关闭445端口有必要吗？如何安全设置？

关闭445端口在大多数情况下是有必要的，尤其是出于网络安全考虑。445端口主要用于Windows系统中的SMB（Server Message Block）协议，支持文件和打印机共享，但同时也因其历史漏洞（如永恒之蓝、WannaCry勒索病毒利用的漏洞）成为黑客攻击的高风险目标。

是否需要关闭445端口？

必要场景：

若服务器或设备无需提供文件/打印机共享服务，关闭445端口可显著降低被攻击风险。

公共网络或暴露在互联网的设备必须关闭，避免成为恶意软件传播的跳板。

企业内网若需共享文件，建议通过专用服务器（如配置严格访问控制的NAS）替代直接开放445端口。

例外情况：

局域网内依赖SMB协议共享资源的设备需保留445端口，但需配合其他安全措施（如防火墙规则、SMBv3加密）。

安全设置方法

Windows系统

通过防火墙关闭：

打开“高级安全Windows防火墙” → 新建入站规则 → 选择“端口” → 阻止TCP/UDP 445端口。

命令（PowerShell）：

New-NetFirewallRule -DisplayName "Block Port 445" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Block

修改注册表：

路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

新建DWORD值 SMBDeviceEnabled，设为 0，重启生效。

禁用SMB服务：

运行 services.msc → 停止并禁用“Server”服务。

Linux系统

使用iptables：

sudo iptables -A INPUT -p tcp --dport 445 -j DROPsudo service iptables save

通过firewalld：

sudo firewall-cmd --permanent --add-port=445/tcpsudo firewall-cmd --reload

其他安全建议

更新系统：及时安装补丁修复SMB漏洞（如MS17-010）。

限制访问：若必须开放445端口，仅允许可信IP通过防火墙规则访问。

替代方案：使用SFTP、VPN等更安全的文件传输协议。

注意事项

功能影响：关闭445端口会导致SMB共享失效，需评估业务需求。

测试验证：操作后使用netstat -an或nmap扫描确认端口状态。

如需进一步调整或遇到问题，建议咨询专业IT支持。