三、路由上限制。

如果路由器支持的话，我们可以从三个方面，一是端口禁止，二是网址(ip)禁止，三是关键字禁止。这里的禁止效果是最好的，也是最方便的。

禁止方法，从两种路由上演示（硬路由：Tp-link 与 软路由：RouterOS ），大家用得比较多的吧。

(1).端口禁止。

　　端口查找：端口禁止就要知道软件用的什么端口(比如，经常听到说，禁止迅雷禁某某端品。怎么查呢？)，当然你可以懒懒＋傻傻的到网上搜索软件的端口，但是你也可以看这里怎么样去查找一个软件所使用的端口.使用软件：http://down.wglm.net/Software/catalog4/38.html　(icesword也是一款网管必备的安全软件)，如图： 端口查找


我们可以看出FTP服务器用的是21端口，右边还列出来程序所在的路径。

RouterOS



然后再在选项卡“Action”中选择 "Drop" 即封掉 21端口

Tp_link



这样就达到了通过限制端口来限制某些软件的目的，如QQ直播，迅雷，PP点点通


网址限制

RouterOS:
(为了方便，我打开三个对话框，演示三个选项卡中的设置，实际只打开一个对话框，并对其中三个选项卡进行设置) 注意这里的限制，当网页中含有这个网址字符也会打不开





TP-link




一定要禁止的几个服务

7.17更新

Server

也就是文件与打印共享服务，在客户机上，一定要禁止。即使设了管理员密码，也不能防止像威金类蠕虫病毒的攻击，且开了这个服务的客服机，可以远程执行任意Exe文件，如木马。如远程批量关机，让全网吧机子同时重启。


服务器上(如游戏服务器，要共享文件，不能完全关掉共享)，则关掉默认共享，如 c$ ipc$ admin$
关闭方法:

修改注册表：
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项，双击右侧窗口中的“AutoShareServer”项将键

值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。

还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。

最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。
(我们的原则是能利用系统自带的程序实现就不用其它程序，能用注册表实际就不用程序来实现)

Remote Registry
远程注册表修改，这个给禁掉.

服务器防蠕虫，防远程冲值工具

顺便说一下，服务器的安全中，除了要共享的文件外，其它文件夹都在NTFS设置中不允许Everyone(所有)访问，只留下管理员可访问。给管理

员设个密码（虽然是常识，但是很多人没设），共享文件夹允许Everyone(所有)访问，但要去掉，共享权限中的"可修改"

这样，一般就能防止服务器中蠕虫。上面一段话看似简单，大家做好后，对于服务器安全有很大的作用。但并不能保证100%，还要勤打补丁。
pubwin ep远程冲值工具的防止：



用PUBWIN EP的朋友注意。上面的做法，并不能防止pubwin ep的远程冲值，因为原理不一样，pubwin ep 是直接操作 mssql 数据库，因为所谓浩艺工程师来安装pubwin ep的时候mssql数据库用户名是默认的sa 密码为空！我也是电影服务器上，用mssql数据库的查询分析器远程连接时发现这个问题的，给浩艺论坛发贴，居然被删除，这是一个很不好的现像。，mssql数据库端口是1433,

可以用防火墙屏敝 TCP 1433端口。

我不想多运行程序，选择用系统自带的ipcse来阻止，大家以后要在服务器上限制其它什么端口，也可以这样做。

补充一下，规则可以导出，如果你有多个服务器的话，到其它导入即可，不用每台去进行配置。

补充：还需要屏弊445端口。才能防止精税的会员冲值工具