三、系统端口安全配置  下面先是介绍关于端口的一些基础知识，主要是便于我们下一步的安全配置打下基础，如果 你对端口方面已经有较深了解可以略过这一步。  端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直 接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属 性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。  下面先介绍一下端口的基础知识。在网络技术中，端口（Port）大致有两种意思：一是物理意义 上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如 RJ-45 端口、SC 端口等等。二是逻辑意义上的端口，一般是指 TCP/IP 协议中的端口，端口号 的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。  （一）按端口号分布划分：  （1）知名端口（Well-Known Ports）  知名端口即众所周知的端口号，范围从 0 到 1023，这些端口号一般固定分配给一些服务。 比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配 给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。  （2）动态端口（Dynamic Ports）  动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多 服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些 端口号中分配一个供该程序使用。比如 1024 端口就是分配给第一个向系统发出申请的程序。在 关闭程序进程后，就会释放所占用的端口号。  不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。  （二）按协议类型划分：  可以分为 TCP、UDP、IP 和 ICMP（Internet 控制消息协议）等端口。下面主要介绍 TCP 和 UDP端口。  （1）TCP端口  TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠 的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25 端口， 以及HTTP服务的80端口等等。  （2）UDP端口  UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保 障。常见的有 DNS 服务的 53 端口，SNMP（简单网络管理协议）服务的 161 端口，QQ 使用 的8000和4000端口等等。  介绍完了有关端口的基础知识，下面我们就开始进行服务器的端口安全配置。  在一般的 WEB+Email 服务器上，推荐同时使用 PcanyWhere 和终端服务进行远程控制管 理，基于安全考虑把终端服务3389端口修改成6868端口，方法如下：  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal  Server\Wds\Repwd\Tds\Tcp, 找到 PortNumber 项，双击选择十进制，输入你要改成的端 口即可，这里我们输入6868。再找到键值：   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win Stations，在右侧窗口找到PortNumber并按上面的方法输入6868，设置成新的端口就可以了。 这样，在用MSTSC访问远程桌面时，IP或网址后加上：6868即端口号就可以了。如图(1)： 接着根据要开放的服务，去设置TCP/IP筛选。要查看端口使用状况，可以使用Netstat在 命令行状态下查看，依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在 命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的 TCP 和 UDP连接的端口号及状态。  我们根据服务器上端口的使用情况在TCP/IP 筛选设置我们需要开放的端口，右击网上邻居 属性-->右击本地连接属性-->(双击TCP/IP) -->高级-->选项-->属性启用TCP/IP筛选， 在TCP端口筛选只允许21，25，110， 80，1433，3000，5631，6868，8735， 10001，10002，10003，10004，10005 等相关必须使用的端口（请根据你的实际情况 进行设定）；TCP/IP 端口里面的都是几个常 有的知名端口，10001-10005 是设置 Serv-U的PASV模式使用的端口，3000是  MDaemon默认的WEB登陆端口，6868         是自定义修改的MSTSC远程桌面端口，当然也可以使用别的。IP协议和UDP端口根据您的需 要做出相应配置，本人未仔细研究过，请根据你的实际应用进行筛选。  接着，我们要在本地连接属性里面，卸载所有的其他协议，只留下Internet协议（TCP/IP）， 把默认的共享和打印机卸载掉。  图(６): 删除共享和打印机共享  然后，再双击Internet协议（TCP/IP）进入高级选项窗口，选择WINS选项卡，选中禁止 TCP/IP上的NetBIOS项，可有效防止他人从网络NetBIOS协议获取计算机相关信息。