问:我公司的电脑采用Windows XP SP2系统,且安装了防火墙和杀毒软件。然而,防火墙发现端口不断被扫描。我怎么才能阻止这种扫描行为? 答:最重要的是,保证网络和软件防火墙配置正确,使其只允许明确的出于业务需求的流量。这类限制条件可以解决主动指向网络、99%的端口扫描问题,在这些扫描行为接触到你的电脑之前就阻止它们。
也就是说,仅靠防火墙并不能完全防御端口扫描行为。黑客可以监测到你连接到互联网的端口,这样就能为将来的攻击提供极富价值的侦察信息。 防止端口扫描行为的最好方法是安装良好的入侵防御系统(IPS)。许多商业防火墙——硬件和软件——都具有内置技术或者将来可实现的技术,这是它们……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我公司的电脑采用Windows XP SP2系统,且安装了防火墙和杀毒软件。然而,防火墙发现端口不断被扫描。我怎么才能阻止这种扫描行为?
答:最重要的是,保证网络和软件防火墙配置正确,使其只允许明确的出于业务需求的流量。这类限制条件可以解决主动指向网络、99%的端口扫描问题,在这些扫描行为接触到你的电脑之前就阻止它们。也就是说,仅靠防火墙并不能完全防御端口扫描行为。黑客可以监测到你连接到互联网的端口,这样就能为将来的攻击提供极富价值的侦察信息。
防止端口扫描行为的最好方法是安装良好的入侵防御系统(IPS)。许多商业防火墙——硬件和软件——都具有内置技术或者将来可实现的技术,这是它们的一大特征。另外一个可行的办法是,你可以购买并安装专用IPS,防御网络攻击。这些防御系统能够监测网络上潜在的恶意流量,并在流量抵达内网之前予以阻止。在端口扫描的情况下,IPS能够识别,某特定源地址在扫描你的网络。然后,入侵防御系统就能阻止该的系统访问,并在特定的时期内对该系统屏蔽。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
网络入侵防御系统全解
现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。