网络安全和解决办法

张磊 
2001年 17期

　　当我们的办公室共享上网以后，网络安全问题也就成为我们必须考虑的问题。任何系统的安全都是相对的，没有一个网络操作系统是绝对安全的。用局域网共享上网，虽然我们的共享上网软件就是一道防火墙，除了标准数据可以转换到局域网内部以外，其他破坏性数据无法进入内部网络，但是即使有代理软件这第一道防火墙的保护，由于错误配置等其他原因，仍很难保证百分之百的安全，例如你的局域网IP使用了互联网合法IP，那么黑客就可以通过路由冒充你局域网内部的计算机通过服务器进入局域网（IP Spoofing），所以我们一定要注意，局域网内部IP地址要使用私有地址段的IP地址（192.168.xxx.xxx）。
　　　　网络安全问题主要集中于被窃取保密信息、扫描系统漏洞、瘫痪系统，特洛伊木马几个方面。
　　　　防止保密信息被盗，我们可以通过以下措施来增强安全： ①选用安全的口令，某些系统服务功能模块安装后有内建账号，及时修改系统内部账号口令的缺省设置；②谨慎开放缺乏安全保障的应用和端口，很多黑客入侵程序是针对特定服务和特定服务端口的，所以关闭不必要的服务和服务端口，能大大降低遭受黑客攻击的风险。
　　　　操作系统本身的不完善和漏洞，这种隐患存在于所有连入互联网的计算机，比较明显的就是Windows 9x的 DoS（Denied of Service）缺陷。攻击者只要发送一段特殊的数据，就可以让你的Windows 9x 失去响应，或者干脆蓝屏死机，对于这种类型的攻击，由于是操作系统的天生缺陷，所以只有通过安装系统的补丁程序来解决，或者安装防火墙来堵住这些漏洞。
　　　　特洛伊木马是一类特殊的客户/服务器结构的小程序，它隐藏在操作系统中悄悄向入侵者发送你计算机内的资料，所以局域网内的用户，不要运行来历不明的程序，定期更新反病毒软件扫描特洛伊木马是防止这类入侵的最佳办法。
　　　　我们可以看到局域网的共享上网服务器长时间在线，又是整个局域网的互联网总出口，同时还是整个局域网的第一道防线，所以对于它更加需要保护。
　　　　下面我们就如何提高共享上网服务器安全性作一些介绍。网络入侵行为的得逞其主要原因集中于用户自身系统设置的不安全。正确设置共享服务器的网络属性就是最基本的安全措施。如果服务器基于Windows 9x，那么这几个方面需要正确设置：
　　　　禁止文件和打印共享  如果服务器不为局域网其他用户提供文件和打印共享，那么你就把它关闭。设置方法是：进入控制面板→网络→文件和打印共享→去掉文件、打印共享的两个选定标记。 文件和打印共享如果必须使用，那么最好还是不要用TCP/IP协议来实现，用NetBEUI或者IPX来使用共享功能就比TCP/IP要安全很多，毕竟入侵者很少和你在同一个网段，而NetBEUI和IPX是很难跨网段共享的。
　　　　禁止在TCP/IP协议上加载NetBIOS  如果你希望在互联网上隐藏你的计算机名称和工作组名称（这些信息将成为入侵者的重要参考资料）而这些信息的泄漏是由于TCP/IP协议上加载了NetBIOS。所以我们要把它关闭。设置方法是：首先安装NetBEUI协议，以保证Windows正常运行局域网的应用程序，并且开放TCP/IP协议加载NetBIOS的修改权力，然后进入控制面板→网络→连接互联网那个设备的TCP/IP属性（Modem用户=拨号适配器，ADSL用户=PPPoE适配器）→绑定→去掉Microsoft 网络用户选定标记 →NetBIOS→去掉“要通过TCP/IP启用NetBIOS”选定标记。有时系统会提示你是否需要绑定其他协议，你需要选择NO。
　　　　禁止在TCP/IP协议上使用文件和打印共享  由于TCP/IP协议的广域连接能力，在必须使用共享时如果在它上面使用文件和打印共享就为入侵者提供了快速通道，因此必须关闭。设置方法是：进入控制面板→网络→连接互联网那个设备的TCP/IP属性→绑定→去掉文件、打印共享的选定标记。
　　　　正确设置了服务器以后就是修补操作系统的各种漏洞，修补这些漏洞的一个办法就是下载该操作系统的各种补丁和ServicePack升级包。
　　　　共享上网代理软件虽然作为局域网内其他计算机的一道防火墙保护了它们，那么服务器本身能否也安装一道防火墙来保护自己呢，答案是肯定的那就是安装防火墙软件。
　　　　防火墙软件不仅可以准确拦截各种入侵的企图和堵住系统漏洞，并且还可以防止各种特洛伊木马的侵害，功能非常强大，在服务器上安装以后，就等于给我们的局域网来了个双重保险。在选用防火墙软件的时候我们需要注意一个问题，当防火墙软件使用在局域网共享上网的时候由于局域网其他计算机要对服务器进行DNS、Proxy、HTTP等协议的操作，而防火墙软件一般都把它们归于入侵企图，并进行拦截，这样就会使局域网用户无法上网。国外一些知名防火墙一般通过把网内用户设置为信任用户允许它们进行这些操作来解决这个问题。
　　　　这里我们推荐在服务器上安装BlackICE防火墙软件，该软件可以到www.networkice.com下载。
　　　　BlackICE的安装很简单，运行安装文件后，按照向导提示就可以完成。BlackICE是由一个功能非常强大的监测和分析引擎构成的。它能够检测所有网络端口，当发现黑客的攻击行为时，它会自动记录攻击类型等情况，并且拦截相应的数据包进行处理。
　　　　设置BlackICE也很简单，鼠标点击任务栏上的BlackICE图标，打开主窗口选择TOOLS菜单下的“Edit BlackICE Settings”，就可以对BlackICE进行功能设置（^17060105a^），它包括以下几个方面。
　　#1     1.Back Trace（回溯）
　　　　此项可以让你查看和修改控制回溯功能的配置参数。当BlackICE检测到可疑的事件发生时，它会立即搜集相关的信息。一个可以给黑客定位的方法就是使用回溯（Back Trace）。当有人通过网络连接到你的电脑时，你的系统和入侵者的系统就相互交换数据包（packets）。黑客的数据包在到达你的系统之前，首先要通过几个路由器。BlackICE可以从这些数据包中剥离信息，阻止信息返回黑客的系统，并定位对方。
　　　　BlackICE回溯信息的方式有直接（direct）和间接（indirect）两种。间接回溯使用与黑客系统不产生联系的协议，沿着通向黑客系统的路径，从其他来源间接收集信息；直接回溯使用各种方法直接从黑客的系统收集信息。直接回溯比间接回溯能收集到更可靠的信息。黑客不能检测到间接回溯，但是直接回溯可能被黑客发觉。
　　　　Threshold指受到黑客的攻击的严重程度，默认值是30和60。20-40属于可疑事件，40-80属于严重事件，80以上就不用多说了。两个参数用于确定在发生什么等级的事件时，才会触发直接和间接的回溯。
　　#1     2.Packet Log（数据包记录）
　　　　此项用于记录数据包的特征等情况，可能会占用一些系统资源，但是可以详细记录黑客的情况。Logging Enabled：默认是关闭的，激活时可以记录所有系统流通情况。File Prefix：文件名的前缀。例如，如果你的文件名是abc，则log文件是abc0001.log。Maximum Size （kbytes）：指定记录（log）文件的最大值，默认是0。Maximum Number of Files：指定记录文件最大数量，默认是10。
　　#1     3.Evidence Log（证据记录）
　　　　BlackICE不停地检测系统，一旦发现可疑的情况，它立即开始搜集相关的信息。这个信息就存放在证据文件中。证据文件是记录可疑事件发生时原始网络通讯情况的文件。它的设置和数据包记录基本相同。
　　#1     4.Protection（保护）
　　　　这一项用来设置BlackICE的安全等级。预设的等级有四种：
　　　　1）Paranoid：这项设置是最高级保护，它阻止所有来自外部的入侵数据，还可以限制一些网站和交互式内容的浏览。
　　　　2）Nervous：可以阻止对所有系统端口和TCP应用端口中的外部数据进入计算机。这项设置可能会限制一些有交互内容的网站浏览。多媒体和其他程序不受影响。
　　　　3）Cautious：适用于Internet的常规使用，它只禁止系统端口中有数据进入，其他端口不受影响，所以不妨碍网络使用。
　　　　4）Trusting：如果选择这个选项，BlackICE仅仅禁止Internet上的文件共享（除非特别设置了允许Internet上的文件共享）。
　　　　Internet文件共享选项，允许其他网络使用者共享你电脑中的文件。阻止文件共享可以保证黑客不能从你的电脑中下载数据。所有其他端口保持开放状态。
　　　　尽管禁止了Internet上的文件共享，但内部网络的文件共享是可以的。这种设置适合于与Internet的连接比较慢而且受到攻击的可能比较小的情况。
　　　　Allow Internet File Sharing（允许Internet文件共享）一项最好不要使用。如果你希望他人访问你的电脑，就可以选择Allow NetBIOS Neighborhood（允许网上邻居）。
　　#1     5.Trusted Addresses（信任地址）
　　　　在这一项设置中，你可以输入你认为安全的网络地址，这样BlackICE就会把这些地址排除在监视和防护的网址范围以外。点击“Add”，输入一个你信任的地址。在共享上网情况下我们把所有局域网内部的IP地址输入以后，客户机就可以畅通无阻地使用共享上网了。
　　#1　　6.Blocked Addresses（禁止地址）
　　　　从这一项，你可以看到BlackICE禁止的地址，来自这个IP地址的所有信息将会被拒绝。它也可以显示目前的黑客的地址。禁止的地址都有详细和精确的开始时间和结束时间，时间可以是几分钟或者几天。如果有必要，这些地址也可以被转换成信任的地址。你可以点击右键，选择Unblock and Trust，就可以转换了。点击上面的标签可以进行排序。
　　#1　　7.ICEcap
　　　　BlackICE集成了ICEcap，可以集中地报告和分析网络的入侵行为。ICEcap主要用于多个系统和Internet的连接。
　　　　一旦安装了BlackICE，它就会在后台静静地工作，此时它会自动防护外来攻击，极大增强网络的安全性。
　　　　通过上面的介绍我想大家已经对办公室共享上网的技术、管理和安全有了一个全面的了解，从中我们也可以看出Proxy和NAT类型各有优缺点，所以当大家的办公室要进行网络改造使用共享上网时还需要根据使用情况选择合适的共享上网代理软件，最后切记网络安全不可轻视。
　　　
　　 
 