三零卫士网工面试准备

OSI七层模型（实际没有，是理论上研究的）

下->上
物理层 数据链路层 网络层 传输层 应用层
物理层 数据链路层 网络层 传输层 会话层 表示层 应用层

网络设备：交换机和路由器的区别

网络设备区别
路由器是连接因特网中各局域网和广域网的设备。
交换机是一个扩大网络的器材，能为子网络中提供更多的连接端口，以便连接更多的计算机。

路由器可以为局域网自动分配IP和虚拟拨号。
交换机只是用来分配网络数据的。

路由器在网络层，根据IP地址寻址。
路由器可以处理“TCP/IP”协议，交换机不行。
交换机在中继层，根据“MAC”地址寻址（也有三层交换机【网络层】）。

路由器可以把一个IP分给多个主机使用，对外IP相同。
交换机可以把很多主机连接起来，对外的IP不同。

路由器可以提供防火墙，交换机不能提供这个功能。

交换机是做扩大局域网接入点的，可以让局域网连进更多的电脑。
路由器是用来做网间连接，也就是用来连接不同网络的。

怎么查电脑的ip地址mac地址

“快捷键"window"+“r”,打开运行界面。 输入"cmd",点击"确定"（）。 输入ipconfig /all,点击回车键。 如图所示就可以看到电脑的IP地址的和mac地址了。”

实现从IP地址到物理地址的映射
任何一次从IP层以上(包括IP层）发起的数据传输都使用IP地址，一旦使用IP地址，必然涉及这种映射，否则物理网络便本不能识别地址信息，无法进行数据传输。
IP地址到物理地址映射（2种）：表格方式和非表格方式。

表格方式是事先在各主机中建立一张IP地址，物理地址映射表。这种方式很简单，但是映射表需要人工建立及人工维护，由于人的速度太慢，因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。

非表格方式采用全自动技术，地址映射完全由机器自动完成。根据物理地址类型的不同，非表格方式又分为2种，即直接映射和动态联编。

直接映射。物理地址可以分为固定物理地址和可自由配置的物理地址两类，对于可自由配置的物理地址，经过特意配置后，可以将它编入IP地址码中，这样，物理地址的解析就变得非常简单，即将它从IP地址的主机号部分取出来便是。这种方式就是直接映射。直接映射直截了当，但适用范围有限，当IP地址中主机号部分容纳不下物理地址时，这种方式就会失去作用。另外，像以太网这样的物理网络，其物理地址是固定的，一旦网络接口更换，物理地址随之改变，采用直接映射也会有问题。

动态联编。像以太网这样的物理网络具备广播能力。针对这种具备广播能力、物理地址固定的网络，TCP/IP设计了一种巧妙的动态联编方式进行地址解析，并制定了相应标准，这就是ARP。动态联编ARP的原理是，在广播型网络上，一台计算机A欲解析另一台计算机B的’IP地址BP，计算机A首先广播一个ARP请求文，请求IP地址为BP的计算机回答其物理地址。网上所有主机都将收到该ARP请求，但只有B识别出自己的IP地址，并做出应答，向A发回一个ARP响应，回答自己的IP地址。这种解析方式就是动态联编。
为提高效率，ARP使用了高速缓存技术(caching)，在每台使用ARP的主机中，都保留了一个专用的内存区(即高速缓存），存放最近获得的IP地址-物理地址联编。一收到ARP应答，主机就将信宿机的IP地址和物理地址存入缓存。欲发送报文时，首先去缓存中查找相应联编，若找不到，再利用ARP进行地址解析。这样就不必每发一个报文都要事先进行动态联编。实验表明，由于多数据网络通信都需要持续发送多个报文，所以高速缓存大大提高了ARP的效率。

网卡在使用中有两类地址:
IP地址（IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。）
MAC地址(网卡的物理地址、硬件地址或链路地址，网卡自身的惟一标识，类似身份证，不能随意改变。与网络无关，无论把这个网卡接入到网络的什么地方，都是不变。其长度为48位二进制数，由12个00～OFFH的16进制数组成，每个16进制数之间用“”隔开，如“00-10-5C-AD-72-E3”。）

nat是什么acl是什么

NAT（Network Address Translation）网络地址转换，1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

这种方法需要在专用网（私网IP）连接到因特网（公网IP）的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址（公网IP地址）。这样，所有使用本地地址（私网IP地址）的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

另外，这种通过使用少量的全球IP地址（公网IP地址）代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。在RFC 2663中有对NAT的说明。
网络地址转换NAT（Network Address Translation）
可用于
专用网和因特网通信
方 法
在专用网连接到因特网的路由器上安装NAT软件
提出时间
1994年
私网IP
局域网IP。路由器DHCP服务器分配的内网IP，仅连接者可以使用。
公网IP
因特网IP。所有人都可以使用的全球公用IP。
功能
编辑
播报
NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。
1.宽带分享：这是 NAT 主机的最大功能。
2.安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC 。
实现方式
NAT的实现方式有3种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用（Port address Translation,PAT）是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation）.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，网络中应用最多的就是端口多路复用方式。
ALG（Application Level Gateway），即应用程序级网关技术：传统的NAT技术只对IP层和传输层头部进行转换处理，但是一些应用层协议，在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换，NAT使用一种称作ALG的技术，它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如：对于FTP协议的PORT/PASV命令、DNS协议的 “A” 和 “PTR” queries命令和部分ICMP消息类型等都需要相应的ALG来支持。
如果协议数据报文中不包含地址信息，则很容易利用传统的NAT技术来完成透明的地址转换功能，通常我们使用的如下应用就可以直接利用传统的NAT技术：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。
技术背景
要真正了解NAT就必须先了解IP地址的使用情况，私有 IP 地址是指内部网络或主机的IP 地址，公有IP 地址是指在因特网上全球地址。RFC 1918 为私有网络预留出了三个IP 地址块，如下：
A 类：10.0.0.0～10.255.255.255
B 类：172.16.0.0～172.31.255.255
C 类：192.168.0.0～192.168.255.255
上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。 [1]
随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网（CERNET）外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。
虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。

ACL

访问控制列表(ACL，Access Control Lists )是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。
分 类
基本ACL和高级ACL
基本ACL编号范围
2000-2999
高级ACL编号范围
3000-3999

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 [2]
访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段；在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。 [2]
访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。 [3]

1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。 [4]
2）提供对通信流量的控制手段。 [4]
3）提供网络访问的基本安全手段。 [4]
4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 [4]
例如，用户可以允许E- mail通信流量被路由，拒绝所有的Telnet通信流量。例如，某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。 [4]

①当一个数据包进入一个端口，路由器检查这个数据包是否可路由。 [4]
如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据包。 [4]
如果有，根据ACL中的条件指令，检查这个数据包。 [4]
如果数据包是被允许的，就查询路由表，决定数据包的目标端口。 [4]
②路由器检查目标端口是否存在ACL控制流出的数据包。 [4]
若不存在，这个数据包就直接发送到目标端口。 [4]
若存在，就再根据ACL进行取舍。然后在转发到目的端口。 [4]
总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。 [4]
当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。 [5]

标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 [6]
扩展IP访问
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 [6]
命名的IP访问
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 [6]
标准IPX访问
标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。 [6]
扩展IPX访问
扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个字段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。 [6]
命名的IPX访问
与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。 [6]
访问控制列表的使用
ACL的使用分为两步： [2]
(1)创建访问控制列表ACL，根据实际需要设置对应的条件项； [2]
(2)将ACL应用到路由器指定接口的指定方向(in/out)上。 [2]
在ACL的配置与使用中需要注意以下事项： [2]
(1)ACL是自顶向下顺序进行处理，一旦匹配成功，就会进行处理，且不再比对以后的语句，所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面，最不严格的语句放在底部。 [2]
(2)当所有语句没有匹配成功时，会丢弃分组。这也称为ACL隐性拒绝。 [2]
(3)每个接口在每个方向上，只能应用一个ACL。 [2]
(4)标准ACL应该部署在距离分组的目的网络近的位置，扩展ACL应该部署在距离分组发送者近的位置。 [2]

ACL可以应用于多种场合，其中最为常见的应用情形如下： [7]
1、过滤邻居设备间传递的路由信息。 [7]
2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。 [7]
3、控制穿越网络设备的流量和网络访问。 [7]
4、通过限制对路由器上某些服务的访问来保护路由器，如HTTP、SNMP和NIP等。 [7]
5、为DDR和 IPSeC VPN定义感兴趣流。 [7]
6、能够以多种方式在IOS中实现QoS(服务质量)特性。 [7]
7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。 [7]
Linux ACL访问控制权限完全攻略（超详细）

tracert指令

ip地址段子网掩码网关的概念

arp协议 http协议 rdp是什么

22端口23端口445端口都是什么

22端口（ssh应用端口），PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）
缺 点
使用RSAREF库的版本有不少漏洞
工 具
SSH Secure Shell
这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）
还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。用于连接linux 22端口的工具有 SSH Secure Shell。前提是iptable开放了ssh这个服务。
ssh用于远程连接Linux云服务器。一般Linux云服务器要放通22号端口， Windows云服务器需要放通3389号端口。

云服务器用户需要在安全组中开放端口后，才可以使用端口对应的服务。在修改了服务的端口之后，还需要在对应的安全组，开放对应的端口，否则会导致服务不能使用。

云服务器端口开启设置

一般在云服务商的服务器管理后台，找到安全组选项，在弹出的“新建安全组”窗口中，根据实际需求，选择“放通全部端口”或者“放通22，80，443，3389端口和ICMP协议”模板，填写安全组名称，设置所属项目。单击【确定】，即可完成创建。

通常云服务器服务默认是开启了22端口的。在使用的过程中，一些错误的操作，关闭防火墙，再开启防火墙会导致22端口不允许访问了。这时需要排查防火墙设置：

第一步查看防火墙状态；
第二步设置防火墙默认允许；
第三步设置防火墙允许22端口访问。

22端口就是ssh端口，PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。

ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。有时会被使用这一程序的人无意中扫描到。

分类：

硬件端口

CPU通过接口寄存器或特定电路与外设进行数据传送，这些寄存器或特定电路称之为端口。其中硬件领域的端口又称接口，如：并行端口、串行端口。

网络端口

在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口。这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口，是逻辑意义上的端口。

软件端口

缓冲区。

23
win的22端口和23端口作用分别是：安全外壳（SSH）用来加密网管会话，该加密基于RSA，基于TCP端口号22。远程登录（Telnet）用来远程网络管理基于TCP端口号23。

"端口"是英文port的意译，可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。

例如计算机中的80端口、21端口、23端口等。物理端口又称为接口，是可见端口，计算机背板的网口，交换机路由器集线器等端口。电话使用插口也属于物理端口的范畴。

CPU通过接口寄存器或特定电路与外设进行数据传送，这些寄存器或特定电路称之为端口。

其中硬件领域的端口又称接口，如：并行端口、串行端口等。

LINUX如何开启22好端口？

22端口是ssh服务的，你只要启动ssh服务就可以了，可以执行命令“/etc/”。然后用netstat-antulp|grepssh看是否能看到相关信息就可以了，另外你是感兴趣的话可以看下刘遄老师写的《Linux就该这么学》作为入门的书籍，觉得不错的话采纳下哦~

为什么有人连接我的21、22、23端口

LINUX如何开启22好端口

22端口是ssh服务的，你只要启动ssh服务就可以了，可以执行命令“/etc/”。然后用netstat-antulp|grepssh看是否能看到相关信息就可以了。

如何关闭22端口

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP地址”，目标地址选“我的IP地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“22”，点击“确定”按钮，这样就添加了一个屏蔽（RPC）端口的筛选器，它可以防止外界通过22端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新IP筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的IP安全策略，然后选择“指派”。

23端口是telnet的端口。Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

中文名
23端口

别 名
telnet的端口
采 用
登录和仿真程序

目录

1 端口介绍
2 操作建议

端口介绍
编辑
播报
23端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。
同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。
操作建议
编辑
播报
利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。
Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。
23端口是telnet的端口。

电脑软端口分TCP端口和UDP端口，TCP核UDP为两种不同的通信方式，TCP23号端口才是Telnet端口。

telnet端口，用于远程连接的。没有特殊需要最好不要开启23端口。

TCP 23=远程登录(Telnet),Tiny Telnet Server (= TTS)。

https://blog.51cto.com/u_15275077/2923031

445

445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉。 [1] 2017年10月，由于病毒“坏兔子”来袭，国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口。 [2]

中文名
445端口 [1]
作 用
共享文件夹或共享打印机 [1]

属 性
一个毁誉参半的端口
关闭方法
端口排除法、服务关闭法等

目录

1 端口排除法
2 服务关闭法
3 注册表设置法
4 防火墙设置法
5 组策略设置法

端口排除法
编辑
播报
图1端口排除
图1端口排除 [1]
这种方法利用了Windows 2000系统的端口排除功能将来自于445端口的所有信息包全部禁止掉，让“大恶人”们无法接近你的主机，下面是这种方法的具体实现步骤：
打开Windows 2000系统的开始菜单，选中“设置”项下面的“网络和拨号连接”图标，并用鼠标右键单击之，从其后的快捷菜单中，单击“浏览”命令；
将“Internet协议（TCP/IP）”项选中，然后再单击一下“属性”按钮，打开Internet协议（TCP/IP）属性设置页面；
继续单击该页面中的“高级”按钮，打开高级TCP/IP设置窗口，选中其中的“选项”标签，并在该标签页面的“可选的设置”项中，将“TCP/IP筛选”选中，再单击一下对应的“属性”按钮，打开如图1所示的设置窗口；
由于445端口属于一种TCP端口，你可以在对应“TCP端口”的设置项处，将“只允许”项选中，激活下面的“添加”按钮，单击该按钮，在其后打开的“添加筛选器”窗口中，将必须用到的几个服务端口号码，都添加进来，而将用不到的445端口号码排除在外，设置完毕后，单击“确定”按钮，就可以让设置生效了。 [1]
服务关闭法
编辑
播报
图2Internet连接属性
图2Internet连接属性
考虑到文件夹或打印机共享服务才会利用到445端口，因此直接将文件夹或打印机共享服务停止掉，同样也能实现关闭445端口的目的，让黑客无法破坏各种共享资源，下面是关闭文件夹或打印机共享服务的具体步骤：
选中“网络和拨号连接”图标，并用鼠标右键单击之，从其后的快捷菜单中，单击“浏览”命令；
在接着出现的窗口中，右击“Internet连接”图标，选中“属性”选项，弹出Internet连接属性窗口；打开“常规”标签页面，并在“此连接使用下列选定的组件”列表框中，将“Microsoft网络的文件或打印机共享”选项前面的勾号取消，如图2所示。最后单击“确定”按钮，重新启动系统，Internet上的“大恶人”们就没有权利访问到各种共享资源了。
图3本地安全策略设置
图3本地安全策略设置
当然，你也可以在不停止共享服务的条件下，剥夺“大恶人”们的共享访问权利；利用本地安全设置中的“用户权利指派”功能，指定Internet上的任何用户都无权访问本地主机，具体步骤为：
单击“本地安全设置”选项，接着展开“安全设置”　“本地策略”　“用户权利指派”文件夹，在对应的右边子窗口中选中“拒绝从网络访问这台计算机”选项，并用鼠标左键双击之；
打开如图3所示的设置窗口，单击“添加”按钮，从弹出的“选择用户或组”对话框中选中“everyone”选项，再单击“添加”按钮，最后单击“确定”，这样任何一位用户都无法从网络访问到本地主机。不过该方法“打击”范围比较广，造成的后果是无论是“敌人”还是“良民”，都无法访问到共享资源了，因此这种方法适宜在保存有绝对机密信息的服务器中使用。 [3]
注册表设置法
编辑
播报
这种方法是通过修改注册表将用于文件夹或打印机共享的服务禁止掉，具体操作方法为：
在Windows 2000系统的开始菜单中，单击“运行”命令，打开运行对话框，输入“regedit”注册表编辑命令，弹出注册表编辑界面；
图4注册表编辑器
图4注册表编辑器
在该窗口中，用鼠标逐一展开分支“HKEY_LOCAL_MACHINE\SYSTEM\Current-ControlSet\Services\NetBT\Parameters”；在对应该分支的右边窗口中，新创建一个双字节值，并命名为“SMBDeviceEnabled”（如图4所示），再将其数值直接设置为“0”，完成设置后，退出注册表编辑界面，重新启动一下系统就OK了。 [4]
防火墙设置法
编辑
播报
这种方法利用防火墙的安全过滤规则将通过445端口的任何数据包拦截下来。比方说，你可以启动“KV3000的反黑王防火墙”工具，单击“防火墙控制”处的“规则设置”按钮，在接着打开的规则设置窗口中，继续单击一下“增加规则”按钮，打开如图5所示的设置界面；
图5防火墙规则设置
图5防火墙规则设置
在该界面的名称设置项处，将该规则命名为“关闭445端口”，在“网络条件”设置项处，选中“接受数据包”选项；然后将对方IP地址设置为“任何地址”，将本地IP地址处的“指定本地IP地址”选项选中，并输入本地主机的IP地址。
下面，再单击一下该界面中的“TCP”标签，并在本地端口处，选中“指定端口”选项，然后输入“445”端口号码；在“对方端口”处，选中“任一端口”选项。
图6防火墙设置
图6防火墙设置
接着，在“规则对象”设置项处选中“系统访问网络时”选项，在“当所有条件满足时”设置项处，选中“拦截”选项，完成所有参数设置后，再单击一下“确定”按钮，就可以创建好一个安全过滤规则。返回到反黑王防火墙的规则设置窗口，选中刚刚创建好的“关闭445端口”的过滤规则（如图6所示），如此一来，来自445端口的各种非法入侵都会被反黑王防火墙自动拦截。 [4]
组策略设置法
编辑
播报
这种方法，是通过自定义一个IP安全策略，将445服务端口关闭掉，具体实现步骤为：
图7关闭445端口属性
图7关闭445端口属性
图8筛选器向导
图8筛选器向导
在Windows 2000系统的开始菜单中，依次单击“程序”　“管理工具”　“本地安全策略”，打开一个本地组策略编辑界面，用鼠标右键单击该界面中的“IP安全策略，在本地机器”选项，从打开的快捷菜单中，单击“创建IP安全策略”选项，弹出一个创建向导界面；单击“下一步”按钮，然后在“名称”文本框中，输入新创建的安全策略名称，例如这里输入的是“关闭445端口”，再单击一下“下一步”按钮，选中“激活默认响应规则”，其余参数均设置为默认值，就可以完成新安全策略的创建操作了，如图7所示。
图9IP筛选器
图9IP筛选器
单击图7界面中的“添加”按钮，弹出一个安全规则设置向导界面，单击“下一步”按钮，选中“此规则不指定隧道”选项，然后将“网络类型”设置为“所有网络连接”，接着选中“Windows 2000默认值……”选项，继续单击“下一步”按钮后，弹出一个IP筛选器列表界面；单击该界面中的“添加”按钮，将IP筛选器的名称设置为“阻止445端口”，单击“添加”按钮后，再将源地址设置为“任何IP地址”，将目标地址设置为“我的IP地址”，继续单击“下一步”按钮后，弹出协议类型选择框，将协议类型设置为“TCP”；
接着，在弹出的图8窗口中，选中“从任意端口到此端口”选项，并将此端口设置为“445”，最后单击“完成”按钮，并单击“关闭”按钮，返回到IP筛选器列表页面中，选中“阻止445端口”筛选器，单击“下一步”按钮，并从随后打开的窗口中，选中“拒绝”选项；再单击“下一步”、“完成”按钮，就可以将“阻止445端口”的筛选器，添加到名为“关闭445端口”的IP安全策略中了（如图9所示），再单击“确定”按钮，返回到“本地安全设置”窗口中。
最后，在“本地安全设置”窗口中，右击“关闭445端口”策略，从弹出的快捷菜单中，依次单击“所有任务”|“指派”命令，就能使上述设置生效了。

你们自己简历上写的那些缩写协议都记一下大概知道是什么就行