作者:许本新
上次我们说到利用IPsec实现对ICMP协议Ping命令的禁用,其实我的用意主要是希望起到穿针引线的功效,让读者能够以此为契机举一反三,利用相同的方法实现对其他协议的处理。
今天我们接着讨论如何利用IPsec实现对开放端口的禁用,大家都知道微软件系统为了能够实现对更多的应用软件支持,所以迫不得已开放了很多端口,比如445端口和139端口,这两个端口都与共享有很大的管理,如果这两个端口禁用的话将会导致共享功能无法进行。针对微软系统而言端口的开放是必然的,但是开放了不必要的端口又是很危险的,所以很矛盾,为了能够有效的保证计算机系统的安全,建议大家将不必要的端口实现禁用操作。
其实众所周知禁用端口的方法有很多,但是具体采用什么方法,我觉得方便安全最为重要。目前可以禁用端口的方法主要有以下几种:
Ø               利用第三方的防火墙软件
Ø               利用系统自带的功能
Ø               利用IPsec建立策略
利用第三方软件可能是很多朋友经常采用的一种方法,但是大家不知道有没有想过,如果纯粹的只是为了端口禁用用,有必要特意下载一款第三方软件吗?我觉得大可不必。其实利用系统自带的功能也完全可以实现对端口的禁用,但是这种方法又显得有点麻烦,大家可以看看图1便知。
图1
在图1中大家不难看出,利用系统自带的断口禁用功能,在默认的情况下是允许全部端口的,如果大家要选择“只允许”则需要指明允许的端口号,所以很麻烦。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

根据以上相关内容我们可以想象以下,笔者在这为什么要给大家推荐使用IPsec实现对端口的禁用了。

一、 查看和连接当前系统的开放端口

如果用户想查看本机的开放端口,可以利用netstat –na命令实现,如图2所示。在图中可以看到相关的开放端口。特别需要给大家提醒的是LISTENING都表示的该端口是处于开放状态,是可以连接的;ESTABLISHED则表示该端口处于被连接状态。例如在图中用红线标识的10.18.0.51:139表示IP地址为10.18.0.51的计算机中的139端口是可以连接的。例如图3所示,是使用telnet连接139端口后的状态。

图2
 
图3
一、 利用IPsec禁用139端口具体操作
     具体步骤就不在以文字描述了,具体可以参照图例.

 

 

 

 

 

 

 

注意:最后IPsec设置好后,别忘了应用一下策略.

 

一、 验证屏蔽后的端口

当端口屏蔽完成后,再使用telnet连接端口则会出现连接失败的提示,如下图所示.