S21交换机ACL配置模板

1、S21交换机ACL配置模板!S21交换机ACL配置模板ip access-list extended lan deny udp any any eq 136 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq 445 deny udp any any eq 593 deny udp any any eq 1434 deny tcp any any eq 135 deny tcp any any eq 136 deny t

2、cp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 4444 deny tcp any any eq 5800 deny tcp any any eq 5900 deny tcp any any eq 6667 deny tcp any any eq 5554 deny tcp any any eq 9996 permit ip any any !说明：端口135服务Location Service说明Microsoft在这个端

3、口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。端口137、138、139服务NETBIOS Name Service说明其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口通过这个端口进入的连接试图获得

4、NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。端口445说明：445端口和139端口一样，都是用来开启SMB服务的端口。在2000系统里，445开启NBT（共享文件）服务，利用它，你才能看见网上邻居上的其他电脑，利用这个端口可以获取主机的相关信息。互联网上的蠕虫病毒以及其他病毒，利用这个端口对该机以外的其他机器进行病毒传播。在远程控制方面这个端口作用不是特别大，但是病毒传播的效果是很明显的。应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、44

5、5 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口33894444端口如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下： 1、使用进程管理工具结束msblast.exe的进程 2、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 项中的"Windows auto update"="msblast.exe"键值 5800，5900端口首先说明5800，5900端口是远程控制软件VN

6、C的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。 请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭 关闭的方法： 1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:Winntfont*plorer.exe) 2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:Winntexplorer.exe) 3、删除C:Winntfonts中的explorer.exe程序。 4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersi.常见网络

7、游戏的端口列表：附：常见网络游戏的端口列表1、帝国时代：在“虚拟服务器”的“端口应用”中设置 进端口范围 : 2300 - 2400 出端口范围: 2300 - 2400; 进端口范围: 47624-47624 出端口范围:47624-42624 才能让对方与你成功连线。2、星际争霸：进入“虚拟服务器”，在“内部端口范围”中填入 6112 6112 协议中选择： UDP, IP地址：192.168.16.x(您的电脑的局域网IP地址)，再在下一行填入：116 118 协议中 选择：TCP, IP地址：192.168.16.x(您的电脑的局域网IP地址)就可以展开游戏了！  3、三国世

8、纪：TCP端口为 6002 UDP端口为 8191 和 81924、传奇：UDP端口：7000, 7050, 7100, 7200-72105、万王之王：TCP端口为： 1234-1238，4002，4999，5002，9002 如果通过以上设置能正常登陆账号和密码，但是在输入人物ID和密码之后就停住了,请将TCP端口：5002, 9002打开再试一下。6、三角洲部队：大地勇士3：  TCP/UDP端口：174787、TCP 9999 光大证券 99； 00TCP 9999 中信证券54TCP 8601 光大证券

9、天网20033TCP 8999 光大证券天网2003下单TCP 8002;8003;8013;8023;8033;8043 光大证券天网2003委托交易TCP 8888 证券之星TCP 7708-7709 国信证券鑫网通达信证券分析交易系统TCP 8601 申银万国 神网E通TCP 22221，22223，22224 大智慧，27，02TCP 5002 听歌5UDP 5004 听歌5BT常用端口 TCP68816889，6969，88818889，1688116889 

10、0;8、联众游戏的端口号TCP 1007 联众游戏暗棋TCP 2000 联众游戏大厅TCP 2002 联众游戏聊天室TCP 2005 联众游戏麻将TCP 3000 联众游戏围棋TCP 3001 联众游戏俄罗斯方块TCP 3002 联众游戏三打一TCP 3003 联众游戏斗地主 TCP 3004 联众游戏升级TCP 3005 联众游戏梭哈TCP 3006 联众游戏拱猪TCP 3007 联众游戏够级TCP 3008 联众游戏双扣TCP 3010 联众游戏跑得快TCP 3012 联众游戏飞行棋TCP 3013 联众游戏拼图TCP 3015 联众游戏台球TCP 3016 联众游戏原子TCP 3017

11、联众游戏510k TCP 3018 联众游戏憋7TCP 3019 联众游戏黑白棋TCP 3020 联众游戏锄大地TCP 3021 联众游戏炒地皮 TCP 3022 联众游戏炸弹人 TCP 3023 联众游戏敲三家 TCP 3050 联众游戏五子棋 TCP 3060 联众游戏桥牌TCP 3100 联众游戏跳棋TCP 3200 联众游戏中国象棋TCP 3300 联众游戏国际象棋TCP 3400 联众游戏四国军棋TCP 40004010 联众游戏GICQTCP 8000 上海热线游戏TCP 8003 上海热线游戏TCP 8012 上海热线游戏TCP 8013 上海热线游戏TCP 8014 上海热线游

12、戏TCP 8015 上海热线游戏TCP 8016 上海热线游戏TCP 8017 上海热线游戏TCP 8026 上海热线游戏9、中国游戏在线:8000-8100 TCP 8000 中国游戏中心-大厅TCP 8001 中国游戏中心-台球TCP 8004 中国游戏中心-麻将TCP 8011 中国游戏中心-围棋TCP 8012 中国游戏中心-军棋TCP 8018 中国游戏中心-大怪路子TCP 8032 中国游戏中心-炒地皮 10、万王之王:1234-1238，4002，4999，5002，900211、游戏茶苑双扣端口号：420212、TCP 70007200 盛大传奇TCP 7000 盛大传奇世界T

13、CP 7080 盛大传奇TCP 7100 盛大传奇世界TCP 72007205 盛大传奇世界TCP 41820 盛大 疯狂坦克TCP 44405 9c奇迹MUTCP 6666 天堂2TCP 7777 天堂2TCP 8001 网上赢家TCP 2050 凯思帝国游戏在线TCP 8000 上海热线游戏频道，中国游戏中心TCP 9696 中国围棋网TCP 4000 边锋网络游戏世界TCP 83008400 坦克宝贝TCP 5050 浩方，通讯用TCP 1203 浩方游戏TCP 4300 天娇TCP 7000 天娇TCP 21188 梦幻西游TCP 27545 梦幻西游下载TCP 7488 大话西游上海

14、专区TCP 7388 大话西游江苏专区TCP  航海世纪TCP 3838，4848，29865 泡泡堂UDP3869 6869 29851 29853  3986  9889  9977泡泡堂TCP 6661 剑侠情缘TCP 9014 魔力宝贝UDP 6000-6004 腾讯QQ语音TCP 1863 MSNUDP 3001 UCUDP 3002 UC网易泡泡 UDP 4001QQ服务器分为三类： 1、UDP 8000端口类18个：速度最快，服务器最多QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。UDP 1429 腾讯QQ6

15、4546565051 54 52 530366 21 5002464631609sz sz2 : 45  

16、46   56sz3 sz4 sz6 sz7 : 51  52 53  54sz5 : 03 2、TCP HTTP连接服务器5个，使用HTTP 80 和443端口连接这4个服务器名字均以tcpconn开头，域后缀是，域名与IP对应为tcpconn tcpconn3 3 tcpconn2 tcpconn4 53 27 71 2

17、21 3、会员VIP登陆服务器，使用HTTP 443安全连接服务器IP 26588463775101040534093255561.144.

18、238.145:800046:800063:800064:800054:800065:800036:8000:8000  ，45:8000 ，46:8000 ，51:8000 ，54:8000 ，03:8000 ，52:8000 ，533:8021

19、65:8020:8021:80:80   ，3:80  ，:80  ，:80  ，53:80     ，492:44365:44321:443:443  ，3:443 ，53:443     ，218.17.209.

20、42知道这些服务器地址，全封锁了就OK了，谁也不能上QQ了，无论何种方式，如果可以上了，那么就是tencent增加了新的服务器，大家再分析一下就可以找出新的服务器地址了。 除非QQ不发送数据，否则就能分析出它的服务器地址。：）屏蔽QQ登陆服务器地址作用：用户登陆QQ时，会自动把下面这些地址一个个尝试着登陆，只要把这些地址全部加入LAN/INTERNET网关或者代理服务器屏蔽，LAN内用户就不能登陆使用QQ了；也可以把这些地址加入域内安全策略中的“IP安全策略”，并选择BLOCK通讯即能有效作到禁止LAN内用户登陆使用QQ。使用后者控制，目前还没有发现可以绕过去的LAN内用户，设置QQ自带的“网

21、络设置”，填入HTTP或SOCKS代理服务器也不能登陆、使用。除非使用第三方的代理软件如，NEC E-BORDER等，使用支持Anonymous的Socks5代理才有可能绕过去，登陆、使用QQ。但是这类代理在网上实在是少之又少。普通LAN内用户没有方向和时间去寻找这些代理的。 因此，基本认定上述方法可以有效在LAN内彻底屏蔽QQ。 二，具体如何关闭这些网络端口，以下以封闭这些常见的端口为例说明：    具体操作如下：默认情况下，Wimdows有很多端口是开放的，在你上网时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：T

22、CP 135.139.445.593.1025端口和UDP 45端口，一些流行病毒的后门端（如TCP 2745.3127.6129端口），以及远程服务访问端口3389.下面介绍如何在Windxp/2000/2003下关闭这些网络端口：第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略，“本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名：再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP安全策略。第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点