【Linux】内网高危端口防护指南:从 SMB 协议到批量加固脚本
发布作者:微思网络 发布时间:2026-06-18 浏览量:0次
只会简单 Windows 操作,只能做基础桌面运维;
懂协议、会加固、能自动化,才是企业争抢的全能运维。
红帽认证- Linux运维必备!别再做打杂运维!
内网端口风险、文件共享服务、批量自动化脚本、服务器基线加固全是 RHCE 核心考点;深耕大型集群、混合架构安全管控,选 RHCA 突破职业天花板。零基础可学,通关持证,直面运维、网络安全、云平台高薪岗位。
前言
做运维、网工、安全的朋友,日常排查服务器共享、内网渗透、防火墙策略时,一定会碰到 139、445 这一组高危端口。很多人只知道这两个端口和文件共享有关,却分不清 NetBIOS 与 SMB 的底层逻辑,不懂如何批量加固、关闭风险端口。
Windows SMB 端口背后藏着完整 TCP/IP 通信逻辑、协议版本差异、批量脚本加固思路,这套网络底层原理、服务调试、批量运维、安全加固能力,正是RHCE、RHCA 红帽认证核心考核内容。掌握红帽体系,无论 Windows 还是 Linux 服务器运维、安全防护都能得心应手。
SMB端口号说明
SMB 四大端口分清:137/138/139 是旧时代产物,445 才是现代标准
SMB端口号是 TCP/445,还有一些说法是 SMB端口号还包括 137~139, 这种说法只是部分正确;
早期版本的 SMB(SMB 1.0) 最初设计为在 TCP/IP(NBT)上的 NetBIOS 上运行,它使用:
TCP/139 进行会话服务(session services)
TCP/UDP/137 进行名称服务(name services)
UDP/138 进行数据报服务(datagram services)
默认情况下,为了向后兼容,NBT在windows种被安装和启用; 它因将文件共享和其他信息暴露给网络上的所有人而闻名;虽然它在局域网中这样做问题不大,但如果暴露在互联网上,就会有安全风险。
中间人攻击(MITM,man in the middle) 和 NetBIOS 名称服务(NBNS) 欺骗攻击在启用NTB的网络中很常见,特别是在相关端口没有得到适当保护的情况下。
端口对比速查表
| 端口 | 传输协议 | 依赖组件 | 风险等级 | 适用场景 |
|---|---|---|---|---|
| UDP137 | UDP | NBT | 极高 | 老旧设备兼容,公网绝对禁止开放 |
| UDP138 | UDP | NBT | 极高 | 内网广播,信息泄露源头 |
| TCP139 | TCP | NBT+SMB1 | 高 | XP、老旧打印机 / NAS,现代环境建议关闭 |
| TCP445 | TCP | 原生 SMB | 中 | 企业文件共享、域控、打印服务,仅内网放行 |
NBT 和 SMB 到底是什么关系?运维必懂底层逻辑
TCP/IP上的NetBIOS(NBT)是一个完全独立于SMB的服务,它不依赖SMB的任何东西。
另一方面,SMB协议反而可能依赖NetBIOS与不支持TCP/IP直接托管的SMB的旧设备进行通信,因此,SMB协议在通过NBT运行时依赖于139端口。
通常情况下,对于通过TCP/IP直接托管的SMB,端口号为TCP/445; 如果 NetBIOS 与 SMB 同时可用(也就是说 139 和 445 端口同时监听),那么哪个先响应,就和哪个协议进行通信。
而 SMB2.0 只可以在 TCP/445 上运行,所以用户可以安全的禁用NBT,以提高安全性并减少NetBIOS广播引起的网络开销。
开放 NBT 带来的致命安全隐患
全网广播自动泄露主机名、工作组、网段信息,黑客扫描一键收集资产;
NBNS 名称欺骗攻击,中间人伪造共享服务器,窃取账号密码;
端口暴露公网后,易触发永恒之蓝、弱口令爆破等高危漏洞;
大量广播报文持续占用内网带宽,造成网络卡顿。
企业标准化安全规范:全部服务器禁用 NBT,只保留 445 端口通信。
实操:Windows 一键查看 139/445 端口监听状态
管理员 PowerShell 执行以下命令,快速筛选共享相关端口,匹配网卡、进程、监听状态:
PS C:\Users\Administrator> Get-NetTCPConnection -LocalPort 139,445 -ea 0 | select Local*,Remote*,State,@{n="ProcessName";e={(Get-Process -Id $_.OwningProcess).ProcessName}}| ft -Auto
LocalAddress LocalPort RemoteAddress RemotePort State ProcessName
------------ --------- ------------- ---------- ----- -----------
:: 445 :: 0 Listen System
192.168.157.1 139 0.0.0.0 0 Listen System
192.168.3.91 139 0.0.0.0 0 Listen System
172.25.254.100 139 0.0.0.0 0 Listen System
172.25.253.1 139 0.0.0.0 0 Listen System
169.254.102.110 139 0.0.0.0 0 Listen System返回结果解读:
:: 445 Listen:IPv6 原生 SMB 正常监听,无安全问题;多网卡出现
192.168.x.x 139 Listen:当前网卡启用 NBT,存在安全风险,需要关闭。
企业批量加固脚本:一键关闭所有网卡 NBT,消除 139 端口风险
如果想要禁用 NBT,则需要手动在每个网络接口上单独完成,操作步骤如下图:
如果有多张网卡想要批量一次性关闭,可以执行如下 powershell 的脚本
$adapters = (Get-WmiObject Win32_NetworkAdapterConfiguration | where {$_.IPEnabled -eq $true})
Foreach ($adapter in $adapters)
{
$adapter.SetTcpipNetbios(2)将以上代码保存为 disable_NBT.ps1 并右键以 powershell 进行运行即可生效,执行后再次查看端口监听状态可以发现 139 端口全部没了
PS C:\Users\Administrator> Get-NetTCPConnection -LocalPort 139,445 -ea 0 | select Local*,Remote*,State,@{n="ProcessName";e={(Get-Process -Id $_.OwningProcess).ProcessName}}| ft -Auto
LocalAddress LocalPort RemoteAddress RemotePort State ProcessName
------------ --------- ------------- ---------- ----- -----------
:: 445 :: 0 Listen Syste为什么学好 RHCE/RHCA,才能吃透企业级服务器安全运维?
上面讲解的端口分析、批量脚本、协议底层、安全加固,只是企业运维冰山一角。Windows 共享端口排查尚且需要懂 TCP/IP、服务调试、批量自动化,而企业核心业务 90% 跑在 Linux 服务器上,红帽 RHCE、RHCA 正是打通全栈运维能力的黄金认证:
1. RHCE(红帽认证工程师):运维上岗必备硬技能
精通 TCP/IP 网络底层、端口、防火墙、服务管理,能独立处理 SMB/NFS 文件共享、内网互通策略;
熟练 Shell 自动化脚本,批量加固服务器、巡检端口、漏洞扫描,替代重复手动操作;
掌握 Samba 服务(Linux 端 SMB 共享),打通 Linux 与 Windows 跨平台文件互通;
企业基础安全基线加固、端口权限管控、访问策略配置,入职即可独立负责服务器维护。
2. RHCA(红帽认证架构师):企业架构、安全运维晋升天花板
大型集群、域环境、混合 Windows+Linux 异构平台统一安全管控;
深度协议分析、入侵排查、高危端口风险治理,应对内网渗透、应急响应;
自动化运维平台、安全规范落地,制定全公司服务器加固标准;
求职竞争力拉满,安全运维、云运维、系统架构岗优先录用,薪资涨幅显著。
行业现状
现在中小企业、政企、云厂商招聘运维 / 安全工程师,优先持有红帽认证人员。只会 Windows 简单操作,只能做基础桌面维护;掌握 RHCE+RHCA,能独立负责机房、云平台、内网安全全流程工作,职业发展路线更宽。
运维安全总结 & 学习建议
生产环境标准配置:禁用 NBT,关闭 137/138/139 端口,仅内网受控开放 445;
边界防火墙严格拦截 139 系列端口,绝对不暴露公网,规避勒索病毒、漏洞攻击;
底层网络、服务共享、自动化脚本、安全加固是运维核心能力,红帽 RHCE、RHCA 系统化覆盖全部知识点;
想要摆脱基础打杂运维,提升服务器安全处理、架构统筹能力,优先学习 RHCE 进阶 RHCA。
懂端口、通协议、会加固、能自动化,才是企业稀缺的全能运维!从 RHCE 入门,冲刺 RHCA 架构师,抓住系统运维、网络安全高薪赛道。
想系统学习红帽 RHCE/RHCA,吃透 Linux 服务、Samba 共享、防火墙、自动化脚本、服务器安全加固?可以私信了解完整课程大纲、备考学习规划,零基础也能稳步通关认证!
认准红帽官方授权
微思-红帽官方授权合作伙伴!
