众所周知,神州网信把Windows自带的防火墙移除了,即使通过某些方式进入设置窗口设置后也不会生效。但是我们还可以利用WFP配置IPsec以达到对端口的控制。

Ø 实验环境:

机器名OSIP
A机Windows 10 神州网信 V2020-L192.168.126..129
B机Windows 10 专业版 21H1192.168.126.128

Ø 实验目的:关闭A机139、445端口

Ø 实验步骤:

验证A机139、445端口是否放行

使用B机telnetA机,可通,如图。

img img

结果都为

img

说明没有进行端口控制时A机放行139、445端口

禁用A机139、445端口

1. Win+R运行mmc,进入控制台,左上角选择文件,选择添加/删除管理单元,如图。

img

2. 弹出管理单元添加删除窗口,左侧选择IP安全策略管理后弹出选择计算机窗口,选择本地计算机,点击完成后点击确定,如图。

img

3. 此时控制台根节点下出现IP安全策略节点,右键选择创建IP安全策略,如图。

img

4. 弹出IP安全策略向导,点击下一步,自定义名称下一步,安全通讯请求界面点击下一步,最后完成,如图。

img

img

img

img

5. 弹出属性界面,点击添加,弹出安全规则向导,点击下一步,到IP筛选器列表,点击右侧添加,

img

img

img

img

添加禁用139端口

点击添加后弹出筛选器列表左侧自定义名称,右侧点击添加,弹出IP筛选器向导,点击下一步。

img

img

源地址选择任何IP地址

img

目标地址选择我的地址

img

IP协议类型选择TCP

img

IP协议端口设置到此端口:139

img

最后添加完成

img

添加445端口重复以上步骤即可。在筛选器列表右侧添加。添加完成如图。

img

点击确定后回到安全规则向导窗口

img

点击下一步,右侧编辑,选择阻止,后确定、下一步,最后完成,如图。

img

img

最后回到属性窗口,点击确定。

img

此时IP安全策略节点右侧出现新建的IP筛选器,点击右键分配即可,如图

img

验证实验结果

再次使用B机telnetA机,显示端口连接失败

img

img

但是通过B机pingA机,是可以ping通的,说明网络是通的,B机禁用了139、445端口

img

至此实验结束。

Last modification:November 3, 2022
如果觉得我的文章对你有用,请随意赞赏