防火牆的方（fāng）法有兩種（zhǒng）：端口（kǒu）掃（sǎo）描、路徑（jìng）追蹤，今天（tiān）我們來了解一下防（fáng）止黑客入侵的方式。

一、大多數防火牆都（dōu）帶有其自身標識

如CHECKPOINT的FIREWALL-1缺省（shěng）在256、257、258號的TCP端口進行監聽；

MICROSOFT的 PROXY SERVER則通常在1080、1745號TCP端口上進行監聽。

因為大多數IDS產品（pǐn）缺省配置成（chéng）隻檢測大範圍的無頭腦的端口掃描，所以真正聰明的攻擊者決不會采用這種鹵莽的地毯掃描方（fāng）法。而是利用如NMAP這樣（yàng）的掃描工具進行有選擇的掃描，而躲過配置並不（bú）精細的IDS防護，如下：

command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254

!!! 注意因為大多（duō）數防火牆會不（bú）對ICMP PING請求作出響應，故上行命（mìng）令中的-P0參數

是為了防止發送ICMP包（bāo），而暴露攻擊傾向的。

如何預防？

配置CISCO 路由器ACL表，阻塞相應的（de）監聽端口

如（rú）：

access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans

二、路徑追蹤

UNIX的traceroute,和NT的 tracert.exe來追（zhuī）蹤到達主（zhǔ）機前的最後一跳，其有很大的可能（néng）性為防（fáng）火牆。

若本（běn）地主機和目標服務器之間的路由器對TTL已過期分組作出響應，則發現防火牆會較容易。然而，有很多路（lù）由器、防（fáng）火牆設（shè）置成不返送（sòng）ICMP TTL 已過期分組（zǔ），探測包往往在到達目標前幾跳就不再顯示任何路徑信息。

如何預防？

因為整（zhěng）個trace path上可（kě）能經過很多ISP提供（gòng）的網路，這（zhè）些ROUTERE的配置是（shì）在（zài）你的控製之外的，所以（yǐ）應盡可能去（qù）控（kòng）製你的邊界路由（yóu）器對ICMP TTL響應的配置。

如：access-list 101 deny icmp any any 1 0 ! ttl-exceeded

將邊界路由器配置成接收到TTL值為0、1的分組時不與（yǔ）響（xiǎng）應。