以下的文章主要向大家講述的是防火墻設(shè)定路由訪存表來防止黑客入侵，防火墻的方法一共有兩種，即端口掃描、路徑追蹤，今天我們主要是來了解一下關(guān)于防止黑客入侵的方式。下面就是文章的主要內(nèi)容描述。

防止黑客入侵的方式一、大多數(shù)防火墻都帶有其自身標(biāo)識(shí)

如CHECKPOINT的FIREWALL-1缺省在256、257、258號(hào)的TCP端口進(jìn)行監(jiān)聽;

MICROSOFT的 PROXY SERVER則通常在1080、1745號(hào)TCP端口上進(jìn)行監(jiān)聽。

因?yàn)榇蠖鄶?shù)IDS產(chǎn)品缺省配置成只檢測(cè)大范圍的無頭腦的端口掃描，所以真正聰明的攻擊者決不會(huì)采用這種鹵莽的地毯掃描方法。而是利用如NMAP這樣的掃描工具進(jìn)行有選擇的掃描，而躲過配置并不精細(xì)的IDS防護(hù)，如下：

command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254

!!! 注意因?yàn)榇蠖鄶?shù)防火墻會(huì)不對(duì)ICMP PING請(qǐng)求作出響應(yīng)，故上行命令中的-P0參數(shù)

是為了防止發(fā)送ICMP包，而暴露攻擊傾向的。

如何預(yù)防?

配置CISCO 路由器ACL表，阻塞相應(yīng)的監(jiān)聽端口

如：

access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans

防止黑客入侵的方式二、路徑追蹤

UNIX的traceroute,和NT的 tracert.exe來追蹤到達(dá)主機(jī)前的最后一跳，其有很大的可能性為防火墻。

若本地主機(jī)和目標(biāo)服務(wù)器之間的路由器對(duì)TTL已過期分組作出響應(yīng)，則發(fā)現(xiàn)防火墻會(huì)較容易。然而，有很多路由器、防火墻設(shè)置成不返送ICMP TTL 已過期分組，探測(cè)包往往在到達(dá)目標(biāo)前幾跳就不再顯示任何路徑信息。

如何預(yù)防?

因?yàn)檎麄€(gè)trace path上可能經(jīng)過很多ISP提供的網(wǎng)路，這些ROUTERE的配置是在你的控制之外的，所以應(yīng)盡可能去控制你的邊界路由器對(duì)ICMP TTL響應(yīng)的配置。

如：access-list 101 deny icmp any any 1 0 ! ttl-exceeded

將邊界路由器配置成接收到TTL值為0、1的分組時(shí)不與響應(yīng)。

【編輯推薦】

1. 高校網(wǎng)站正確防范黑客入侵掛馬 實(shí)例講解
2. 防范黑客入侵妙招有四個(gè)
3. 網(wǎng)絡(luò)安全知識(shí)之抵御黑客入侵的竅門
4. 黑客入侵也無間 盜走網(wǎng)吧20萬
5. 看黑客入侵美國(guó)太空總署