之前在使用金盾防火墻屏蔽黑客的惡意掃描中，告訴大家怎么樣用金盾防火墻屏蔽黑客的惡意掃描，這樣的操作方式可以最大限度的屏蔽黑客的惡意掃描，但是有一個問題，就是需要手工操作。對于大部分時間，服務(wù)器都是處于無人工操作狀態(tài)的，所以需要用一種方法，可以在沒有人工操作的狀態(tài)下也能很好的屏蔽黑客惡意掃描才能很好的起到保護服務(wù)器安全的作用。

今天就告訴大家怎么樣用金盾防火墻的TCP端口保護來對端口進行保護，一勞永逸杜絕黑客的惡意掃描。

首先，通過金盾防火墻的“功能選擇”菜單，選擇“TCP端口保護”，會出現(xiàn)以下窗口：

就用我設(shè)置的這個3389端口的保護規(guī)則入手，跟大家介紹一下TCP端口保護的具體使用。

1. 開放端口范圍，這里寫的就是你要進行保護的端口的范圍，從哪個端口開始到哪個端口結(jié)束，比如135-445，就分別在兩個輸入框中輸入135和445，這樣135-445之間的各個端口，都會受到這個規(guī)則的保護；如果只有一個端口需要保護，比如上圖中，只需要寫入3389這樣一個端口號就可以了。
2. 連接攻擊檢測，這里可以設(shè)置一個數(shù)值，比如5。當(dāng)一臺計算機連接到這個端口的連接數(shù)量達到這里設(shè)置的數(shù)值，就會觸發(fā)金盾防火墻防護模塊的攻擊檢測規(guī)則，如果攻擊檢測規(guī)則檢測是被攻擊，則會自動屏蔽相關(guān)IP一段時間。
3. 連接數(shù)量限制，這個地方是對同一臺計算機，連接到我們服務(wù)器上對應(yīng)端口的最大連接數(shù)進行限制，如果超出這里設(shè)置的最大連接數(shù)，就會把多出的連接拋棄。我們這里要防范黑客對服務(wù)器的3389端口進行掃描，而3389正常我們連接的時候，一個IP只需要對應(yīng)一個連接數(shù)就可以了，所以這里設(shè)置了5已經(jīng)完全可以滿足正常的連接了。
4. 攻擊檢測權(quán)重，一般可為空，攻擊檢測權(quán)重設(shè)置分為踢出權(quán)重和探測權(quán)重兩項設(shè)置。踢出權(quán)重，指當(dāng)服務(wù)器主動將某地址踢出后，防火墻會進行記錄達到一定數(shù)值后進行屏蔽。探測權(quán)重，指客戶端訪問連接為空連接時，當(dāng)達到設(shè)置值時進行屏蔽；具體的設(shè)置請根據(jù)相關(guān)情況咨詢金盾售后客服，我這里不需要設(shè)置這個參數(shù)。
5. 協(xié)議類型選擇，可由此選擇接受或禁止某個端口的特定協(xié)議，協(xié)議類型包括：FTP、SSH、SMTP、HTTP、POP3、SSL/TLS、MSTS、RADMIN、MirGame、BlueskyVoice、AlphaDigit。其中比較常用的是FTP（對應(yīng)21端口），HTTP（對應(yīng)80端口），MSTS（對應(yīng)3389端口），其他協(xié)議與端口請根據(jù)實際情況設(shè)置。
6. 防護標(biāo)志，目前防護標(biāo)志有四種，超時連接; 超出屏蔽；延時提交；接受協(xié)議，一般都是按照上圖中我的設(shè)置那樣。下面是對四個標(biāo)志的介紹：

   超時連接：設(shè)置超時連接標(biāo)志后，此端口建立的連接如果持續(xù)一段時間保持空閑，則該連接將被重置以釋放資源。此種策略對于某些應(yīng)用可能造成連接數(shù)據(jù)中斷的情況，此時應(yīng)把相應(yīng)端口設(shè)為禁止屏蔽；

   延時提交：設(shè)置此選項的端口，防火墻將無限緩存該連接，除非客戶端有數(shù)據(jù)發(fā)送，或者該連接被防火墻重置；

   超時屏蔽：設(shè)置超時屏蔽標(biāo)志后，客戶端在此端口進行的訪問如果無法通過防火墻的驗證模塊，則此客戶端將被加入黑名單而屏蔽；

   接受協(xié)議：設(shè)置接受協(xié)議表示該端口接受該項協(xié)議。

7. 防護模塊，端口防護模塊插件是針對特殊應(yīng)用而開發(fā)的防護手段，對3389端口的保護只需要選擇default模塊就可以了，端口防護包括：

   default：該防護策略為所有端口默認的防護措施，不對應(yīng)用做特殊處理，具有最好的兼容性；

   WEB Service Protection：該策略是金盾防火墻獨有的、適用于Web服務(wù)的一種防護策略，是針對目前愈演愈烈的CC-HTTP Proxy類攻擊而開發(fā)的。應(yīng)用此種策略的端口，防火墻將對進入的HTTP請求進行驗證操作，確保該請求來自正常的客戶瀏覽行為，而非正常的訪問行為（如通過代理進行攻擊等）將被加入黑名單進行屏蔽。防火墻的動態(tài)驗證模塊，只對設(shè)置了WebCC保護模式的主機采用該驗證策略，沒有設(shè)置該保護模式的主機不受影響；

   Game Service Protection：該保護策略是金盾防火墻獨有的、適用于游戲服務(wù)的一種防護策略，是針對目前流行的代理型攻擊器、木馬型攻擊器、BotNet等而開發(fā)的。應(yīng)用此種策略的端口，防火墻將對連入的客戶端進入頻率限制及驗證操作，確保該客戶端的行為屬于正常的客戶端行為，而非正常的訪問行為（如通過代理進行攻擊等）將被加入黑名單進行屏蔽。防火墻的頻率保護模塊，只對設(shè)置了GameCC保護模式的主機采用該限制及驗證策略，沒有設(shè)置該保護模式的主機不受影響。

   Misc Service Protection：該保護策略集成了FTP、SMTP、POP3協(xié)議的防護，因針對不同服務(wù)防護方式不同，建議由售后中心技術(shù)支持進行此項設(shè)置。

8. 一組用于控制防火墻具體的防護模式及策略的參數(shù)，其設(shè)置比較固定，詳細請咨詢金盾售后技術(shù)。這里我們不需要對此項進行設(shè)置。

這樣設(shè)置之后，就不需要一直人工去對黑客針對3389端口的掃描進行操作了，黑客最多只能對服務(wù)器3389端口產(chǎn)生5個連接，已經(jīng)達不到批量掃描的目的了。