众所周知，神州网信把Windows自带的防火墙移除了，即使通过某些方式进入设置窗口设置后也不会生效。但是我们还可以利用WFP配置IPsec以达到对端口的控制。

Ø 实验环境：

Ø 实验目的：关闭A机139、445端口

Ø 实验步骤：

验证A机139、445端口是否放行

使用B机telnetA机，可通，如图。

结果都为

说明没有进行端口控制时A机放行139、445端口

禁用A机139、445端口

\1. Win+R运行mmc，进入控制台，左上角选择文件，选择添加/删除管理单元，如图。

\2. 弹出管理单元添加删除窗口，左侧选择IP安全策略管理后弹出选择计算机窗口，选择本地计算机，点击完成后点击确定，如图。

\3. 此时控制台根节点下出现IP安全策略节点，右键选择创建IP安全策略，如图。

\4. 弹出IP安全策略向导，点击下一步，自定义名称下一步，安全通讯请求界面点击下一步，最后完成，如图。

\5. 弹出属性界面，点击添加，弹出安全规则向导，点击下一步，到IP筛选器列表，点击右侧添加，

添加禁用139端口

点击添加后弹出筛选器列表左侧自定义名称，右侧点击添加，弹出IP筛选器向导，点击下一步。

源地址选择任何IP地址

目标地址选择我的地址

IP协议类型选择TCP

IP协议端口设置到此端口：139

最后添加完成

添加445端口重复以上步骤即可。在筛选器列表右侧添加。添加完成如图。

点击确定后回到安全规则向导窗口

点击下一步，右侧编辑，选择阻止，后确定、下一步，最后完成，如图。

最后回到属性窗口，点击确定。

此时IP安全策略节点右侧出现新建的IP筛选器，点击右键分配即可，如图

验证实验结果

再次使用B机telnetA机，显示端口连接失败

但是通过B机pingA机，是可以ping通的，说明网络是通的，B机禁用了139、445端口

至此实验结束。