如何防护端口扫描 110.42.7.X

端口扫描是入侵者搜集信息的常用手法，向目标主机的某个端口，发送建立链接的请求，如果对方开放了这个端口，就会响应；如果没有没开放，则不会响应。通过端口扫描，能够判断出目标主机开放了哪些服务、运行哪种操作系统，为下一步的入侵做好准备。入侵者的每一次入侵几乎都是从扫描开始的，因此防扫描是非常重要的。
一、防范措施
1.关闭闲置和有潜在危险的端口：在Windows核心系统(Windows 2003/2008/2012等等)中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”(黑名单)和“只开放允许端口的方式”(白名单)进行设置。计算机的 一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了。

进入“控制面板”→“管理工具”→“服务”项内，关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等)，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许” 系统的一些基本网络通讯需要的端口即可。
2.屏蔽端口：检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

防火墙的工作原理是:首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接 收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开;端口扫描时，对方计算机不断和本地计算机 建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口。防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方 发送过来的所有扫描需要的数据包。现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已
二、方法工具
1.系统防火墙：现在很多的防火墙都有禁止ICMP的设置，而Windows 2003/2008/2012等等自带的系统防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”→“Windows防火墙”，点击“高级”选项卡，选择系统中已经建立的 Internet连接方式(宽带连接)，点击旁边的“设置”按钮打开“高级设置”窗口，点击“ICMP”选项卡，确认没有勾选“允许传入的回显请求”，最 后点击“确定”即可。另外，通过其他专业的防火墙软件不但可以拦截来自局域网的各种扫描入侵，从软件的日志中，我们还可以查看到数据包的来源和入侵方式等。
2.第三方防火墙：在企业局域网中部署第三方的防火墙，这些防火墙都自带了一些默认的“规则”，可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则，这样可以比较有效地阻止攻击者的恶意扫描。
3.专业IDC：为何要选择专业IDC的服务器，原因：1、不需要自己花费高昂的价格布置防火墙，IDC机房就布置了更加专业的防火墙。2、也不需要要找专门的防火墙技术进行维护，IDC机房就有专业的防入侵团队和7*24小时提供专业维护。3、更加专业和完善的防入侵体系。