本文目录导读:

- 方法一:使用 Windows 防火墙(最安全、最推荐)
- 方法二:关闭对应的系统服务(彻底关闭相关功能)
- 方法三:使用命令行(快速批量操作)
- 方法四:禁用 UPnP 和 SSDP(家用路由器+电脑双重保险)
- 我该先关闭哪些“危险端口”?
- 最后一步:验证关闭效果
- 安全提示
关闭电脑上危险或未使用的开放端口是提升系统安全性的重要措施,以下是几种常见的关闭方法,根据你的需求(临时关闭、永久关闭或通过防火墙控制)选择适合的方案。
使用 Windows 防火墙(最安全、最推荐)
Windows 自带的高级防火墙可以精准控制端口的入站和出站流量,而无需修改系统服务。
- 打开高级安全防火墙:
- 按
Win + R,输入wf.msc并回车。
- 按
- 创建入站规则(阻止外部连接到此端口):
- 左侧选择“入站规则”,右侧点击“新建规则”。
- 规则类型选择“端口”,下一步。
- 协议:选择
TCP或UDP(看具体要关闭的端口类型,如 RDP 通常用 TCP)。 - 特定本地端口:输入你要关闭的端口号(
445,3389,23等),多个端口用逗号隔开(如135,445,3389)。 - 操作选择“阻止连接”。
- 配置文件(域、专用、公用)全选。
- 填写名称(如“关闭危险端口 3389”),完成。
- 验证:之后该端口对外将无响应。
关闭对应的系统服务(彻底关闭相关功能)
很多危险端口是由特定的 Windows 服务开启的,关闭服务可以根除漏洞,但可能影响某些功能(如文件共享、远程桌面)。
| 常见危险端口 | 对应的服务 | 操作步骤 |
|---|---|---|
| 135 | RPC 端点映射器 (RpcEptMapper) |
建议不要完全禁用此服务,否则系统会不正常,通常通过防火墙阻止入站即可。 |
| 139, 445 | Server (LanmanServer) |
打开 services.msc,找到 “Server” 服务,双击,启动类型设为“禁用”,并停止服务。 |
| 3389 | Remote Desktop Services (TermService) |
在“系统属性” -> “远程”中取消勾选“允许远程协助”和“允许远程桌面连接”,或在服务中禁用 Remote Desktop Services。 |
| 23 | Telnet |
在“控制面板” -> “程序和功能” -> “启用或关闭 Windows 功能”中,取消勾选“Telnet 客户端”和“Telnet 服务器”。 |
| 21 | FTP 服务器 |
如果在 IIS 或第三方软件中开启,则在服务中禁用 FTP 发布服务 或卸载相关 FTP 服务。 |
使用命令行(快速批量操作)
如果你熟悉命令行,可以用 netsh 快速添加防火墙规则。需要以管理员身份运行命令提示符或 PowerShell。
-
阻止某个 TCP 端口(445):
netsh advfirewall firewall add rule name="Block TCP 445" dir=in action=block protocol=TCP localport=445
-
阻止某个 UDP 端口(137):
netsh advfirewall firewall add rule name="Block UDP 137" dir=in action=block protocol=UDP localport=137
-
查看当前已阻止的规则:
netsh advfirewall firewall show rule name=all dir=in
禁用 UPnP 和 SSDP(家用路由器+电脑双重保险)
- UPnP (端口 1900/5000):容易引发网络攻击,在路由器管理界面中关闭“UPnP”功能;同时在 Windows 的服务中禁用“SSDP Discovery”和“UPnP Device Host”服务。
- NetBIOS (端口 137-139):在“网络连接” -> 网卡属性 -> “Internet 协议版本 4 (TCP/IPv4)” -> 高级 -> WINS 选项卡中,选择“禁用 NetBIOS over TCP/IP”。
我该先关闭哪些“危险端口”?
以下端口在不使用对应功能时,强烈建议关闭:
| 端口 | 用途 | 说明 |
|---|---|---|
| 135 | RPC 服务 | 过去常被用于远程代码执行。防火墙阻止。 |
| 137-139 | NetBIOS | 文件共享、打印机共享。禁用 NetBIOS 或防火墙阻止。 |
| 445 | SMB 文件共享 | 曾爆发永恒之蓝 (EternalBlue)。防火墙阻止,且非必要不启用文件共享。 |
| 3389 | 远程桌面 (RDP) | 如果不需要远程管理电脑,务必关闭。 |
| 23 | Telnet | 明文传输密码。卸载功能。 |
| 21 | FTP | 不安全的文件传输,关闭或改用 SFTP/FTPS。 |
| 1433 | Microsoft SQL Server | 如果没装数据库或只在本地用,防火墙阻止。 |
| 3306 | MySQL | 同上,仅在需要远程访问数据库时开放。 |
| 22 | SSH | 对 Windows 除非你开了 OpenSSH 服务器,否则默认关闭。 |
最后一步:验证关闭效果
关闭后,建议扫描一下自己的电脑确认没有遗漏。
-
本地验证(命令行):
netstat -ano | findstr LISTENING
查看你关闭的端口是否还在监听状态。
-
外部验证(推荐):
- 访问在线端口扫描网站(如
ipfingerprints.com或whatismyip.com的端口扫描功能)。 - 输入你的公网 IP 和你关闭的端口,检查是否显示“关闭”或“过滤”(Filtered),如果显示“开放”,说明防火墙规则未生效或服务仍在运行。
- 访问在线端口扫描网站(如
安全提示
- 不要随意禁用系统关键服务(如
RpcEptMapper、DHCP Client、DNS Client),否则可能导致蓝屏或断网。 - 如果关闭端口后,某个程序无法联网,检查该程序是否依赖于该端口对应的服务(如文件共享用 445),除非必要,建议保持防火墙规则阻挡,而不是删除规则。
- 使用第三方防火墙(如 GlassWire、Malwarebytes 防火墙)可以更直观地监控和阻止端口连接。
选择最适合你的方法,从防火墙开始是最简单安全的选择,如果后续需要某个端口,可以通过删除规则或启动服务恢复。
标签: 端口管理
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。