其实最有效果的还是这几个地方，一个是出口设备，比如ad当出口，保险起见，使用acl做一次拒绝135-139,445端口（对了如果ad开启snmp居然公网也开启161端口，醉了。。。做acl一遍拒绝掉）。第二个是核心设备或者接入设备，在接入设备好多可能不支持acl那就在三层设备上做一个acl应用在接口，最后一个也是最重要的用户设备，按照操作系统安装补丁，如果安装失败也不用怕，直接启用防火墙做入站策略拒绝响应端口，怕不保险，下个火绒，做一个ip策略再拒绝掉这几个端口，好多安全软件其实都有这些功能，例如nod32，你安装后自动给你拒绝这些端口，共享完全都用不了，出了名的严格。最最重要的就是平时的安全意识，并不是出问题再解决问题，为什么不提前预防。有时候真挺无奈的，这几天正好靠科三，整个考试都推迟了，平时如果大家都有安全意识，这个小病毒真的不算事儿好吗。。。不是说买了多贵的设备就能保平安，花钱谁不会，培养安全意识才最难。

最后分享几个平时用的比较多的nmap小命令

nmap -sT -p 445 192.168.1.2-254   TCP 445端口开放情况

nmap -sU -p 162 192.168.1.1   UDP 162端口开放情况

对于ping不通的设备可以使用

nmap -Pn -p 445 192.168.1.2-254

如果觉着麻烦就直接输

nmap -Pn 192.168.1.1  查看端口开放情况

如果想测试指定端口范围 可以这样

nmap  -Pn -p  135-445 192.168.1.1

状态是filtered或者close就可以理解为是关闭状态，只有open才是真正可以访问的开放状态。

上面命令也可以做成脚本每天定时运行，如果发现有开放危险端口的终端，发邮件告警~

其实最有效果的还是这几个地方，一个是出口设备，比如ad当出口，保险起见，使用acl做一次拒绝135-139,445端口（对了如果ad开启snmp居然公网也开启161端口，醉了。。。做acl一遍拒绝掉）。第二个是核心设备或者接入设备，在接入设备好多可能不支持acl那就在三层设备上做一个acl应用在接口，最后一个也是最重要的用户设备，按照操作系统安装补丁，如果安装失败也不用怕，直接启用防火墙做入站策略拒绝响应端口，怕不保险，下个火绒，做一个ip策略再拒绝掉这几个端口，好多安全软件其实都有这些功能，例如nod32，你安装后自动给你拒绝这些端口，共享完全都用不了，出了名的严格。最最重要的就是平时的安全意识，并不是出问题再解决问题，为什么不提前预防。有时候真挺无奈的，这几天正好靠科三，整个考试都推迟了，平时如果大家都有安全意识，这个小病毒真的不算事儿好吗。。。不是说买了多贵的设备就能保平安，花钱谁不会，培养安全意识才最难。

最后分享几个平时用的比较多的nmap小命令

nmap -sT -p 445 192.168.1.2-254   TCP 445端口开放情况

nmap -sU -p 162 192.168.1.1   UDP 162端口开放情况

对于ping不通的设备可以使用

nmap -Pn -p 445 192.168.1.2-254

如果觉着麻烦就直接输

nmap -Pn 192.168.1.1  查看端口开放情况

如果想测试指定端口范围 可以这样

nmap  -Pn -p  135-445 192.168.1.1

状态是filtered或者close就可以理解为是关闭状态，只有open才是真正可以访问的开放状态。

上面命令也可以做成脚本每天定时运行，如果发现有开放危险端口的终端，发邮件告警~