在Windows server 2008系统上，有两种途经可以禁用本地端口：

1、通过Windows防火墙（比较简单，设置方便）

2、通过IP安全策略（比较复杂，功能强大，不依赖防火墙）

3、关闭端口：TCP：135,139,445

　　　　　      UDP：137,138

一、通过Windows防火墙禁用端口：

1、点击 “控制面板-Windows防火墙”，确保启用了Windows防火墙。在左边栏点击“高级设置”，系统会自动弹出Windows防火墙高级配置窗口。

2、点击“入站规则”，然后再点“新建规则…”，在向导窗口中选择要创建的规则类型，这里选“端口”，点击“下一步”。

3、接下来选择你要禁用的网络类型（TCP或者UDP），在“特定本地端口”写入你要禁用的端口，例如“135,139,445”，然后下一步。选择“阻止连接”，下一步，应用规则看情况修改，可以维持不变，继续下一步，填写名称“禁用TCP的135,139,445端口”，点击完成。

注：要用英文状态下逗号进行分隔

4、到这里应该就完成了，默认情况下新建的规则会直接启用。如果没有，那么右键 “启用规则”即可。

二、通过IP安全策略禁用端口：

首先，Win+R打开运行，输入gpedit.msc进入组策略编辑器

1、操作方式一，无需向导的方式

在打开的组策略编辑器中，依次展开“计算机配置 - Windows 设置 - 安全设置 - IP安全策略”如图

接下来右键单击“IP安全策略，在 本地计算机”，并选择“创建IP安全策略”，如图

随后在跳出的“IP安全策略向导“点击“下一步”

填写一个容易分别策略方案的名称，我这里填了“关闭危险端口策略”，然后点击“下一步”，如图

安全通讯请求中的“激活默认响应规则”不要打勾，然后点击“下一步”，如图

“编辑属性”打上勾，然后点击“完成”，如图

选择“规则”菜单栏，”使用添加向导前面不用打勾，点击”添加”，如图

在新规则属性“IP筛选器列表“，点击“添加”

输入名称输入为“135\137\138\139\445”，描述：”危险端口-TCP-UDP 135\137\138\139\445

“，然后再点击“添加“

在弹出的IP筛选器属性窗口的地址选项卡中，原地址选择“任何 IP 地址”，目标地址选择“任何的 IP 地址或是我的 IP 地址”都可以，

连续默认点击3次”下一步“，如图

选择”协议“菜单，协议类型选择”TCP“，这里以关闭135端口为例，其它端口关闭方法相同。在最后一栏”到此端口“输入”135“然后按”确定“，如图

描述”危险端口135“，点击确定

就在“IP筛选器列表“，点击“添加”重复操作，添加137、138、139、445规则

以上端口添加完后确定返回”新规则属性“，如图

如果直接点应用是会有如下报错的

点击”筛选器操作“，点击”添加“，无需向导

在新筛选器操作属性中，选择“阻止”，并切换到常规选项卡。

切换到常规选项卡，将名称改为”阻止端口“，确定

IP筛选器列表和筛选器操作对应名称前面选中，点击应用

最后点击确定

再右键点击分配即可生效

2、操作方式二，有向导的方式的步骤

填写一个容易分别策略方案的名称，这里填了“关闭端口策略”，然后点击“下一步”，如图

安全通讯请求中的“激活默认响应规则”不要打勾，然后点击“下一步”，如图

“编辑属性”打上勾，然后点击“完成”，如图

选择“规则”菜单栏，”使用添加向导“打上勾，点击”添加”，如图

点了添加，在新弹出的“安全规则向导”连续默认点击“下一步”，如图

IP筛选器列表，点击右侧的“添加”按钮

输入名称，这里输入为“关闭445端口”，然后再点击“添加“

点击”下一步

输入描述，这里描述为”关闭445端口“，然后点击”下一步“

在弹出的IP筛选器属性窗口的地址选项卡中，原地址选择“任何IP地址”，目标地址选择“任何的IP地址”，

连续默认点击3次”下一步“，如图

”编辑属性“打上勾，点击”完成“

选择”协议“菜单，协议类型选择”TCP“，这里以关闭445端口为例，其它端口关闭方法相同。在最后一栏”到此端口“输入”445“然后按”确定“，如图

返回”ip筛选器列表“点击”确定“，如图

”筛选器操作“，单击下方的添加，并且不要勾选右侧的使用添加向导。

在新筛选器操作属性中，选择“阻止端口”，并切换到常规选项卡，将名称改为阻止端口。

单击确定，回到新规则属性窗口中的筛选器操作，勾选刚才建立的“阻止端口”

“编辑属性打勾”下一步

在切换到IP筛选器列表，勾选刚才建立的“445”。然后单击应用，再单击关闭

处于安全的考虑，两种方法都使用了，防火墙禁止了端口，ip组策略也禁止了端口。

三、可以用命令把相关端口的tcp/udp协议全部封掉。

--------------------------------------------------------------------------------------------

netsh advfirewall set allprofiles state on （启用系统防火墙）

netsh advfirewall firewall add rule name=”deny tcp 445” dir=in protocol=tcp localport=445 action=block （关闭445端口）

netsh advfirewall firewall add rule name=”deny tcp 139” dir=in protocol=tcp localport=139 action=block （关闭139 tcp端口）

netsh advfirewall firewall add rule name=”deny udp 139” dir=in protocol=udp localport=139 action=block （关闭139 udp端口）

netsh advfirewall firewall add rule name=”deny tcp 138” dir=in protocol=tcp localport=138 action=block （关闭138 tcp端口）

netsh advfirewall firewall add rule name=”deny dup 138” dir=in protocol=udp localport=138 action=block （关闭138 udp端口）

netsh advfirewall firewall add rule name=”deny tcp 135” dir=in protocol=tcp localport=135 action=block （关闭135 tcp端口）

netsh advfirewall firewall add rule name=”deny udp 135” dir=in protocol=udp localport=135 action=block （关闭135 udp端口）

netsh advfirewall firewall add rule name=”deny tcp 137” dir=in protocol=tcp localport=137 action=block （关闭137 tcp端口）

netsh advfirewall firewall add rule name=”deny udp 137” dir=in protocol=udp localport=137 action=block （关闭137 udp端口）