入侵者对服务器的攻击几乎都是从对服务器的扫描开始的。请问能否从防扫描入手进行网络安全防护？应该怎么做？

    ——湖北省武汉市 李辉

    Ｑ博士：

    的确，很多入侵服务器的行为都是从扫描服务器端口开始的。这些入侵者通常会利用一些工具，首先判断服务器是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。

    因此，做好系统的防扫描工作对于服务器的安全防护来说是非常重要的，是防止网络入侵事件发生的第一步。

    攻击者可能使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描。要针对这些扫描进行防范，首先要禁止ICMP的回应。当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的。

    关闭端口

    关闭闲置和有潜在危险的端口的方法比较被动，它的本质是将除用户需要用到的正常端口外的其他端口都关闭掉。因为所有端口都可能成为黑客发动攻击的目标，计算机的所有对外通讯的端口都存在潜在的危险。因此，减少开放端口的数量就会降低系统被入侵的风险。但是一些系统必要的通讯端口不能关闭，如访问网页需要的HTTP（80端口）和聊天用的QQ（4000端口）等。

    在Windows版本的服务器系统中要关闭掉一些闲置端口是比较方便的，可采用定向关闭指定服务端口的方式（黑名单）和只开放允许端口的方式（白名单）。计算机的一些网络服务会给系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭。

    依次操作“控制面板”→“管理工具”→“服务”等选项，就可以关闭计算机的一些没有使用的服务（如FTP服务、DNS服务和IIS Admin服务等），它们对应的端口也被停用了。

    至于只开放允许端口的方式，可利用系统的TCP/IP筛选功能实现，设置的时候，只允许系统的一些基本网络通讯需要的端口即可。

    屏蔽端口

    检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来是相当困难的，需要借助专用软件。这些软件就是我们常用的网络防火墙。

    防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被电脑上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个TCP/IP端口被打开；端口扫描时，对方计算机不断与本地计算机建立连接，并逐渐打开各个服务所对应的TCP/IP端口及闲置端口。防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

    现在市面上几乎所有网络防火墙都能够抵御端口扫描。在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下相关信息。

    一个具有初、中级电脑水平的攻击者利用扫描器随意扫描，就能够完成一次入侵。服务器做好防扫描措施，就能够在很大程度上杜绝来自这些一般入侵者的骚扰，而这也是网络入侵的大多数。试想，服务器如果就被这样攻击，那就太窝囊了。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。