子鱼 ' Blog

很多朋友在浏览网页的时候会遇到浏览器“卡死”的情况，这多半是因为该网页中有嵌入式的ActiveX插件需要提示安装。为了对付这个问题，市面上有很多相关的“免疫”软件，如NoTroubleMe等，而且Windows XP SP2中也提供了该功能。不过这些思路都比较被动，如果遇到新的ActiveX程序，他们就无能为力了。下面笔者来介绍自己的解决方案。

　　1． 屏蔽ActiveX插件的思路

　　其实对我们真正有用的ActiveX插件毕竟是少数，就普通网友来说不外乎有：Windows Update控件、Flash控件这两种必需的，当然有些朋友可能还想使用银行在线系统或者其它服务需要安装ActiveX。我们其实可以将这些有用的 ActiveX都进行安装，接下来在浏览器设置中屏蔽所有ActiveX插件的在线安装，这样以后不管有什么ActiveX都不为弹出来了。
2． 一劳永逸的设置实战

　　第一步：首先使用IE访问你需要安装ActiveX插件的页面，比如微软的Windows Update站点、带有Flash的站点等，在提示安装ActiveX的时候选择“是”进行安装。

　　第二步：所有的ActiveX都安装完毕后，在IE中选择“工具→Internet选项”，切换到“安全”标签，点击“自定义级别”按钮，在弹出的 “安全设置”窗口中将“下载未签名的ActiveX控件”和“下载已签名的ActiveX控件”两项都设置为“禁用”。最后保存退出即可，如图所示。
当遇到某些网站的ActiveX确认是需要你安装的时候，将上述设置恢复为“默认”，再刷新页面进行安装即可，装完后再重新设置为“禁用”。

我们的防火墙是不是经常有人来攻击你XXX端口呢?如果关掉相应没有用处的端口不就好了吗?

一般来说，我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，本文拟用一种简易的办法——通过限制端口来帮助大家防止非法入侵-----如何关闭系统中的一些端口，同时如何关闭WINDOWS 下的默认共享C$、D$、Admin$、IPC$等等。


非法入侵的方式


简单说来，非法入侵的方式可粗略分为4种：


1、扫描端口，通过已知的系统Bug攻入主机。


2、种植木马，利用木马开辟的后门进入主机。


3、采用数据溢出的手段，迫使主机提供后门进入主机。


4、利用某些软件设计的漏洞，直接或间接控制主机。


非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。


因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。


端口就像一所房子（服务器）的几个门一样，不同的门通向不同的房间（服务器提供的不同服务）。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？


这里举例关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有TCP，其他我就不一一指出了。


具体操作如下:


默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口。


第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。


点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。


再重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。


第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。


第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。


这时候你就可以电脑了，重新启动后，电脑中上述网络端口就被关闭了，在这时候病毒和黑客应该是已经不能连上这些端口了，从而保护了你的电脑


以下要说的是怎样关闭WINDOWS下的默认共享C$、D$、Admin$和IPC$等等。


大家应该知道在WINDOWS 2000和WINDOWS XP下会有默认的共享，病毒和黑客也可以通过这个途径进入你的电脑，从而来毁坏你的文件甚至远程控制你的电脑，这时就应该删除这些默认的共享（其实这些默认的共享对于你个人来说，只是有百害而无一利，这时我个人的看法噢，有意见大家提哟）。


第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。


第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。


这里要先说WINDOWS XP的操作系统，XP可不比2000那么容易对付啰，在我还没找到方法之前，在QQ上碰到“封情绝爱”，问了一下，没想到当时他也没有想到方法，过了15钟左右，当时我在网上已经查到用net share *$ /del这个方法时，“封情”也同时告诉我要用这个命令，真是英雄所见略同。


如果你只是偶尔很少用的电脑，你可以在“开始”菜单里选择“运行”，然后在里面输入“net share *$ /del”(*代表你要删除的共享的名称)就可以了。但是在下次开机以后还会有这个默认的共享，怎么样才能彻底完全的在开机后就关闭这些默认共享呢，Follow me ，let’s go.


现在就要说如何在开机后，WINDOWS会自动关闭所有的默认共享，WINDOWS 2000和WINDOWS XP在这里也是大同小异，在“开始”菜单里选择“运行”，填入“regedit”，打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支，在其下新建“字符串值”，命名可随意，比如“delshareC$”,鼠标右键单击，在弹出的快捷菜单中左键单击“修改”，在接着出现的“编辑字符串”窗口的“数值数据”一栏中输入“net share C$ /del”(不包括引号)按“确定”按钮。同理添加“字符串值”如“delshareD$”，“数值数据”为“net share D$ /del”等，有几个分区就加到哪为止，包括“net share Admin$ /del”等等，注意：这里有大小写之分。之后保存注册表重启计算机，就能实现开机自动关闭这些特殊共享资源了。


但是，大家有没有发现，“net share IPC$ /del”这个命令对于“IPC$”根本就不起任何作用，它还是保持着默认共享怎么办？？？（实际上做到这一步已经够了，无需在关闭IPC$了）


在这里呢，我还要感谢我的培训老师“Ｍｏｚａｒｔ”，是他指导了我怎样才能永久关闭IPC$和默认共享依赖的服务：lanmanserver即server服务,还需要到“控制面板”里的“管理工具”内，找到“服务”在到“server服务”（右击）进入“属性”，点击“常规”，在“启动类型”这一项中选择“已禁用”，这样就关闭了IPC$的默认共享。但是这就会产生一定的负面效应，一旦你关闭了了IPC$的默认共享，很多的Ｓｅｒｖｅｒ服务你就不能利用，同时也可能会发生你不能访问局域网内的其他电脑，请慎用！！


写到这里手也酸了，也快下班了，希望这篇文章能够对大家有所帮助，也欢迎转帖到其他论坛，但是请尊重中华盾，也请尊重本人的劳动成果，请在转载时标注明原创者是中华盾的血衣少，谢谢！！

现在的互联网并非一片净土，为了防范来自网络的攻击，很多初学的朋友也安装了防火墙软件来保护自己，可是如何用防火墙更加实用呢？下面，就跟随笔者一块，以天网防火墙为例，通过它支持自定义规则的功能，满足不同类型用户的需求，避免“防住了别人也阻止了自己”的尴尬。

　　小知识：IP规则是一系列的比较条件和一个对数据包的动作组合，它能根据数据包的每一个部分来与设置的条件进行比较。当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则可以把有害的数据包挡在你的机器之外，也可为某些有合法网络请求的程序开辟绿色通道。

　　添加规则

　　虽然天网中已经设置好了很多规则，可是每个人有每个人的情况，还要根据自己的情况来制定自己的规则(在天网防火墙的IP规则列表中，位于前端的规则会首先动作，并且忽略后面有相关联系的规则，从而使为特别网络服务开辟绿色通道成为可能)。比如，笔者在自己的机器中创建了一个FTP服务器，用来和朋友们分享各类资源，但朋友们反映不能连接。仔细查找，发现原来是天网在“作怪”！现在就给FTP设置一条特别的IP规则方便使用。

　　单击系统托盘中的天网图标打开程序界面，在主界面的左侧点击第二个图标“IP规则管理”。

　　点击“增加规则”按钮，弹出“增加IP规则”窗口，在“名称”中输入一个将要显示在IP规则列表中的名字，在下方的“说明”中填写对该条规则的描述，防止以后忘了该规则的用途。因为笔者建立的FTP服务器需要与朋友们交换数据，因此在“数据包方向”中通过下拉菜单选中“接收和发送”；如果朋友们都没有固定的IP地址，可在“对方IP地址”中选择“任何地址”；另外，由于FTP服务器基于TCP／IP协议，并且需要开放本机的21端口，因此在“数据包协议类型”中选择“TCP”协议，在“本地端口”中输入“0”和“21”开放该端口。由于不限制对方使用何种端口进行连接，所以可在“对方端口”中保持默认的“0”；最后，在“当满足上面条件时”的下拉菜单中选择“通行”来放行即可。 　　

　　经过上面的设置，本机的21端口就被打开了。返回天网主界面，选中新创建的“FTP”规则，按住“↑”将其移动到“TCP 数据包监视”规则的下方，以跳过最严厉的“禁止所有人连接”规则，然后点击“保存规则”保存设置。现在重新启动天网防火墙即可生效。

　　提示：如果想在天网的连接日志中记录朋友们的访问IP情况，可以在“同时还”中勾选“记录”选项。

　　备份与恢复规则

　　如果你已经创建或修改了很多的IP规则，当需要重新安装系统或天网的时候还要来设置这些规则。因此，采用导出后备份，当需要时再导入恢复是最简单的方法。

　　点击“导出规则”按钮，打开导出设置窗口，在“文件名”中设定保存备份的文件夹，在下方的IP规则列表中选中自己创建的IP规则(也可点击“全选”按钮备份全部IP规则)，点击“确定”后即可导出进行备份了。 　　

　　当需要恢复时，只有点击“导入规则”，通过“打开”窗口找到并双击备份的IP规则文件即可导入了。

　　现在我们已经了解了天网的IP规则设置的方法，以后再也不怕天网防火墙将我们的合法程序挡在门外了。也许有朋友会问：我安装的网络服务程序不使用常见端口，不知道它需要开放哪些端口怎么办？没关系，再教你一个最简单的方法：启动被阻止的程序，打开天网防火墙的安全日志，看看它到底阻止了哪个端口，哪个端口就是需要用IP规则开放的端口。

《世界是平的》是美国《纽约时报》专栏作家托马斯·弗里德曼今年最轰动的著作，继早年的《凌志汽车与橄榄树》之后，弗里德曼再一次将全球化的平坦之路呈现在全球读者面前，只不过，这次的主角是IT。

　　的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，不过当记者把全部精力投入到安全上面的时候，有趣的结果产生了:安全也是平的。

　　从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN，到内网身份认证、安全客户端、安全日志、网管系统，看似独立的安全产品已经出现了改变，无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合，都体现出了一个趋势:安全是密切相连的，是“你中有我，我中有你。”

　　信息安全的第一要素就是制定“企业安全规范”，而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合，涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。

　　换句话说，安全已经不是传统上的单一设备，或者像某些厂商所讲的那种独立于网络的设备。事实上，近三年的发展已经证明，日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全方案之内，各部分都是有机联系的，之间呈现一种技术与需求交织的扁平网状关系。

　　因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候，记者则开始关注信息安全的平坦化了。同时，为了让更多的读者了解信息安全的现状，记者专门打造了“安全是平的”系列专题，与大家一起研究信息安全的新技术与新应用。

　　作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全要素，已经成为了当前安全界最热门的话题，很多企业用户对于两者的关联与部署充满了疑问，而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家，与读者一起分享其中的心得。

　　【大势所趋】从双因数认证入手

　　目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，统一威胁管理(UTM)。根据IDC在今年1月份的统计报告，目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006～2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。

　　在身份认证过程中，一般都是基于用户名和密码的做法。根据美国《Network World》今年8月份的调查结果，超过60%的企业已经对传统的认证方式不放心了。

　　所谓双因数认证，是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示，随着各种间谍软件、键盘记录工具的泛滥，企业的IT人员发现，仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。

　　另外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说，安全证书的生成可以提取其他一些信息，比如网卡MAC 地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时，第一步是认证系统产生用户名和密码，第二步则是系统收集笔记本的特征，进而提取具备唯一性的信息，以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器，从而实现对客户端唯一性登录的检查。

　　根据美国和中国的统计，超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外，大部分网络银行服务业采用了证书模式。

　　招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书，银行和用户各有一份公钥和私钥，用户仅需要记忆一个密码就可以使用。

　　新华人寿保险集团的IT经理向记者表示，USB Key的认证模式在新华人寿已经全部实现了，主要还是为日常的OA服务。而该项目的实施方，CA的安全专家介绍说，现在很多大型企业已经开始采用证书系统，像新华人寿这样的企业，对系统数据流安全非常关注，特别是关注那些很多到桌面、到用户文件的内容。

　　除了数字证书，还有一种双因数认证方式，即动态令牌。动态令牌根据基于时间的算法，每分钟都产生一个5-6位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟产生的令牌串号。那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。

　　有意思的是，记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟，因此成本较高。



【平坦安全】内网安全之美

　　前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存在，仍然无法带来更多的价值。事实上，认证系统越来越成为内网安全的一个子系统，它确保了企业网在出现安全问题的时候，内网安全机制能够最终定位到具体的设备或者具体的人员上。

　　要知道，把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示，以前企业配置了IDS，结果一旦网络出现问题，IDS 就会不停的报警，然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。

　　利用认证系统，首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围，才有定位的可能性。

　　目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉介绍说，他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制:即用户名、用户账号、 IP地址、交换机端口、VLAN绑定在一起，进一步去做访问控制。

　　在此基础上，内网安全机制可以根据IDS/IPS的报警，对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒，比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个用户的网络联结。

　　由于通过完整的认证过程，系统可以知道用户所在交换机端口和所在的VLAN，封杀就会非常精确。

　　不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师介绍，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。此外，一般这类管理软件本身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网络的计算机上。

　　而Juniper的安全产品经理梁小东也表示，把认证系统与内网安全系统结合起来，可以确保总体的网络设计更加安全。而且通过内置的安全协议，可以最大程度地让更多的安全产品，如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况，选配不同的模块，具备了安全部署的灵活性。

　　在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的，虽然企业用户都拥有完善的基础设施，包括全套防病毒系统，可近两年的状况是，病毒大规模爆发的次数不但没有减少，反而更多了，而且大量安全事件都是从内网突破的。

　　因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为，去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后，让系统合理地执行很重要。传统上封堵IP的做法，对于现在的攻击和病毒效果不好，因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安全认证通过以后，系统就可以定位到某一个IP的用户是谁，然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候，就可以避免阻断整个IP子网的情况。此外，通过利用802.1X协议，整套安全系统可以把交换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。

主流安全认证技术一瞥
属性 类型 主要特点 应用领域 主要问题
单因数认证 用户名密码体制 静态的认证方式，实现简单 常见于办公网络 安全性较差
短信认证 动态的认证方式，部署方便，成本较低，安全性较高 常用于企业IT部门或部分金融机构 无法与AD结合
双因数认证 数字证书 安全性很高，可以与AD结合使用。 常见于金融机构，政府部门 系统开发的复杂度高，存在一定的证书安全隐患
动态令牌 具有最高的安全性，基本不会有单点安全的困扰 IT安全厂商有使用 成本高昂


　　【精明用户】混合认证模式

　　的确，纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题也无法忽视。

　　美国《Network World》的安全编辑撰文指出，美国很多年营业额在1.5亿到10亿美元的中型企业用户，很多都不考虑双因数认证的问题。因为他们认为，双因数认证系统不仅难于配置，而且花费在购买和实施上的资金也较高，特别是其管理和维护的复杂度也过高。

　　回到国内，记者发现类似的问题确实也有不少。这个问题的关键在于，这些中型企业恰好处于市场的成长期，用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下，部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。

　　不过，这并不意味着认证安全无法解决。事实上，很多企业已经开始行动了。在此，记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。

　　顾名思义，“混合认证”就是把传统的身份认证与双因数认证进行了整合，以求获得最佳性价比。在此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机器的认证进行了有机结合。在OA办公领域，采用的都是传统的“用户名+密码”的方式，而在分散各地的ATM机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证，从而确保了安全监管的需求。

　　“我们通过这种混合认证模式，既保证了OA系统的简单、高效，同时又在安全的基础上，降低了企业网的运营成本。”福建兴业银行的IT安全负责 人解释说，“这是把有限的资金用在生产网上。”

　　对于类似的认证，确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言，如果国内企业普遍采用了混合认证模式，那么可以极大地规范企业网中的隐性安全问题，包括一些私有设备和无线设备的准入控制，都可以低成本地解决。

　　事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上，没有哪个国家的人比中国人更喜欢发短信了。”因此，利用短信进行安全认证也成为了一大特色。

　　短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码，这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出，短信认证虽然安全、成本低，但是其无法与企业目录服务(AD)进行整合，因此易用性受到挑战。



【系统整合】平坦概念出炉

　　近年来，在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其根源还是多重账户密码现象。要知道，无论是多么完善的认证系统，或者认证系统与内网安全技术结合的多么好，用户都难以避免多账户密码的输入问题。

　　登录账户、密码，邮件账户、密码，办公账户、密码等等，还有多账户、多密码的问题已经引起企业IT人员的重视。因为人们难以记忆不同的账户名和密码，而这往往导致安全隐患的出现。事实上，在2004年8月欧洲的InfoSecurity大会期间，有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的登录信息，其初衷仅仅是为了少记忆一点账户名和密码。

　　为此，将安全认证、内网安全、包括VPN信息中的账户密码统一起来，已经是不可忽视的问题了。王景辉介绍说，目前各家厂商都希望将认证系统、内网安全设备，包括VPN、UTM等，与企业的AD整合到一起。他认为，这样做绝对是一个很好的思路。

　　因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证系统与AD的深度开发。在很多情况下，让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的，而且相当麻烦。

　　合理的方法是与用户既有的认证系统结合起来，而目前使用最多的就是域账号。对此，企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户，从而实现单点登录(Single Sign On)。

　　从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，现在的整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，因为这两个是最常用的。

　　有意思的是，根据美国《Network World》和本报在2005年的统计，无论是中国用户还是美国用户，企业网中部署AD的都相当多，从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合，目前最大挑战在于，安全厂商必须对微软的产品特别了解，需要一定的技术支持才能做相应的开发。

　　以新华人寿的认证系统为例，传统的Windows登录域界面已经被修改，新的界面已经与后台AD和企业邮件系统作了整合，一次登录就可以实现访问所有应用。

　　此外，根据用户的具体需求，王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者了解到，目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此，他们在部署其他安全设备的时候，不能另起炉灶再搞一套，否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作，一起做认证接口的数据交换——安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合后的安全系统同样可以实现一次性的三点认证(身份、域、VPN)。

　　记者注意到，美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念，他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，就可以形成最完善的UIM体制。

　　其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库，因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。

　　对此，国内安全厂商的看法是，UIM很重要，可以解决企业用户的认证管理问题，不过从更大的内网安全方向看，UIM仍不是全部。颜世峰的看法是，一套完善的内网安全技术至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络，其中包括用户身份认证与接入设备的准入控制管理;第二，网络终端管理NTM。它解决企业办公终端的易用性、统一管理、终端安全等问题;第三，网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行，自动发现网络故障、自动解决并报警。

　　看到了么，一套身份认证系统，就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全的平坦化了，但请记住，平坦才刚刚开始。

　　编看编想:平坦的安全缺乏标准

　　安全是平的，但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全，各个国家都没有对应的通用标准。事实上，即便是802.1X协议，各个安全厂家之间也无法完全通用。

　　对内网安全技术来说，现在国内外没有一个厂商大到有很强的实力，把不同的专业安全厂商的产品集成到一起，因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州数码自己定义的协议SOAP。

　　业界需要标准，但是没有。王景辉无奈地向记者表示，各家厂商不得不定义自己的通信接口和密钥协商机制，其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为，目前的状态可以满足市场需求。

　　记得有印象，早在2000年就有人提出统一安全标准的问题，但是做不到。退一步说，目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资，要让过去的设备能用起来。但现在的情况是，还没有等协议出来，过去的设备已经过时了，从这个角度上说，统一所有厂家的安全协议没有价值。

　　而且，各国政府在安全上是有自己的想法的，国际厂商出一个协议，不一定能够认同。

前言

本文描述Internet上的一种安全攻击，它可能侵害到WWW用户的隐私和数据完整性。这种攻击可以在现有的系统上实现，危害最普通的Web浏览器用户，包括Netscape Navigator和Microsoft Internet Explorer用户。 　　

允许攻击者创造整个WWW世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器，经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动,包括帐户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义发送数据给受攻击者。简而言之，攻击者观察和控制着受攻击者在Web上做的每一件事。

欺骗攻击 　　

在一次欺骗攻击中，攻击者创造一个易于误解的上下文环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏：攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话，那么受攻击者所做的一切都是无可厚非的。但遗憾的是，在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。

欺骗攻击在现实的电子交易中也是常见的现象。例如，我们曾经听说过这样的事情：一些西方罪犯分子在公共场合建立起虚假的ATM取款机，该种机器可以接受ATM卡，并且会询问用户的PIN密码。一旦该种机器获得受攻击者的PIN密码，它会要么“吃卡”，要么反馈“故障”，并返回ATM卡。不论哪一种情况，罪犯都会获得足够的信息，以复制出一个完全一样的ATM卡。后面的事情大家可想而知了。在这些攻击中，人们往往被所看到的事物所愚弄：ATM取款机所处的位置，它们的外形和装饰，以及电子显示屏的内容等等。

人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见。例如，在访问网上银行时，你可能根据你所见的银行Web页面，从该行的帐户中提取或存入一定数量的存款。因为你相信你所访问的Web页面就是你所需要的银行的Web页面。无论是页面的外观、URL地址，还是其他一些相关内容，都让你感到非常熟悉，没有理由不相信。但是，你很可能是在被愚弄。

Web欺骗的欺骗手段

TCP和DNS欺骗 　　

除了我们将要讨论的欺骗手段外，还有一些其他手段，在这里我们将不做讨论。这种攻击的例子包括TCP欺骗（在TCP包中使用伪造的IP地址）以及DNS欺骗（攻击者伪造关于机器名称和网络信息）。读者有兴趣可以阅读有关资料。

Web欺骗 　　

Web欺骗是一种电子信息欺骗，攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真，它拥有相同的网页和链接。然而，攻击者控制着错误的Web站点，这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获，其工作原理就好像是一个过滤器。

后果 　　

由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息；同样地，也控制着从Web服务器至受攻击者的返回数据，这样攻击者就有许多发起攻击的可能性，包括监视和破坏。

攻击者能够监视受攻击者的网络信息，记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后，这些数据将被传送到Web服务器，Web服务器将返回必要的信息，但不幸的是，攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的，这意味着攻击者可以获得用户的帐户和密码。下面我们将看到，即使受攻击者有一个“安全”连接（通常是通过Secure Sockets Layer来实现的，用户的浏览器会显示一把锁或钥匙来表示处于安全连接），也无法逃脱被监视的命运。

在得到必要的数据后，攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据，来进行某些破坏活动。攻击者修改受攻击者的确认数据，例如，如果受攻击者在线订购某个产品时，攻击者可以修改产品代码，数量或者邮购地址等等。攻击者也能修改被Web服务器所返回的数据，例如，插入易于误解或者攻击性的资料，破坏用户和在线公司的关系等等。

欺骗整个Web世界 　　

你可能认为攻击者欺骗整个Web世界是不可能的，但是恰恰相反，攻击者不必存储整个Web世界的内容，他只需要制造出一条通向整个Web世界的链路。当他需要提供关于某个Web站点的错误Web页面时，他只需要在自己的服务器上建立一个该站点的拷贝，由此等待受害者自投罗网。

Web欺骗的工作原理

欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器，这种攻击种类在安全问题中称为“来自中间的攻击”。为了建立起这样的中间Web服务器，黑客往往进行以下工作。

改写URL 　　

首先，攻击者改写Web页中的所有URL地址，这样它们指向了攻击者的Web服务器而不是真正的Web服务器。假设攻击者所处的Web服务器是 www.org ，攻击者通过在所有链接前增加 http://www.www.org 来改写URL。例如，http://home.xxx1.com 将变为 http://www.www.org/http://home.xxx1.com. 当用户点击改写过的http://home.xxx1.com （可能它仍然显示的是 http://home.xxx1 ），将进入的是http://www.www.org ，然后由 http://www.www.org 向 ttp://home.xxx1.com发出请求并获得真正的文档，然后改写文档中的所有链接，最后经过 http://www.www.org 返回给用户的浏览器。工作流程如下所示： 　

1.用户点击经过改写后的 http://www.www.org/http://home.xxx1.com ；　　

2.http://www.www.org向http://home.xxx1.com 请求文档；　　

3.http://home.xxx1.com向http://www.www.org 返回文档；　　

4.http://www.www.org 改写文档中的所有URL；　　

5.http://www.www.org 向用户返回改写后的文档。 　

很显然，修改过的文档中的所有URL都指向了 www.org ，当用户点击任何一个链接都会直接进入 www.org ，而不会直接进入真正的URL。如果用户由此依次进入其他网页，那么他们是永远不会摆脱掉受攻击的可能。



如果受攻击者填写了一个错误Web上的表单，那么结果看来似乎会很正常，因为只要遵循标准的Web协议，表单欺骗很自然地不会被察觉：表单的确定信息被编码到URL中，内容会以HTML形式来返回。既然前面的URL都已经得到了改写，那么表单欺骗将是很自然的事情。 　　

当受攻击者提交表单后，所提交的数据进入了攻击者的服务器。攻击者的服务器能够观察，甚至是修改所提交的数据。同样地，在得到真正的服务器返回信息后，攻击者在将其向受攻击者返回以前也可以为所欲为。

关于“安全连接” 　　

我们都知道为了提高Web应用的安全性，有人提出了一种叫做安全连接的概念。它是在用户浏览器和Web服务器之间建立一种基于SSL的安全连接。可是让人感到遗憾的是，它在Web欺骗中基本上无所作为。受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的“安全连接”：网页的文档可以正常地传输而且作为安全连接标志的图形（通常是关闭的一把钥匙或者锁）依然工作正常。换句话说，也就是浏览器提供给用户的感觉是一种安全可靠的连接。但正像我们前面所提到的那样，此时的安全连接是建立在 www.org 而非用户所希望的站点。

攻击的导火索 　　

为了开始攻击，攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Web。黑客往往使用下面若干种方法。

1.把错误的Web链接放到一个热门Web站点上；

2.如果受攻击者使用基于Web的邮件，那么可以将它指向错误的Web；

3.创建错误的Web索引，指示给搜索引擎。

Web欺骗的细节完善

前面描述的攻击相当有效，但是它还不是十分完美的。黑客往往还要创造一个可信的环境，包括各类图标、文字、链接等，提供给受攻击者各种各样的十分可信的暗示。总之就是隐藏一切尾巴。此时，如果错误的Web是富有敌意的，那么无辜的用户将处于十分危险的境地。

另外，黑客还会注意以下方面。

1. 状态线路 　　

连接状态是位于浏览器底部的提示信息，它提示当前连接的各类信息。Web欺骗中涉及两类信息。首先，当鼠标放置在Web链接上时，连接状态显示链接所指的URL地址，这样，受攻击者可能会注意到重写的URL地址。第二，当Web连接成功时，连接状态将显示所连接的服务器名称。这样，受攻击者可以注意到显示 www.org，而非自己所希望的站点。

攻击者能够通过javascript编程来弥补这两项不足。由于javascript能够对连接状态进行写操作，而且可以将javascript操作与特定事件绑定在一起，所以，攻击者完全可以将改写的URL状态恢复为改写前的状态。这样Web欺骗将更为可信。

2. 位置状态行 　　

浏览器的位置状态行显示当前所处的URL位置，用户也可以在其中键入新的URL地址进入到另外的URL，如果不进行必要的更改，此时URL会暴露出改写后的URL。同样地，利用javascript可以隐藏掉改写后的URL。javascript能用不真实的URL掩盖真实的URL，也能够接受用户的键盘输入，并将之改写，进入不正确的URL。

Web欺骗的弱点 　　

尽管黑客在进行Web欺骗时已绞尽脑汁，但是还是留有一些不足。

文档信息 　　

攻击者并不是不留丝毫痕迹，HTML源文件就是开启欺骗迷宫的钥匙。攻击者对其无能为力。通过使用浏览器中“viewsource”命令，用户能够阅读当前的HTML源文件。通过阅读HTML源文件，可以发现被改写的URL，因此可以觉察到攻击。遗憾的是，对于初学者而言，HTML源文件实在是有些难懂。

通过使用浏览器中“view document information”命令，用户能够阅读当前URL地址的一些信息。可喜的是这里提供的是真实的URL地址，因此用户能够很容易判断出Web欺骗。不过，绝大多数用户都很少注意以上一些属性，可以说潜在的危险还是存在的。

Web欺骗的预防解决

逃离灾难 　　

受攻击者可以自觉与不自觉地离开攻击者的错误Web页面。这里有若干种方法。访问Bookmark或使用浏览器中提供的“Open location”进入其他Web页面，离开攻击者所设下的陷阱。不过，如果用户使用“Back”按键，则会重新进入原先的错误Web页面。当然，如果用户将所访问的错误Web存入Bookmark，那么下次可能会直接进入攻击者所设下的陷阱。

关于追踪攻击者 　　

有人建议应当通过跟踪来发现并处罚攻击者。确实如此，攻击者如果想进行Web欺骗的话，那么离不开Web服务器的帮助。但是，他们利用的Web服务器很可能是被攻击后的产物，就象罪犯驾驶着盗窃来的汽车去作案一样。

预防办法 　　

Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。幸运的是，我们可以采取的一些保护办法。

短期的解决方案 　　

为了取得短期的效果，最好从下面三方面来预防：

1.禁止浏览器中的javascript功能，那么各类改写信息将原形毕露；

2.确保浏览器的连接状态是可见的，它将给你提供当前位置的各类信息；

3.时刻注意你所点击的URL链接会在位置状态行中得到正确的显示。

现在，javascript、ActiveX以及Java提供越来越丰富和强大的功能，而且越来越为黑客们进行攻击活动提供了强大的手段。为了保证安全，建议用户考虑禁止这些功能。

这样做，用户将损失一些功能，但是与可能带来的后果比较起来，每个人会得出自己的结论。

长期的解决方案 　　

1.改变浏览器，使之具有反映真实URL信息的功能，而不会被蒙蔽；

2.对于通过安全连接建立的Web——浏览器对话，浏览器还应该告诉用户谁在另一端，而不只是表明一种安全连接的状态。比如：在建立了安全连接后，给出一个提示信息“NetscapeInc.”等等。

所有的解决方案，可以根据用户的安全要求和实际条件来加以选择。

对网络管理员或用户来说，发生“IP地址冲突”是不受欢迎的事情，因为在一个网络中，每个主机（严格来说是网络接口）都应该有唯一的一个IP地址，如果出现2个或两个以上主机使用相同的IP地址，这些使用相同IP地址的主机屏幕会弹出对话框报告IP地址冲突

这将导致这些使用相同IP的机器不能正常访问网络。但是，前几天笔者却用这个有如鸡肋的功能帮了一个大忙。是怎么一回事呢？听我慢慢道来。

本月12号那天，我被派到月坛大厦的客服部门处理网路故障。经初步诊断，发现网络时断时续，重启网关的话，能够正常好一会，过一段时间后就不灵了。这是一个十分简单的网络：一条外网网线进来，接入一台运行FreeBSD的网关（做NAT用），网关机的另外一个网络接口接交换机，客户端全部接2个在交换机上，同时，网关机提供DHCP服务，所有的客户机使用DHCP自动获取IP。首先，我得确定故障发生在那里；重启网关，发现客户机能正常上网，但网关马上提示DHCP请求超时的报警，除此而外看不出什么端倪，去客户端查IP，发现获取的IP地址正常，于是又怀疑是不是交换机有问题，等一会，发现故障又出现了，重启一下交换机，网络又正常了问题到底在哪里呢？一下犯晕了。

整理了一下思路，然后找了一台客户机（客户机全是windows），先ping一下网关，发现居然ping不通，ping网内的另外一台机器则正常，重启网关再用客户机ping 网关则正常，毫无疑问，网络中了ARP欺骗病毒了。进系统目录，发现c:下有几个异常的文件，该名某个文件，居然不让操作，运行命令 arp –a 发现多行arp请求，看来是病毒引起的网络堵塞故障。不能把所有的机器都与网络段掉，当务之急是先找出当前正在作崇的主机然后隔离处理。

怎么辨别是网络中那台主机中毒厉害呢？网上已经有很多不错的办法。有人建议用抓包工具，然后分析抓到的包信息来确认中毒的主机，然而我手里没有任何抓包工具，看来只好自己想招了。经过摸索，总结了下面一些行之有效的办法，供大家参考！

在客户机运行路由跟踪命令如 tracert –d www.163.com,马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。

问题又出来了，由于网内的主机IP地址是通过DHCP自动获取来的，怎么找出这个主机又是一个难题，几十个机器，挨个用 ipconfig/all查非累死不可，怎么办？得走捷径才行。突然之间冒出一个念头：设置一个与查出来的中毒主机相同的IP地址，然后…..，接下来，找一台客户端机器，查一下其自动获取的IP地址，没有那么幸运-这台机器不是要揪出来的那个IP，然后把这个主机的”自动获取IP地址”取消，手动设置机器的IP与有病毒的那个IP相同，设置生效后就听见一个妹妹嚷道：“我的IP地址怎么跟别人冲突了呢？”，殊不知，我要找的就是你呢！把妹妹的主机隔离网络，其他的机器上网立马就顺畅了。

处理arp病毒的操作我想大家都应该有经验了，在这里就不再多罗嗦。

简单总结一下，其主要步骤有两步：1、运行 tracert –d www.163.com 找出作崇的主机IP地址。 2、设置与作崇主机相同的IP，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

笔者的电脑最近在使用时出现一个怪现象，双击D盘无法直接打开（其他盘符均正常），总是弹出窗口提示“找不到pagefile.pif，指定位置”， 因此每次只有通过右键的“打开”菜单来打开，而仔细查看右键菜单发现里面多了一个“自动播放”的项目。


故障分析：上网搜索了一下，根据查到的资料基本上可以确定笔者是在浏览网页或传输文件的过程中中木马毒引起的。于是笔者开启杀毒软件NOD32（已经升级到最新版本）对硬盘进行了一次深度杀毒，奇怪的是一个病毒也没有找到。由于本人每天都进行病毒扫描，估计病毒早已经被本人杀掉了。根据查到的资料分析，很可能是病毒在D盘残留了一个文件autorun.inf（某些病毒便常常借助此文件在电脑中自动运行），但它本身并无病毒特征，杀毒软件杀毒时未能将它彻底清除干净，但它残留后却给电脑带来了后遗症——导致硬盘无法正常打开。


故障解决：由于autorun.inf是一个隐藏较深的文件，当笔者将文件夹选项中的选项选择为“显示所有文件和文件夹”也没能在D盘发现此文件的身影，所以在这里笔者将巧妙地利用最常用的WinRAR来进行清除。首先运行WinRAR软件，在界面中我们点击地址栏右侧下拉列表，将路径切换到D盘根目录，这个时候我们发现D盘下面的隐藏文件“autorun.inf”终于出现了，不用多说了，在文件上点右键选择“删除文件”。现在试一下，D盘果然可以正常打开了。不过还没完，下面别忘了清除注册表项目，打开注册表，查找“pagefile.pif”内容，找到一个shell键，其下级的键值为“D:pagefile.pif”，将此键删除，至此病毒残留清理完毕。

随着高校信息化进程的推进，高校校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。从结构上分析，校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与Internet的接入以及远程移动办公用户的接入等。校园网的服务器群构成了校园网的服务系统，主要包括DNS、Web、FTP、Proxy、视频点播以及Mail服务等。外部网主要实现校园网与Internet的基础接入。

　　安全隐患多且复杂
　　
　　校园网络存在的安全隐患和漏洞主要有以下几个方面：

　　第一，校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

　　第二，校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。

　　第三，目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等，这些系统安全风险级别不同，例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。

　　第四，随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

　　第五，内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS/DDoS攻击，导致网络及服务不可用；校园网内针对QQ的黑客程序随处可见。

　　第六，可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。

　　上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。对此，一套安全的防护体系颇为重要。

　　安全防御四步走

　　根据以上分析。可以确定以下几个必须考虑的安全防护要点：网络安全隔离、网络监控措施、网络安全漏洞扫描、网络病毒的防范等。

　　防火墙部署

　　防火墙是网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性：

　　第一，根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

　　第二，将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

　　第三，在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

　　第四，在局域网的入口架设千兆防火墙，并实现VPN的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。

　　第五，定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

　　第六，允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

　　架设入侵监测系统(IDS)

　　架设一个入侵监测系统(IDS)是非常必要的，处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。

　　IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。IDS是被动的，它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的，记录是庞大的，所以我们必须制定合适的规则对他进行正确的配置，如果IDS没有正确的配置，其效果如同没有一样。IDS能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。

漏洞扫描系统

　　采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

　　要求每台主机系统必须正确配置，为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口，例如：如果主机不提供诸如FTP、HTTP等公共服务，尽量关闭它们。

　　部署网络版杀毒软件

　　最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

　　在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心，负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端，并自动对网络版杀毒软件进行更新。

　　采取这种升级方式，一方面确保校园网内的杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是有程序来自动、智能完成，就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。

　　安全防范体系的建立不是一劳永逸的，校园网络自身的情况不断变化，新的安全问题不断涌现，必须根据情况的变化和现有体系中暴露出的一些问题，不断对此体系进行及时的维护和更新，保证网络安全防范体系的良性发展，确保它的有效性和先进性。

不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。

　　一、拒绝服务攻击的发展

　　从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service，分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢?下面我们从两个方面进行介绍。

　　二、预防为主保证安全

　　DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。

　　(1)定期扫描

　　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

　　(2)在骨干节点配置防火墙

　　防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

　　(3)用足够的机器承受黑客攻击

　　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

　　(4)充分利用网络设备保护网络资源

　　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

　　(5)过滤不必要的服务和端口

　　可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

　　(6)检查访问者的来源

　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

　　(7)过滤所有RFC1918 IP地址

　　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

　　(8)限制SYN/ICMP流量

　　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

　　三、寻找机会应对攻击

　　如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

　　(1)检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

　　(2)找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

　　(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

　　总结：

　　目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，Ddos攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。

这是个要求精确的技术：确定文件或文件夹最后被访问的时间。

在Christopher Brookmyre的小说中有个故事讲到，所有人都沉浸在欢乐和游戏中，直到一天有个人失去了一只眼睛，一个会黑客技术的人物打开了一台计算机，然后检查boot日志来看看计算机上次运行是什么时候以及运行了多长时间。

然后，她检查了访问目录，以便知道上次哪些文件夹被人打开过。这样的情节到底是小说中编造的呢，还是确实存在呢？

该书是在2005年出版的，因此我们假设这台计算机的操作系统是XP。第一部分很简单，不过你应该看的不是boot日志而是系统事件日志。

启动事件阅读器，你可以在控制面板或者开始菜单的管理工具中找到它，然后点击左边窗口中的系统。调整窗口的大小，以便你看到右边窗口的事件栏。

寻找一个6009的条目——它显示PC什么时候关闭或者重启的。有数个事件会记录开机操作，代码是7035，7036和26，还跟很多服务和核对有关。

右键点击一个事件然后选择属性，它会显示一个简短的说明，你可以通过点击事件属性框中的链接来看到更详细的说明。

薛定谔的文件？

确定文件或文件夹什么时候最后被访问更加困难。Windows系统中的每一个文件和文件夹——NTFS格式和FAT格式的文件系统都一样——有三个关联日期。修改的日期是你在Explorer的默认设置下或者Dos情况下输入“dir”后能看到的。这显示了文件最后保存的日期和时间。

如果你打开一个文件然后保存——即使没有修改——你也将发现这些变化。创建日期是文件在硬盘上当前位置被创建时的日期。因此如果你创建了一个新的文件，在时间显示为1月1日的应用程序上保存它，然后把它复制到时间为1月2日的文件夹，那么复制文档的创建日期会是1月2日，但修改日期是1月1日。

一些文件，比如Jpeg图片或者微软Word文档，在高级选项模式下会保存原始创建日期，但是这个是存储在文件本身当中而不是文件系统里。转移，而不是复制的话，通常文件保存的都是创建日期。

如果你不喜欢某些东西在创建前被修改这种概念，那么你会更不喜欢访问日期的概念。如果你右键点击文件然后选择属性，你可以看到文件的全部三个日期。

但是，右键点击这样的操作也会被算作访问文件，因此上次访问的日期会变为当前的日期和时间。察看文件的属性，就是你修改了它们——似乎系统的设计者是受了量子物理的启发。

如果你的系统是Windows ME,2000或者XP，那么你可以在Explorer的详细察看中会看到全部的三个日期。在ME或者2000中，点击察看菜单，然后‘选择栏目’（XP中是察看，选择详细信息）。勾上创建日期和访问日期的选择框，你就可以看到文件和文件夹额外的栏目。

你也可以在Dos命令下察看访问日期。在XP中，输入dir/ta，会显示最后访问日期—/tc和/tw则会显示创建和最后修改的日期。老版本的Dos上，句法略有不同。

/oa 和/od会分别列出文件的访问和修改日期，但是这有一定局限性。与选择顺序无关，两种情况下你看到的日期都是修改日期。要想两个都能看到，可以使用/v（verbose）切换也可以用分类顺序转换。

说了这么多，就是说察看最后访问日期是不大可行的。例如，在Windows ME中，打开文件夹并不改变最后访问日期。XP系统中，打开文件夹确实改变最后访问时间——但不是立刻改变。

更糟糕的是，还有太多其它的东西，比如Windows 桌面搜索索引以及其他服务，也会改变最后访问日期，因此你不可能分清到底文件夹最后是被用户打开的还是操作系统常规访问到的。

引入监听装置

另有其他的办法帮助Brookmyre摆脱XP困境，但是那种方法需要很大的勇气。你可以设置监听装置纪录对各种各样对象——比如文件，文件夹，打印机以及注册键值——的访问。

首先你得以管理员的身份登陆，而后如果你明智的话，创建系统还原点（参见最后一段）。下一步，你要关闭文件共享的功能。XP家庭版用户不得不停在这一步了，因为没有这样的选项可用，但是XP Pro用户可以通过Explorer的工具，文件选项，察看来完成这一步。

现在你得设置监听器。首先，运行gpedit.msc来打开组策略编辑器。左边窗口中按计算机配置\Windows设置\ 安全设置\本地策略\审核策略的路径一路向下。

然后你会看到，在右边窗口中显示出可以监听的动作的列表——默认情况下，这些都是不被监听的。双击审核对象访问然后选中属性框中的‘成功’选项。点击OK退出。

下一步就是设置那些你要监听的对象。跟小说中情节一样，转到你想要记录的文件夹。右键点击，选择属性，然后转到安全选项卡，选择“高级”。在高级安全设置对话框中，选中监听选项卡。点击添加……按钮。

为了尽可能简化操作，在‘输入要选择的对象的名称’框中输入“everyone”(不包括引号)。点击检查名称按钮来确保你指定了正确的对象名称，然后点击OK。这样就会开启监听功能。

选择你要监听的方面——比如‘列出文件夹/读取数据’，然后选择‘应用于’选项：如果你使监听日志整齐点儿，就选择‘只对这个文件夹’或者‘该文件夹及其子文件夹’。点击OK来退出打开的对话框。

现在运行事件阅读器，就像之前讲的那样，然后打开安全分支。每次你指定的文件夹被打开你就会在这里看到很多条目，列出时间，用户和其他信息。如果双击一个条目，你就会获得更进一步的信息，尤其是那个‘映射文件名称’它会告诉你什么程序访问了文件夹。

如果你或者其他用户打开了该文件夹，此项会显示Explorer.exe。但如果是其他进程访问了该文件夹，你会看到不同的可执行文件，比如WindowsSearchFilter.exe表示桌面搜索器访问了该文件。

消失的选项卡

我给你讲个有趣的事情。一位读者受托帮同事解决如下的一个麻烦。后者的屏幕保护装置在计算机30秒没有活动后就会运行。更气人的是，当他察看显示属性时，那里竟没有屏幕保护选项卡。

XP Pro中，可以在组策略编辑器中矫正该问题。运行gpedit.msc，然后打开用户配置， 管理模板， 控制面板， 显示分支，你就会在右边的窗口中看到一个‘隐藏屏幕保护选项卡’的设置。双击它，关闭或者‘不设置’就会把选项卡重新找回来。

还有其他的你可以应用的屏保限制——点击低一点的那个扩展选项就可以看到每一项的说明。尽管XP家庭版没有组策略编辑器，但是两个版本都在注册表中保存了这些限制。

因此，XP家庭版中，以管理员的身份登陆后创建还原点，然后按照Hkey_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路径，在右边窗口中查找叫做NoDispScrSavPage的条目。双击它然后把它的值设为0：这样就可以找回消失的选项卡。

恢复点

我们总是强调创建恢复点的重要性。在标准的XP系统中，从开始菜单点下去，只用5步就可以运行系统恢复。

尽管可以通过%SystemRoot%\System32\restore\rstrui.exe来快速访问，但我们还是建议使用Doug Knox’s SysRestorePoint.exe。双击这个小（20kb）应用，它就会简单地创建系统恢复点。

这个点将被称为自动恢复点——这将它跟Windows创建的叫做系统还原点区分开来。你可以到www.dougknox.com上找到使用方法。