服务器安全IP安全策略,批处理屏蔽危险端口

服务器的安全设置环节中,必不可少的操作环节是要屏蔽一些危险端口。如果人为的在“控制面板”、“管理工具”、“本地安全设置”中手工设置IPSEC安全策略的话,不仅麻烦,稍有疏忽就容易出错。本篇内容就介绍了利用批处理的优势来完成屏蔽危险端口的设置,当然,只要你愿意,任何端口都可屏蔽,只要在配置文件中添加需要屏蔽的端口就行了。这个批处理经过我测试使用,非常的方便、省事。

屏蔽危险端口方法一

这个工具主要有两个文件构成:一个是配置文件“禁止IP列表.txt”、一个是“屏蔽高危端口.bat”,以下为这两个文件的代码。如果你想要添加其它端口,在“禁止IP列表.txt”中根据它的格式添加就可以了。“屏蔽高危端口.bat”这个文件无需设置。

“禁止IP列表.txt”代码如下

请使用空格隔开注释,本行不可少
*+0:135:tcp #封TCP协议的135端口,与RPC有关,如有影响请删除本行。
*+0:135:udp #封UDP协议的135端口,与RPC有关,如有影响请删除本行,下同
*+0:139:tcp #封TCP协议的139端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:139:udp #封UDP协议的139端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:445:tcp #封TCP协议的445端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:445:udp #封UDP协议的445端口,可有效防御MS08-067溢出攻击,与共享有关
*+0:1443:tcp #禁止远程连接本机1443端口,与SQL有关
*+0:1443:udp #禁止远程连接本机1443端口,与SQL有关
*+0:1444:tcp #禁止远程连接本机1444端口,与SQL有关
*+0:1444:udp #禁止远程连接本机1444端口,与SQL有关

“屏蔽高危端口.bat”代码如下

@echo off
title 屏蔽高危端口
::code by LZ-MyST  为开机通道优化代码
sc query PolicyAgent|find /i "PolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
  ping 127.1
)
sc config PolicyAgent start= auto
ipseccmd -w reg -p Block -y
set "a=0"
set "b="
set "list="
FOR /f "skip=1 delims= " %%i IN (禁止IP列表.txt) DO call :_ipsec "%%i"
if %a% leq 386 ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
ipseccmd -w reg -p Block -x

goto _next
:_ipsec
set /a a+=1
set list=%list% %~1
if %a% gtr 386 (
  ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
  set "list="
  set "a=0"
  set /a b+=1
)
goto :eof
:_next

相关说明

1、“禁止IP列表.txt”中的内容格式非常简单,我就不多解释了。根据他的格式添加你需要端口即可。
2、如果你的服务器系统没有打win2003 sp2补丁或者是标准版,可能没有“ipseccmd.exe”文件,你只需要复制这个文件到c:\windows\system32目录下就可以使用了。

屏蔽危险端口方法二

下面这个方法实质上和上面的方法一样,区别的是,上面将执行部分和配置部分分开了而已。

@echo off
title 禁止危险端口##
cls
::code by Sunward  
sc query PolicyAgent|find /i "PolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
)
sc config PolicyAgent start= auto
sc start PolicyAgent Services
ipseccmd  -w REG -p "SUNWARD" -o -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/139" -f *+0:139:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/1443" -f *+0:1443:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/1444" -f *+0:1444:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/1443" -f *+0:1443:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/1444" -f *+0:1444:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -x >nul
cls
@echo 端口屏蔽完成!
ping 127.0.0.1 -n 5 1>nul

 

今天教大家利用ip安全策略关闭危险端口,比如:135,23,3389,445,139等…… 这些端口都给黑客入侵提供了便利。为了更好的防护我们的电脑,我们该把这些端口进行关闭! 好了,进入正题,打开开始菜单-所有程序-管理工具-本地安全策略 我本机上是关闭了的,那么我演示就在虚拟机上演示吧! 没有管理工具?那么就请右键点击开始菜单,选择属性 选择开始 菜单选项卡 点自定义 高级选项卡 开始菜单项目里面选择 系统管理工具(在所有程序菜单上显示) 如果大家的开始菜单中没有,可以按上面的方法做,看操作 我们来看看虚拟机开放了哪些端口。 方法:开始-运行-cmd (netstat -an) Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING TCP 192.168.128.128:139 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 *:* UDP 192.168.128.128:137 *:* UDP 192.168.128.128:138 *:* 我们来看看:tcp开放的端口:135,445,1025(这个端口貌似没多大的危险,就不关闭了!),139 这里说下:关闭139的还有种方法,用ip策略相当于防火墙,能阻止访问。 还有种就是禁用netbios!在本地连接里修改!为了更安全,我还是把139端口添加进去 下面我们来说该如何关闭呢? 打开系统管理工具里的 本地安全策略 我们选中ip安全策略! 看我操作,这里过程有点复杂哦。大家一定要仔细看,如果打字的话要打很多,所以我直接操作给大家看…… ok全部设置完成,最后别忘了激活(指派) 这里说下,这个必须要启动ipsec服务才行 IPSEC Services 好了,这样危险端口就关闭掉了 但是以后大家要注意的是:IPSEC Services这个服务千万不能停止哦,停止了ip策略就失去作用了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值