文章大纲：

• 1、怎样关闭计算机不必要的端口？
• 2、如何关闭端口，防止木马？？
• 3、怎么关闭端口防止黑客入侵？

怎样关闭计算机不必要的端口？

我们都知道，上网时每一个 *** 都有 *** 端口，尤其是在办公室， *** 端口很多，那么这些端口是不是都用得上呢?当然不是，并且还有可能会引发病毒从端口中进入，所以平时如果不使用时，这些端口更好关掉。每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80， *** tp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。

1、关闭7.9等等端口:

关闭Simple TCP/IP Service,支持以下TCP/IP服务:CharacterGenerator, Daytime, Discard, Echo,以及Quote ofthe Day。

2、关闭80口:

关掉WWW服务。在“服务”中显示名称为"WorldWide Web Publishing Service"，通过Internet信息服务的管理单元提供Web连接和管理。

3、关掉25端口:

关闭Simple Mail Transport Protocol ( *** TP)服务，它提供的功能是跨网传送电子邮件。

4、关掉21端口:

关闭FTP Publishing Service,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。

5、关掉23端口:

关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

6、关闭server服务：

此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、139端口：

139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。关闭139口听 *** 是在“ *** 和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

如果我们熟悉知道这些端口的用途，我们就能迅速判断哪些端口是没必要使用的。如果您能确保您的 *** 是安全的，那么就不用关闭，通过以上的简诉，大家可以查查看哪些端口是没必要开着的而选择禁用，以便更好地保护我们的 *** 安全。

另外介绍几个常见端口号的含义：

（1）8080端口

端口说明：8080端口同80端口，是被用于WWW *** 服务的，可以实现网页浏览，经常在访问某个网站或使用 *** 服务器的时候，会加上“:8080”端口号。

端口图

端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。

操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。

（2）端口：21

服务：FTP；

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方****。

（3）端口：22

服务：Ssh；

（4）端口：23

服务：Telnet；

（5）端口：25

服务： *** TP；

说明： *** TP服务器所开放的端口，用于发送邮件。入侵者寻找 *** TP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

（6）端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

（7）端口：102

服务：Messagetransfer agent(MTA)-X.400 over TCP/IP

说明：消息传输 *** 。

（8）端口：109

服务：Post OfficeProtocol -Version3

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

（9）端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.c *** d、rpc.ttybd、amd等

其他：POP3协议默认端口也是110

（10）端口：119

服务：NetworkNews Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

（11）端口：135

服务：LocationService

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置，详见系统下载基地。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

（12）端口：137、138、139

服务：NETBIOSName Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/ *** B服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINSRegisrtation也用它。

（13）端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的 ***

如何关闭端口，防止木马？？

具体操作如下:

默认情况下，Windows有很多端口是开放的，在你上网的时候， *** 病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些 *** 端口：

之一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

于是重新启动后，电脑中上述 *** 端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑

或者下载“关闭有害木马端口器”：

怎么关闭端口防止黑客入侵？

Windows中如何手动关闭端口和阻止非法入侵

我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。

非法入侵的方式

简单说来，非法入侵的方式可粗略分为4种：

1、扫描端口，通过已知的系统Bug攻入主机。

2、种植木马，利用木马开辟的后门进入主机。

3、采用数据溢出的手段，迫使主机提供后门进入主机。

4、利用某些软件设计的漏洞，直接或间接控制主机。

非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过之一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。

因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。

端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的 *** 管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？

限制端口的 ***

对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供 *** 服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放，其他的端口则全部关闭。

这里，对于采用Windows2000/XP/2003的用户来说，不需要安装任何其他软件，可以利用"修改组策略"或"TCP/IP筛选功能"限制服务器的端口。具体设置如下：

之一种 *** ——“修改组策略”:

之一步，在“运行”输入gpedit.msc，回车打开“组策略”，在组策略中的windows设置-安全设置中选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步,进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

于是重新启动后，电脑中上述 *** 端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

第二种 *** ——"TCP/IP筛选功能":

1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。

2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击[属性]按钮。

3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。

4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上(请见附图)。

这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。

添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。

如果只上网浏览的话，可以不添加任何端口。但是要利用一些 *** 联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的 *** 工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。

为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。

另外每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80， *** tp是25，ftp是21，win2000/XP/2003安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，可关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。

1、7.9等等端口：关闭SimpleTCP/IPService,支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

2、80口：关掉WWW服务。在“服务”中显示名称为"WorldWideWebPublishingService"，通过Internet信息服务的管理单元提供Web连接和管理。

3、25端口：关闭SimpleMailTransportProtocol( *** TP)服务，它提供的功能是跨网传送电子邮件。

4、21端口：关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。

5、23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运i行控制台程序。

6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k/XP/2003的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，它是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放即认为是NT机，现在好了。关闭139端口 *** 是在“ *** 和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动。

其次，家用电脑，没重要秘密，没必要弄的这么麻烦。就算你把开设的端口打开，在你电脑里，的病毒，木马，也会二次打开有时候一个杀毒软件，就能解决很多问题