Cách Chặn Port Máy Tính Cá Nhân

Nhập thông tin dưới đây để kiểm tra và tính toán cách chặn port hiệu quả nhất cho hệ thống của bạn.

Hướng dẫn toàn diện: Cách chặn port máy tính cá nhân (2024)

Chặn port trên máy tính cá nhân là một trong những biện pháp bảo mật cơ bản nhưng vô cùng hiệu quả để ngăn chặn các cuộc tấn công mạng, phần mềm độc hại hoặc truy cập trái phép vào hệ thống của bạn. Bài viết này sẽ cung cấp hướng dẫn chi tiết từ cơ bản đến nâng cao về cách chặn port trên các hệ điều hành phổ biến.

1. Port là gì và tại sao cần chặn port?

Port (cổng) là các điểm kết nối ảo mà thông qua đó dữ liệu được truyền tải giữa máy tính của bạn và các thiết bị khác trên mạng. Mỗi dịch vụ mạng sử dụng một hoặc nhiều port cụ thể. Ví dụ:

• Port 80: HTTP (web)
• Port 443: HTTPS (web bảo mật)
• Port 22: SSH (điều khiển từ xa)
• Port 3389: Remote Desktop (RDP)

Chặn port giúp:

1. Ngăn chặn phần mềm độc hại kết nối với máy chủ điều khiển
2. Chống lại các cuộc tấn công quét cổng (port scanning)
3. Hạn chế truy cập trái phép vào các dịch vụ nhạy cảm
4. Giảm thiểu rủi ro từ các lỗ hổng bảo mật chưa được vá

2. Các phương pháp chặn port trên Windows

2.1 Sử dụng Windows Defender Firewall

Windows tích hợp sẵn công cụ tường lửa mạnh mẽ cho phép chặn port dễ dàng:

1. Mở Windows Defender Firewall with Advanced Security (gõ “wf.msc” trong Run)
2. Chọn Inbound Rules hoặc Outbound Rules tùy thuộc vào hướng bạn muốn chặn
3. Click New Rule… ở panel bên phải
4. Chọn Port → Next
5. Chọn TCP hoặc UDP → nhập số port → Next
6. Chọn Block the connection → Next
7. Áp dụng cho tất cả các profile (Domain, Private, Public) → Next
8. Đặt tên cho rule (ví dụ: “Block Port 3389”) → Finish

2.2 Sử dụng lệnh netsh

Đối với người dùng nâng cao, có thể sử dụng Command Prompt với quyền admin:

netsh advfirewall firewall add rule name="Block Port 80" dir=in action=block protocol=TCP localport=80

Để xóa rule:

netsh advfirewall firewall delete rule name="Block Port 80"

3. Chặn port trên macOS

macOS sử dụng pf (Packet Filter) để quản lý tường lửa:

1. Mở Terminal
2. Mở file cấu hình: sudo nano /etc/pf.conf
3. Thêm rule chặn port (ví dụ chặn port 22):
   block in proto tcp from any to any port 22
4. Lưu file (Ctrl+O → Enter → Ctrl+X)
5. Load cấu hình mới: sudo pfctl -f /etc/pf.conf
6. Bật pf: sudo pfctl -e

4. Chặn port trên Linux

Linux cung cấp nhiều công cụ để chặn port, phổ biến nhất là iptables và ufw:

4.1 Sử dụng iptables

# Chặn port 80 (HTTP)
sudo iptables -A INPUT -p tcp --dport 80 -j DROP

# Chặn port 443 (HTTPS)
sudo iptables -A INPUT -p tcp --dport 443 -j DROP

# Lưu rule (trên Ubuntu/Debian)
sudo apt install iptables-persistent
sudo netfilter-persistent save

4.2 Sử dụng ufw (Uncomplicated Firewall)

# Chặn port 22 (SSH)
sudo ufw deny 22/tcp

# Bật ufw
sudo ufw enable

# Kiểm tra trạng thái
sudo ufw status

5. So sánh các phương pháp chặn port

Phương pháp	Hệ điều hành	Độ khó	Hiệu quả	Yêu cầu quyền admin	Bền vững sau khởi động
Windows Defender Firewall (GUI)	Windows	Dễ	Cao	Có	Có
Lệnh netsh	Windows	Trung bình	Cao	Có	Có
pf (Packet Filter)	macOS	Khó	Rất cao	Có	Có
iptables	Linux	Khó	Rất cao	Có	Không (cần lưu)
ufw	Linux	Dễ	Cao	Có	Có

6. Các port nên chặn để tăng cường bảo mật

Dưới đây là danh sách các port phổ biến thường bị tấn công và nên xem xét chặn nếu không sử dụng:

Port	Dịch vụ	Mức độ nguy hiểm	Lý do nên chặn
21	FTP	Cao	FTP không mã hóa, dễ bị tấn công brute force
22	SSH	Trung bình	Mục tiêu phổ biến của brute force nếu không bảo mật tốt
23	Telnet	Rất cao	Giao thức cũ, không mã hóa, dễ bị nghe lén
25	SMTP	Trung bình	Có thể bị lợi dụng để gửi spam
53	DNS	Cao	Dễ bị tấn công DNS spoofing nếu không bảo mật
80	HTTP	Thấp	Nên chuyển sang HTTPS (port 443)
135-139	NetBIOS	Cao	Dễ bị tấn công trong mạng nội bộ
445	SMB	Rất cao	Mục tiêu của nhiều mã độc như WannaCry
3389	RDP	Rất cao	Dễ bị tấn công brute force nếu tiếp xúc với internet

7. Các sai lầm thường gặp khi chặn port

• Chặn port cần thiết cho hệ thống: Ví dụ chặn port 445 trên Windows có thể gây lỗi chia sẻ file và máy in.
• Không kiểm tra trước khi chặn: Luôn sử dụng netstat -ano (Windows) hoặc ss -tulnp (Linux) để kiểm tra port đang sử dụng.
• Chỉ chặn inbound mà quên outbound: Một số malware kết nối ra ngoài (outbound) để tải payload hoặc nhận lệnh.
• Không ghi log: Khi chặn port, nên bật ghi log để theo dõi các nỗ lực kết nối bị chặn.
• Quên cập nhật rule sau khi thay đổi: Trên Linux, các rule iptables sẽ mất sau khi khởi động nếu không lưu.

8. Công cụ hỗ trợ quét và chặn port

Một số công cụ hữu ích để quản lý port:

• Nmap: Quét port mở trên hệ thống của bạn (nmap.org)
• Wireshark: Phân tích lưu lượng mạng chi tiết
• TCPView: Công cụ của Microsoft để xem kết nối TCP/UDP (tải từ Microsoft Sysinternals)
• GlassWire: Giám sát mạng với giao diện trực quan
• PortQry: Công cụ dòng lệnh của Microsoft để kiểm tra trạng thái port

9. Tài liệu tham khảo chính thức

Để tìm hiểu sâu hơn về quản lý port và bảo mật mạng, bạn có thể tham khảo các nguồn thông tin uy tín sau:

• Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) – Hướng dẫn bảo mật mạng
• Khung quản lý rủi ro của NIST – Các biện pháp kiểm soát bảo mật
• CISA (Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng Hoa Kỳ) – Cảnh báo và hướng dẫn bảo mật
• SANS Institute – Khóa học và tài liệu về bảo mật mạng

10. Kết luận và khuyến nghị

Chặn port là một biện pháp bảo mật cơ bản nhưng hiệu quả trong chiến lược bảo vệ máy tính cá nhân. Để triển khai hiệu quả:

1. Luôn kiểm tra các port đang mở trước khi chặn bằng công cụ như netstat hoặc nmap
2. Bắt đầu với các port không cần thiết và có mức độ nguy hiểm cao
3. Kết hợp chặn port với các biện pháp bảo mật khác như cập nhật hệ thống, sử dụng phần mềm diệt virus
4. Thường xuyên kiểm tra log để phát hiện các nỗ lực tấn công
5. Xem xét sử dụng tường lửa phần mềm của bên thứ ba nếu cần tính năng nâng cao
6. Đối với người dùng doanh nghiệp, nên triển khai tường lửa phần cứng tại cấp độ mạng

Bảo mật mạng là một quá trình liên tục. Việc chặn port chỉ là một phần trong chiến lược bảo vệ tổng thể. Luôn cập nhật kiến thức về các mối đe dọa mới và điều chỉnh cấu hình bảo mật của bạn cho phù hợp.