我无视他们。如果你有一个合理的安全态势，你也应该这样做。

除了用于为公众服务的端口之外，您的服务器不应有任何对公众开放的端口。

例如，您的 Web 服务器应该开放端口 80、443，也许还有22；如果您需要连接到它，其他所有东西都应该是 SSH 隧道或以其他方式 VPN 的，除非您希望 Internet 上的随机无人使用监听服务。也许您可能希望将 SSH 重新映射到端口 222 或其他端口，以避免登录失败时填写您的身份验证日志，这应该与您的服务器一样令人兴奋。

相反，如果端口扫描命中您的出站公司网关，则扫描应该显示零端口打开，因为您的公司网关不是服务器。而你，就像一个聪明的 IT 管理员一样，在互联网上的其他地方运行你的所有服务器，而不是在你的公司网络内，出于各种原因，我不会在这里讨论。

端口扫描应该向攻击者揭示他们无法合理猜测的任何内容。如果不是这种情况，那么您的问题不是端口扫描，而是您试图通过阻止端口扫描来隐藏的公共机密。

我不相信列举坏事。如果您的基础设施位于互联网上，它将一直被众多 IP 扫描。

例如，我创建了一个 AWS 应用程序，它会显示 Spot 实例，扫描列表中的 IP 块，并在结果发送到主服务器后将其关闭。如果我每天都在扫描您的范围，那么您每天都会阻止不同的 AWS IP，因为我是随机分配它们的。这意味着当他们被分配一个我使用的 IP 时，你可能会阻止一些合法的东西。

我在pfSense上使用Snort或Suricata在一段时间内自动阻止 IP。

Sophos UTM似乎具有类似的功能。

在我看到有人扫描后，我通常会对他们的身份进行一些侦察，如果他们在已知的阻止列表中，我通常会忽略并让防火墙丢弃它（ASA）。如果他们是未知实体，我将添加一条规则以从该 IP 断开与我们的 IPS 的连接。我过去使用过 suricata 并且会给它一个+1，因为它可以在这种情况下有所帮助，如上面的评论所述。