防扫描，是防网络攻击、网络入侵的第一步。不管是个人电脑还是企业环境下，预防来自Ｉｎｔｅｒｎｅｔ或者内网的恶意扫描是非常重要的，至少可以杜绝来自一般入侵者的骚扰，而这也是网络入侵的大多数。

    入侵者的每一次入侵几乎都是从扫描开始的，扫描软件首先会判断远程计算机是否存在，接着对存在的远程计算机进行扫描，探测其开放的端口。入侵者通过扫描的结果可以确定目标主机打开的端口、服务、以及存在的各种漏洞等信息，然后实施攻击，因此防扫描是非常重要的。

    做好防范措施——关闭、屏蔽端口

    关闭闲置和有潜在危险的端口。在Ｗｉｎｄｏｗｓ ＮＴ核心系统?穴Ｗｉｎｄｏｗｓ ２０００／ＸＰ／ ２００３?雪中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”?穴黑名单?雪和“只开放允许端口的方式”?穴白名单?雪进行设置。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭。进入“控制面板”→“管理工具”→“服务”项内，关闭计算机一些没有使用的服务?穴如ＦＴＰ服务、ＤＮＳ服务、ＩＩＳ Ａｄｍｉｎ服务等等?雪，它们对应的端口也被停用。

    检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式需要借助软件。这些软件就是我们常用的网络防火墙。

    现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

    阻止恶意扫描——设置防火墙

   现在很多的防火墙都有禁止ＩＣＭＰ的设置，而Ｗｉｎｄｏｗｓ ＸＰ ＳＰ２自带的防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”→“Ｗｉｎｄｏｗｓ防火墙”，点击“高级”选项卡，选择系统中已经建立的 Ｉｎｔｅｒｎｅｔ连接方式?穴宽带连接?雪，点击旁边的“设置”按钮打开“高级设置”窗口，点击“ＩＣＭＰ”选项卡，确认没有勾选“允许传入的回显请求”，最后点击“确定”即可。

    在企业局域网中部署第三方的防火墙，这些防火墙都自带了一些默认的“规则”，可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则，这样可以比较有效地阻止攻击者的恶意扫描。

    制造“陷阱”——蜜罐技术

    蜜罐工具很多，其原理大同小异，它会虚拟一台有“缺陷”的电脑，等着恶意攻击者上钩。在黑客看来被扫描的主机似乎打开了相应的端口，但是却无法实施工具，从而保护了真正的主机，这也可以说是比较另类的防扫描手法。

    例如，Ｄｅｆｎｅｔ ＨｏｎｅｙＰｏｔ ２００４，它是一个著名的“蜜罐”虚拟系统，通过Ｄｅｆｎｅｔ ＨｏｎｅｙＰｏｔ虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱欺骗恶意攻击者，能够记录他都执行了哪 些命令，进行了哪些操作，使用了哪些恶意攻击工具。