怎么关闭计算机上的端口 防止别人入侵

通过关闭端口可以做到防止病毒入侵和禁止登陆某些软件的功能,如QQ和BT

对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口（比如WWW端口80、FTP端口21、邮件服务端口25、110等）开放，其他的端口则全部关闭。

这里，对于采用Windows

2000或者Windows

XP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下：

1.通用篇（适用系统Win2000/XP/server2003），最近我在论坛看了一些文章，发现大家都有一个误区，就是哪个端口出漏洞就关闭哪个端口，其实这样是不能保证系统安全的，正确的方法应该是先了解清楚自己需要开放哪些端口，了解完毕后，把自己不需要的端口统统关闭掉，这样才能保证系统的安全性。

比如说你的电脑是一台服务器，服务器需要有Mail

Server和WEB服务，还要有FTP服务，这些只需要开放21、25、80、110就足够了。其它的就应该全部关闭。

关闭的方法：点击“开始→控制面板→网络连接→本地连接→右键→属性”，然后选择“Internet(tcp/ip)”→“属性”，。在

“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”，。在这里分为3项，分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口，只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面，然后确定。注意：修改完以后系统会提示重新启动，这样设置才会生效。这样，系统重新启动以后只会开放刚才你所选的那些端口

，其它端口都不会开放。

2.利用系统自带防火墙关闭端口（适用系统WinXP/Server

2003）

微软推出WinXP之后的操作系统本身都自带防火墙，用它就可以关闭掉不需要的端口，实现的步骤也很简单。

具体设置：“控制面板”→“本地连接”→“高级”，把“Inernet连接防火墙”下面的选项勾选上，如图所示，然后点击“设置”，出现如图所示窗口。假设我们要关闭135端口(所有使用Win2000或者是WinXP的用户马上关闭135端口，因为最新的漏洞可以利用这个端口攻击服务器获取权限)，135端口用于启动与远程计算机的RPC连接。我们可以在“高级设置”窗口的“服务”选项卡中点击“添加”按钮，。在“服务设置”对话框中把各项按图中所示填写好之后一路确定就可以了。这样防火墙就自动启动了，启动以后“本地连接”图标会出现一个可爱的小锁头。

以上就是利用系统本身自带防火墙关闭端口的方法。当然了，有条件的朋友还可以使用第三方防火墙来关闭端口。

终端就是我们平常所说的电脑端，在企业中也被称为是员工端，员工在日常的上班过程中会产生出大量的文件，其中不乏会有些重要的文件，为防止这些文件泄露的问题，我们就需要对其进行深度的管理了。

我们可以通过文件加密的方法对对员工电脑的重要文件进行一个保护，防止其外发或将其带走，在员工电脑选择上文件加密的类型之后，员工在内部是可以正常打开的，如果进行外发或者带到外边的话，文件打开就会乱码的情况，这就是用域之盾对电脑文件进行加密后的保护特点。

或者我们通过上网行为管理对员工电脑使用的应用或聊天工具等进行管理，防止其通过网络途径进行信息传递，也可以通过U盘对员工电脑进行管理，比如禁止使用或开放仅读取权限，这样就能防止员工对文件进行拷贝复制的风险。

随着企业信息化进程的推进，关于网络内容的安全，即数据的安全，日益成为企业信息化建设最重要的目标。当前中国大中型企业的数据安全防护还相当薄弱，各种泄密事件屡屡发生，给企业造成沉重打击。为了避免数据泄露，企业在加强企业信息安全管理，提高安全意识的同时，必须进一步加强企业网络信息安全基础建设。用技术手段来确保信息安全，是必不可少的。

然而，大中型企业要做到信息防泄露是比较困难的。大中型企业往往有数千台电脑，几台甚至几十台大型服务器，还有数目不详的移动硬盘、U盘，以及各个分公司、外埠出差人员的电脑接入内网。信息分布存放在各个物理位置，不论是终端电脑、服务器、笔记本电脑、移动硬盘、U盘，还是数据库，都各自保存着各种文档和数据。任何一个环节出现纰漏，都会导致数据泄露事件的发生。

根据当前主流的数据安全分域防护理论，专家建议，把整个企业网络及其存储设备，分为五大安全域，分别控制，统一防护，实现整体一致的数据泄露防护，是科学有效的数据安全管理办法。

所谓数据防泄露分域安全理论，就是把连接到企业网络的各种物理设备，划分为：终端、端口、磁盘、服务器(包括数据库)和移动存储设备五大安全区域，针对不同的安全域采用对应的产品进行保护。可以侧重于对终端进行防护，也可以针对服务器和数据库进行重点防护。根据企业自身的信息安全现状，可以有针对性地选择防护重点。

一、 终端数据防泄露

提到终端安全，大家一定会想到赛门铁克。这家总部位于美国的世界级信息安全公司的广告口号就是：赛门铁克就是终端安全。针对终端数据防泄露，赛门铁克以收购Vontu而来的数据丢失防护(DLP，Data Loss Prevention)产品，在全球范围包括美国、欧洲、南亚等多数国家取得了极大的商业成功。其DLP产品几乎是毫无阻碍地获得各个国家的认同，并得到实施。然而，赛门铁克在日本和中国这两个对信息安全把控最严密的国家，却迟迟得不到进展。赛门铁克DLP的硬伤主要在于三个方面：1、高昂的价格使其成为贵族用品2、本地化比较差。由于英语系国家在语言和技术交流方面的通畅，所以接受DLP比较容易，但在中国，赛门铁克还有更多本地化工作要做。3、中国政府对信息安全产品的政策，使得国外信息安全产品只能局限于外企进行销售。

不仅是赛门铁克，还有趋势科技、Websense、麦咖啡等厂家的DLP产品在中国也有同样的状况。

其实，在终端数据防泄露方面，中国人是值得自豪的。以北京亿赛通为首的中国DLP厂商，从2001年就开始研发的加密软件，足以确保终端数据防泄露。国内信息安全厂商在政府的保护下，获得发展机遇，这是一个基本事实。中国人以独有的技术敏感和产品领悟力，推出的文件透明加密、权限管理、外发控制等软件，以文档透明加密为核心，辅以权限控制，外发管理、日志审计等功能，能从源头上确保数据安全。

不论是数千点的宇龙通信、正泰科技，数万点甚至十万点的比亚迪集团、中集集团、中国移动集团，还是数十万点的全球性跨国公司，都已经采用亿赛通终端数据防泄露系统。

针对终端信息安全，可以采用文档透明加密系统SmartSec、文档权限管理系统DRM文档安全管理系统CDG和文档外发控制系统ODM。除此之外，国内也有其他加密软件可采用，但从产品性能来看，稍逊一筹。

二、 磁盘数据防泄露

磁盘是存储数据的物理设备。针对磁盘进行管控，就可以防止数据泄露。当前，防止磁盘数据泄露，全球最领先的技术是全磁盘加密(Full Disk Encryption)。关于全磁盘加密(FDE)软件，可参阅《全磁盘加密(FDE)软件性能大揭秘》和《全磁盘加密(FDE)软件概述》。

通过对磁盘全盘加密来保护数据安全，是国际上主流信息安全厂商推出的技术。国外企业级用户通常会采用最著名的Pointsec和Safeboot。Checkpoint公司花费5.8亿美元收购Protect Data公司所获得了终端和移动设备数据安全产品Pointsec，其实在此之前已在全球得到应用。Safeboot被麦咖啡公司收购，集成到麦咖啡的数据泄露防护(DLP)系统中。

由于中国政府对企业信息安全的保护，中国企业不能使用国外加密软件产品。国家法律规定，凡涉及到商用密码的软件产品，都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格的企业生产和销售。而且，还必须具备国家保密局、军队和公安部的相关销售资质才可以在国内销售。因此，国外FDE软件在中国不能得到广泛应用。

可喜的是，中国软件企业在FDE软件方面并不落后于国外软件厂商。北京亿赛通于2008年推出的DiskSec软件具备强大的功能，有单机版和企业版可以选用。从性能上看，比国外同类型的企业级FDE软件要高。DiskSec不仅是一款能保护PC、笔记本电脑、移动存储设备的多功能FDE软件，可以用于企业级的终端保护，还可与电脑生产厂家联合推出全加密硬盘电脑，具备强大的适用性。目前DiskSec在中国空军全军得到应用，部署规模为10万台笔记本终端。除此之外，在金融、电信、电力、制造业等多个行业都已经有大量PC和笔记本电脑部署DiskSec。

三、 端口数据泄露防护

通过端口管控，来防止数据泄露，似乎中软公司的防水墙已经为公众所熟知。从技术上讲，防水墙本身的门槛比较低，开发难度不大。已经有多种品牌的端口防护软件面世，也得到了比较广泛的应用。不论是物理端口，还是网络端口，基本上都能得到保护。但是，从理论上说，只要数据进行了加密，就不再需要外围的端口防护。既已进行了加密，又对端口进行防护，貌似有重复建设之疑。但是企业可以采用多重防护来保护数据，这是可以采用的办法。

当前在市面上主流的端口防护软件比较多，其中以中软防水墙和北京亿赛通设备安全管理系统DeviceSec为主流。后者之所以能跻身为主流，是因为DeviceSec能结合加密软件形成整体防护体系。相比较而言，DeviceSec结合加密功能，安全程度要高于单一的端口防护软件防水墙，

四、 服务器(数据库)数据防泄露

大中型企业的数据安全最重要的地方，应该是保护服务器和数据库。针对文件服务器数据，目前主要还是通过身份认证和权限控制这两种访问控制手段来确保安全。而针对应用服务器数据安全，相应的技术手段是相当孱弱的。

数据库的数据安全保护则更为复杂，有三种主要的手段：　1、基于文件的数据库加密技术2、基于记录的数据库加密技术3、子密钥数据库加密。但是这三种手段都会给数据库的性能带来极大的影响。针对数据库防泄露，必须采用更为先进的技术手段。

针对服务器和数据库，全球最为领先的技术和产品已经诞生。北京亿赛通于2008年底推出的文档安全网关系统FileNetSec，已经在国内诸多大型企业部署实施。广发证券、宇龙通信、中信证券等企业纷纷采用FileNetSec来对核心数据进行加密保护。

五、 移动存储设备防泄密

移动存储设备主要指移动硬盘、U盘、PC储存卡、MP3、MP4、数码照相机、数码摄像机、手机、光盘和软盘等。随着移动存储设备的广泛使用，移动存储设备导致泄密的现象越来越普遍。目前针对移动设备泄密的解决办法主要有两方面：一是对计算机及内部网络各种端口进行管控，对接入端口的移动设备进行统一认证，硬件绑定等方式，限制移动存储设备的使用二是对移动存储设备本身设置口令/密码进行身份识别，并且对移动存储设备内的数据进行加密。通常所谓的介质管理，就是指移动存储设备管理。

目前在市场上关于移动存储设备管理的软件系统有很多，比如北京亿赛通、国迈、北信源、博瑞勤等。在军工、政府等部门，关于介质管理是有严格规定的，往往都是由各省级主管部门下文，强制各下属单位部署介质管理系统。

但是，一般的介质管理系统有一个致命的缺陷，就是只能对移动设备进行管理。只对移动存储设备这一个安全域进行管控，是远远不够的。根据企业的信息安全需求，需要对各个不同的安全域都进行管控，才能实现整体一致的防护体系，实现全面的数据防泄露。因此，选择介质管理系统，要考虑与企业其他安全域兼容一体。在这方面，北京亿赛通走在了前面，介质管理是亿赛通数据泄露防护(DLP)体系中不可缺少的一环。不仅能完全保护移动设备安全，还能与其他安全系统形成一套完整的防护体系。

总结：孙子兵法云：不谋全局者，不足谋一域。虽然对内网系统划分为五大安全域，但是，要做到分域安全和全面防护相统一，必须统一考虑，统一架构，统一部署。大中型企业要实现数据防泄露，对各个安全域的特点和具体需求，都要充分考虑，周密部署，以实现整体数据泄露防护(DLP)。

---