问:对网络扫描软件隐藏系统信息(系统名称、IP地址个安装软件)的最好方法是什么? 答:隐藏你的系统,从而免予网络扫描器探查的绝佳方法是安装一款合适的配置软件防火墙。如果受到怀疑的扫描器存在于远程网络上,使用网络防火墙还可以阻止入站链接。一旦安装防火墙,可以通过配置这些防御措施来阻止所有不必须的流量到达系统。在一个典型的用户工作站中,简单地把防火墙设置为“不允许例外”,就可以对入站访问的企图完全隐藏。
有了必须允许入站链接的服务器,创建防火墙规则,把流量限制到最大可能的程度。 对外部扫描器隐藏系统名称和Ip地址的最简单的方法是使用你的网络上的网络地址转换(……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:对网络扫描软件隐藏系统信息(系统名称、IP地址个安装软件)的最好方法是什么?
答:隐藏你的系统,从而免予网络扫描器探查的绝佳方法是安装一款合适的配置软件防火墙。如果受到怀疑的扫描器存在于远程网络上,使用网络防火墙还可以阻止入站链接。一旦安装防火墙,可以通过配置这些防御措施来阻止所有不必须的流量到达系统。在一个典型的用户工作站中,简单地把防火墙设置为“不允许例外”,就可以对入站访问的企图完全隐藏。有了必须允许入站链接的服务器,创建防火墙规则,把流量限制到最大可能的程度。
对外部扫描器隐藏系统名称和Ip地址的最简单的方法是使用你的网络上的网络地址转换(NAT,Network Address Translation)。NAT设备(通常是边界防火墙)允许你在你的内部网路上使用专用地址,在外部网络上使用公共地址。除非NAT规则是特定激活的,这样的配置可以防止互联网上的任何人接触到使用专用地址的系统。
在使用NAT时,使用RFC 1918-reserved专用地址范围大概是一种很好的方法。它包括0.0.0.0-10.255.255.255、172.16.0.0-172.31.255.255和192.168.0.0-192.168.255.255的地址范围。这些地址在互联网上都不是可以发送的(routable),他们可以保护你免予受到防火墙错误配置的影响。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
专访John Curran:我们谈谈IPv6连接的安全性(上)
可用的IPv4地址的耗尽驱使企业开始支持IPv6连接,至少在连接互联网的服务上要支持,那么IPv6的安全性如何呢?
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。