【TechTarget中国原创】问:对网络扫描软件隐藏系统信息(系统名称、IP地址个安装软件)的最好方法是什么?
答:隐藏你的系统,从而免予网络扫描器探查的绝佳方法是安装一款合适的配置软件防火墙。如果受到怀疑的扫描器存在于远程网络上,使用网络防火墙还可以阻止入站链接。一旦安装防火墙,可以通过配置这些防御措施来阻止所有不必须的流量到达系统。在一个典型的用户工作站中,简单地把防火墙设置为“不允许例外”,就可以对入站访问的企图完全隐藏。有了必须允许入站链接的服务器,创建防火墙规则,把流量限制到最大可能的程度。
对外部扫描器隐藏系统名称和Ip地址的最简单的方法是使用你的网络上的网络地址转换(NAT,Network Address Translation)。NAT设备(通常是边界防火墙)允许你在你的内部网路上使用专用地址,在外部网络上使用公共地址。除非NAT规则是特定激活的,这样的配置可以防止互联网上的任何人接触到使用专用地址的系统。
在使用NAT时,使用RFC 1918-reserved专用地址范围大概是一种很好的方法。它包括0.0.0.0-10.255.255.255、172.16.0.0-172.31.255.255和192.168.0.0-192.168.255.255的地址范围。这些地址在互联网上都不是可以发送的(routable),他们可以保护你免予受到防火墙错误配置的影响。