之前在使用金盾防火墻屏蔽黑客的惡意掃描中，告訴大家怎么樣用金盾防火墻屏蔽黑客的惡意掃描，這樣的操作方式可以最大限度的屏蔽黑客的惡意掃描，但是有一個(gè)問題，就是需要手工操作。對于大部分時(shí)間，服務(wù)器都是處于無人工操作狀態(tài)的，所以需要用一種方法，可以在沒有人工操作的狀態(tài)下也能很好的屏蔽黑客惡意掃描才能很好的起到保護(hù)服務(wù)器安全的作用。

今天就告訴大家怎么樣用金盾防火墻的TCP端口保護(hù)來對端口進(jìn)行保護(hù)，一勞永逸杜絕黑客的惡意掃描。

首先，通過金盾防火墻的“功能選擇”菜單，選擇“TCP端口保護(hù)”，會(huì)出現(xiàn)以下窗口：

就用我設(shè)置的這個(gè)3389端口的保護(hù)規(guī)則入手，跟大家介紹一下TCP端口保護(hù)的具體使用。

1. 開放端口范圍，這里寫的就是你要進(jìn)行保護(hù)的端口的范圍，從哪個(gè)端口開始到哪個(gè)端口結(jié)束，比如135-445，就分別在兩個(gè)輸入框中輸入135和445，這樣135-445之間的各個(gè)端口，都會(huì)受到這個(gè)規(guī)則的保護(hù)；如果只有一個(gè)端口需要保護(hù)，比如上圖中，只需要寫入3389這樣一個(gè)端口號就可以了。
2. 連接攻擊檢測，這里可以設(shè)置一個(gè)數(shù)值，比如5。當(dāng)一臺(tái)計(jì)算機(jī)連接到這個(gè)端口的連接數(shù)量達(dá)到這里設(shè)置的數(shù)值，就會(huì)觸發(fā)金盾防火墻防護(hù)模塊的攻擊檢測規(guī)則，如果攻擊檢測規(guī)則檢測是被攻擊，則會(huì)自動(dòng)屏蔽相關(guān)IP一段時(shí)間。
3. 連接數(shù)量限制，這個(gè)地方是對同一臺(tái)計(jì)算機(jī)，連接到我們服務(wù)器上對應(yīng)端口的最大連接數(shù)進(jìn)行限制，如果超出這里設(shè)置的最大連接數(shù)，就會(huì)把多出的連接拋棄。我們這里要防范黑客對服務(wù)器的3389端口進(jìn)行掃描，而3389正常我們連接的時(shí)候，一個(gè)IP只需要對應(yīng)一個(gè)連接數(shù)就可以了，所以這里設(shè)置了5已經(jīng)完全可以滿足正常的連接了。
4. 攻擊檢測權(quán)重，一般可為空，攻擊檢測權(quán)重設(shè)置分為踢出權(quán)重和探測權(quán)重兩項(xiàng)設(shè)置。踢出權(quán)重，指當(dāng)服務(wù)器主動(dòng)將某地址踢出后，防火墻會(huì)進(jìn)行記錄達(dá)到一定數(shù)值后進(jìn)行屏蔽。探測權(quán)重，指客戶端訪問連接為空連接時(shí)，當(dāng)達(dá)到設(shè)置值時(shí)進(jìn)行屏蔽；具體的設(shè)置請根據(jù)相關(guān)情況咨詢金盾售后客服，我這里不需要設(shè)置這個(gè)參數(shù)。
5. 協(xié)議類型選擇，可由此選擇接受或禁止某個(gè)端口的特定協(xié)議，協(xié)議類型包括：FTP、SSH、SMTP、HTTP、POP3、SSL/TLS、MSTS、RADMIN、MirGame、BlueskyVoice、AlphaDigit。其中比較常用的是FTP（對應(yīng)21端口），HTTP（對應(yīng)80端口），MSTS（對應(yīng)3389端口），其他協(xié)議與端口請根據(jù)實(shí)際情況設(shè)置。
6. 防護(hù)標(biāo)志，目前防護(hù)標(biāo)志有四種，超時(shí)連接; 超出屏蔽；延時(shí)提交；接受協(xié)議，一般都是按照上圖中我的設(shè)置那樣。下面是對四個(gè)標(biāo)志的介紹：

   超時(shí)連接：設(shè)置超時(shí)連接標(biāo)志后，此端口建立的連接如果持續(xù)一段時(shí)間保持空閑，則該連接將被重置以釋放資源。此種策略對于某些應(yīng)用可能造成連接數(shù)據(jù)中斷的情況，此時(shí)應(yīng)把相應(yīng)端口設(shè)為禁止屏蔽；

   延時(shí)提交：設(shè)置此選項(xiàng)的端口，防火墻將無限緩存該連接，除非客戶端有數(shù)據(jù)發(fā)送，或者該連接被防火墻重置；

   超時(shí)屏蔽：設(shè)置超時(shí)屏蔽標(biāo)志后，客戶端在此端口進(jìn)行的訪問如果無法通過防火墻的驗(yàn)證模塊，則此客戶端將被加入黑名單而屏蔽；

   接受協(xié)議：設(shè)置接受協(xié)議表示該端口接受該項(xiàng)協(xié)議。

7. 防護(hù)模塊，端口防護(hù)模塊插件是針對特殊應(yīng)用而開發(fā)的防護(hù)手段，對3389端口的保護(hù)只需要選擇default模塊就可以了，端口防護(hù)包括：

   default：該防護(hù)策略為所有端口默認(rèn)的防護(hù)措施，不對應(yīng)用做特殊處理，具有最好的兼容性；

   WEB Service Protection：該策略是金盾防火墻獨(dú)有的、適用于Web服務(wù)的一種防護(hù)策略，是針對目前愈演愈烈的CC-HTTP Proxy類攻擊而開發(fā)的。應(yīng)用此種策略的端口，防火墻將對進(jìn)入的HTTP請求進(jìn)行驗(yàn)證操作，確保該請求來自正常的客戶瀏覽行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單進(jìn)行屏蔽。防火墻的動(dòng)態(tài)驗(yàn)證模塊，只對設(shè)置了WebCC保護(hù)模式的主機(jī)采用該驗(yàn)證策略，沒有設(shè)置該保護(hù)模式的主機(jī)不受影響；

   Game Service Protection：該保護(hù)策略是金盾防火墻獨(dú)有的、適用于游戲服務(wù)的一種防護(hù)策略，是針對目前流行的代理型攻擊器、木馬型攻擊器、BotNet等而開發(fā)的。應(yīng)用此種策略的端口，防火墻將對連入的客戶端進(jìn)入頻率限制及驗(yàn)證操作，確保該客戶端的行為屬于正常的客戶端行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單進(jìn)行屏蔽。防火墻的頻率保護(hù)模塊，只對設(shè)置了GameCC保護(hù)模式的主機(jī)采用該限制及驗(yàn)證策略，沒有設(shè)置該保護(hù)模式的主機(jī)不受影響。

   Misc Service Protection：該保護(hù)策略集成了FTP、SMTP、POP3協(xié)議的防護(hù)，因針對不同服務(wù)防護(hù)方式不同，建議由售后中心技術(shù)支持進(jìn)行此項(xiàng)設(shè)置。

8. 一組用于控制防火墻具體的防護(hù)模式及策略的參數(shù)，其設(shè)置比較固定，詳細(xì)請咨詢金盾售后技術(shù)。這里我們不需要對此項(xiàng)進(jìn)行設(shè)置。

這樣設(shè)置之后，就不需要一直人工去對黑客針對3389端口的掃描進(jìn)行操作了，黑客最多只能對服務(wù)器3389端口產(chǎn)生5個(gè)連接，已經(jīng)達(dá)不到批量掃描的目的了。