端口扫描防护_acl防端口扫描

我的局域网中的计算机被电信公司进行端口扫描,出现浏览器页面被屏蔽现象,怎么办?

如果你是用一个PC做 *** ， *** 另一个PC上网的，就把那个 *** 的进程隐藏掉。网上很多隐藏进程的软件，下一个就行。然后隐藏那个进程。一般那个进程较syaserv。就是一个 *** 进程。要是用路由器，不想被别人扫描，那你设置ACL限制就好了。限制掉一些特殊的端口1080，应该是共享端口。

如何通过ACL屏蔽80端口

我是学思科的 照思科的命令应该是

Switch（config）#access-list 110 deny tcp 172.16.132.60 0.0.0.0 any eq 80 (封堵80端口）

Switch(config)#access-list 110 permit ip any any （开通除80以外的所有流量）

进入连接此机子的交换机接口Switch(config-if)#ip access-group 110 in(在接口中启用此ACL）

我看了下你的命令，你的反掩码有问题。也就是0.0.0.1 如果是特定IP的话，那么就要全部匹配，不应该是.1

思科路由器ACL封堵端口问题 求教

使用扩展ACL就可以：

Router(config)#ip access-list extend TEXT

//定义名字为TEXT的ACL

Router(config-acl)#permit tcp (udp) 源IP 反掩码 [eq 端口号] 目的IP 反掩码 eq 端口号

//定义ACL的条目，允许特定访问端口号

Router(config)#int f0/0（接口号）

Router(config-if)#ip access-group TEXT in(out)

//接口调用名字为TEXT的ACL

1、例子，在接口F0/0上允许任何IP访问TCP端口80（HTTP端口），其余均过滤

ip access-list extend per_HTTP

permit tcp any any eq http

deny ip any any

exit

int f0/0

ip access-group per_HTTP in

2、例，在接口F0/0阻止1.1.1.1访问到2.2.2.2的tcp和udp139端口其余流量均放行：

access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一种做法

access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139

access-list 199 permit any any //ACL默认隐式deny any any

int f0/0

ip access-group 199 in

路由器ACL封端口是什么意思?什么是ACL?

ACL stands for Access Control List.

在路由器通过设定ACL命令，可以限定TCP/IP的网址或端口，从而达到禁止/允许某些客户端或者目标网址，抑或某些 *** 应用的 *** 存取。甚至可以设定存取规则的有效时间段等。

如何分清Cisco 路由器ACL中的五个“防止”

1．防止Cisco 分组泄露，Cisco分组泄露脆弱点最初是JoeJ在Bugtraq上公开的，他与Cisco设备在1999端口(ident端口)上对TCP SYN请求的响应有关。下面就是针对这个脆弱点的 *** ：access-list 101 deny tcp anyanyeq 1999 log ! Block Ciscoident scan。

2．防止Cisco旗标攫取与查点，Cisco finger 及2001，4001，6001号虚拟终端端口都对攻击者提供不少信息，比如访问URL为那么所的结果可能大体是：User Access VerificationPassword: Password: % Bad passwords，另外Cisco Xremote 服务（9001端口），当攻击者用netcat连接该端口时，路由器也会发送回一个普通旗标。针对这些查点，采取的措施就是使用安全的Cisco 路由器ACL规则限制访问这些服务，比如：

access-list 101 deny tcp anyany 79

access-list 101 deny tcp anyany 9001

3．防止TFTP下载，几乎所有路由器都支持TFTP，攻击者发掘TFTP漏洞用以下载配置文件通常轻而易举，在配置文件里含有很多敏感信息，比如SNMP管理群名字及任意Cisco 路由器ACL。执行下面措施可去除TFTP脆弱点：access-list 101 deny udp anyany eq 69 log ! Block tftp access

4．防止RIP欺骗，支持RIP v1或RIP v2的路由器很容易被RIP攻击。针对这类攻击在边界路由器上禁止所有RIP分组（端口号为520的TCP/UDP分组），要求使用静态路由，禁止RIP。

5．保护防火墙，比如CheckPoint的Firewall-1在256，257，258TCP端口上监听，Microsoft的Proxy Server在1080和1745 TCP端口上监听，使用扫描程序发现这些防火墙就很容易了。为了防止来自因特网上的防火墙扫描，就需要在防火墙之前的路由器上使用Cisco 路由器ACL规则阻塞这些扫描：

access-list 101 deny tcp anyanyeq 256 log ! Block Firewall-1scan

access-list 101 deny tcp anyanyeq 257 log ! Block Firewall-1scan

access-list 101 deny tcp anyanyeq 258 log ! Block Firewall-1scan

access-list 101 deny tcp anyanyeq 1080 log ! Block Socks scan

access-list 101 deny tcp anyanyeq 1745 log ! Block Winsockscan

ICMP和UDP隧道攻击能够绕过防火墙，针对这种攻击可以对ICMP分组采用限制访问控制，比如下面Cisco 路由器ACL规则将因管理上的目的而禁止穿行不是来往于10.16.10.0子网的所有ICMP分组：

access-list 101 permit icmpany 10.16.10.0 0.255.255.255 8 ! echo

access-list 101 permit icmpany 10.16.10.0 0.255.255.255 0 ! echo-reply

access-list 102 deny ip anyany log ! deny and log all else