众所周知,神州网信把Windows自带的防火墙移除了,即使通过某些方式进入设置窗口设置后也不会生效。但是我们还可以利用WFP配置IPsec以达到对端口的控制。
Ø 实验环境:
机器名 | OS | IP |
---|---|---|
A机 | Windows 10 神州网信 V2020-L | 192.168.126..129 |
B机 | Windows 10 专业版 21H1 | 192.168.126.128 |
Ø 实验目的:关闭A机139、445端口
Ø 实验步骤:
验证A机139、445端口是否放行
使用B机telnetA机,可通,如图。
结果都为
说明没有进行端口控制时A机放行139、445端口
禁用A机139、445端口
\1. Win+R运行mmc,进入控制台,左上角选择文件,选择添加/删除管理单元,如图。
\2. 弹出管理单元添加删除窗口,左侧选择IP安全策略管理后弹出选择计算机窗口,选择本地计算机,点击完成后点击确定,如图。
\3. 此时控制台根节点下出现IP安全策略节点,右键选择创建IP安全策略,如图。
\4. 弹出IP安全策略向导,点击下一步,自定义名称下一步,安全通讯请求界面点击下一步,最后完成,如图。
\5. 弹出属性界面,点击添加,弹出安全规则向导,点击下一步,到IP筛选器列表,点击右侧添加,
添加禁用139端口
点击添加后弹出筛选器列表左侧自定义名称,右侧点击添加,弹出IP筛选器向导,点击下一步。
源地址选择任何IP地址
目标地址选择我的地址
IP协议类型选择TCP
IP协议端口设置到此端口:139
最后添加完成
添加445端口重复以上步骤即可。在筛选器列表右侧添加。添加完成如图。
点击确定后回到安全规则向导窗口
点击下一步,右侧编辑,选择阻止,后确定、下一步,最后完成,如图。
最后回到属性窗口,点击确定。
此时IP安全策略节点右侧出现新建的IP筛选器,点击右键分配即可,如图
验证实验结果
再次使用B机telnetA机,显示端口连接失败
但是通过B机pingA机,是可以ping通的,说明网络是通的,B机禁用了139、445端口
至此实验结束。