禁用WINDOWS系统的135、137、139、445端口能有效防范勒索病毒，可以用系统自带的防火墙或早期的tcpip筛选。

今天我们用功能强大的ipsec来进行这个操作，只需要经过几步设置，我们就能够得到一个功能强大的防火墙。他能精确控制某个IP对本机某个端口的访问。

此次是通过:WINDOWS2003平台演示，Windows 2008/2012/2016系统都类似。

1、开始--运行或WIN+R键，输入secpol.msc，右键 IP 安全策略，创建 IP 安全策略

WINDOWS利用IPSEC禁用危险端口

2、起个名称，下一步，取消 激活默认响应规则，下一步。

WINDOWS利用IPSEC禁用危险端口

WINDOWS利用IPSEC禁用危险端口

3、选上 编辑属性，完成后开始编辑。添加、添加、筛选器列表名称445-deny，添加，源地址-任何地址，目的地址-我的地址，取消镜像，然后点协议。

（从这里开始是比较复杂的步骤，容易迷糊）。

WINDOWS利用IPSEC禁用危险端口

4、协议类型选TCP,点从任意端口，到此端口 填445，确定。

WINDOWS利用IPSEC禁用危险端口

5、点中，刚才新建的445-DENY,然后点筛选器操作，这里我们要新建个筛选器操作，选择阻止，常规，起个名称-denyact，确定

WINDOWS利用IPSEC禁用危险端口

WINDOWS利用IPSEC禁用危险端口

WINDOWS利用IPSEC禁用危险端口

点中新建的 denyact，应用。注意此处是将新建的筛选器列表跟筛选器操作关联上。

WINDOWS利用IPSEC禁用危险端口

6、在新加的策略上，右键指派，这样就生效了，我们可以测试下。

WINDOWS利用IPSEC禁用危险端口

在cmd中，telnet ip 445，开返回状态，未指派之前是这样的。

WINDOWS利用IPSEC禁用危险端口

指派后，提示连接失败，就证明成功了。

WINDOWS利用IPSEC禁用危险端口

最后提醒下，如果你限制了远程桌面的端口，会让你连不上服务器的，那就只能到机器前取消指派了。