伺服器的安全設定環節中，必不可少的操作環節是要遮蔽一些危險埠。如果人為的在“控制面板”、“管理工具”、“本地安全設定”中手工設定IPSEC安全策略的話，不僅麻煩，稍有疏忽就容易出錯。本篇內容就介紹了利用批處理的優勢來完成遮蔽危險埠的設定，當然，只要你願意，任何埠都可遮蔽，只要在配置檔案中新增需要遮蔽的埠就行了。這個批處理經過我測試使用，非常的方便、省事。

遮蔽危險埠方法一

這個工具主要有兩個檔案構成：一個是配置檔案“禁止IP列表.txt”、一個是“遮蔽高危埠.bat”，以下為這兩個檔案的程式碼。如果你想要新增其它埠，在“禁止IP列表.txt”中根據它的格式新增就可以了。“遮蔽高危埠.bat”這個檔案無需設定。

“禁止IP列表.txt”程式碼如下

請使用空格隔開註釋，本行不可少
*+0:135:tcp #封TCP協議的135埠，與RPC有關，如有影響請刪除本行。
*+0:135:udp #封UDP協議的135埠，與RPC有關，如有影響請刪除本行，下同
*+0:139:tcp #封TCP協議的139埠，可有效防禦MS08-067溢位攻擊，與共享有關
*+0:139:udp #封UDP協議的139埠，可有效防禦MS08-067溢位攻擊，與共享有關
*+0:445:tcp #封TCP協議的445埠，可有效防禦MS08-067溢位攻擊，與共享有關
*+0:445:udp #封UDP協議的445埠，可有效防禦MS08-067溢位攻擊，與共享有關
*+0:1443:tcp #禁止遠端連線本機1443埠，與SQL有關
*+0:1443:udp #禁止遠端連線本機1443埠，與SQL有關
*+0:1444:tcp #禁止遠端連線本機1444埠，與SQL有關
*+0:1444:udp #禁止遠端連線本機1444埠，與SQL有關
 

“遮蔽高危埠.bat”程式碼如下

@echo off
title 遮蔽高危埠
::code by LZ-MyST  為開機通道優化程式碼
sc query PolicyAgent|find /i "PolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
  ping 127.1
)
sc config PolicyAgent start= auto
ipseccmd -w reg -p Block -y
set "a=0"
set "b="
set "list="
FOR /f "skip=1 delims= " %%i IN (禁止IP列表.txt) DO call :_ipsec "%%i"
if %a% leq 386 ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
ipseccmd -w reg -p Block -x

goto _next
:_ipsec
set /a a+=1
set list=%list% %~1
if %a% gtr 386 (
  ipseccmd -w reg -p Block:1 -r filterlist%b% -f %list% -n BLOCK
  set "list="
  set "a=0"
  set /a b+=1
)
goto :eof
:_next
 

相關說明

1、“禁止IP列表.txt”中的內容格式非常簡單，我就不多解釋了。根據他的格式新增你需要埠即可。
2、如果你的伺服器系統沒有打win2003 sp2補丁或者是標準版，可能沒有“ipseccmd.exe”檔案，你只需要複製這個檔案到c:\windows\system32目錄下就可以使用了。

遮蔽危險埠方法二

下面這個方法實質上和上面的方法一樣，區別的是，上面將執行部分和配置部分分開了而已。

@echo off
title 禁止危險埠##
cls
::code by Sunward  
sc query PolicyAgent|find /i "PolicyAgent"
if %errorlevel% == 1 (
  sc create PolicyAgent binpath= "%windir%\system32\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
)
sc config PolicyAgent start= auto
sc start PolicyAgent Services
ipseccmd  -w REG -p "SUNWARD" -o -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/139" -f *+0:139:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/1443" -f *+0:1443:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block TCP/1444" -f *+0:1444:TCP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/1443" -f *+0:1443:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -r "Block UDP/1444" -f *+0:1444:UDP -n BLOCK -x >nul
ipseccmd  -w REG -p "SUNWARD" -x >nul
cls
@echo 埠遮蔽完成！
ping 127.0.0.1 -n 5 1>nul