以下是小编为大家准备了开放防火墙端口的基本步骤(共含7篇),欢迎参阅。同时,但愿您也能像本文投稿人“宋亨俊”一样,积极向本站投稿分享好文章。
ICF是InternetConnectionFirewall的简称,也就是因特网连接防火墙,
开放防火墙端口的基本步骤
,
ICF建立在你的电脑与因特网之间,它可以让你请求的数据通过、而阻碍你没有请求的数据包,是一个基于包的防火墙。在使用BT有时会因为ICF的阻拦,引起连接不到SEED或者数据包延滞降低下载速度
微软今星期三在安全公告中对外宣布,Windows XP或Windows Server 中的Windows防火墙的漏洞可能会对使用户看不到已开放的端口,这个漏洞在安全应用程序处理一些Windows注册表入口时,将会显露出来。
这个Bug可使防火墙在打开端口时,并不会在标准Windows防火墙用户界面处通知用户,
微软已经发放出补丁,可以在他们的网站上下载回来。微软也称,这个补丁也将作为未来的Windows service pack。
但微软同时也称这个并不是防火墙的安全弱点,这个漏洞只能在计算机已经被攻击者入侵后,尝试隐藏防火墙的异常时才能被利用到。而前几天我们报到过Windows注册表键值过长可隐藏恶意程序,当时微软也是对该问题作了一个类似的回应。
不管这个是否如微软所说的不是安全弱点,但是Windows用户知道了自己机上存在着这样的一些漏洞后,使用起来不多不少都会有点担心的。
如何开启电脑防火墙端口
,
在桌面右下角找到连接网络的图标,点击选择打开网络和共享中心
在新的窗口的左下找到防火墙设置,打开然后选择高级设置。 选择入口规则,添加本地端口即可RoboCopy是一个强大的复制工具,可以在Windows Server 的Windows Resource Kit Tools中找到,配合计划任务,可以实现定时将一台机器上的SQL备份复制到网络上的另一个地方作为备份。本文将讨论如何开放防火墙的一些端口,实现在运行Windows 的Internet服务器和运行Windows 2003 server的Intranet服务器之间传输文件。
首先,Robocopy使用SMB协议在主机之间传输文件,基于SMB的通信使用下面的几个端口:
137(TCP/IP): NETBIOS 名字138(UDP): NETBIOS 数据报
139(TCP):NETBIOS 会话
445(TCP): 在TCP之上的SMB
在默认的网络参数情况下,Robocopy会试图使用TCP的139端口来连接到远程主机,如果用户想要Robocopy强制使用445端口,则必须在源主机上禁用IP协议上的NETBIOS,
考虑到目标系统是面向Web的,故也要禁用NETBIOS。
在TCP/IP属性对话框中,单击“高级”按钮,然后,单击“WINS”选项卡,单击“禁用TCP/IP的NETBIOS”单选按钮。此后,Robocopy将会自动使用TCP的445端口来连接目标系统,因此用户应允许从源主机到目标主机的文件访问通过防火墙。
若用户要确保数据传输的安全保密,可以配置每台主机,启用IPSec加密,然后,设置防火墙,允许两台主机的IPSec通信。此后,用户可以使用netstat命令来查看实时通信的端口。
另一个很容易得到的工具便是Active Ports, 这是一个免费易用的TCP/IP与UDP端口监视工具,能显示哪些程序打开了那些端口,同时显示与本地IP连接的远程IP地址,可用于检测特洛伊木马和其他 程序。Active Ports能显示所有实时的端口连接,这对于决定哪一个程序使用了端口是很有帮助的。如果想要获得更为祥细的资料,可以考虑使用捕获工具Ethereal来捕捉数据的传输。
出处: techrepublic.com.com
所有在_blank“>防火墙和路由器上开放的端口都是一种安全风险,这也是一种称之为”端口碰撞(port knocking )“技术的价值所在。端口碰撞技术是一种允许访问预先配置好”碰撞“的_blank”>防火墙服务的技术。所谓的碰撞是由一个尝试访问系统上关闭端口的序列组成。这些尝试要么记录在一个日志中,要么保存在一个后台进程中,通过预先配置这个日志或者进程来监视打开相应端口的序列,如果尝试序列与预先设置的序列相符合,就可以打开某个端口。
通过这种方式可以让一个端口在需要的时候才打开,从而具有一定的技术优势。对于 来说,很难在远程利用处于关闭状态端口的相关服务来攻击系统。例如,对于远程管理来说,在一个公开的服务器上开放SSH服务是很方便的,但是这也使得系统允许任何人都有可能尝试访问该系统。当然,对于这个端口的访问,你可以给定一个IP地址范围的限制,但是这样一来,还是带来了安全问题和访问挑战方面的问题。端口碰撞技术让你在这两个方面都会处理的很好:在大多数时间里,这个端口都是关闭的,但是知道这种方法的可以在任何时候任何地方打开这个端口。
概述
由于有些大家都很熟悉的服务存在一定的安全方面的问题,因此,大多数的的安全破坏都是从外网利用这些安全问题来实现的。FTP和SSH使用的是大家都很熟悉的端口,因此长期以来,这些服务一直都存在着各种各样的攻击方法。而在大多数情况下,这些服务都是让内部用户来使用的,因此内部用户是使用端口碰撞技术的主要候选人。
很显然,对于那些你需要公开的访问服务,例如HTTP和SMTP服务,端口碰撞技术则不适合用于这种场合。因为网页服务和电子邮件服务需要允许来自任何地方的连接。然而,对于所有其他的服务来说,最好的实际操作是将所有非必须的端口都关闭。因而,从存在安全方面的问题的角度来考虑,象SSH这样一种非常有用的服务也常常需要处于关闭状态。
这就是端口碰撞技术非常有用的地方。首先,通过探测技术是不会发现这种基于端口碰撞技术配置的服务器的。_blank“>防火墙软件将会自动拒绝所有的端口扫描或者任何直接连接尝试。并且通过选择一系列非连续的端口号来实现端口碰撞(我们将在随后介绍),你可以减轻对安全问题的顾虑,因为一个标准的端口扫描器一般不太可能得到一个正确的碰撞序列。通过使用这种方法,在得到良好的安全性的同时,还可以实现远程访问。
你可能会问自己,我为什么需要这种方法?事实上你可能用不上这种技术。这种技术只是增加当前网络的安全性,在可能存在的 和需要保护的服务之间创建一个不易觉察的安全层。如果远程用户不知道服务器在监听一个特定的端口,那么你将大大减少通过这个端口危及系统的次数。更进一步地,远程用户不太可能确定服务器是否使用了端口碰撞技术,因此也不太可能来使用暴力尝试来猜测正确地序列。
端口碰撞的细节问题
可以使用不同的方法来配置端口碰撞。你可以使用基于静态端口序列的方式来实现授权访问。例如,服务器可以这样设置,在它按顺序接收到与端口2033、3022、6712、4998、以及4113的连接尝试后,打开TCP端口22。如果服务器接收到一个不正确的序列则关闭该端口,或者使用一个定时器来关闭该端口。监控_blank”>防火墙日志的后台进程在截获这些被拒绝的尝试后,将在_blank“>防火墙中增加一个新的_blank”>防火墙规则来打开必要的端口,授权用户访问该端口,
还可以使用动态配置技术来打开端口。首先,你需要建立一个端口集合,在本文的例子中,我们将使用端口1040到端口1049。通过提供一个开始序列--例如1042、1044、1043--随后,对于你希望打开的端口,你可能还需要给服务器提供相应的接收信息。在序列1042、1044、以及1043后,你需要让服务器知道你想让它打开端口443。之所以采用这种设计,是为了增加打开不同服务器必要端口的灵活性和选项而不需要采用静态配置。
加密通信可能也可以增加额外层次的安全性。如果你担心别人嗅探你的数据包或者担心有人盗窃你的碰撞序列的话,采用这种加密方式将非常有益。对于端口碰撞来说,使用加密技术是一种最安全的方法,并且我们将在随后的文章中看到,加密技术是在原型中经常使用的一种方法。
使用knockclient和knockdaemon
Portknocking.org公司已经用Perl语言实现了端口碰撞技术,现在可以从该公司的网站_blank>下载这个工具。文件portknocking-0.1.tgz中包含knockclient和knockdaemon两个程序。该版本允许远程用户打开端口0到255,并且自动使用Crypt::Blowfish执行加密工作。你只需要在远程系统上使用必要的命令选项来调用knockclient程序即可。例如,要在远程系统上打开特定IP上的端口22,你可以使用这样的命令:knockclient -client 192.168.0.1 -remote 10.1.42.1 -port 22 -time 0。
在这个例子中,我们要打开IP地址为10.1.42.1的服务器上的端口22,并且只允许IP地址为192.168.0.1d的主机与这个服务器之间只能有一个连接。由于-time的标识为0,因此我们要打开的端口在开放时间上没有限制。如果time的时间为255的话,那么该命令就是要关闭这个端口。其他从1到254之间的time值表示端口打开的时间(以分钟计算)。在knockclient和knockdaemon之间的共享密码用于加密碰撞序列,并且使得远程主机和本地主机之间的信息只有他们自己能够理解。另外,在这种实现中,要使用远程主机的端口745 到端口1000。服务器的端口打开之后,需要关闭远程主机的这些端口,并且_blank“>防火墙的日志需要打开。然后后台进程缺省状态下就会监听这些端口的8个碰撞。Perl模式 file::Tail 用于检测添加到_blank”>防火墙日志上的新的行信息,并且knockdaemon将会分析这些行信息。
虽然这仅仅是一个原型,但是却运行的很好。很显然,端口碰撞技术的核心是远程主机发起的碰撞序列是否能够打开一个端口。写出这样的一个程序或者将其加入到当前可用的资源中是一件并不困难的事情,并且可以很容易的实现各个系统的定制。例如,如果访问一个NATIP地址,你可以根据碰撞序列来配置策略,实现动态转发对内部主机的SSH访问。另外,根据你的配置,使用端口碰撞技术还可以实现备份或者运行其他的作业。
总结
端口碰撞技术对于增加一层看不见的认证来说还是非常有益处的。只有提供了正确的端口序号的用户才可以有一次获得可用服务如SSH等的机会。这使得服务器可以具有从任意IP--如一个移动或者动态的IP--上接受连接的能力,并且可以创建一定的信任级别--这种信任基于远程系统知道正确的碰撞序列。对于那些已经实现了比较好的安全性的服务器来说,端口碰撞技术是一种最好的补充。
正文:
当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例: 例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。
1.Windows本身自带的netstat命令
关于netstat命令,我们先来看看windows帮助文件中的介绍:
Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
参数
-a -显示所有连接和侦听端口。服务器连接通常不显示。
-e -显示以太网统计。该参数可以与 -s 选项结合使用。
-n -以数字格式显示地址和端口号(而不是尝试查找名称)。
-s -显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
-p protocol -显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp,
如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r -显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:
C:/>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
端口是计算机与外界通讯的窗口,各类数据包都会在封装的时候填加进端口的信息,以便在数据包接受后拆包识别,计算机和蠕虫病毒等常常利用端口信息来作恶,有必要把一些危险而又不常用到的端口关闭或是封锁,以保证信息安全。
妙用瑞星防火墙封锁网络端口!
一、利用系统本身的功能设置
优点:可以熟悉操作系统的安全管理方法。
缺点:操作较为烦琐和危险,对于初级用户有一定的难度。
解决办法:用第三方软件来替代烦琐的系统操作。
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。 控制面板的管理工具中的服务中来配置。
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口:关掉WWW服务。在服务中显示名称为World Wide Web Publishing Service,通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序,
6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。 关闭139口听方法是在网络和拨号连接中本地连接中选取Internet协议(TCP/IP)属性,进入高级TCP/IP设置WINS设置里面有一项禁用TCP/IP的NETBIOS,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为禁用,以免下次重启服务也重新启动,端口也开放了。
二、利用瑞星个人防火墙设置
在众多防火墙产品中,瑞星个人防火墙是值得推崇的一款产品,它独特的几大特点使它在实际的使用过程中优势表现明显。当前网络状况令人担忧,虚拟财产的失窃问题越来越成为关注的焦点,瑞星防火墙两大技术方案对症下药,效果较为明显地解决了这些问题,一是内嵌木马墙技术,从底层解决了账号、密码丢失问题。二是独特的密码保护功能,在密码保护的功能设置中,可以把诸如QQ、网游等的程序添加进规则区域中,可自动识别程序防止其它进程非法访问程序,用法得当可以有效防范ID、密码的丢失问题。
防火墙有相当多实用的功能,不一一列出,在这里,我们看一下如何用瑞星防火墙来封锁端口。
优点:方法简便灵活,效果明显。针对性强,不局限于特定端口,事实上任何端口都可封闭。
缺点:需要安装有瑞星个人防火墙。
解决办法:瑞星个人防火墙下载地址:fw.rising.com.cn/download/
如图所示,在详细设置的窗口中,有规则设置的相关选项,其中端口开关就是我们要用到的封锁端口的功能。点击增加规则弹出规则界面,可以一目了然地做出相应设置。它功能的强大表现在可以定制多个端口或是端口范围,同时可以设定允许该端口通信或是禁止通信,灵活运用可以随心所欲地打造出坚固的系统屏障。
不仅是封闭端口防止泄密及恶意攻击这么简单,举一反三,可以由这个功能来实现很多技巧性的效果,如屏蔽了远程的80端口,本地计算机将无法正常浏览网页,等等。只要肯动脑,相信读者朋友会想出绝妙的方法来。
★ 说课的基本步骤
