当我们不知道该放行哪些服务器端口的时候，常采用的方法是服务器端口在防火墙 全部开放，显然是很不安全的，如何才能按需在防火墙上开放端口很有必要。

首先通过百度搜索NMAP，找到免费版本的软件，并下载安装，并通过百度搜索一些基本的扫描端口教程，然后就可以对目标服务器进行扫描了，请记住扫描公司内部服务器可以的，如果通过nmap扫描Internet网的服务器地址，则是违法的，请慎用。

在target地方输入要扫描的服务器内网地址，在command地方输入采用何种方法对内网服务器进行扫描，可采用默认的nmap自有的扫描方式进行扫描，扫描后通过发现该服务器开放了如下端口，还有87个端口没有开放

在进入服务器内部用netstat -an命令，查看到地址的端口信息情况，找出哪些已经建立的连接、监听端口信息，并统计下来，并与上面的nmap扫描进行对比

用tasklist命令进一步查看具体端口是什么程序调用，是否有必要对他进行防火墙外部开放，进一步过滤不需要的端口，再进一步提醒端口开放的越多越不安全。

以管理员身份进入防火墙，改变以前全部开放的策略，改为按需对端口进行开放如本例只开放了TCP 80端口，再按照刚刚过滤出来的端口，在防火墙上逐一开放，并最终测试。