根據(jù)您的需
要做出相應(yīng)配置，本人未仔細研究過，請根據(jù)你的實際應(yīng)用進行篩選。 
接著，我們要在本地連接屬性里面，卸載所有的其他協(xié)議，只留下Internet協(xié)議（TCP/IP），
把默認的共享和打印機卸載掉。 
圖(６): 刪除共享和打印機共享 
然后，再雙擊Internet協(xié)議（TCP/IP）進入高級選項窗口，選擇WINS選項卡，選中禁止
TCP/IP上的NetBIOS項，可有效防止他人從網(wǎng)絡(luò)NetBIOS協(xié)議獲取計算機相關(guān)信息。