【如何禁止服务器135、137、3389等端口】在服务器安全配置中,关闭不必要的端口是防止潜在攻击的重要手段之一。常见的高风险端口如135、137、3389等,通常与远程服务或系统漏洞相关,若未进行有效防护,可能成为黑客入侵的入口。本文将总结如何禁止这些端口,并提供具体操作方法。
一、常见高风险端口说明
| 端口号 | 服务名称 | 用途/风险说明 |
| 135 | RPC(远程过程调用) | Windows系统内部通信,易受远程代码执行攻击 |
| 137 | NetBIOS 名称服务 | 可用于网络发现,存在信息泄露风险 |
| 3389 | RDP(远程桌面协议) | 允许远程登录,若密码弱易被暴力破解 |
二、禁止端口的方法总结
1. 使用防火墙规则
大多数操作系统内置防火墙功能,可通过设置入站/出站规则来限制特定端口。
- Windows 防火墙:
- 打开“高级安全Windows Defender 防火墙”。
- 在“入站规则”中创建新规则,选择“端口”。
- 设置协议为TCP或UDP,指定端口号(如135、137、3389)。
- 选择“阻止连接”,完成设置。
- Linux 防火墙(iptables / ufw):
- 使用 `iptables` 命令添加规则:
```bash
sudo iptables -A INPUT -p tcp --dport 135 -j DROP
sudo iptables -A INPUT -p tcp --dport 137 -j DROP
sudo iptables -A INPUT -p tcp --dport 3389 -j DROP
```
- 或使用 `ufw` 工具:
```bash
sudo ufw deny 135/tcp
sudo ufw deny 137/tcp
sudo ufw deny 3389/tcp
```
2. 修改服务配置
部分端口由特定服务监听,可通过修改服务配置文件禁用。
- SMB(135、137):
- 编辑 `/etc/samba/smb.conf` 文件,设置 `disable netbios = yes`。
- 重启 Samba 服务:
```bash
sudo systemctl restart smbd
```
- RDP(3389):
- 修改注册表或组策略,关闭远程桌面功能。
- 或通过命令行禁用:
```bash
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1
```
3. 使用第三方工具
- IPTables、Firewalld、nftables:适用于Linux服务器,支持更复杂的访问控制策略。
- Windows 本地安全策略:通过“高级安全Windows Defender 防火墙”设置更细粒度的规则。
三、注意事项
- 在关闭端口前,确保没有依赖该端口的服务正在运行。
- 定期检查防火墙规则,避免误操作导致服务中断。
- 对于生产环境,建议结合多层防护措施,如使用入侵检测系统(IDS)和日志监控。
四、总结
禁止135、137、3389等高风险端口是提升服务器安全性的重要步骤。通过合理配置防火墙、调整服务设置或使用安全工具,可以有效降低被攻击的风险。实际操作时需根据服务器类型和需求灵活选择方案,确保安全性和可用性之间的平衡。
