《网络安全三步曲文本文档.txt word 文档》由会员分享,可在线阅读,更多相关《网络安全三步曲文本文档.txt word 文档(5页珍藏版)》请在金锄头文库上搜索。
1、 网络安全三步曲 基本设置篇在网络安全方面还存在四个误区在网络安全方面还存在四个误区误区一:没有连接其他网络,所以很安全。独立机器与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相 同,一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。家庭、 办公室、小公司的个人用机确是门户大开,完全没有防范黑客的能力。这种威胁是很现实 的。误区二:用拨号上网,机器是安全的。每次拨号上网,使用的 IP 地址不同,也就是动态 IP,相比静态 IP。黑客很难找到你, 有一些黑客软件已经发展到可以在 1 个小时以内逐个扫描上万个 IP 地址的能力,所以只要 黑客使用了这些工具,即
2、使是拨号上网的用户也可能受到攻击。误区三:我使用了防病毒软件,所以我很安全。一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能 够通过检测病毒和类似的问题保护你,但是它们对防范黑客、对带有恶意的“合法”程序 却无能为力。误区四:使用防火墙,很安全。防火墙是有用处,如果你总是采用一些不够安全的方式接收和发送数据,又仅依靠一 些附加的程序提供安全,一旦防火墙软件出现 bug 或者有漏洞,那很危险了。防火墙对于 病毒一类的软件完全没有防范能力,尤其那些带有恶意的悄悄地向机器发送或提取数据的 程序。 一些防火墙软件还可能帮倒忙,它们的厂商在广告中把产品的特点介绍,一些专门针对它
3、 们弱点的攻击。安全的设置和怎样选择安全软件安全的设置和怎样选择安全软件一分钟的网络基础知识 网络的连接分为三层。 最深的一层最深的一层是你和网络的物理连接方式,包括硬件。例如拨号上网,要使用“拨号适 配器”才能和你的 MODEM“交谈” ;如果是局域网,需要网卡和驱动程序,以便你的 PC 和网卡交换数据,而 DSL、cable 等也需要网卡。一个 PC 可以同时使用多个硬件适配器, 例如可以即用 cable modem 上网,也连接拨号上网的 MODEM,还在局域网中,这样系统 的网络设置中就有两个网络适配器和一个拨号适配器。 中间的一层连接中间的一层连接由你的机器所使用的和网络其他机器交流
4、的通讯协议和语言组成,例 如 TCP/IP 协议,其他还有 NetBEUI 和 IPX/SPX,这些协议也可以并行工作,一个协议可 以被同时捆绑到多个硬件设备上,而一个硬件设备也可以同时捆绑多个协议。 最顶层的连接是网络设备,登录上网、文件与打印共享和以及位于最顶层的客户程序, 为你完成需要在网络上完成的任务,但不幸的是,它是双向的,也可以让黑客对你执行他 们的操作。保证安全的窍门在于确保没有那些危险的设置和设备,例如如果不需要从网上进行访 问, “文件与打印共享”就完全没有必要,这也是黑客经常利用的地方。仔细地设置哪些要 进行捆绑,可以确保你的机器不那么轻易被访问,尽管存在一些本身安全性较差
5、的设备和 协议。怎样确保连接安全怎样确保连接安全在按下面提到的建议对系统设置进行修改以前,最好先将你系统中的关键数据备份, 或者记下你原来的设置,以便在需要的时候恢复。如果你是在局域网或是有特殊的网络要求,请先和管理员商量。先检查你的网络设置:右击“网络邻居” ,选择“属性” ,要删除让别人通过 INTERNET 连接 INTERNET 协议:TCP/IP。1. 如没有使用拨号上网,直接跳到下一段。双击“拨号适配器” 、 “绑定” ,把除 TCP/IP 以外的内容都选掉,回到主界面,双击“TCP/IP -拨号适配器” ,你可能看到一个 警告,说明如果修改将有危险,不管它,单击“绑定” ,如果选
6、择了“microsoft 网络用户” 和“文件和打印共享” ,把它们选掉,这样就只剩下 TCP/IP 了,你会得到这样一个警告: TCO/IP 已经没有绑定到任何驱动程序“,回答 NO。2. 如果你使用了网卡,单击每个卡对应的 TCP/IP,例如我就用了一块便宜的 Realtek 网卡,则单击“TCP/IP - Realtek RT8029(as) PCI Ethernet NIC.” ,单击“绑定” ,确认没有 选择“micrcosoft 网络用户”和“文件和打印共享” 。3. 如果在局域网上,希望在本地共享文件和打印机,添加一个非 INTERNET 协议 IPX/SPX 或 NetBEUI
7、 都可以。添加适当的“micrcosoft 网络用户” ,选择“文件和打印共享” ,就可以共享文件和打印了!4. 检查系统中的每个适配器和协议,确保“micrcosoft 网络用户”和“文件打印共享” 只在 IPX/SPX and/或 NetBEUI 中被选择了。也确认在 TCP/IP 中没有选择这两项。然后对 局域网中所有机器重复这个检查过程。你的机器在 INTERNET 上就只使用 TCP/IP,而在 局域网上使用非 INTERNET 协议,以便共享打印机和文件。黑客必须使用 TCP/IP,他们 就需要花费更多的时间来访问被共享的打印机和文件。需要注意的是你对网络设置的任何变动都可能重新设
8、置绑定和其他设置,当你或者是 你所安装的软件修改了网络设置,都要执行上面介绍的步骤检查 TCP/IP 连接以确保它保持 “干净” ,没有与“micrcosoft 网络用户”和“文件和打印共享”绑定。AOL(美国在线):它把它自己的(通常是没有必要的)适配器加入到你的网络设置 中,而且可能会不正确地修改你的绑定设置,一些用户在安装 AOL 后报告,他们的“文 件和打印共享”被绑定在 TCP/IP 上,意味着对任何想连接的人都提供打印机和文件,上面 的介绍的窍门对避免出现 AOL 的这个情况也很有效。改善网络安全性,面的设置将消除 WINDOWS PC 的最常见和突出的网络安全问题, 把最明显的漏
9、洞给你堵上,让你拥有一个更安全的线上操作基础。基本就不需要其他的辅 助软。工具篇工具篇帮你的机器增强抵抗力,能够防范一些常见的和不常见的攻击,甚至一些更高水平的 或者更迂回曲折的攻击。有了两级安全措施,一个是前面介绍的网络安全设置,一个是附 加的安全产品,即使有其中一个出现了问题,你也仍然有另一个保护。在添加安全性产品之前,作一个额外的测试,检查一下你的设置是否已经 OK 了。最 好是定时(每月或者每周)检查一下你的基本网络设置是否安全。我推荐三个绝好的免费站点帮助你从外端检测你的 INTERNET 连接,以便你检测和纠 正潜在的安全问题,连续使用过这第三个站点,通过一个一个地在这三个网站进行
10、测试:http:/ INTERNET 连接中存在的最常 见的漏洞,如果通过了这三个测试,就可以防范绝大多数的常见的黑客攻击了。另外,Gibson Research 网站( http:/ 一读,特别是当你对关闭一个端口有疑惑(例如 NetBIOS 的 Port 39)的时候,Gibson 提供了一步一步的指导可以确保你将端口关闭,具体参看 http:/ age.htm。一旦你的 PC 经过了上面的测试,你就可以再增加一个加强安全的程序了,这种程序 有很多,但是目前最热门的是“个人用防火墙” ,下面我们讨论的重点也就是如何选择这一 类产品。不管你是否已经使用了公用的防火墙、代理服务器、域名服务器,
11、这些本地的防火墙 在你的机器内部监视你的 INTERNET 数据交换,防止来自黑客的不正常的访问,其中一些 还可以监视非正常的数据输出,也就是那种特洛伊木马程序式偷偷摸摸留下的“后门” ,在 你不知道的情况下,向你的机器发送信息或者获取信息。我现在使用的个人防火墙是免费而绝妙的 ZoneAlarm,虽然它还有一些粗糙,但是它 更新很快,最新的版本已经是 2.0.26 了,而且解决了很多早期版本存在的问题,而且它免 费,却比很多售价 50 美圆的商业产品更有效,例如它是少数能够检测到特洛伊程序的防火 墙之一。Aladdin 的 eSafe Protect Desktop 也加入了类似于防病毒程序
12、的功能,相当于防火墙加 沙箱的功能,能够防范决大多数带有恶意的访问,并将它们隔离起来。另外,它们让人满 意的是占用很少的系统资源,只有 2%而已。它是一个值得注意的产品,售价为 30 美圆。 但是为了与流行的 ZoneAlarm 抗衡,Aladdin 的 Protect Desktop 现在对个人使用完 全免费,因此很值得试试看,我正在试用,可能它会变成我的新欢哟!FWProxy 是一个简单免费的程序,能够在设定的端口监听进入的 TCP 连接,检查用户 对设备的授权,在远程 RAS 用户和设定的内部 TCP 设备之间建立连接,你如果你只需要 这个功能,那你可以试试它。Sybergen Secu
13、re Desktop(以前叫 SyShield)非常灵活,可以从多方面进行设置,售价 为 30 美圆,它的长处在于安装简单,虽然为数不多的文档让那些迷失在它过多的设置选项 中的初学者有些困惑,但是它马上就会出新版本了,以后我们还要介绍。BlackIce Defender 是一个享有盛誉、非常流行的防火墙,花费 40 美圆就可以获得 BlackIce Defender 和一年的安全升级。和 ZoneAlarm 一样,BlackIce 也有其显得粗糙的地 方,例如它的错误检测警告,几乎让你发生一种错觉,好象你受到外界的攻击是基本不变 的,另外文档也不够完善,除非你对防火墙技术和端口分配都非常精通,
14、还有一些用 户对它支持的级别和对错误反应的时间也不满意。看来 Networkice 这位始作俑者已经被他 们的胜利淹没了,很难继续保持原来的状态。这种说法分的另一个佐证是关于 Windows 2000,Windows 2000 已经推出一段时间了,而 BlackIce 的站点还在说:“Win2k 目前仍然 是 beta 版本,我们目前还不能支持它,检测侵入的部分运行良好,而防火墙部分现在 还不行,我们计划在 WIN 2000 正式推出时再支持它。 ”这种情况让人联想到它的安全产品, 因为人们总是希望它的内容能够尽量保持最新状态。如果你到过各种黑客站点和黑客的 BBS,你可以看到一个让黑客们又爱
15、又怕的软件, 售价为 49 美圆的 ConSeal Private Desktop,他们喜欢在自己的机器上安装这个软件,但又 痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司 Signal9 刚被 McA fee 收购,我们还不清楚 McAfee 的计划是什么,你可以到 http:/ 看相关信息。McAfee 还刚刚收购了 Cybermedia,它的售价为 30 美圆的防护狗软件是一个很有趣的 产品,多种功能兼而有之,病毒检测、隐私保护和在线安全,还包括对恶意 ActiveX 和 Java applets 的防护。而 ConSeal 的 AtGuard,是另一个让黑客爱恨交织的防火墙,刚刚被 Symantec 收购, 现在变成了售价为 60 美圆的 Norton Internet Security 2000 的一部分。和它的其他产品相比,AtGuard 略显单薄,但是 Norton Internet Security 2000 是一个安全“巨人” , 虽然它的设置也很麻烦。但是无论如何,AtGuard 安全部分的功能仍然使非常出色的,尽 管它现在已经被其他产品的光芒掩盖了。上面介绍的产品都是一些用途广泛功能全面的防护软件,但是还有一些功能比较精细 集中的产品:Jammer,售价为 20 美圆,专门设计用来防范 NetBus 和 BackOrifice
