入侵者对服务器的攻击几乎都是从对服务器的扫描开始的。请问能否从防扫描入手进行网络安全防护？应该怎么做？
　　——湖北省武汉市李辉
　　
　　Ｑ博士：
　　的确，很多入侵服务器的行为都是从扫描服务器端口开始的。这些入侵者通常会利用一些工具，首先判断服务器是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。
　　因此，做好系统的防扫描工作对于服务器的安全防护来说是非常重要的，是防止网络入侵事件发生的第一步。
　　攻击者可能使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描。要针对这些扫描进行防范，首先要禁止ICMP的回应。当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的。
　　
　　关闭端口
　　
　　关闭闲置和有潜在危险的端口的方法比较被动，它的本质是将除用户需要用到的正常端口外的其他端口都关闭掉。因为所有端口都可能成为黑客发动攻击的目标，计算机的所有对外通讯的端口都存在潛在的危险。因此，减少开放端口的数量就会降低系统被入侵的风险。但是一些系统必要的通讯端口不能关闭，如访问网页需要的HTTP（80端口）和聊天用的QQ（4000端口）等。
　　在Windows版本的服务器系统中要关闭掉一些闲置端口是比较方便的，可采用定向关闭指定服务端口的方式（黑名单）和只开放允许端口的方式（白名单）。计算机的一些网络服务会给系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭。
　　依次操作“控制面板”→“管理工具”→“服务”等选项，就可以关闭计算机的一些没有使用的服务（如FTP服务、DNS服务和IIS Admin服务等），它们对应的端口也被停用了。
　　至于只开放允许端口的方式，可利用系统的TCP/IP筛选功能实现，设置的时候，只允许系统的一些基本网络通讯需要的端口即可。
　　
　　屏蔽端口
　　
　　检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来是相当困难的，需要借助专用软件。这些软件就是我们常用的网络防火墙。
　　防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被电脑上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个TCP/IP端口被打开；端口扫描时，对方计算机不断与本地计算机建立连接，并逐渐打开各个服务所对应的TCP/IP端口及闲置端口。防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。
　　现在市面上几乎所有网络防火墙都能够抵御端口扫描。在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下相关信息。
　　一个具有初、中级电脑水平的攻击者利用扫描器随意扫描，就能够完成一次入侵。服务器做好防扫描措施，就能够在很大程度上杜绝来自这些一般入侵者的骚扰，而这也是网络入侵的大多数。试想，服务器如果就被这样攻击，那就太窝囊了。