如何打造企业网络安全

　　 3、关闭不必要的网络通讯端口

　　　　网络通讯端口是合法用户连接至主机端取得服务的通道，同样地，黑客也是利用同样的途径来入侵。所以说，你主机上开放的通讯端口越多，他人就越容易与你的系统联机。因此，减少系统上开放的通讯端口数目是网络安全最有效的防范措施之一，除了有必要对外提供服务的通讯端口之外，其它通讯端口应予以关闭。

　　　　你可以利用操作系统上内建的"netstat"指令来检查哪些通讯端口是处于开放或是聆听的状态，但是光靠netstat是不够的，你还可以使用端口号扫描工具(port scanner)来做更进一步的确认。如果"netstat"与端口号扫描工具所产生的结果不同的话，你应该立即做深入的检查。一旦两者的结果相符，接下来即是进行埠号确认的工作，除要了解每一个通讯端口开放的原因之外，你应该掌握每一个开放的通讯端口所代表的意义与其相关的网络服务。任何无法确认或辨别的网络通讯端口应该尽快关闭。经过netstat与端口号扫描的结果应该加以记录并保存，以作为日后定期安全稽核时拿来比对是否出现了不明或多余的通讯端口。

　　　　目前有许多端口号扫描工具，最有名的当属"nmap". 它提供Unix与Windows两种版本：

　　　　（1） Unix版本的网址在：http://www.insecure.org/nmap/

　　　　（2） Windows NT/2000版本的网址在：http://www.eeye.com.html/Research/Tools/nmapnt.html

　　　　当你进行端口号扫描时，切记对1-65,535的埠号做全面性的TCP与UDP端口号扫描，以免漏掉了任何可能开放的通讯端口。另外，你应当在取得网络主管的书面同意与授权之后，才可进行端口号的扫描的工作。要特别注意的是，某些操作系统与内含特殊TCP/IP堆栈功能的网络设备，在被扫描时可能会发生不可预期的反应。此外，如果你未事先声明或告知相关人员，端口号扫描的动作也可能会触动入侵侦测或防火墙，而被误判为攻击的行为。因此进行端口号扫描时，你不得不谨慎行事。

　　　　一旦你已掌握系统上开放的通讯端口有哪些之后，接下来即为确认该系统应该开放的通讯端口是哪些，而哪些又是不必要，且必须关闭或删除的通讯端口。例如你对外服务的网站服务器，应该只开放http/80埠，DNS服务器应该只开放dns/53埠，邮件服务器应该只开放smtp/25埠、pop3/110埠。如果你发现贵单位正好有上述对外服务的服务器，则请仔细检查你的服务器是否只开放的前述的通讯端口。如果不是，那你应该尽快将其它非必要性的通讯端口予以关闭或删除。你可以通过编辑、修改inetd.conf以及相关设定文件来对Unix系统作一端口号开放的限制与管理。

　　　　值得一提的是，万一系统被植入后门程序或是被利用来当作跳板做进一步攻击时，黑客必须使用特定的网络服务通讯端口(port)对其他系统进行入侵。这些后门程序多半使用特定的通讯端口号(port number)，你可以用Nmap或是Nessus之类的Freeware或是套装扫描工具来检测出可疑的通讯活动。当然，防火墙的功能除了可将你网络上不必要的通讯端口关闭，保护你的企业内部网络，并过滤来往的网络使用，以防止黑客入侵之外，当你的内部网络不慎被植入后门有可能被当作跳板利用时，只要正确地设定你的防火墙，可以避免在外的黑客通过后门程序所打开的特定通讯端口进行破坏，因为防火墙只会允许合法通讯端口的使用，并阻挡一切非法的网络联机。　　

　　　　4、对进出入的IP封包进行过滤 　　

　　　　伪造IP地址是黑客惯用来隐藏踪迹的技俩。