端口安全與穩(wěn)定問(wèn)答

在沒(méi)有配置動(dòng)態(tài)路由協(xié)議的情況下，交換機(jī)的鏈路層協(xié)議狀態(tài)和端口物理狀態(tài)都處于up狀態(tài)，不過(guò)IP數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)操作始終不正常，不知道是什么原因？

答：出現(xiàn)這種情況，很可能是交換機(jī)的靜態(tài)路由不正常，此時(shí)我們不妨通過(guò)“display ip routingtable protocol static”命令，看看交換機(jī)有沒(méi)有配置好相應(yīng)的靜態(tài)路由，之后再通過(guò)“display ip routingtable”命令，檢查一下對(duì)應(yīng)的靜態(tài)路由有沒(méi)有正式生效。

對(duì)于普通用戶來(lái)說(shuō)，為了保護(hù)Windows系統(tǒng)運(yùn)行安全，完成可以限制所有網(wǎng)絡(luò)端口，因?yàn)樗静槐貙?duì)外提供任何網(wǎng)絡(luò)應(yīng)用服務(wù)。而對(duì)于對(duì)外提供網(wǎng)絡(luò)服務(wù)的用戶來(lái)說(shuō)，只要將必須利用的端口打開(kāi)，而將其他端口全部關(guān)閉，請(qǐng)問(wèn)如何限制網(wǎng)絡(luò)端口的使用？

答：以WinXP系統(tǒng)為例，不需要安裝任何其他軟件，只要通過(guò)Windows系統(tǒng)自帶的“TCP/IP篩選”功能，就能輕松限制網(wǎng)絡(luò)端口的使用，具體操作步驟為：首先用鼠標(biāo)右鍵點(diǎn)擊系統(tǒng)桌面上的“網(wǎng)上鄰居”圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，打開(kāi)網(wǎng)絡(luò)連接列表窗口，雙擊其中的“本地連接”圖標(biāo)，展開(kāi)本地連接狀態(tài)對(duì)話框。按下“屬性”按鈕，切換到本地連接屬性窗口，在此連接使用下列項(xiàng)目列表中選擇“Internet協(xié) 議 (TCP/IP)”選項(xiàng)，然后點(diǎn)擊“屬性”按鈕。

在其后出現(xiàn)的“Internet協(xié) 議 (TCP/IP)”設(shè)置框中，點(diǎn)擊“高級(jí)”按鈕，打開(kāi)高級(jí)TCP/IP設(shè)置對(duì)話框，點(diǎn)擊“選項(xiàng)”選項(xiàng)卡，選中“TCP/IP篩選”，之后點(diǎn)擊“屬性”按鈕。進(jìn)入TCP/IP篩選設(shè)置框，選擇“啟用TCP/IP篩選”復(fù)選框，將左邊“TCP端口”上的“只允許”選上，這樣就按需添加或刪除自己想要的TCP或UDP

或IP的各種端口了。添加或刪除操作結(jié)束后，重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，服務(wù)器系統(tǒng)的安全就能被有效保護(hù)起來(lái)了。

445網(wǎng)絡(luò)端口是一個(gè)毀譽(yù)參半的端口，局域網(wǎng)用戶通過(guò)它，能方便訪問(wèn)網(wǎng)絡(luò)中的各種共享文件夾或共享打印機(jī)，但也正是由于有了它，惡意用戶才有了可乘之機(jī)，他們能利用該端口悄悄共享本地計(jì)算機(jī)硬盤(pán)，甚至能在悄無(wú)聲息中格式化本地硬盤(pán)！為了不讓黑客有機(jī)可乘，請(qǐng)問(wèn)如何封堵住445網(wǎng)絡(luò)端口漏洞？

答：依次單擊“開(kāi)始”、“運(yùn)行”選項(xiàng)，在彈出的系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令并回車(chē)，彈出系統(tǒng)注冊(cè)表編輯界面。在該界面左側(cè)列表中，依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters” 分支上，用鼠標(biāo)右鍵單擊“Parameters”選項(xiàng)，從彈出的快捷菜單中逐一選擇“新建”、“DWORD值”命 令，將新創(chuàng)建的鍵值名稱(chēng)設(shè)置為“SMBDeviceEnabled”。

之后，再用鼠標(biāo)右鍵單擊“SMBDeviceEnabled”鍵值，執(zhí)行右鍵菜單中的“修改”命令，彈出編輯DWORD值對(duì)話框，在“數(shù)值數(shù)據(jù)”文本框中輸入“0”，確認(rèn)后保存設(shè)置操作，最后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。

黑客攻擊Linux系統(tǒng)前，往往要進(jìn)行端口掃瞄操作，要是能在第一時(shí)間發(fā)現(xiàn)和阻止黑客的端口掃瞄行為，那么就能有效減少入侵事件的發(fā)生率。那么我們?cè)撊绾尾拍茏龅竭@一點(diǎn)，讓黑客入侵消滅在萌芽狀態(tài)呢？

答：可以使用Abacus Port Sentry之類(lèi)的專(zhuān)業(yè)工具，來(lái)監(jiān)視Linux系統(tǒng)的網(wǎng)絡(luò)連接接口并且與防火墻交互操作，從而實(shí)現(xiàn)關(guān)閉端口掃瞄攻擊的目的。當(dāng)發(fā)現(xiàn)端口掃瞄行為存在時(shí)，目標(biāo)工具就能迅速阻止它繼續(xù)執(zhí)行。不過(guò)要是配置不當(dāng)，它也可能允許敵意的外部者在本地系統(tǒng)中安裝拒絕服務(wù)攻擊。正確地使用目標(biāo)工具，完全可以有效地預(yù)防對(duì)端口大量并行掃瞄，同時(shí)能阻止所有這樣的惡意入侵行為。

要是交換機(jī)級(jí)聯(lián)端口的位置發(fā)生了調(diào)整，那么對(duì)應(yīng)該交換機(jī)上的其他VLAN工作狀態(tài)可能會(huì)受到影響，請(qǐng)問(wèn)如何保證在級(jí)聯(lián)端口位置變化時(shí)，其他VLAN還能正常工作呢？

答：只要進(jìn)入目標(biāo)交換機(jī)后臺(tái)系統(tǒng)，修改級(jí)聯(lián)端口的工作模式，讓其允許所有VLAN訪問(wèn)通過(guò)就可以了。比方說(shuō)，SSS交換機(jī)從VLAN2中轉(zhuǎn)移到VLAN4中時(shí)，我們可以先通過(guò)interface命令進(jìn)入新的級(jí)聯(lián)端口視圖模式狀態(tài)，之后依次通過(guò)“port link-type trunk”、“port trunk permit vlan all”命令，來(lái)確保其他VLAN工作狀態(tài)不受級(jí)聯(lián)端口位置變化的影響。

H3C路由交換機(jī)鏈路層協(xié)議狀態(tài)、端口物理狀態(tài)都正常，與該交換端口直接相連的客戶端系統(tǒng)，向路由交換機(jī)傳送IP報(bào)文時(shí)，路由交換機(jī)卻無(wú)法成功對(duì)其進(jìn)行轉(zhuǎn)發(fā)，不知道是怎么回事？

答：遇到這種現(xiàn)象時(shí)，先要看看交換機(jī)有沒(méi)有開(kāi)啟動(dòng)態(tài)路由功能，如果發(fā)現(xiàn)其還沒(méi)有開(kāi)啟，那多半就是交換機(jī)的靜態(tài)路由存在錯(cuò)誤。這個(gè)時(shí)候，不妨切換到交換機(jī)后臺(tái)系統(tǒng)指定端口視圖模式狀態(tài)，在命令行狀態(tài)下執(zhí)行字符串命令“display ip routing-table protocol static”，從返回結(jié)果信息中看看交換機(jī)的靜態(tài)路由有沒(méi)有配置正確。

在靜態(tài)路由配置正確的情況，繼續(xù)執(zhí)行命令“display ip routingtable”，檢查指定靜態(tài)路由是否工作正常。一般來(lái)說(shuō)，在靜態(tài)路由啟用同時(shí)參數(shù)配置正確的情況下，路由交換機(jī)應(yīng)該能對(duì)數(shù)據(jù)報(bào)文執(zhí)行轉(zhuǎn)發(fā)操作。

在調(diào)整網(wǎng)絡(luò)端口號(hào)碼時(shí)，經(jīng)常會(huì)遇到某個(gè)端口已被占用的現(xiàn)象，請(qǐng)問(wèn)如何查看特定端口是否已被程序占用？

答：可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車(chē)，切換到DOS命令行窗口，在命令提示符下 輸 入“netstat -an”命令，在其后界面中后面為L(zhǎng)istening的端口，就表示對(duì)應(yīng)端口處于開(kāi)放狀態(tài)。如果想查看某個(gè)端口被哪個(gè)應(yīng)用程序占用時(shí)，可以在DOS命令行提示符下，執(zhí)行“netstat-ano”命令，找到特定端口使用的進(jìn)程PID。接著使用“Ctrl+Alt+Del”快捷鍵，彈出系統(tǒng)任務(wù)管理器窗口，依次點(diǎn)擊“查看”、“選擇列”命令，在其后界面中選中“PID”選項(xiàng)，這樣任務(wù)管理器就能把所有程序使用的PID顯示出來(lái)了。之后，再根據(jù)PID信息，就能知道特定端口被什么應(yīng)用程序占用了。

有的時(shí)候操作不小心，將一條直連線纜同時(shí)連接在同一臺(tái)H3C交換機(jī)的兩個(gè)不同交換端口上，結(jié)果這臺(tái)交換機(jī)立即發(fā)生了“死機(jī)”，具體現(xiàn)象表現(xiàn)為該交換機(jī)下層連接的所有無(wú)線上網(wǎng)接入點(diǎn)全部停止了工作，請(qǐng)問(wèn)這是什么原因？

答：要是我們沒(méi)有為交換機(jī)端口劃分設(shè)置VLAN的話，那么一臺(tái)交換機(jī)上的所有交換端口在默認(rèn)狀態(tài)下都處于相同的VLAN中，它們共用一個(gè)VLAN虛擬接口。當(dāng)我們不小心使用直通線纜將同一臺(tái)交換機(jī)相同VLAN的兩個(gè)交換端口相互連接起來(lái)時(shí)，那就相當(dāng)于使用一條網(wǎng)線將同一塊網(wǎng)卡的兩個(gè)網(wǎng)卡接口連接在一起（假設(shè)目標(biāo)網(wǎng)卡同時(shí)存在兩個(gè)接口），最終結(jié)果會(huì)導(dǎo)致交換機(jī)或網(wǎng)卡出現(xiàn)內(nèi)部死循環(huán)，IP地址發(fā)生沖突現(xiàn)象（因?yàn)檫@個(gè)時(shí)候目的IP地址和源IP地址是相同的），數(shù)據(jù)包自然會(huì)發(fā)送不出去。從物理的角度來(lái)理解，那就是交換機(jī)發(fā)生了物理性短路故障，從而造成該設(shè)備停止了工作。

單位局域網(wǎng)中有一臺(tái)H3C S3100系列的樓層交換機(jī)，該交換機(jī)某端口下面連接的是一臺(tái)虛擬機(jī)的物理服務(wù)器，其中的虛擬機(jī)所處的網(wǎng)段各不相同，倘若要確保這些虛擬機(jī)既能同時(shí)訪問(wèn)外面，又能相互訪問(wèn)，那么是否需要對(duì)交換端口進(jìn)行單獨(dú)的參數(shù)配置操作？

答：不需要在交換端口上對(duì)每個(gè)虛擬機(jī)進(jìn)行依次配置，只需要在物理服務(wù)器中進(jìn)行集中配置就可以實(shí)現(xiàn)上述訪問(wèn)目的了，因?yàn)槊總€(gè)虛擬機(jī)相互之間的訪問(wèn)，都是通過(guò)虛擬機(jī)軟件的NAT模式來(lái)配置的，與交換端口的配置沒(méi)有什么關(guān)系。

TCP 協(xié)議的 135、137、138、139等端口，經(jīng)常會(huì)被不小心打開(kāi)。其實(shí)，這些端口平時(shí)被使用的機(jī)率不高，但它們的開(kāi)啟，容易引來(lái)黑客對(duì)本地系統(tǒng)的惡意攻擊，請(qǐng)問(wèn)如何關(guān)閉TCP協(xié)議的這些端口？

答：正常來(lái)說(shuō)，關(guān)閉RPC系統(tǒng)服務(wù)，就相當(dāng)于關(guān)閉了135端口。在關(guān)閉RPC服務(wù)運(yùn)行狀態(tài)時(shí)，只要先打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，執(zhí)行“services.msc”命令，彈出系統(tǒng)服務(wù)列表界面。找到“Remote Procedure Call”服務(wù)并用鼠標(biāo)雙擊，點(diǎn)擊其后界面中的“停止”按鈕，同時(shí)將啟動(dòng)類(lèi)型修改為“已禁用”選項(xiàng)，確認(rèn)后保存設(shè)置即可。

要關(guān)閉TCP協(xié)議的137、138、139等端口時(shí)，只要禁止使用NetBIOS協(xié)議組件即可：首先進(jìn)入網(wǎng)絡(luò)連接列表界面，右擊其中的“本地連接”圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，選中“Internet協(xié)議（TCP/IP）”選項(xiàng)，按下“屬性”按鈕，點(diǎn)擊“高級(jí)”按鈕切換到高級(jí)設(shè)置窗口。選擇“WINS”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“NetBIOS設(shè)置”位置處，將“禁用TCP/IP上的NetBIOS（S）”選中，確認(rèn)后退出設(shè)置對(duì)話框即可。

同樣地，如果要停用TCP協(xié)議的445端口時(shí)，可以在系統(tǒng)運(yùn)行對(duì)話框中，輸 入“regedit”命 令并 回車(chē)，進(jìn)入系統(tǒng)注冊(cè)表編輯窗口，將鼠標(biāo)定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters” 分 支 上，在該分支下手工創(chuàng)建好“SMBDeviceEnabled”雙字節(jié)鍵值，同時(shí)將其數(shù)值設(shè)置為“0”，最后重啟計(jì)算機(jī)系統(tǒng)。

最近，筆者在搭建Web服務(wù)器的時(shí)候，竟然發(fā)現(xiàn)80端口已被其他應(yīng)用程序占用，請(qǐng)問(wèn)如何將該端口釋放出來(lái)？

答：首先進(jìn)入DOS命令行窗口，在命令提示符下輸入netstat -aon|findstr “80”命令，找到TCP80端口使用的進(jìn)程PID，比方說(shuō)該進(jìn)程PID為2020。之后，執(zhí)行字符串命令tasklist|findstr“2020”，就能知道究竟是哪個(gè)應(yīng)用程序占用了80端口。關(guān)閉目標(biāo)應(yīng)用程序，就能將已被占用的80端口釋放出來(lái)了。如果查找不到是哪個(gè)應(yīng)用程序占用80端口時(shí)，可以直接在任務(wù)管理器窗口中，選中PID為“2020”的進(jìn)程選項(xiàng)，并用鼠標(biāo)右鍵單擊之，執(zhí)行右鍵菜單中的“結(jié)束進(jìn)程”命令即可。

Telnet協(xié)議在工作時(shí)，會(huì)用到23端口，不過(guò)該協(xié)議端口常常被黑客悄悄利用，容易給遠(yuǎn)程管理工作帶來(lái)安全威脅。而且，Telnet協(xié)議在傳輸數(shù)據(jù)時(shí)，都是以明文形式進(jìn)行，黑客通過(guò)專(zhuān)業(yè)工具很方便竊聽(tīng)或攔截到，請(qǐng)問(wèn)如何才能保證Telnet協(xié)議工作安全呢？

答：首先將Telnet協(xié)議端口號(hào)碼設(shè)置成別人不熟悉的號(hào)碼。在進(jìn)行該操作時(shí)，先使用“Win+R”快捷鍵，調(diào)用系統(tǒng)運(yùn)行文本框，輸入“cmd”命令并回車(chē)，切換到MS-DOS命令行窗口。在該窗口提示符下，執(zhí) 行“tlntadmn config port=2240”命令（其中“2240”為新的協(xié)議端口號(hào)碼），這樣就能將計(jì)算機(jī)系統(tǒng)的Telnet協(xié)議端口號(hào)碼調(diào)整為“2240”了。

要提醒大家的是，新設(shè)置的協(xié)議端口號(hào)碼，必須與計(jì)算機(jī)系統(tǒng)中已開(kāi)啟的端口號(hào)碼錯(cuò)開(kāi)，不然的話Telnet協(xié)議將不能正常工作。日后，要通過(guò)Telnet協(xié)議遠(yuǎn)程連接到本地計(jì)算機(jī)時(shí)，一定在本地計(jì)算機(jī)名稱(chēng)后面添加“：2240”，才能確保遠(yuǎn)程連接成功。

如果對(duì)遠(yuǎn)程管理安全要求較高，不妨通過(guò)SSH協(xié)議連接代替Telnet協(xié)議連接，因?yàn)樵谌笔顟B(tài)下，SSH協(xié)議以加密方式傳輸內(nèi)容，黑客即使采取技術(shù)手段，悄悄竊取到了傳輸?shù)臄?shù)據(jù)內(nèi)容，也不能看到其中的內(nèi)容。

請(qǐng)問(wèn)如何判斷惡意程序是否使用了開(kāi)放網(wǎng)絡(luò)端口，如果發(fā)現(xiàn)端口被惡意使用時(shí)，該怎樣采取措施，防范非法的網(wǎng)絡(luò)應(yīng)用和入侵？

答：使 用CurrPorts工具，就能直觀地將開(kāi)放端口使用的應(yīng)用程序信息顯示出來(lái)，當(dāng)看到有惡意程序在偷偷占用開(kāi)放端口時(shí)，可以借助Process Explorer工具，對(duì)惡意程序的開(kāi)啟狀態(tài)進(jìn)行關(guān)閉，防止Windows系統(tǒng)繼續(xù)遭遇惡意程序攻擊。

開(kāi)啟CurrPorts工具運(yùn)行狀態(tài)后，它會(huì)自動(dòng)將計(jì)算機(jī)中所有網(wǎng)絡(luò)應(yīng)用程序使用的端口號(hào)碼顯示出來(lái)，包括本地端口和遠(yuǎn)程端口，還有端口所用程序的進(jìn)程名稱(chēng)、進(jìn)程ID、進(jìn)程路徑、本地地址、遠(yuǎn)程地址等內(nèi)容，也會(huì)被自動(dòng)顯示出來(lái)。要是顯示出來(lái)的信息比較多時(shí)，不妨按下主程序界面中的標(biāo)題欄，程序會(huì)依照名稱(chēng)內(nèi)容排序顯示，這樣有利于高效查看信息。用鼠標(biāo)雙擊某個(gè)記錄，彈出對(duì)應(yīng)記錄屬性信息框，在這里能直觀了解到端口所用程序的各種狀態(tài)信息，包括程序使用的網(wǎng)絡(luò)協(xié)議、協(xié)議連接狀態(tài)、進(jìn)程名稱(chēng)、進(jìn)程創(chuàng)建時(shí)間、進(jìn)程ID、進(jìn)程路徑、進(jìn)程占用端口、進(jìn)程使用地址等。

根據(jù)查看到的信息，大概就能判斷出某個(gè)陌生程序是否為惡意程序了。當(dāng)確認(rèn)惡意程序存在時(shí)，可以先用鼠標(biāo)右擊它，點(diǎn)擊快捷菜單中的“關(guān)閉選定的TCP連接”命令，將惡意程序運(yùn)行狀態(tài)強(qiáng)行關(guān)閉。之后觀察惡意程序是否再次打開(kāi)了網(wǎng)絡(luò)端口，要是發(fā)現(xiàn)它又打開(kāi)了端口，那說(shuō)明惡意程序十分狡猾。此時(shí)，不妨利用Process Explorer工具的殺死進(jìn)程樹(shù)功能，將掃描發(fā)現(xiàn)的惡意程序進(jìn)程強(qiáng)行殺死，而且該工具還會(huì)通過(guò)Autoruns程序，掃描系統(tǒng)中的所有自啟動(dòng)項(xiàng)和服務(wù)，確保將惡意自動(dòng)加載項(xiàng)刪除干凈，避免惡意攻擊“卷土重來(lái)”。

要是看到Windows系統(tǒng)中運(yùn)行了多個(gè)陌生程序時(shí)，不妨使用Shift或Ctrl快捷鍵，將多個(gè)應(yīng)用程序集中選中，并用鼠標(biāo)右鍵單擊之，點(diǎn)擊右鍵菜單中的“結(jié)束選定端口的進(jìn)程”命令，這樣就能將若干個(gè)可疑網(wǎng)絡(luò)連接快速切斷了。通過(guò)該方法，也可以將多余網(wǎng)絡(luò)連接快速斷開(kāi)，以方便排除惡意程序。

為了便于管理寬帶路由器，不少管理員會(huì)啟用該設(shè)備的遠(yuǎn)程管理功能，但該功能缺省會(huì)用到80端口，該端口很容易被黑客非法利用，不利于網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。請(qǐng)問(wèn)如何避免這種現(xiàn)象發(fā)生？

答：要想保護(hù)寬帶路由器遠(yuǎn)程管理安全，不妨將缺省的遠(yuǎn)程管理端口調(diào)整為陌生號(hào)碼，日后只有知道新端口的人，才能對(duì)路由器進(jìn)行遠(yuǎn)程管理。比方說(shuō)，要將TP-Link無(wú)線路由器Web管理端口調(diào)整為“3456”時(shí)，只要先進(jìn)入路由器后臺(tái)系統(tǒng)管理界面，依次展開(kāi)“安全設(shè)置”、“遠(yuǎn)端Web管理”節(jié)點(diǎn)，在對(duì)應(yīng)節(jié)點(diǎn)下面，將“Web管理端口”參數(shù)設(shè)置為“3456”。之后，在“遠(yuǎn)端Web管理IP地址”位置處，輸入可以對(duì)寬帶路由器進(jìn)行遠(yuǎn)程管理的計(jì)算機(jī)公網(wǎng)IP地址，單擊“保存”按鈕執(zhí)行設(shè)置保存操作，最后重啟寬帶路由器設(shè)備，這樣日后只有在特定計(jì)算機(jī)上，并輸入新的端口號(hào)碼，才能對(duì)寬帶路由器進(jìn)行遠(yuǎn)程管理。

某單位使用Quidway S8500核心路由交換機(jī)進(jìn)行組網(wǎng)的，由于平時(shí)管理不善，局域網(wǎng)中經(jīng)常出現(xiàn)網(wǎng)絡(luò)回路現(xiàn)象，嚴(yán)重影響了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。請(qǐng)問(wèn)如何才能快速檢測(cè)到局域網(wǎng)中的網(wǎng)絡(luò)回路現(xiàn)象，以提高網(wǎng)絡(luò)故障的排查效率？

答：使用Quidway S8500核心路由交換機(jī)自帶的回路檢測(cè)功能，就能快速判斷局域網(wǎng)中是否存在網(wǎng)絡(luò)回路現(xiàn)象。默認(rèn)狀態(tài)下，有的交換端口沒(méi)有啟用端口環(huán)回檢測(cè)功能，只有啟用該功能，才能發(fā)揮交換機(jī)的動(dòng)態(tài)監(jiān)控優(yōu)勢(shì)。在啟用該功能時(shí)，先在交換機(jī)后臺(tái)系統(tǒng)執(zhí)行“system-view”命令，切換到系統(tǒng)全局視圖模式，在該模式下執(zhí)行“l(fā)oopbackdetection enable”命令，就能啟用全局端口環(huán)回監(jiān)測(cè)功能。之后，使用“interface e0/2”命令（這里的“e0/2”為特定端口號(hào)碼），進(jìn)入特定交換端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“l(fā)oopbackdetection enable”命令，將特定交換端口的網(wǎng)絡(luò)回路檢測(cè)功能啟用起來(lái)。日后，通 過(guò)“display loopbackdetection”字符串命令，就能查看到核心交換機(jī)下面的哪個(gè)交換端口存在網(wǎng)絡(luò)回路現(xiàn)象。一旦發(fā)現(xiàn)某個(gè)交換端口下面存在網(wǎng)絡(luò)回路，必須進(jìn)入對(duì)應(yīng)端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“shutdown”命令，將對(duì)應(yīng)端口工作狀態(tài)暫時(shí)關(guān)閉，以避免網(wǎng)絡(luò)回路現(xiàn)象影響整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

為了提高管理效率，用戶經(jīng)常會(huì)用遠(yuǎn)程桌面連接方式，對(duì)重要主機(jī)進(jìn)行遠(yuǎn)程控制。而遠(yuǎn)程桌面連接會(huì)用到默認(rèn)的3389端口，為了防止惡意用戶趁機(jī)利用該端口，對(duì)重要主機(jī)發(fā)動(dòng)惡意攻擊，請(qǐng)問(wèn)如何將該端口修改成陌生號(hào)碼？

答：很簡(jiǎn)單！在重要主機(jī)系統(tǒng)中，打開(kāi)系統(tǒng)注冊(cè)表編輯窗口，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注 冊(cè)表分支上，雙擊目標(biāo)分支下的PortNumber鍵 值，在 彈出的編輯鍵值對(duì)話框中，輸入新的端口號(hào)碼，比方說(shuō)輸入“8564”，確認(rèn)后保存設(shè)置操作。之后，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 冊(cè)表分支上，雙擊目標(biāo)分支下的PortNumber鍵值，在彈出的編輯鍵值對(duì)話框中，也輸入“8564”，確認(rèn)后保存設(shè)置操作，最后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。

如果Linux系統(tǒng)開(kāi)放了太多的端口和服務(wù)，容易招來(lái)惡意攻擊，為了保護(hù)Linux系統(tǒng)的安全運(yùn)行，請(qǐng)問(wèn)如何將那些不需要的或無(wú)效的系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口關(guān)閉掉？

答：由于所有系統(tǒng)服務(wù)的運(yùn)行狀態(tài)都受“/etc/inetd.conf”文件控制，我們可以打開(kāi)該文件，檢查其中有哪些系統(tǒng)服務(wù)不需要，通過(guò)在對(duì)應(yīng)服務(wù)前面添加“#”的方法，取消并反安裝目標(biāo)服務(wù)，再通過(guò)“sighup”命令對(duì)“/etc/inetd.conf”文件進(jìn)行升級(jí)，讓上述操作正式生效。一般來(lái)說(shuō)，fingerd、rexec、rlogin、rshd等服務(wù)不常使用，我們應(yīng)該將其取消安裝。

雖然將有安全威脅的網(wǎng)絡(luò)端口關(guān)閉后，能保證系統(tǒng)上網(wǎng)安全，但是用戶自己在上網(wǎng)訪問(wèn)時(shí)，同樣也會(huì)受到影響，請(qǐng)問(wèn)有沒(méi)有一種兩全其美的辦法，既能保證用戶自己使用任何網(wǎng)絡(luò)端口，又能限制別人使用其他端口呢？

答：利用“PortsLock”這款外力工具，依照具體的訪問(wèn)要求，正確定義好網(wǎng)絡(luò)端口訪問(wèn)規(guī)則，就能達(dá)到上述目的，也就是既不影響自己上網(wǎng)連接，又能限制他人使用端口。

打 開(kāi)“PortsLock” 程序界面，從菜單欄中依次選擇“File”、“Quick Start Wizard”命令，彈出向?qū)гO(shè)置對(duì)話框，點(diǎn)擊“下一步”，將“The Administrators local group has full access but access for all other users is denied”選中，再按提示完成其余設(shè)置即可。日后，在“PortsLock”工具的作用下，只有本地管理員級(jí)別的用戶，才能使用任何網(wǎng)絡(luò)端口上網(wǎng)訪問(wèn)，而其他用戶不能訪問(wèn)任何網(wǎng)絡(luò)端口。