服务器安全设置_系统端口安全配置

三、系统端口安全配置 
下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果
你对端口方面已经有较深了解可以略过这一步。 
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直
接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属
性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。 
下面先介绍一下端口的基础知识。在网络技术中,端口(Port)大致有两种意思:一是物理意义
上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如
RJ-45 端口、SC 端口等等。二是逻辑意义上的端口,一般是指 TCP/IP 协议中的端口,端口号
的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。 
(一)按端口号分布划分: 
(1)知名端口(Well-Known Ports) 
知名端口即众所周知的端口号,范围从 0 到 1023,这些端口号一般固定分配给一些服务。
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配
给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。 
(2)动态端口(Dynamic Ports) 
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多
服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些
端口号中分配一个供该程序使用。比如 1024 端口就是分配给第一个向系统发出申请的程序。在
关闭程序进程后,就会释放所占用的端口号。 
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。 
(二)按协议类型划分: 
可以分为 TCP、UDP、IP 和 ICMP(Internet 控制消息协议)等端口。下面主要介绍 TCP 和
UDP端口。 
(1)TCP端口 
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠
的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25 端口,
以及HTTP服务的80端口等等。 
(2)UDP端口 
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保
障。常见的有 DNS 服务的 53 端口,SNMP(简单网络管理协议)服务的 161 端口,QQ 使用
的8000和4000端口等等。 
介绍完了有关端口的基础知识,下面我们就开始进行服务器的端口安全配置。 
在一般的 WEB+Email 服务器上,推荐同时使用 PcanyWhere 和终端服务进行远程控制管
理,基于安全考虑把终端服务3389端口修改成6868端口,方法如下: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal 
Server\Wds\Repwd\Tds\Tcp, 找到 PortNumber 项,双击选择十进制,输入你要改成的端
口即可,这里我们输入6868。再找到键值:  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win
Stations,在右侧窗口找到PortNumber并按上面的方法输入6868,设置成新的端口就可以了。
这样,在用MSTSC访问远程桌面时,IP或网址后加上:6868即端口号就可以了。如图(1):
接着根据要开放的服务,去设置TCP/IP筛选。要查看端口使用状况,可以使用Netstat在
命令行状态下查看,依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在
命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的 TCP 和
UDP连接的端口号及状态。 
我们根据服务器上端口的使用情况在TCP/IP 筛选设置我们需要开放的端口,右击网上邻居
属性-->右击本地连接属性-->(双击TCP/IP) -->高级-->选项-->属性启用TCP/IP筛选,
在TCP端口筛选只允许21,25,110,
80,1433,3000,5631,6868,8735,
10001,10002,10003,10004,10005
等相关必须使用的端口(请根据你的实际情况
进行设定);TCP/IP 端口里面的都是几个常
有的知名端口,10001-10005 是设置
Serv-U的PASV模式使用的端口,3000是 
MDaemon默认的WEB登陆端口,6868        
是自定义修改的MSTSC远程桌面端口,当然也可以使用别的。IP协议和UDP端口根据您的需
要做出相应配置,本人未仔细研究过,请根据你的实际应用进行筛选。 
接着,我们要在本地连接属性里面,卸载所有的其他协议,只留下Internet协议(TCP/IP),
把默认的共享和打印机卸载掉。 
图(6): 删除共享和打印机共享 
然后,再双击Internet协议(TCP/IP)进入高级选项窗口,选择WINS选项卡,选中禁止
TCP/IP上的NetBIOS项,可有效防止他人从网络NetBIOS协议获取计算机相关信息。

(0)

相关推荐

  • 服务器安全设置_系统端口安全配置

    三.系统端口安全配置  下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果 你对端口方面已经有较深了解可以略过这一步.  端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直 接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属 性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选.  下面先介绍一下端口的基础知识.在网络技术中,端口(Port)大致有两种意思:一是物理意义 上的端口,比如,

  • 服务器安全设置_中级篇

    1.利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求.具体内容请参考微软主页: 2.关闭不必要的服务 windows2000的TerminalServices(终端服务),IIS,和RAS都可能给你的系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务.有些恶意的程序也能以服务方式悄悄的运行.要留意服务器上面开启的所

  • 服务器安全设置_初级篇

    初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录.另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方. 2.停掉Guest帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统.为了保险起见,最好给guest加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去. 3.限制不必要的用户数

  • 服务器安全设置_高级篇

    1. 关闭 DirectDraw 这是C2级安全标准对视频卡和内存的要求.关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的. 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可. 2.关闭默认共享 win2000安装好以后,系统会创建一些隐藏的

  • 本人见过最好的服务器安全设置文章

    如果你是新手,建议你一步一步的来,不要紧WEB+FTP+Email服务器 安全配置手册 第一章:硬件环境  第二章:软件环境  第三章:系统端口安全配置  第四章:系统帐户及安全策略配置  第五章:IIS和 WEB 站点文件夹权限配置  第六章:FTP 服务器安全权限配置 第七章:Email 服务器安全权限配置  第八章:远程管理软件配置  第九章:其它安全配置建议  第十章:篇后语 一.硬件环境  服务器采用 1U 规格的机架式托管主机,大概配置为 Nocona2.8G/1G DDR2/160

  • win2003服务器安全设置教程图文(系统+数据库)

    win2003服务器安全设置教程图文(系统+数据库)

    服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和Web.Ftp(3389.80.21)等等,有邮件服务器的还要打开25和130端口. 4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除. 5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并

  • Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁

    Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁

    3389端口是指windows系统中的远程桌面端口,可以使用它本管理远程计算机,就像操作本地的电脑一样,但是也容易被一些黑客利用,所以对于这个端口我必须要修改,且必须在安装完系统后就马上修改它. 随着云主机的普及和微软的大力更新,用windows server 2008 R2作为web服务器的人越来越多,而其强大的性能和可操作性得到了好评.连卖win2008的虚拟主机商也多起来了,所以今天我来讲讲我是怎么设置Win2008服务器安全的,拙见希望能帮到大家.一起远离肉鸡吧... 千里之行始于足下,

  • windows服务器修改远程登录的端口以及防火墙配置

    windows服务器修改远程登录的端口以及防火墙配置

    目录 一.修改注册表 二.设置防火墙 三.使用2121端口测试 配置环境:Windows Server Enterprise 2008 R2 64bit 一.修改注册表 进入注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]其下的”PortNumber”键值所对应的就是端口号,此处设置为2121 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentC

  • 正确维护配置Apache服务器的方法 保护系统安全

    Apache服务器快速.可靠.可通过简单的API扩展,其Perl/Python解释器可被编译到服务器中,并且完全免费,完全开放源代码.如果需要创建一个每天有数百万人访问的Web服务器,Apache可能是最佳的选择. Apache是目前最流行的Web服务器端软件之一,它可以运行在几乎所有被广泛使用的计算机平台上.Apache服务器快速.可靠.可通过简单的API扩展,其Perl/Python解释器可被编译到服务器中,并且完全免费,完全开放源代码.如果需要创建一个每天有数百万人访问的Web服务器,Ap

  • win2003 服务器安全设置图文教程

    win2003 服务器安全设置图文教程

    Windows 2003 服务器安全设置 一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389.21.80.1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法:

随机推荐