在我们搞网络安全的角度出发，保护网络安全，而已从三个方面出发。一是企业内网与外网之间的连接安全；二是企业内部传输安全；三是操作系统本身的安全。这篇文章，笔者试图总结一下，在操作系统本身的设置上，我们该如何保护系统本身的安全，从而提高网络整体的安全性。

　　一、 关闭不必要的端口

　　其实电脑操作系统，就好象是一套房子。你门越多，外面的非法入侵者进入就越容易。若你整套房子只有一个门，那你只要守住这一个门就可以了。俗话说，无孔不入，你多开一个门，就多给人家一个入侵的机会。所以，我们在操作系统访问上，要把一些平时不用的门都关了，让病毒、木马没门可入。

　　要关闭不必要的端口，你首先当然是要了解端口的用途，不然的话，你不管三七二十一，把所有的端口的关闭了。那最后的结果是，你正常的功能都无法进行。

　　下面，笔者列出常见的可能被攻击的端口，一般情况下，要把这些端口屏蔽掉。

　　一是23端口。若这个端口开着非常的危险，这个端口主要用做TELNET登录。Telnet服务给我们的最直接的感受就是它可以使得我们忘掉电脑与电脑之间的距离。也就是说，利用23端口的Telnet我们可以象访问本机那样访问远程的计算机。起初专家发门这个协议，是用来帮助我们对于计算机实现远程管理与维护，以提高我们的工作效率。但是，现在的话，反而成为了一个黑客攻击最常利用的一个端口。我想，那些专家可能也不会想到会有今天这种事情发生。若不怀好心的人利用Telnet服务登陆到23端口，就可以任意在对方电脑上上传与下载数据，包括上传木马与病毒等等。

　　二是21端口。这个端口主要用来运行FTP服务。糟糕的是，这个端口，若管理不善的话，是可以用户进行匿名登陆的。居心不良的人，还可以利用这个端口远程登陆并运行远程命令，这也就是说，可以在远程上传木马等工具并在远程控制其运行。同时， 有时候，还可以利用FTP服务了解到攻击所需要的基本信息，如用的是什么操作系统等等；如果运气好的话，还可以获知可用的帐号，等等。一般情况下，特别是在企业中，没有必要开启21号端口。

　　三是135端口。通过135端口入侵实际上就是在利用操作系统的RPC漏洞。一般情况下，135端口主要用来实现远程过程调用。通过RPC可以保证在一台计算机上运行的程序可以顺利地 执行远程计算机上的代码。利用这个漏洞，我们最主要的是，可以通过这个端口得到电脑上的“主机”文件。得到这个文件后，我们再利用一定的工具，就可以知道该电脑上可用的计算机用户名与密码，甚至是管理员的用户名与密码。得到这个用户名之后，他们就可以为所欲为了。如可以上传木马工具，把你的电脑当做肉鸡；也可以随意的查看你电脑的文件，等等。简单的说，你的电脑现在已经赤裸裸的放在他面前，基本上已经没有任何的隐私了。

　　以上我只是列举了比较常见的一些端口。除了以上这些端口外，还有很多端口也会被人所利用。其实，这些端口我们平时都可以关掉，或者为各个相关服务设置比较强大的密码，并禁止匿名登陆等等。不过，我还是建议大家，把端口直接关闭掉好了。到需要的时候，再去打开。

　　另外，你若对哪些端口需要关闭不清楚的话，还有一个偷懒的方法，就是利用端口扫描软件。还有一些杀毒软件，也可以帮助你扫描端口，然后给你提供建议，让你关闭哪些端口。当然他们给出的只是一些建议，具体要不要关闭，还是要看你网络具体执行的服务。

　　最后，关闭端口的方法也有很多，不过我建议的话，还是利用组策略来关闭。因为组策略可以复制，那么只需要在一台电脑上配置好以后，把组策略更新到其他电脑上即可。而且，若你公司的网络采取域控制器的话，那更加理想。可以在域控制器上，管理公司内网内各台电脑的端口。这就不需要管理员一台一台电脑去配置。

　　还有一点我们要注意的是，这些端口关闭之后，并不是意外着我们可以高枕无忧了。要知道，这些端口还可以被人远程的打开。所以，我们还是需要不定时的查看端口的状态。看看有没有端口被别人打开过。这我们可以通过端口扫描工具，都可以了解公司网络上的主机，都打开了哪些端口。所以，我们管理起来，还是比较方便的。主要是，我们要不怕麻烦，要有这个观念。