关闭常见的网络端口方法一：135端口135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM （分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

端口漏洞：相信去年很多Windows2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。

RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。

该漏洞会影响到RPC与DCOM 之间的一个接口，该接口侦听的端口就是135。

操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。

操作步骤如下：一、单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。

二、在弹出的“组件服务”对话框中，选择“计算机”选项。

三、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。

四、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。

二139端口139NetBIOS File and Print Sharing通过这个端口进入的连接试图获得NetBIOS/SMB服务。

这个协议被用于Windows"文件和打印机共享"和SAMBA。

在Internet 上共享自己的硬盘是可能是最常见的问题。

大量针对这一端口始于1999，后来逐渐变少。

2000年又有回升。

一些VBS（IE5 VisualBasic Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

这里有说到IPC$漏洞使用的是139,445端口致命漏洞——IPC$其实IPC$漏洞不是一个真正意义的漏洞.通常说的IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。

空会话是在未提供用户名和密码的情况下与服务器建立的会话.利用空会话我们可以做很多事比如:查看远程主机共享.得到远程主机用户名原本这些功能是用来方便管理员的.不过问题也就出现在这里.如果你主机的管理员密码过于简单黑客就可以通过一些工具(比如:流光)破解管理员密码.进而轻松的控制整台主机所以这个漏洞不能不防。

选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

五、单击“确定”按钮，设置完成，重新启动后即可关闭135端口。

二445端口是一个毁誉参半的端口，他和139端口一起是IPC$入侵的主要通道。

有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！我们所能做的就是想办法不让黑客有机可乘，封堵住445端口漏洞。

如何关闭445端口关闭445端口的方法有很多，但是我比较推荐以下这种方法：修改注册表，添加一个键值Hive:HKEY_LOCAL_MACHINEKey:System\CurrentControlSet\Services\NetBT\ParametersName:SMBDeviceEnabledType:REG_DWORDValue:0修改完后重启机器，运行“netstat-an”，你将会发现你的445端口已经不再Listening了。

操作过程如下：三，137·138ipseccmd-w REG-p"HFUT_SECU"-r"Block UDP/137"-f*+0:137:UDP-n BLOCK-x>nul ipseccmd-w REG-p"HFUT_SECU"-r"Block UDP/138"-f*+0:138:UDP-n BLOCK-x>nul ipseccmd-w REG-p"HFUT_SECU"-r"Block TCP/139"-f*+0:139:TCP-n BLOCK-x>nul ipseccmd-w REG-p"HFUT_SECU"-r"Block TCP/135"-f*+0:135:TCP-n BLOCK-x>nul ipseccmd-w REG-p"HFUT_SECU"-r"Block UDP/135"-f*+0:135:UDP-n BLOCK-x>nul四：禁止其他端口：利用ipseccmdipseccmd可以理解为ip安全策略的命令行版。

可以使用命令参数来设置各种各样的ip安全策略。

2、ipseccmd是否是windows自带的？ipseccmd不是windows装好后就存在的工具。

它存在于原版xp光盘的support\tools\support.cab压缩包中！3、ipseccmd到详细命令是什么？英文不好，理解不了~我英文也不好，所以我特意从网上找了很多资料，于是今天决定详细的理顺一下！下面我说下每个命令的用法，后面会给出具体应用的例子！4、ipseccmd的命令解析。

常用参数-w reg表明将配置写入注册表，重启后仍有效。

-p指定策略名称，如果名称存在，则将该规则加入此策略，否则创建一个。

-r指定规则名称。

-n指定操作，可以是block、pass或者inpass，必须大写。

-x激活该策略。

-y使之无效。

-o删除-p指定的策略。

高级参数-f设置过滤规则。

格式为a.b.c.d/mask:port=a.b.c.d/mask:port:protocol。

其中=前面的是源地址，后面是目的地址。

如果使用+，则表明此规则是双向的。

ip地址中用*代表任何ip地址，0代表我自己的ip地址。

还可以使用通配符，比如144.92.*.*等效于144.92.0.0/255.255.0.0。

-lan指定规则应用为局域网。

-dialup指定规则应用为广域网。

+表示双向。

*表示所有ip0表示自己的ip还有一些参数，我还理解不太好。

同时感觉用到的地方不太多了。

所以就不多说。

先举例子说明一下以上参数吧！4.1禁止以任何协议访问某ip的任何端口copy code to clipboard程序代码ipseccmd-w reg-p"clxp safe policy"-r"disable connect ip"-f 0/255.255.255.255=202.108.22.5/255.255.255.255::-n block-x此段代码的含义：设置名为“clxp safe policy”的ip安全策略，添加名为"disable connect ip"的规则。

筛选对象为：我的ip和202.108.22.5这个ip（255.255.255.255的意思就是单独一个ip。

）筛选操作为：禁止访问端口：所有协议：所有测试是否生效：此规则为我以任何ip任何端口都无法访问202.108.22.5这个ip，这个ip是百度的。

直接以http访问，应该是访问不到的，用的是tcp协议。

目标端口80直接ping202.108.22.5，应该是ping不通的，用的是icmp协议。

4.2禁止访问某ip的某端口copy code to clipboard程序代码ipseccmd-w reg-p"clxp safe policy"-r"disable connect ip"-f 0/255.255.255.255=202.108.22.5/255.255.255.255:80:tcp-n block-x此段代码的含义：设置名为“clxp safe policy”的ip安全策略，添加名为"disable connect ip"的规则。

筛选对象为：我的ip和202.108.22.5这个ip（255.255.255.255的意思就是单独一个ip。

）筛选操作为：禁止访问端口：80协议：tcp(必须指定端口.感谢易拉罐提出错误.)测试是否生效：http无法访问80端口。

但是可以访问其他端口。

因为协议选的是tcp，ping 是可以通的。

4.3禁止使用tcp协议访问某ip的某端口copy code to clipboard程序代码ipseccmd-w reg-p"clxp safe policy"-r"disable connect ip"-f 0/255.255.255.255=202.108.22.5/255.255.255.255:80:tcp-n block-x此段代码的含义：设置名为“clxp safe policy”的ip安全策略，添加名为"disable connect ip"的规则。

筛选对象为：我的ip和202.108.22.5这个ip（255.255.255.255的意思就是单独一个ip。

）筛选操作为：禁止访问端口：80协议：tcp测试是否生效：无法使用http访问，但是可以ping通。

4.4双向限制。

什么是双向限制呢？就是我不能用tcp协议访问你，你也不能用tcp协议访问我。

我不能用访问你的80端口，你也不能访问我的80端口。

要实现这个就简单了。

只要把上面代码里的“=”等号，换为“+”加号就可以了。

4.5禁止所有人访问我的某的端口。

copy code to clipboard程序代码ipseccmd-w reg-p"clxp safe policy"-r"block tcp/135"-f*=0:135:tcp-n block-x4.6禁止ping。

针对任何网络都禁止ping入和ping出。

copy code to clipboard程序代码ipseccmd-w reg-p"clxp safe policy"-r"disable out ping"-f*=0::icmp-n block-x局域网禁止ping入。

copy code to clipboard程序代码ipseccmd-w reg-p"clxp safe policy"-r"disable out ping"-f*=0::icmp-n block-x-lan来自死性不改，今天正好用了一下在上来一段屏蔽常用端口的bat@echo offgpupdate>nulrem for client onlyipseccmd-w reg-p"hfut_secu"-o-x>nulipseccmd-w reg-p"hfut_secu"-x>nulipseccmd-w reg-p"hfut_secu"-r"block udp/137"-f*+0:137:udp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block udp/138"-f*+0:138:udp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/139"-f*+0:139:tcp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/23"-f*+0:23:tcp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block udp/1433"-f*+0:1434:udp-n block-x>nul ipseccmd-w reg-p"hfut_secu"-r"block tcp/3389"-f*+0:3389:tcp-n block-xipseccmd-w reg-p"hfut_secu"-r"block tcp/135"-f*+0:135:tcp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block udp/135"-f*+0:135:udp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/445"-f*+0:445:tcp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block udp/445"-f*+0:445:udp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/1025"-f*+0:1025:tcp-n block-x>nul<这条用万象的慎用>ipseccmd-w reg-p"hfut_secu"-r"block udp/139"-f*+0:139:udp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/1068"-f*+0:1068:tcp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/5554"-f*+0:5554:tcp-n block-x>nulipseccmd-w reg-p"hfut_secu"-r"block tcp/9995"-f*+0:9995:tcp-n block-x>nulexit------------------命令行下ip安全策略sql注入后发现是做了安全策略的话，下文可能对你有帮助。