一键关闭网络端口

2024年1月11日发(作者：)

一键关闭网络端口

在《网管员世界》2005年第4期上刊登了一篇《让您的系统固若金汤—网络端口关闭大法》（为便于描述，以后简称《端口》），读后颇有启发，在网络病毒和木马横行的今天，除了需要安装杀毒软件和防火墙外，关闭一些不常用的端口确实能提高计算机抵御来自网络和病毒攻击的能力，特别在一些企业、校园网络中显得尤为重要，对于有效控制网络风暴、高效安全地使用网络能起到较好的效果。

《端口》一文对于少量计算机的用户来说是很方便的，只要确定你要关闭的端口，再按照其依样画葫芦，一般都能设置成功；然而对于一个拥有几十台甚至上百台计算机的局域网络来说，总不至于要一台一台设置过去吧？能不能导出已经设置好的计算机中的端口屏蔽策略，再一一将其应用到其余的计算机中呢？经实践测试是可行的。

图1 新建立的duankou策略

接下来以Windows XP为例，将我的实际操作过程描述如下：先按照《端口》一文建立端口屏蔽策略，如图1所示并将该策略命名为duankou，图1中的另外三个策略是系统默认建立起来的，由于没有指派，所以其实未起作用，我们可以将其删除。然后如图2所示将鼠标移至duankou下空白处，右击并选择“所有任务”—“导出策略”，将duankou策略导出，并取名为。

图2 将duankou策略导出

再利用一个命令，以命令行方式来实现duankou策略的加载并激活（指派）。

加载和激活策略的命令分别为ipseccmd import from 和ipseccmd –w reg –p

―duankou‖ –x 。

提示：是Windows XP下用来管理和监视IPSec策略的一个命令；在Windows 2000下也有一个相似的命令叫，比较遗憾的是它们都不是系统自带的。要使用的话还需要请出系统的安装光盘。其中在Windows XP系统安装盘的

中，而在Windows 2000的Resource Kit里，而且要使用还必须带上另外两个文件：和。

虽说加载并激活策略只需要上述两条命令，但对于一般的计算机用户来说却也并不容易，所以我利用winrar和批处理相结合的方式，一键实现上述操作。具体操作如下：首先在c盘根目录下建立一个文件夹，取名为 ipsec，然后将、移至ipsec文件夹，再在ipsec文件夹中用记事本新建一个批处理文件，该批处理文件内容为

cdipsec

ipseccmd import from

ipseccmd –w reg –p “duankou” –x

接下来利用winrar来创建一个自解压文件，如图3所示，在创建自解压格式压缩文件选项前挑勾，并将压缩文件名取为ipsec_。

图3 创建自解压格式压缩文件

接着选择“高级”中的“自解压选项”，然后在“高级自解压选项”中将解压路径设置为根目录，在解压后运行输入框中输入“”，单击确定，如图4所示，这样我们

就得到了自解压文件ipsec_。

图4 自解压配置

对于操作系统为Windows 2000的计算机来说，方法基本类似，只是需要将、和移至ipsec文件夹，而不是；为了区分，导出的策略可命名为，批处理文件可取名为，文件内容为

cdipsec

ipsecpol import from

ipsecpol –w reg –p “duankou” –x

创建的自解压文件名可取名为ipsec_，Windows Server 2003环境与Windows XP基本上相同，这里不再重复。

至此，Windows 2000/XP /Server 2003环境下的端口屏蔽策略全部建立起来了，我们只要将这些端口屏蔽策略文件共享，客户端只要根据自己安装的操作系统的类型分别选择相应的策略文件，将其复制到本地，双击自解压后该策略就成功地安装到本地计算机上了，真正实现一键关闭网络端口，大大减轻了网管的压力。