浏览模式: 普通 | 列表

推荐日志 Linux系统中如何用防火墙抵挡黑客攻击

[ 2007-03-25 03:53:25 | 作者: sun ]

防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。


当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的"IP伪装"法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机,也是用同样的IP,由于你根本不能存取,当然不能侵入或破解了。


那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。


"IP伪装"就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用"IP伪装"时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。


实际上的"IP伪装"要比上述的还要复杂一些。基本上,"IP伪装"服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。


而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装Windows的计算机(IP为192.168.1.25),位于第二个网络上(Ethernet eth1)的话,要存取位于Internet(Ethernet eth0)上的缆线调制解调器(207.176.253.15)时,Linux的"IP伪装"就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到207.176.253.15时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。


Linux可管理数台本地计算机,并处理每一个封包,而不致发生混淆。作者有一部安装SlackWare Linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。


在第二版核心前,"IP伪装"是以IP发送管理模块(IPFWADM,IP fw adm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADM wrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定"IP伪装"(您可至http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS的方法,该页并有"IP伪装"更详尽的说明)。


另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。


作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1。这两张卡均为SN2000式无跳脚的ISA适配卡,而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定,指令如下:


IPADDR="207.175.253.15"

#换成您缆线调制解调器的IP地址。

NETMASK="255.255.255.0"

#换成您的网络屏蔽。

NETWORK="207.175.253.0"

#换成您的网络地址。

BROADCAST="207.175.253.255"


#换成您的广播地址。

GATEWAY="207.175.253.254"

#换成您的网关地址。

#用以上的宏来设定您的缆线调制解调器以太网卡

/sbin/ifconfig eth0 ${IPADDR} broadcast $ {BROADCAST} netmask ${NETMASK}

#设定IP路由表

/sbin/route add -net ${NETWORK} netmask $ {NETMASK} eth0

#设定intranet以太网络卡eth1,不使用宏指令

/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0

/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1

#接着设定IP fw adm初始化

/sbin/ipfwadm -F -p deny #拒绝以下位置之外的存取 #打开来自192.168.1.X的传送需求

/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

/sbin/ipfwadm -M -s 600 30 120


就是这样!您系统的"IP伪装"现在应该可以正常工作了。如果您想得到更详细的信息,可以参考上面所提到的HOWTO,或是至http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html参考MINI HOWTO。另外关于安全性更高的防火墙技术,则可在ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到资料。


半年来,56K模拟数据卡的价格突然跌降了不少。不过,大多数新的数据卡,其实是拿掉了板子上的控制用微处理器,因此会对系统的主CPU造成额外的负荷,而Linux并不支持这些"WinModem"卡。虽然Linux核心高手们,还是有能力为WinModem卡撰写驱动程序,但他们也很明白,为了省10元美金而对系统效能造成影响,绝对不是明智之举。


请确定您所使用的Modem卡,有跳脚可用来设定COM1、COM2、COM3与COM4,如此一来,这些数据卡才可在Linux下正常工作。您可在http://www.o2.net/~gromitkc/winmodem.html中找到与Linux兼容的数据卡的完整列表。


当作者在撰写本篇文章时,曾花了点时间测试各种不同的数据卡。Linux支持即插即用装置,所以我买了一块由Amjet生产的无跳脚数据卡,才又发现另一个令人困扰的问题。


作者测试用的PC是一部老旧的486,用的是1994年版的AMI BIOS。在插上这块即插即用数据卡后,计算机便无法开机了,画面上出现的是"主硬盘发生故障"(Primary hard disk failure)。经检查,发现即插即用的BIOS居然将原应保留给硬盘控制器的15号中断,配给了数据卡。最后作者放弃了在旧计算机上使用即插即用产品,因为不值得为这些事花时间。所以,请您注意在购买数据卡之前,先看清楚是否有调整COM1到COM4的跳脚。


在作者的布告板(http://trevormarshall.com/BYTE/)上,看到有几位朋友询问是否可以用多条拨号线来改善Internet的上网速度。这里最好的例子是128K ISDN,它同时运用两条56K通道,以达到128K的速度。当ISP提供这样的服务时,其实会配置两条独立的线路连到同一个IP上。


您可以看到,虽然Linux上有EQL这类模块,可让您在计算机上同时使用两块数据卡,但除非ISP对两组拨号连线提供同一个IP,否则这两块数据卡也只是对送出资料有帮助而已。


如果您拨接的是一般的ISP PPP线路,那么您会得到一个IP地址,从服务器回传的封包才能在数百万台计算机中找到您;而您每次拨入ISP时,都会得到一个不同的IP地址。


你的浏览器所送出的封包中,也包含供服务器资料回传的本地IP地址。EQL可将这些外传的封包,分散到不同的ISP线路上,但当资料回传时,却只能通过一个IP地址接收,也就是浏览器认为正在使用的那个地址。若是使用ISDN,那么ISP会处理这个问题;一些ISP会为多组线路的拨号接入提供相应的IP地址,但价钱非常昂贵。


在追求速度时,请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过"IP伪装"防火墙,去存取一部56K模拟调制解调器,工作情况十分良好,只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前,可以先架设一部"IP伪装"服务器试试。Windows处理多重IP的方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让您惊讶不已。

简而言之,Linux所用的"IP伪装"法,就是把你的IP藏起来,不让网络上的其他人看到.

推荐日志 Ghost完全应用技巧二十则

[ 2007-03-25 03:53:08 | 作者: sun ]
用过DOS的人对参数并不陌生,DOS下的很多程序都有参数,尽管是枯燥的英文字母,但功能却非常强大。Ghost是一个典型的支持参数的DOS程序,充分利用它的参数,我们可以更好地控制Ghost。让它们更好地为我们工作,前面几个例子,我们就使用了Ghost的参数做出了一张自动备份和恢复硬盘数据的自启动光盘。正是因为Ghost参数众多,功能强大,我们才有必要把一些最最常用的参数列出,供大家平时参考使用。

  小提示

  ★参数(Parameter)是程序提供给我们一些隐藏选项,通过添加参数,可以实现正常启动程序无法实现或者能够实现,但需要很多步骤才能够实现的功能,可以给我们带来很多的方便。

  ★参数与程序、参数与参数之间用空格符分隔。  

  ★我们可以把Ghost的参数写入到一些BAT文件中,并通过控制语句来用它更方便地克隆和恢复我们的系统。

  1.磁盘对磁盘拷贝

  图形界面: Disk To Disk

  参数例子: ghost -clone,mode=copy,src=1,dst=2 -sure -fx

  参数功能: 拷贝磁盘一的全部内容到磁盘二,不必询问,完成后退出Ghost。

  2.把磁盘上的所有内容备份成映像文件

  图形界面: Disk To Image

  参数例子: ghost -clone,mode=dump,src=1,dst=d:Win98sys.gho -z3 -sure -fx

  参数功能: 备份机器第一块硬盘上的全部内容到另一台硬盘d:Win98sys.gho文件中,高压缩,不必询问,完成后退出Ghost。

  3.从备份的映像文件复原到磁盘

  图形界面: Disk From Image

  参数例子: ghost -clone,mode=load,src=d:Win98sys.gho,dst=1 -sure -fx

  参数功能: 从备份在另一块硬盘d:Win98sys.gho的映像文件复原到第一块硬盘上,不必询问,完成后退出Ghost。

  4.分区对分区拷贝

  图形界面: Partition To Partition

  参数例子: ghost -clone,mode=pcopy,src=1:1,dst=2:1 -sure -fx

  参数功能: 拷贝第一块硬盘第一个分区上的所有内容到第二块硬盘的第一个分区上,不必询问,完成后退出Ghost。

  5.把分区内容备份成映像文件

  图形界面: Partition To Image

  参数例子: ghost -clone,mode=pdump,src=1:1,dst=d:Win98sys.gho -z9 -sure -fx

  参数功能: 备份第一块硬盘第一分区到d:Win98sys.gho,采用最高压缩率,不必询问,完成后退出Ghost。

 6.从备份的映像文件克隆到分区

  图形界面: Partition From Image

  参数例子: ghost -clone,mode=pload,src=d:Win98sys.gho:1,dst=1:1 -sure -fx

  参数功能: 把d:Win98sys.gho中的第一个分区内存克隆到第一块硬盘第一分区上,不必询问,完成后退出Ghost。

  7.平行端口电缆线直接连接电脑客户机

  图形界面: LPT/Slave

  参数例子: ghost -lps

  参数功能: 启动客户机 (两台电脑必须同时执行Ghost)。

  8.平行端口电缆线直接连接服务机

  图形界面: LPT/Master

  参数例子: ghost -lpm -clone,mode=dump,src=1,dst=c:Win98sys.gho -sure -fx

  参数功能: 将服务机第一块硬盘上的内容备份到客户机c:Win98sys.gho文件中,不必询问,完成后退出Ghost。

  9.硬盘间直接克隆

  参数例子:ghost -clone,mode=copy,src=1,dst=2 -sure

  参数功能:在内部模式拷贝第一块硬盘到第二块硬盘,无需提示,直接克隆。

  10.网络备份

  参数例子:ghost -nbm -clone,mode=dump,src=2,dst=c:xxxx.gho

  参数功能:由NetBIOS模式连接到正在进行ghostslave的网络远程个人电脑并备份本机第二块硬盘到远程硬盘C:xxxx.gho成一映像压缩文件。

  小提示

  该远程客户机必须使用ghost -nbs命令来启动。

11.将映像文件克隆到硬盘

  参数例子:ghost -clone,mode=load,src=e:savdsk.gho,dst=1

  参数功能:读入E:SAVEDSK.gho文件,并把它克隆到第一块硬盘上。

  12.将第二个分区备份为映像文件(还原)

  参数例子:ghost -clone,mode=pdump,src=1:2,dst=g:imgspart2.gho

  参数功能:备份第一块硬盘的第二分区到g:imgspart2.gho映像文件。

  参数例子:ghost -clone,mode=pload,src=g:imgspart2.gho:2,dst=1:2

  参数功能:载入(恢复)映像文件内的第二分区到内部硬盘第一块硬盘的第二分区。

  13.不同硬盘不同分区复制

  参数例子:ghost -clone,mode=pcopy,src=1:2,dst=2:1

  参数功能:拷贝第一块硬盘的第二分区到第二块硬盘的第一分区。

  14.还原到第二块硬盘并调整分区大小

  参数例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=2,sze1=60P,sze2=40P

  参数功能:克隆g:imgs2prtdisk.gho映像文件到第二块硬盘, 并重整按60%和40%大小分配分区大小。
15.还原到第一块硬盘并调整分区大小

  参数例子:ghost -clone,mode=load,src=e:imgs3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M

  参数功能:克隆e:imgs3prtdisk.gho映像文件到第一块硬盘, 并重整分区大小为: 第一分区450MB,第二分区1599MB,第三分区2047MB。

  16.保留第一分区,其他不分配

  参数例子:ghost -clone,mode=copy,src=1,dst=2,sze1=F,sze2=V,sze3=V

  参数功能:拷贝有三个分区的第一块硬盘到第二块硬盘并保持第一分区与来源大小相同,但是其他分区所剩余空间保留不予分配。

  17.还原到最后的分区并调整分区大小

  参数例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=1,szeL

  参数功能:载入映像文件到磁盘最后的分区并按照容量重整其大小,第一分区则利用剩余的空间。

  18.从参数文件读取

  参数例子:GHOST.EXE @(参数文件)

  参数功能:GHOST命令行参数可从参数文件读取并执行(注意参数文件是文本格式的)。

  小提示

  参数文件中可以以文本格式编写包含任何Ghost命令行参数,除了-AFILE=和-DFILE= 参数外。

  19.备份并自动分割

  参数例子:ghost -sure -clone,mode=pdump,src=1:1,dst=system.gho -span -split=630

  参数功能:它的作用是把第一块硬盘第一分区信息备份到当前文件夹下的system.gho中,如果生成的system.gho大于630MB,则会分割生成的GHO文件,这个参数在备份大的分区,并把它们烧录到650MB的CD-R上时非常有用。

  20.备份并加密

  参数例子:ghost -sure -pwd,666888 -clone,mode=pdump,src=1:1,dst=system.gho

  参数功能:该语句的作用是把第一块硬盘第一分区信息备份到当前文件夹下的system.gho中,并且以666888作为生成后GHO文件的密码,以便加密。以后用Ghost恢复system.gho文件,或者用Ghost Explorer来释放其中的文件时,都必须输入密码,否则无法恢复或释放文件,从而起到了保密的作用。如果输入ghost -sure -pwd -clone,mode=pdump,src=1:1,dst=system.gho,即-pwd后面不带密码,则Ghost在制作GHO文件前会询问用户加密GHO的密码,你必须记牢。给GHO文件加密后,别人就无法随意查看或恢复我们的文件了。

推荐日志 补丁管理全过程

[ 2007-03-25 03:52:53 | 作者: sun ]
传统的补丁管理,存在着可控性差、无法评估实施效果等问题。系统管理员往往只能将需要更新的补丁连接通知用户,至于用户是否打了补丁、补丁应用成功与否则很难控制。在这种情况下,企业IT系统仍然会存在很多漏洞,成为病毒和黑客程序攻击的目标。要提升补丁管理的水平,首先要分析补丁管理过程中的各个环节,然后利用相关的管理工具最大限度地降低管理员的工作量和工作难度。

一般来说,主动的补丁管理过程应该包括以下几个环节:

* 调查环境 首先需要了解网络中所有的设备并获得这些设备的基本信息,只有对网络环境的资产信息进行集中管理,才能够针对不同的平台和对象采用不同的应用策略。

* 研究和调查漏洞 对最新的漏洞信息,应该能够收集完整的描述信息,包括漏洞的发布时间、平台相关性、严重级别、内容描述等,根据这些信息管理员可以确认漏洞的重要程度。

* 威胁评估 收集整个网络中每台设备上详细的漏洞状况,即针对每台设备上存在哪些漏洞。

* 下载和测试补丁 系统管理员需要下载相应的补丁,同一个漏洞在不同的操作系统上需要应用不同的补丁,这些补丁的可靠性必须经过严格的试。

* 部署补丁 系统员需要快速给有的系统打补丁。

* 结果评估 系统管理员需要得到补丁应用结果的详细统计信息,针对没有打上补丁的系统,管理员需要采取必要的措施。

补丁管理方案必备功能

针对以上六个步骤,我们不难看出,一个好的补丁管理解决方案应该具有以下特点:

* 具有完整的资产收集功能,能够收集到所有终端节点的设备名称、IP地址、操作系统平台、语言版本等信息。

* 同步更新操作系统漏洞信息,系统管理员能够从控制台上随时了解完整的漏洞信息。

* 收集客户端当前漏洞状态,该漏洞状态是自动应用补丁的基础。

* 自动下载补丁。针对管理员需要弥补的一个或多个漏洞,自动下载所有对应的补丁,补丁的来源必须是可靠的并且经过检验。

* 自动分发并安装补丁。能够自动向需要打补丁的客户端分发并安装补丁,该过程对客户端是透明的,不需要客户干预。

* 自动评估效果。补丁应用策略实施后,自动评估补丁应用的效果,形成修复报告。

推荐日志 多重保护防范办公室内网安全

[ 2007-03-25 03:52:43 | 作者: sun ]
一、边际设备保护

网关是内外网通信的必经之路,是外网联入内网的咽喉。相对来说,内网的木马病毒都是比较少的,但是缺乏隔离机制的内网,一旦有一台计算机被病毒木马所感染,其它的也就都陷入了非常危险的境地。正如流感一般,虽然轻易不会得流感,但如果一家人中有一人不小心得上了,那其它家庭成员也就很容易被感染。

所以,对于一个局域网络来说,在边际处至少应当有一个初具安全防范功能的路由器或是防火墙,以建立第一道防线。

二、口令安全

现在大部分人都认识到口令安全的重要性了,不过还是要重申一下:口令的位数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码作为口令,并定期改变各系统的口令。另外,个人私用密码最好与工作时使用的密码分开。

三、终端计算机防护

一般来说,终端计算机上必然需要安装的防护软件就是杀毒软件了,基本要求就是能实时防护(特别在上外网的时候)、数据库更新快,以及占用系统资源小。个人强烈推荐使用kaspersky,技术实力没的说,俄国技术,病毒数据库每天更新两次,并承诺对新病毒的响应时间为30分钟,使用起来也比较方便,又有汉化版,好处说不完(唯一缺点就是不是国产的,使用它不能算支持民族企业了)。

操作系统绝大多数人应当用的是微软的windows系列,windows9x系列稳定性是不太强,幸而从windows2000之后已经不太容易死机了,操作系统本身的稳定性还可以,主要受影响的就是在安装软件时不小心装上的哪些如同“牛皮癣”一般的各类插件了,如XX实名,XX猪,XX21,XX助手,XX搜等等,不仅占用了大量的系统资源和窗口空间,影响开机速度,有时还会引起不知名的错误。想卸载的话就在google、baidu上面搜搜吧,相关的资料还是不少的。另外,系统补丁也要及时打上。

定期备份重要数据也是非常重要的。一方面,硬盘数据恢复的价格一般要高于购买硬盘的价格,而且未必能够恢复出来;另一方面,若误操作将重要数据删除,这时候备份的重要性就体现出来了。

对于拥有数十台、上百台甚至以上的企业,添加域控制器进行管理是一个十分有效的方法。企业一般通过代理或者路由上网,那么可以使用“网盾IPtrust内网安全管理系统”对内部计算机的操作行为进行监控,他可以对终端操作、网站浏览和各类即时信息软件进行监控,并且也可以限制或禁止游戏、多媒体、股票软件等非工作用的软件,还能进行网站的过滤,限制色情、政治或是其它各类网站。

四、物理防护

这里指的是各种PC、路由器、交换机、工作站等硬件设备和通信链路的安全,主要应当注意重要设备如对外提供服务的服务器的供电以及防止水灾、火灾、雷击等自然灾害,人为破坏和误操作、外界的电磁干扰等,物理安全的威胁可直接造成设备的损坏和数据的丢失。为防止这类事故要建立机房的管理制度,并严格执行,在基建阶段就要做好机房、电源的防雷工作。

小结

要更好的解决内网的安全问题,需要从各种角度看待内网安全。在目前网络飞速发展的形势下,安全问题不能只停留在“堵”,“杀”或者“防”的层面上,要以动态的方式迎接各方面的挑战,不断学习跟上新技术的变化。除了技术上的防范,健全网络安全的管理制度,建立健全各种规章制度也是保障内网安全必不可少的措施。

推荐日志 企业中进行病毒管理防范的技巧

[ 2007-03-25 03:52:30 | 作者: sun ]
对于企业反病毒来说,如何通过少量的管理员来维护庞大的内部网络是首要问题,如何通过整体的管理策略和解决方案,来让企业网络管理员能便捷、轻松、放心地掌控企业信息安全。可以说,企业防毒,“三分技术,七分管理”。本文将着重介绍目前主要的企业反病毒管理策略。

企业反病毒管理策略

1. 集中管理

在管理方式上,可分为B/S架构和C/S架构两大主流,B/S架构相对C/S架构来说实现更为复杂,但给管理员提供了一个可移动的管理控制台,更便捷、灵活。而C/S架构则具有实时性的优点,能够实时反映状态信息。

2. 分级(分地)管理

在集中管理的基础上,衍生出分级(分地)管理的策略,针对那些有分支机构企业,提供中央加地方的管理模式,中央的管理员能够管理企业网络内所有机器,而分支机构的日常维护工作则由地方管理员来执行,这样的管理策略显然比单纯的集中管理更可靠、灵活。

3. 分组管理

分组管理是对一个企业机器群的细分管理方式。一个企业内部可能分为研发、市场、财务等部门,而相应的安全性、稳定性的要求是不一样的,分组管理在客户端设置、警报级别等方面进行细分管理,帮助企业管理员制定更完善和有针对性的安全管理策略。

4. 权限管理

权限管理是一种强制性策略,管理员通过设置客户端权限,来保护整个网络的利益。通过权限管理,管理员可限制反病毒客户端的直接控制权,比如开/关防火墙、卸载客户端、关闭客户端、更改客户端设置。

5. 升级管理

保证全网所有客户端病毒库的及时更新是升级管理的目的,为了减少网络带宽和管理员维护的难度,在企业内网搭建专用的升级服务器是最佳解决方案。升级服务器包括自动更新、手动更新、升级包更新等升级方式,相应的管理接口有日志管理、病毒库管理。

6. 警报与日志

警报在疫情发生或者将要发生时提醒管理员,使管理员可以预先防范,或者采取应急措施,保障企业数据安全。而日志是管理员对行为的一种回溯途径,可以帮助管理员查找历史记录、可疑操作以及越权操作,以发现安全管理隐患。



金山毒霸网络版的管理策略

1. B/S管理架构

金山毒霸网络版采用业界主流的B/S结构,可保证管理员在任何一台具备上网条件的计算机上(即使在外出差)对整个防毒体系进行集中统一的管理。

2. 无限分层的多级管理

针对政府、军队及大型企业集团的多级行政架构,金山毒霸网络版采用了可无限分层的多级管理中心,各级管理中心对应于相应的行政层级,且每级都可实现对下级单位的统一管理。这种模式将行政架构、计算机网络系统及防毒体系三者完全融合。

3. 分级架构、集中管理

金山毒霸网络版实现跨地区多网域的分级防毒体系架构,管理员可在总部对各地分支机构的所有防毒节点进行集中统一管理,各分支机构也可实施本地化管理。该架构具有良好的可扩展性和可伸缩性,能很好适应网络规模扩大或新增管理节点。

4. 可级联的升级服务器

采用独立的升级服务器,支持分级,以实现服务器升级流量的负载均衡效果,优化网络整体性能;

与局域网用户相比,普通拨号上网的用户在预防黑客入侵的对抗中,往往处于更不利的地位。但是,许多上网的虫虫一向对网络安全抱着无所谓的态度,认为最多不过是被人盗用账号而损失几千元而已,却没有想到被盗用的账号如果被黑客利用做为跳板从事网络破坏活动,你可能就要背黑锅了。根据笔者一位朋友对拨号上网用户的抽样追踪发现,在广州城里,居然有三成多的用户半年以内都不更换一次账号密码!由于从事黑客活动越来越容易,是到了需要提高网络安全意识的时候了,下面的方法将有助于拨号上网用户预防黑客入侵。

一、 经常修改密码

老生常谈了,但却是最简单有效的方法。由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的帐号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。由于那么多潜在的黑客千方百计想要获得别人的密码,那么拨号上网用户就应该加强防范,以下四个原则可提高密码的抗破解能力。

1.不要选择常用字做密码。

2.用单词和符号混合组成密码。

3.使用9个以上的字符做密码,使你的密码尽可能地长,对Windows系统来说,密码最少要由9个字符组成才算安全。

4.密码组成中最好混合使用大小写字母,一般情况下密码只由英文字母组成,密码中可使用26或52个字母。若对一个8个字母组成的密码进行破解,密码中字母有无大小写之分将使破解时间产生256倍的差别。

二、 请他人安装后应立即修改密码

这是一个很容易忽略的细节,许多用户第一次不懂得如何拨号上网,就请别人来教,这样常常把用户名和密码告诉此人,这个人记住以后就可以回去盗用服务了。所以,用户最好自己学会如何拨号后再去申请上网账号,或者首先向ISP问清如何修改自己的密码,在别人教会自己如何拨号后,立刻将密码改掉,避免被人盗用。

三、 使用“拨号后出现终端窗口”功能

选中某一连接,单击鼠标右键,选“属性/常规/配置/选项/拨号后出现终端窗口”,然后拨号时,在拨号界面上不要填入用户名和密码(更不要选中“保存密码”项),在出现拨号终端窗口后再进行相应的输入,这可以避免用户名和密码被记录到硬盘上的密码文件中,同时,也可以避免被某些黑客程序捕获用户名和密码。

四、 删除.pwl文件

在Windows目录下往往有一些以“.pwl”为后缀名的密码文件,“.pwl”是password的音译缩写。比如:在最初的Windows 95操作系统中密码的保存即存在安全漏洞,从而使黑客可以利用相应的程序轻松获取保存在pwl文件里的密码。这一漏洞在Windows 97中已经被修复。因此,你需要为你的电脑安装Windows 97以上版本的操作系统。pwl文件还常常记录其他地方要用到的密码,比如开启Exchange电子信箱的密码、玩Mud游戏的密码等,要经常删除这些pwl文件避免将密码留在硬盘上。

五、 禁止安装击键记录程序

很多人知道doskey.exe这个程序,这个在DOS下常用的外部命令能通过恢复以前输入的命令来加快输入命令的速度,在Windows下也有了许多类似的程序,如keylog,它不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。还有些程序能将击键字母记录到根目录下的某一特定文件中,而这一文件可以用文本编辑器来查看。密码就是这样被泄露出去的,偷盗者只要在根目录下看看就可以了,根本无需任何专业知识!

六、 对付特洛伊木马

特洛伊木马程序常被定义为当执行一个任务时却实际上执行着另一个任务的程序,用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过。典型的一个例子是:伪造一个登录界面,当用户在这个界面上输入用户名和密码时,程序将它们转移到一个隐蔽的文件中,然后提示错误要求用户再输入一遍,程序这时再调用真正的登录界面让用户登录,于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。现在互联网上有许多所谓的特洛伊木马程序,像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说,它们属于客户机/服务器(C/S)程序,因为它们往往带有一个用于驻留在用户机器上的服务器程序,以及一个用于访问用户机器的客户端程序,就好像NT的Server和Workstation的关系一样。

在对付特洛伊木马程序方面,有以下几种办法:

多读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包,在没有弄清软件包中几个程序的具体功能前,就匆匆地执行其中的程序,这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品。软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明,尽管它一般是英文的,但还是有必要先阅读一下,如果实在读不懂,那最好不要执行任何程序,丢弃软件包当然是最保险的了。有必要养成在使用任何程序前先读readme.txt的好习惯。

值得一提的是,有许多程序说明做成可执行的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊木马程序,或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的,目的就是让用户误以为是程序说明文件去执行它,可谓用心险恶。所以从互联网上得来的readme.exe最好不要执行它。



本周二,联合国发表的一份调查报告称,全球的许多网站都无法为残疾人所访问,但通过简单的改进就能够符合国际可访问性标准。

英国高科技厂商Nomensa对20个国家的100个流行的网站进行了研究,发现许多网站不符合国际访问性标准。Nomensa的沃森在联合国总部的一个新闻发布会上说,很显然,我们有些困难需要克服。沃森本人就是个盲人。

沃森表示,尽管许多网站已经采取了提高可访问性的措施,但是,它们需要做出更多的努力,使自己能够为不能使用计算机鼠标、弱视的人、甚至是盲人所访问。

沃森指出,在调查中最常见的问题是对JavaScript脚本语言的使用,以及使用不带解释性文字的图像。大量使用JavaScript使得约10%的互联网用户无法访问关键的信息,因为他们缺乏必要的软件;图片的文字描述使盲人能够通过使用可以将文本转化为语音的屏幕文本阅读软件“看到”图像。

这次调查发现的另一个问题是颜色搭配不够好,给患有色盲等轻微眼疾的用户访问网页带来了困难。

在被调查的100个网站中,有3个符合基本的可访问性标准——德国总理、英国首相,以及西班牙政府的网站。

推荐日志 创建容易记忆而又安全的密码

[ 2007-03-25 03:51:48 | 作者: sun ]
用户们经常会忘记自己的密码。为了不忘记密码,他们就是用些简单的信息来创建密码,比如用养的狗的名字,儿子的名字和生日,目前月份的名称——或者任何可以帮助他们记住密码的东西。
  对于那些侵入你的计算机系统的黑客来说,你创建的这些密码毫无作用,就好比把门锁上了却把钥匙扔在门外的擦鞋垫上一样。黑客不需要使用特殊工具就能发现你个人的基本信息——名字,孩子的名字,生日,宠物名字,等等。他可以把这些作为破解你密码的线索一一尝试。

  想要创建安全又好记的密码,请遵循如下几个简单的要求:

1、别用个人信息

  永远不要用个人信息来创建密码。别人很容易猜到你可能用姓,宠物名字,孩子的出生日期或者其他类似的细节。

2、别用真实的单词

  黑客们能用某些工具猜出你的密码。现如今的计算机不需要花很久的时间就可以把字典中的所有单词都试一遍,然后找出你的密码。所以你最好别用真实的单词做密码。

3、混用不同体的字符

  混用不同的字体的字符可以使你的密码更安全。既用大写字母也用小写字母,以及数字,甚至诸如‘&’和‘%’等。

4、使用惯用语

  除了记住那些用各种字符组成的密码,你还可以使用惯用语,它同样可以组成不是字典中的单词的密码。你可以想出一句话或者一行你喜欢的歌曲或诗歌,用它每个单词的首字母创建一个密码。

  例如,与其创建一个'yrHes'这样的密码,你不如用“I like to read the About.com Internet / Network Security web site”这句话,把它转成如“il2rtA!nsws”这样的密码。这个密码中,用‘2’取代‘to’,并且用惊叹号代替‘Internet’的首字母‘i’。你也可以用各种各样的字符来创建难以被破解的密码,并且便于自己记忆。

5、使用密码管理工具

  安全地储存和记忆密码的另一个办法就是使用密码管理工具。这类工具把用户名密码加密后保存。有些甚至可以在你访问网站时自动向站点或者应用程序填写用户名和密码信息。

6、使用不同的密码

  如果想要保护你的账户和程序,你应该为每个应用程序使用不同的用户名和密码。即使其中的某一个密码被破解了,你其他的密码还是安全的。另一个方法比这种方法的安全性略低,但是它可以使你在安全与方便之间取个折衷。这种方法就是对那些不需要额外保障其安全性的应用都是用一套用户名和密码,而在你的银行或者信用卡的网站则用单独的用户名和更安全的密码。

7、经常更换密码

  你应该至少每30到60天就应该更换密码。并且至少一年之内不应当重复使用同一个密码。

8、加强密码的安全性

  与其依靠计算机的每一位使用者去理解并遵循以上的建议,你还不如给操作系统配置密码策略,这样系统将不接受那些不符合最低安全要求的密码

推荐日志 Windows服务器:切断默认共享通道七招

[ 2007-03-25 03:51:37 | 作者: sun ]
在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁。如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”。下面,本文就为大家推荐以下几则妙招,以便让你轻松禁止掉服务器的默认共享。

  功能配置法

  这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:

  依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;

  单击该窗口中的“服务”选项卡,在其后打开的如图1所示的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。

  小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。

  “强行”停止法

  所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:

  依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;

  在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;

  要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。

逐一删除法

  所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:

  首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;

  然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;

  此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。

  “自动”删除法

  如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:

    @echo off

    net share C$ /del

    net share D$ /del

    net share ipc$ /del

    net share admin$ /del

    ……

  完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断了。
一、网站的通用保护方法


针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:

安全配置

关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。

防火墙 

安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。   

漏洞扫描 

使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。   

入侵检测系统   

利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。   

这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。

二、网站的专用保护方法

尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:  

监测方式   

本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。  

定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。  

比较方法  

在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。   

恢复方式   

恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。  

备份库的安全  

当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。

通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。   

三、网站保护的缺陷

尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。   

另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。   

四、结论

本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。