防火墙的方法有两种：端口扫描、路径追踪，今天我们来了解一下防止黑客入侵的方式。

一、大多数防火墙都带有其自身标识

如CHECKPOINT的FIREWALL-1缺省在256、257、258号的TCP端口进行监听;MICROSOFT的 PROXY SERVER则通常在1080、1745号TCP端口上进行监听。因为大多数IDS产品缺省配置成只检测大范围的无头脑的端口扫描，所以真正聪明的攻击者决不会采用这种卤莽的地毯扫描方法。而是利用如NMAP 这样的扫描工具进行有选择的扫描，而躲过配置并不精细的IDS防护，如下：

command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254

!!! 注意因为大多数防火墙会不对ICMP PING请求作出响应，故上行命令中的-P0参数是为了防止发送ICMP包，而暴露攻击倾向的。如何预防?配置CISCO 路由器ACL表，阻塞相应的监听端口；如：

access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans

二、路径追踪

UNIX的traceroute,和NT的 tracert.exe来追踪到达主机前的最后一跳，其有很大的可能性为防火墙。若本地主机和目标服务器之间的路由器对TTL已过期分组作出响应，则发现防火墙会较容易。然而，有很多路由器、防火墙设置成不返送ICMP TTL 已过期分组，探测包往往在到达目标前几跳就不再显示任何路径信息。如何预防?因为整个trace path上可能经过很多ISP提供的网路，这些ROUTERE的配置是在你的控制之外的，所以应尽可能去控制你的边界路由器对ICMP TTL响应的配置。

如：access-list 101 deny icmp any any 1 0 ! ttl-exceeded

将边界路由器配置成接收到TTL值为0、1的分组时不与响应。

三、保护路由器如何才能防止网络黑客入侵

（1）更新路由器操作系统：就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。

（2）要经常向路由器厂商查询当前的更新和操作系统的版本。

（3）修改默认的口令：据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。

（4）避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。

（5）禁用HTTP设置和SNMP（简单网络管理协议）：你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是，这对路由器来说也是一个安全问题。如果路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。如果你没有使用路由器上的SNMP,那么就不需要启用这个功能。

（6）封锁ICMP（互联网控制消息协议）ping请求：ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息。

（7）禁用来自互联网的telnet命令：在大多数情况下，不需要来自互联网接口的主动的telnet会话。如果从内部访问路由器设置会更安全一些。

四、如何设置路由器上防止DDoS攻击

使用 ip verfy unicast reverse-path 网络接口命令 ，这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换（switching）。

只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。