最新使用IP策略阻止指定端口的访问——Windows2003防范与应用

无法访问Server2003共享文件夹的解决办法给公司组件局域网，服务器安装的Win Server 2003，工作站使用Win XP SP2，但是调试时发现XP无法共享服务器上的文件夹。

无法访问2003共享文件夹的解决办法（1)安装NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。

（2)开启guest账号：右击我的电脑管理用户有个guest，双击之去掉“账户已停用”前面的勾。

（3)右击我的电脑属性计算机名，查看该选项卡中出现的局域网工作组名称，如“WORKGROUP”网络ID下一步选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”下一步选择“公司使用没有域的网络”随后输入局域网的工作组名，如“WORKGROUP”下一步完成。

重新启动计算机即可。

（4）使用winxp防火墙的例外：winxp防火墙在默认状态下是全面启用的，这意味着运行计算机的所有网络连接，难于实现网上邻居共享。

同时，由于windows防火墙默认状态下是禁止“文件与打印机共享的”，所以，启用了防火墙，往往不能共享打印，解决办法是：进入“本地连接”窗口，点“高级”“设置”“例外”在程序与服务下勾选“文件和打印机共享”。

（5)删除“拒绝从网络上访问这台计算机”项中的guest账户：运行组策略（gpedit.msc）本地计算机计算机配置windows设置安全设置本地策略用户权利指派拒绝从网络访问这台计算机。

如果其中有guest，则将其删除。

（原因是：有时xp的guest是不允许访问共享的）（6)取消“使用简单文件共享”方式：资源管理器工具文件夹选项查看去掉“使用简单文件共享（推荐）”前面的勾。

（7)工作组名称一致。

（8)勾选“Microsoft网络的文件和打印机共享”。

（9)运行服务策略“Services.msc”。

启动其中的“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。

通过Windows2003的IPSEC安全策略来实现对访问IP的限制。

操作步骤如下：1、在Windows2003的开始->运行中输入mmc2、点击文件->添加/删除管理单元3、点击添加4、选择IP安全策略管理，点击添加5、选择本地计算机，点击完成6、点击关闭7、点击确定8、右键点击IP安全策略，本地计算机9、选择“创建IP安全策略”10、点击“下一步”12、全部采用默认值，直到完成。

13、右键点击IP安全策略14、选择“管理IP筛选器表盒筛选器操作”15、在“管理IP筛选器列表”标签中，点击添加16、点击添加17、点击“下一步”点击“下一步”19、源地址选择“任何IP地址”，点击“下一步”20、目标地址选择“我的IP地址”，点击“下一步”21、协议类型选择“任意”，点击“下一步”22、点击完成，完成配置23、点击添加，再添加一条策略24、设置名称，点击“添加”25、点击“下一步”服务器的IP地址。

点击下一步。

27、目标地址选择“我的IP地址”，点击下一步。

28、协议类型选择“任意”，点击下一步。

完成配置。

29、点击“确定”。

30、选择“管理筛选操作”31、点击“添加”32、点击“下一步”32、填写名称“允许”，点击“下一步”33、选择“许可”，点击“下一步”34、点击“完成”，完成配置。

35、点击“添加”，再添加拒绝策略36、点击“下一步”37、选择“阻止”，点击“下一步”38、点击“完成”，完成配置39、点击关闭。

40、右键点击IP过滤策略41、选择属性。

42、点击“添加”，下一步43、选择“此规则不指定隧道”，点击“下一步”44、选择“局域网”，点击“下一步”45、选择“全部阻止”，点击“下一步”46、选择“拒绝”，点击下一步47、点击“完成”，完成配置48、点击“添加”，增加允许IP规则49、点击“下一步”50、选择“局域网”，点击“下一步”51、选择“允许IP”，点击“下一步”52、选择“允许”，点击“下一步”53、点击“完成”，完成配置54、点击“确定”55、右键“IP过滤策略”通过上述动作，完成对IP访问的限制。

本文档以window server 2003 详细说明组策略禁止端口连接的方法。

本文档以禁止windows远程端口3389为例。

(类似于linux的iptable策略)
1. 开始运行gpedit. Msc打开组策略。

2.在IP安全策略中，右键选择“管理IP筛选器和筛选器操作”
3.在筛选器列表上点击“添加”：
4 在添加界面，编辑名称和描述等，点“添加”进入添加筛选器向导
5.点击“下一步”，在“源地址”类别中选择“所有IP地址”，在“目标地址”类别中选择“我的IP地址”，下一步协议类型(S): 把"任意"选改为"tcp" 下一步，
，添加完成后，确定。

6。

在“管理筛选器操作”中，点击“添加”。

按照向导，填写“名称描述”，点击“下一步”，选择“阻止”。

完成后关闭窗口。

7.回到“IP安全策略”，右键点击“创建IP安全策略”，并点击下一步，填写“描述信息”。

8. 按照向导完成，并编辑属性。

点击“下一步”，并“完成”向导。

9.在右边安全策略列表中，选择刚建好的策略，点击右键“指派”使该安全策略生效。

使用IP安全策略关闭端口操作要领:封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速度的影响。

近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。

安装了防火墙软件的用户，请封闭 TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如 TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些端口的传入连接。

操作步骤:打开“控制面板”(打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到)在“控制面板”中找到“管理工具”。

双击打开“管理工具”，找到“本地安全策略”。

双击打开“本地安全策略”，找到“IP 安全策略”，如图一。

图一:找到“本地安全策略”的“IP 安全策略”用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建 IP安全策略”strengthen the concept of organization, subordinate to the Organization to decide about organizing principles, the "four obedience" placed in the higher position, resolutely overcome liberalism, Anarchist, populist and other unhealthy tendencies, and does not allow forarbitrary and "my house, my rules" do not allow bargaining in the dutyof due图二:创建新的策略在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。

怎样查找开启Windows2003Server 的端口和如何关闭端口 冲击波”等蠕虫病毒特征之一就是利用有漏洞的操作系统进行端口攻击，因此防范此类病毒的简单方法就是屏蔽不必要的端口，防火墙软件都有此功能，其实对于采用Windows 2003或者Windows XP 的用户来说，不需要安装任何其他软件，因为可以利用系统自带的“Internet 连接防火墙”来防范黑客的攻击。

一、基本设置1、鼠标右键单击“网上邻居”，选择“属性”。

2、然后鼠标右键单击“本地连接”，选择“属性”，出现图1界面。

如图选择“高级”选项，选中“Internet 连接防火墙”，确定后防火墙即起了作用。

图1二、测试基本设置 1、在另为一台机子上ping 本机，出现Request timed out 表示ping 不同本机2、在另为一台机子上用漏洞扫描工具扫描本机发现没有打开的端口。

这两种测试通过后说明防火墙已经起了作用。

三、高级设置点击图1中“设置(G)...”按钮出现图2界面可进行高级设置。

图21、选择要开通的服务如图3所示，如果本机要开通相应的服务可选中该服务，本例选中了FTP服务，这样从其它机器就可FTP到本机，扫描本机可以发现21端口是开放的。

可以按“添加”按钮增加相应的服务端口。

图32、设置日志如图4所示，选择要记录的项目，防火墙将记录相应的数据，日志默认在c:\windows\pfirewall.log，用记事本就可以打开看看。

图43、设置ICMP协议如图5所示，最常用的ping就是用的ICMP协议，默认设置完后ping不通本机就是因为屏蔽了ICMP协议，如果想ping通本机只需将“允许传入响应请求”一项选中即可。

图5四、几点疑问设置非常简单，但我在给别人设置过程中，有些人提出了以下几点疑问，不知您是否也有下面的困惑？1、端口都封住了怎么与别的计算机通信？按默认设置完成后，可以看出没有添加一个端口，那端口都封住了怎么与别的计算机通信呢？在Internet上相互通信是靠TCP/IP协议完成的，而上网访问网页时，是在本机上随机打开一个大于1024的端口去连服务器的80服务端口，用Telnet协议登陆其它设备也是在本机上随机打开一个大于1024的端口去连服务器的23服务端口。

使用Win安全策略禁止Ping和指定端口xx年xx月xx日•禁止Ping的策略设置•配置特定端口的策略设置•测试与验证目录•安全策略优缺点分析•其他安全策略建议01禁止Ping的策略设置打开“组策略”2. 打开“组策略”编辑器后，导航到“计算机配置”>“管理模板”>“网络”>“TCP/IP路由器”。

1. 点击“开始”菜单，在搜索栏中输入“gpedit.msc”，然后按下回车键。

3. 在右侧面板中，找到并双击“禁止Ping”。

配置“禁止Ping”策略2. 在“选项”下拉菜单中，选择“响应ICMP路由可达请求”选项。

3. 点击“确定”按钮保存更改。

1. 在“禁止Ping属性”对话框中，选择“已启用”选项。

011. 打开“命令提示符”或“PowerShell”。

启用“禁止Ping”策略022. 输入以下命令来启用刚刚配置的策略：`netsh interface ipv4 set router static route=0,0,0`。

033. 这条命令将静态路由设置为0，0，0，即不响应ICMP路由可达请求，从而禁止Ping。

044. 重新启动计算机以使更改生效。

02配置特定端口的策略设置打开“组策略”按下Win+R组合键，输入gpedit.msc，点击确定，打开组策略编辑器。

在左侧导航栏中，依次展开计算机配置-管理模板-网络-TCP/IP协议。

在右侧窗格中，双击“禁止Ping”。

配置特定端口的策略设置在“禁止Ping”属性对话框中，选择“已启用”选项。

在“目标端口”文本框中输入需要禁止的端口号，例如：8000。

在“阻止ICMP类型”下拉列表中选择需要禁止的ICMP类型，例如：ICMP Echo请求（ping请求）。

点击“确定”按钮保存配置。

启用特定端口的策略设置•在左侧导航栏中，展开“计算机配置”-“管理模板”-“网络”-“TCP/IP协议”。

•在右侧窗格中，双击“IP安全策略”。

•在“IP安全策略”属性对话框中，选择“已启用”。

一、安装补丁安装好Windows 2003操作系统之后，在托管之前一定要完成补丁的安装，配置好网络后，最好安装上SP1，然后点击开始选择Windows Update，安装所有的关键更新。

二、安装杀毒软件目前的杀毒软件种类很多，其中瑞星、诺顿、卡巴斯基等都是很不错的选择。

不过，也不要指望杀毒软件能够杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置，把服务器上面要用到的服务端口选中，例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389），在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号，如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。

注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

1、权限设置的原理1）WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。

在开始→程序→管理工具→计算机管理→本地用户和组，管理系统用户和用户组。

2）NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

文件（夹）上右键→属性→安全，在这里管理NTFS文件（夹）权限。

3）IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

windows server 2003系统关闭443端口的方法全文共四篇示例，供读者参考第一篇示例：在Windows Server 2003系统中关闭443端口是一种常见的操作，主要是为了增强系统的安全性。

关闭这个端口可以阻止一些不必要或者恶意的网络访问，从而保护系统中重要的数据和服务不受攻击。

在本文中，我们将介绍如何在Windows Server 2003系统中关闭443端口的方法。

要关闭Windows Server 2003系统中的443端口，有两种主要方法：通过命令行和通过注册表编辑器。

以下是具体步骤：通过命令行关闭443端口：1. 打开命令提示符（cmd）窗口，可以通过在运行框中输入“cmd”并按下回车键打开。

2. 在命令提示符窗口中，输入以下命令来查看系统中打开的端口情况：```netstat -ano | findstr :443```该命令会列出系统中所有使用443端口的进程的PID（进程标识符）。

3. 然后，通过任务管理器（Task Manager）查找对应PID的进程。

- 在命令提示符窗口中，输入“tasklist | findstr [进程PID]”来查找该进程的名称。

- 打开任务管理器，找到对应的进程，右键点击该进程并选择“结束进程”来关闭该进程。

4. 通过防火墙设置来禁止443端口的访问。

- 在命令提示符窗口中，输入“netsh advfirewall firewall add rule dir=in action=blo ck protocol=TCP localport=443”来添加一个阻止443端口的防火墙规则。

- 再次输入“netsh advfirewall firewall add rule dir=out action=block protocol=TCP localport=443”来添加一个出站的防火墙规则。

1. 按下Win + R组合键打开运行对话框，输入“regedit”并按下回车键打开注册表编辑器。