随着当今互连网络的飞速发展，网络的使用在社会各个方面不断延伸。人们在充分享受着互联网所带来的方便和高效的同时，也不断受到各种恶意攻击的侵扰，其中通过端口扫描来获取目标主机的信息更是成为网络入侵的关键，因此对该类攻击行为的防护显得非常重要。 目前通用的端口防护技术采用的方法是对收到的非正常数据包，构造一个代表被扫描端口处于关闭状态的数据包进行响应。但这种防护技术在遇到一个SYN标志被置位的TCP连接请求数据包后，被保护的主机信息就会泄漏。针对该问题，多种解决方案被提出，但均存在不同的缺陷，例如：网络安全研究人员George Kurtz提出通过限定连入的IP地址范围，减少端口扫描的发生；但是如果入侵者使用IP欺骗技术发出一个TCP-SYN的连接请求数据包，问题仍然会存在。 本文针对上述问题，以状态检测防火墙为基础，介绍了常见的端口扫描技术的原理和方法，并提出了新的端口扫描防护技术。其特点是构造一个代表被扫描端口处于开放状态的数据包对收到具有端口扫描特征的数据包响应，欺骗扫描者使其无法得到有效信息。另外，为了有效集成防火墙的防护能力以及效率问题，我们选择了在防火墙层面实现端口扫描防护技术。系统整个功能被实现为防火墙的一个插件模块，也可独立运行。 本文首先介绍了防火墙原理和相关技术以及windows操作系统下的网络数据包截获技术，然后描述了系统总体设计的结构和相关功能模块的实现，最后分析了系统测试结果，验证了该端口扫描防护技术的正确性和可行性，为今后进一步研究打下了坚实的基础。