防火墙关闭445端口文章列表:

• 1、快速关闭Windows电脑445端口的方法 克制勒索病毒
• 2、教你如何使用window防火墙防范已经入侵99个国家的病毒
• 3、今日必看！最新应对WannaCry/Wcry勒索病毒开机指南
• 4、Windows新漏洞曝光：威胁堪比WannaCry，无补丁可用
• 5、如何使用Windows Defender防火墙构建加密通道，以穿越非信任网络

快速关闭Windows电脑445端口的方法 克制勒索病毒

打开控制面板

打开控制面板

打开防火墙

打开防火墙

高级设置

高级设置

添加规则

选择端口

输入445

选择阻止链接

下一步

输入名称然后完成

添加入站规则→TCP协议、特定本地端口(输入445)→阻止连接→完成。

教你如何使用window防火墙防范已经入侵99个国家的病毒

前两天对于全球范围内爆发基于Windows网络共享协议，利用NSA黑客武器库泄露的“永恒之蓝”发起 的蠕虫病毒攻击传播勒索的恶意事件，闹得可谓是人心惶惶，而后各大互联网公司“趁火打劫”，强行推出各种杀毒软件的广告，竞争异常激烈。

今天码哥就针对于这个病毒的特点，为大家讲解一下如何利用windows系统的防火墙来保护自己电脑。

一、关闭/拦截端口

1．版本：Windows7、Windows8、Windows10

第一步，打开控制面板-系统与安全-windows防火墙，点击左侧启动或关闭Windows防火墙

第二步，选择启动防火墙，并点击确定

第三步，点击高级设置

第四步，点击入站规则，新建规则

第五步，选择端口，下一步

第六步，特定本地端口，输入135、137、138、139、445端口

第七步，选择阻止连接，下一步

第八步，配置文件，全选，下一步

第九步，在“名称”处任意输入一个名称，完成即可

第十步，关闭server服务

依次点击开始-运行，输入services.msc进入服务管理控制台

双击server，先停用，再选择禁用

重启，依次点击开始-运行-cmd进入命令行界面，使用netstat -an查看是否不存在445端口

2．版本：Windows XP、Windows 2003

第一步，依次打开控制面板，安全中心，windows防火墙，选择启用

第二步，点击开始，运行，输入cmd，确定，执行下面三条命令（每次重启机器后均要执行）

二、附：端口号与服务

至此，整个配置流程介绍。这个教程大家也可以用来当作配置防火墙的教程，有什么问题欢迎大家留言，多谢大家支持，明天不见不散。

今天的分享就到这里啦，如果您有好用的软件、插件、技巧，可以投稿或者联系我们，我们将会分享出去，造福更多的读者。您如果对本次分享有任何的疑问，可以关注我们，在文章底部留言，我会尽快给大家回复，跪求点个赞，感谢大家的支持！

今日必看！最新应对WannaCry/Wcry勒索病毒开机指南

2017年5月12日起， 全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码， 经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。

利用445文件共享端口实施破坏的蠕虫病毒，曾多次在国内爆发。因此，运营商很早就针对个人用户将445端口封闭，但是教育网并未作此限制，仍然存在大量开放的445端口。据有关机构统计，目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网已成重灾区！

由于病毒在周五晚8点左右爆发，尚有很多电脑处于关机状态，周一工作日开机需谨慎对待，建议用户周一开电脑之前先拔掉网线。

周一开机指南

防护第一关，开关域名免疫（建议IT部门员工操作）

亚信安全研究发现，该勒索病毒运行后会首先请求一个秘密开关域名[www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea].com（注意，“[ ]”是为了防止误操作点击刻意添加，实际域名中无“[ ]”），请求失败后即开始执行加密；相反，请求成功后立即退出，不执行加密。如果企业内网机器没有互联网访问权限，建议用户在内网修改此开关域名[www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea].com的内网解析，并且将解析IP指向企业内部在线的web服务器，从而实现免疫。如果内网机器具有互联网访问权限，则无须采取额外措施。

(注意：以上方法在已知样本中测试有效，未知样本可能无效。)

开机前准备工具（建议IT部门员工操作）

下载亚信安全MS17-010局域网扫描工具，扫描局域网哪些机器没有打MS17-010漏洞对应的补丁程序，便于管理员有针对性的处理没有打补丁机器。

亚信安全局域网扫描工具

工具下载地址：

http://support.asiainfo-sec.com/Anti-Virus/Tool/亚信科技局域网MS17-010漏洞扫描工具.zip

下载亚信安全端口扫描工具，扫描局域网中哪些机器开放了445端口，便于管理员有针对性的处理打开445端口的机器。

亚信安全端口扫描工具

工具下载地址：

http://support.asiainfo-sec.com/Anti-Virus/Tool/亚信科技端口扫描工具.zip

下载WannaCry/Wcry勒索病毒免疫工具，该工具可以关闭勒索病毒利用漏洞服务及445端口，还可以下载MS17-010对应的补丁程序，下载清除工具，下图为工具运行界面：

WannaCry/Wcry勒索病毒免疫工具

免疫工具下载地址：

http://support.asiainfo-sec.com/Anti-Virus/Tool/亚信科技wannacry免疫工具.zip

下载WannaCry/Wcry勒索病毒专杀工具，下载地址：

32位系统

http://support.asiainfo-sec.com/Anti-Virus/Tool/supportcustomizedpackage.exe

64位系统

http://support.asiainfo-sec.com/Anti-Virus/Tool/supportcustomizedpackage_64.exe

下载专杀工具使用说明，下载地址：

http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

如果网内有微软停止服务的系统（XP和WindowsServer2003），请下载微软发布的针对停止服务系统的特别安全补丁。详细信息请参考链接：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

下载MS17-010对应的MicrosoftWindows SMB 服务器安全更新 (4013389)补丁程序。详细信息请参考链接：

（https://technet.microsoft.com/library/security/MS17-010）

对亚信安全产品服务器端进行配置

亚信安全OfficeScan（OSCE）

1.启用防火墙功能，关闭445等相关端口

启用防火墙

配置防火墙

加入禁止445端口访问的规则

策略配置后，会使用禁止445端口数据包

2.启动爆发阻止功能，禁止端口和具体病毒文件写入系统

启用爆发阻止，设置时间为65535（长期）

封闭端口（双向）

在爆发阻止中禁止对文件和文件夹写入，添加如下文件禁止写入。

mssecsvc.exe

tasksche.exe

b.wnry

c.wnry

r.wnry

s.wnry

t.wnry

u.wnry

Taskdl.exe

Taskse.exe

后期可以不断加入我们发现的新的病毒文件名字。

启用爆发阻止，点击“确定”。

“爆发阻止启动时通知用户”勾选时，用户会收到如下通知，不勾选则不会通知客户端。

策略生效后，客户端445端口禁止访问

客户端出的445端口也会禁止访问

当我们禁止的文件名写入时，会被拒绝，无法写入。

3.启动OSCE的反勒索软件引擎

启用行为监控设置

选用阻止勒索软件功能。

功能启用后，会阻止非授权的加密。

注意：启用该功能，可能会对出现客户端误判，当客户有加密软件时，需要添加例外操作。

亚信安全TDA

亚信安全深度威胁发现设备TDA于2017年4月26日已发布检测规则（Rule ID 2383），针对透过微软SMB远程代码执行漏洞CVE-2017-0144（MS17-010）所导致的相关网络攻击进行检测。利用此漏洞的攻击包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测，让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端，以实施相对应的响应措施。同时，用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。

Deep Security

针对微软远程代码执行漏洞[1008306 -Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略，用户只需要对虚拟化系统做一次"建议扫描"操作，就能自动应用该策略，无论是有代理还是无代理模式，都能有效防护该勒索软件。

1.启用入侵防御。在策略----入侵防御规则中----选中和MS17-010相关的补丁。

2.启用防火墙禁止445端口访问

Deep Edge

Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则（规则名称：微软MS17 010 SMB远程代码执行1-4 规则号:1133635, 1133636, 1133637, 1133638）。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。

DDEI

针对加密勒索软件攻击，用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击，只需在Web渠道通过IPS或防火墙规则即可拦截，但广大用户切不可掉以轻心，因为还有大量的勒索软件攻击是通过邮件渠道发起的，我们还需要在邮件入口处加以防范，防止勒索软件卷土重来。

开机及后续操作步骤

第一步：拔掉主机网线后开机。

第二步：部署亚信安全WannaCry/Wcry勒索病毒免疫工具。

第三步：如果系统已经感染WannaCry/Wcry勒索病毒，请使用专杀工具对系统进行查杀。

第四步：已经加密的文件可以使用EasyRecover等数据工具进行恢复，可以恢复部分加密文件。

第五步：重启电脑，连接网络，打开系统自动更新功能，检测并安装更新程序，也可以使用亚信安全WannaCry/Wcry勒索病毒免疫工具进行补丁安装。

非亚信安全用户开机指南

第一步：拔掉主机网线后开机

第二步：部署亚信安全WannaCry/Wcry勒索病毒免疫工具。

第三步：如果系统已经感染WannaCry/Wcry勒索病毒，请离线安装亚信安全OfficeScan客户端，并对系统进行扫描，清除勒索病毒，离线安装包下载地址

32位：http://support.asiainfo-sec.com/Anti-Virus/Tool/20170513_32.zip

64位：http://support.asiainfo-sec.com/Anti-Virus/Tool/20170513_64.zip

第四步：已经加密的文件可以使用EasyRecover等数据工具进行恢复，可以恢复部分加密文件。

第五步：重启电脑，连接网络，打开系统自动更新功能，检测并安装更新程序，也可以使用亚信安全WannaCry/Wcry勒索病毒免疫工具进行补丁安装。

Windows新漏洞曝光：威胁堪比WannaCry，无补丁可用

SMB协议被用来实现文件共享传输。为了防御臭名昭著的WannaCry勒索病毒，微软已经在Windows 10中默认删除了漏洞多多的SMBv1协议。本月的补丁星期二，微软又意外曝光了名为CVE-2020-0796的SMBv3漏洞，但没有提供修复补丁。

该漏洞可能会导致蠕虫攻击，微软已经建议在防火墙上禁用TCP 445端口来保护网络免受外部攻击。实际上国内运营商出于各种原因早已禁用家庭宽带用户的445端口，所以当年的WannaCry的主要受害者是教育网和一些企业用户。

从原理上来说，本次发现的漏洞需要攻击者向目标SMBv3服务器发送特制数据包，或者诱使SMBv3客户端主动连接到恶意配置的SMBv3服务器。一旦成功，攻击者将可以实现远程代码执行，进而做任意他们想做的事。

除了禁用445端口之外，还可以通过修改注册表方式进行修补。在HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters新建DWORD类型的DisableCompression，并将其数值设定为1。这会禁用SMBv3的压缩功能，而不影响其他功能使用。以上是临时的修补措施，微软可能原本计划在本月补丁中修复它，然而不知什么原因，补丁最终没有完成。

如何使用Windows Defender防火墙构建加密通道，以穿越非信任网络

在上一篇文章中，我给大家分享了如何使用Windows Defender防火墙防范木马病毒的威胁，接下来我将继续介绍Defender防火墙一个鲜为人知的高级功能，即在Windows主机之间构建安全的IPSec通道。

首先我们来熟悉一下V-P-N的概念，V-P-N是虚拟专用网络（virtual private network）的简称，它是一类网络加密技术的统称，一般常见的V-P-N有IPSec、OpenV-P-N、P-P-T-P、L-2-T-P等，其中IPSec比其它协议更流行，一般的网络安全设备（防火墙、路由器等）及操作系统都支持，Windows Defender防火墙只支持IPSec协议。

在网络安全防护体系中，V-P-N技术主要用来构建加密的通信通道，避免流量在穿越非信任网络时不被窃听。常见的非信任网络有：

云主机之间的通信网络

托管于IDC的服务器所处的网络

公司总部与分支机构之间的网络

家里电脑跟公司的服务器之间的网络

因为这些网络不在己方的控制范围之内，所以我们称之为非信任网络，当通信流量流经这些网络时将不可避免地受到安全威胁，而实施V-P-N则能有效地防范这些风险。

不多说，马上进入正题，下面的例子中有两个IP，192.168.30.11及192.168.30.15，我们需要对192.168.30.11访问192.168.30.15的445端口的流量进行加密，使其通过IPSec V-P-N通道进行通信。操作主要分三个步骤：

1、允许ESP、AH、IKE流量经过防火墙

IPSec严格意义上不是一种协议，而是几种协议构成的一种技术，主要包括ESP（协议号为50）、AH（协议号为51）及IKE（端口号为UDP500），所以为了保证IPSec正常工作，我们需要允许这些协议进出防火墙：

netsh advfirewall firewall add rule name="AllowESP" dir=out protocol=50 action=allownetsh advfirewall firewall add rule name="AllowESP" dir=in protocol=50 action=allownetsh advfirewall firewall add rule name="AllowAH" dir=out protocol=51 action=allownetsh advfirewall firewall add rule name="AllowAH" dir=in protocol=51 action=allownetsh advfirewall firewall add rule name="AllowIKE" dir=out protocol=udp remoteport=500 action=allownetsh advfirewall firewall add rule name="AllowIKE" dir=in protocol=udp remoteport=500 action=allow

2、配置IPSec策略

192.168.30.11与192.168.30.15两个IP的配置除了名称外其它都一样，配置参数主要包含enpoint指定、协议、认证方式及共享密码等：

netsh advfirewall consec add rule name="V_to_192.168.30.15" endpoint1=192.168.30.15 endpoint2=192.168.30.11 port1=445 port2=any protocol=tcp auth1=ComputerPSK auth1psk=This1s@key action=RequireInRequireOut

3、配置允许加密流量的防火墙规则

即限制192.168.30.11只能通过IPSec通道访问192.168.30.15的445端口：

192.168.30.11:

netsh advfirewall firewall add rule name="AllowV_to_192.168.30.15_445" dir=out protocol=TCP localip=192.168.30.11 remoteip=192.168.30.15 remoteport=445 security=authenc action=allow

192.168.30.15:

netsh advfirewall firewall add rule name="AllowV_from_192.168.30.11_445" dir=in protocol=TCP localip=192.168.30.15 remoteip=192.168.30.11 localport=445 security=authenc action=allow

结合上一篇文章的命令，192.168.30.11最终的配置为：

netsh advfirewall resetnetsh advfirewall set allprofiles state onnetsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutboundnetsh advfirewall firewall set rule name=all new enable=nonetsh advfirewall firewall add rule name="AllowDNS" dir=out protocol=UDP remoteip=dns action=allownetsh advfirewall firewall add rule name="AllowDHCP" dir=out remoteip=dhcp action=allownetsh advfirewall firewall add rule name="AllowDHCP" dir=in remoteip=dhcp action=allownetsh advfirewall firewall add rule name="AllowWindowsUpdate" dir=out program="C:WindowsSystem32svchost.exe" service=wuauserv protocol=tcp remoteport=443,80 action=allownetsh advfirewall firewall add rule name="Chrome" dir=out program="C:Program Filesz(x86)GoogleChromeApplicationchrome.exe" action=allownetsh advfirewall firewall add rule name="GoogleUpdateService" dir=out service=gupdate action=allownetsh advfirewall firewall add rule name="GoogleUpdatemService" dir=out service=gupdatem action=allownetsh advfirewall firewall add rule name="AllowESP" dir=out protocol=50 action=allownetsh advfirewall firewall add rule name="AllowESP" dir=in protocol=50 action=allownetsh advfirewall firewall add rule name="AllowAH" dir=out protocol=51 action=allownetsh advfirewall firewall add rule name="AllowAH" dir=in protocol=51 action=allownetsh advfirewall firewall add rule name="AllowIKE" dir=out protocol=udp remoteport=500 action=allownetsh advfirewall firewall add rule name="AllowIKE" dir=in protocol=udp remoteport=500 action=allownetsh advfirewall firewall add rule name="AllowV_to_192.168.30.15_445" dir=out protocol=TCP localip=192.168.30.11 remoteip=192.168.30.15 remoteport=445 security=authenc action=allownetsh advfirewall consec add rule name="V_to_192.168.30.15" endpoint1=192.168.30.15 endpoint2=192.168.30.11 port1=445 port2=any protocol=tcp auth1=ComputerPSK auth1psk=This1s@key action=RequireInRequireOut

192.168.30.15最终的配置为：

netsh advfirewall resetnetsh advfirewall set allprofiles state onnetsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutboundnetsh advfirewall firewall set rule name=all new enable=nonetsh advfirewall firewall add rule name="AllowDNS" dir=out protocol=UDP remoteip=dns action=allownetsh advfirewall firewall add rule name="AllowDHCP" dir=out remoteip=dhcp action=allownetsh advfirewall firewall add rule name="AllowDHCP" dir=in remoteip=dhcp action=allownetsh advfirewall firewall add rule name="AllowWindowsUpdate" dir=out program="C:WindowsSystem32svchost.exe" service=wuauserv protocol=tcp remoteport=443,80 action=allownetsh advfirewall firewall add rule name="Chrome" dir=out program="C:Program Filesz(x86)GoogleChromeApplicationchrome.exe" action=allownetsh advfirewall firewall add rule name="GoogleUpdateService" dir=out service=gupdate action=allownetsh advfirewall firewall add rule name="GoogleUpdatemService" dir=out service=gupdatem action=allownetsh advfirewall firewall add rule name="AllowESP" dir=out protocol=50 action=allownetsh advfirewall firewall add rule name="AllowESP" dir=in protocol=50 action=allownetsh advfirewall firewall add rule name="AllowAH" dir=out protocol=51 action=allownetsh advfirewall firewall add rule name="AllowAH" dir=in protocol=51 action=allownetsh advfirewall firewall add rule name="AllowIKE" dir=out protocol=udp remoteport=500 action=allownetsh advfirewall firewall add rule name="AllowIKE" dir=in protocol=udp remoteport=500 action=allownetsh advfirewall firewall add rule name="AllowV_from_192.168.30.11_445" dir=in protocol=TCP localip=192.168.30.15 remoteip=192.168.30.11 localport=445 security=authenc action=allownetsh advfirewall consec add rule name="V_to_192.168.30.11" endpoint1=192.168.30.15 endpoint2=192.168.30.11 port1=445 port2=any protocol=tcp auth1=ComputerPSK auth1psk=This1s@key action=RequireInRequireOut

以上的配置命令大家可以直接拷贝粘贴，只需改一下IP地址。相对图形配置界面，使用netsh配置要轻松得多。下图是最终的效果：

以上就是使用Windows Defender构建IPSec V-P-N通道的方法，还是那句话，希望大家能举一反三活学活用。请留意我后续技术分享，我将尽可能地给大家分享网络信息安全知识，谢谢！