背景

等保要求关闭高危端口135、445，像内网虚机环境基本都是关闭防火墙。所以这里用防火墙策略就不合适了，一需要应用提供放通端口，二一旦有漏的没放通就会对生产在线业务产生影响。所以，我采用关闭端口方式（也有弊端需要重启虚机，生产环境如果业务不能停，采取其他解决方案dddd）。

我们业务只是对业务端口，做了映射到公网。这俩端口公网也是不通的，但是等保说是不行，内网测通也是不可以的。

开始搞起

一、防火墙添加入站规则阻止

1、新建入站规则

2、指定协议和端口

3、设置操作

4、配置文件

5、配置名称

6、查看规则

二、关闭端口

Windows server 下关闭135/139/445端口

https://blog.csdn.net/weixin_46131311/article/details/114288763

关闭高危端口135、139、445& 关闭默认共享

https://www.cnblogs.com/hai-long/p/14079249.html

Windows server 2012 R2 下关闭135/139/445端口

http://www.ysneo.com/news/detail/20774.html

1、关闭135端口（我这里等关闭445修改完后，一起重启）

第一步

单击“开始”—“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。
在弹出的“组件服务”对话框中，选择“计算机”选项。

在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。

选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

单击“确定”按钮，设置完成，重新启动后即可关闭135端口。

第二步

打开左下角开始菜单，运行，输入regedit，进入注册表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

右键点击Rpc,新建——项——输入 Internet ，重启。

2、关闭445端口

第一步

点击”开始“，”运行“，输入regedit进入”注册表编辑器“。

之后依次点击注册表选项” 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“，进入NetBT这个服务的相关注册表项。

在Parameters这个子项的右侧，点击鼠标右键，“新建”，“QWORD（64位）值”    //32位电脑选择QWORD(32)

注意新建的数值数据要为0（我在创建时发现默认就是0）

第二步

把操作系统的server服务关闭，依次点击“开始”，“运行”，输入services.msc，进入服务管理控制台。

然后，找到server服务，双击进入管理控制页面。把这个服务的启动类型更改为“禁用”，服务状态更改为“停止”，最后点击应用即可。

3、重启虚机，查看端口是否还在