PersonalCorpus 版 (精华区)

发信人: ljj (可以抗拒), 信区: Hacker
标  题: 网络安全三步曲（转载）
发信站: 紫 丁 香 (Sun Apr  2 11:28:00 2000), 转信

发信人: newabb (环境保护很要紧啊), 信区: Security
标  题: 网络安全三步曲
发信站: BBS 水木清华站 (Wed Mar 29 13:38:06 2000)
发信人: newabb (环境保护很要紧啊), 信区: Security
标  题: 网络安全三步曲
发信站: BBS 水木清华站 (Wed Mar 29 13:38:06 2000)
作者:王薇  网易 ( 2000-03-28 )
$$$$$$$$$$$基本设置篇
　　一、在线安全的四个误解
　　Internet实际上是个有来有往的世界，你可以很轻松地连接到你喜爱的站点，而其

他人，例如黑客也很方便地连接到你的机器。实际上，很多机器都因为自己很糟糕的在

线安全设置无意间在机器和系统中留下了“后门”，也就相当于给黑客打开了大门。
　　你上网的时间越多，被别人通过网络侵入机器的可能性也就越大。如果黑客们在你

的设置中发现了安全方面的漏洞，就会对你发起攻击，可能是一般的骚扰，如降低你的

速度或者让你的机器崩溃；也可能更严重，例如打开你的机密文件、偷窃口令和信用卡

密码。
　　但是很多人并不以为然，因为他们在网络安全方面还存在四个误区：
　　误区一：我没有连接其他网络，所以我很安全。
　　对，连接INTERNET是要上网的，但是可以上网的独立机器，与一台商业网络中心的

机器相比，所使用的网络协议仍然有一些甚至全部相同，而一台商业网络中心的机器还

可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家

庭、办公室、小公司的个人用机确是门户大开，完全没有防范黑客的能力。这种威胁是

很现实的：如果你使用了cable modem或是DSL连接上网，而且在网上的时间很长，一天

里也许就会有2-4个卑鄙的黑客企图攻击你。
　　误区二：我是用拨号上网，所以我的机器是安全的。
　　每次当你开始拨号上网，你使用的IP地址都会不同，也就是动态IP，所以相比静态

IP的用户而言。黑客是很难找到你，但是有一些黑客软件已经发展到可以在1个小时以内

逐个扫描上万个IP地址的能力，所以只要黑客使用了这些工具，即使是拨号上网的用户

也可能受到攻击。
　　误区三：我使用了防病毒软件，所以我很安全。
　　一个好的病毒软件确实是在线安全不可或缺的部分，但是也是很小的一个部分。它

能够通过检测病毒和类似的问题保护你，但是它们对防范黑客、对带有恶意的“合法”

程序却无能为力。
　　误区四：我使用了防火墙，所以我很安全。
　　防火墙是很有用处，但是如果你的机器总是采用一些不够安全的方式接收和发送数

据，而你又仅仅依靠一些附加的程序提供安全，这就等于把所有的蛋放在一个篮子里，

一旦防火墙软件出现bug或者有漏洞，那你很危险了。另外，防火墙对于病毒一类的软件

完全没有防范能力，尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。

最后，一些防火墙软件还可能帮倒忙，因为它们的厂商在广告中把产品的特点介绍出去

，可能招致一些专门针对它们弱点的攻击。
　　但是解决方法是有的，你可以使用你已经有的工具，而且本文也会告诉你怎样才是

安全的设置和怎样选择安全软件。
　　
    二、一分钟的网络基础知识
　　看到这个内容，你可能想一眼扫过或者直接跳过去，但是这只需要一分钟，而且对

你理解下面的内容很有帮助。
　　简单地说，你可以将你和网络的连接分为三层。
　　最深的一层是你和网络的物理连接方式，包括硬件。例如拨号上网，要使用“拨号

适配器”才能和你的MODEM“交谈”；如果是局域网，需要网卡和驱动程序，以便你的P

C和网卡交换数据，而DSL、cable等也需要网卡。一个PC可以同时使用多个硬件适配器，

例如可以即用cable modem上网，也连接拨号上网的MODEM，还在局域网中，这样系统的

网络设置中就有两个网络适配器和一个拨号适配器。
　　中间的一层连接由你的机器所使用的和网络其他机器交流的通讯协议和语言组成，

例如TCP/IP协议，其他还有NetBEUI和IPX/SPX，这些协议也可以并行工作，一个协议可

以被同时捆绑到多个硬件设备上，而一个硬件设备也可以同时捆绑多个协议。
    最顶层的连接是网络设备，登录上网、文件与打印共享和以及位于最顶层的客户程
序，为你完成
需要在网络上完成的任务，但不幸的是，它是双向的，也可以让黑客对你执行他们的操

作。
　　所以，保证安全的窍门在于确保没有那些危险的设置和设备，例如如果不需要从网

上进行访问，“文件与打印共享”就完全没有必要，这也是黑客经常利用的地方。换句

话说，仔细地设置哪些要进行捆绑，可以确保你的机器不那么轻易被访问，尽管存在一

些本身安全性较差的设备和协议。
　　三、怎样确保连接安全
　　在按照我下面提到的建议对系统设置进行修改以前，最好先将你系统中的关键数据

备份，或者记下你原来的设置，以便在需要的时候恢复。如果你是在局域网或是有特殊

的网络要求，请先和管理员商量。
　　我们先检查你的网络设置：右击“网络邻居”，选择“属性”，现在我们要删除一

些很容易就能够让别人通过INTERNET连接到你的INTERNET协议：TCP/IP。
　　如果你没有使用拨号上网，可以直接跳到下一段。双击“拨号适配器”、“绑定”

，把除TCP/IP以外的内容都选掉，回到主界面，双击“TCP/IP ->拨号适配器”，你可能

看到一个警告，说明如果修改将有危险，不管它，不修改才会有危险呢！单击“绑定”

，如果选择了“microsoft网络用户”和“文件和打印共享”，把它们选掉，这样就只剩

下TCP/IP了，你会得到这样一个警告：TCO/IP已经没有绑定到任何驱动程序“，回答NO

。
　　如果你使用了网卡，单击每个卡对应的TCP/IP，例如我就用了一块便宜的Realtek网

卡，则单击“TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.”，单击“绑定”，

确认没有选择“micrcosoft网络用户”和“文件和打印共享”。
　　但是如果你是在局域网上，希望在本地共享文件和打印机，也有办法呀，添加一个

非INTERNET协议IPX/SPX或者NetBEUI都可以。添加适当的“micrcosoft网络用户”，选

择“文件和打印共享”，就可以共享文件和打印了！
　　现在倒回去检查系统中的每个适配器和协议，确保“micrcosoft网络用户”和“文

件和打印共享”只在IPX/SPX and/或NetBEUI中被选择了。同时，也确认在TCP/IP中没有

选择这两项。然后对局域网中的所有机器重复这个检查过程。用这种方法，你的机器在

INTERNET上就只使用TCP/IP，而在局域网上使用非INTERNET协议以便共享打印机和文件

。因为黑客必须使用TCP/IP，这样他们就需要花费更多的时间来访问被共享的打印机和

文件。
　　需要注意的是你对网络设置的任何变动都可能重新设置绑定和其他设置，甚至包括

你不曾接触的内容，而当你或者是你所安装的软件修改了网络设置，都要执行上面介绍

的步骤检查TCP/IP连接以确保它保持“干净”，没有与“micrcosoft网络用户”和“文

件和打印共享”绑定。
　　AOL（美国在线）有一点是令人厌恶的：它把它自己的（通常是没有必要的）适配器

加入到你的网络设置中，而且可能会不正确地修改你的绑定设置，一些用户在安装AOL后

报告，他们的“文件和打印共享”被绑定在TCP/IP上，意味着对任何想连接的人都提供

打印机和文件，上面的介绍的窍门对避免出现AOL的这个情况也很有效。
　　要改善你的网络安全性你可以作很多工作，我们将在下面讨论，但是上面的设置将

消除WINDOWS PC的最常见和突出的网络安全问题，把最明显的漏洞给你堵上，让你拥有

一个更安全的线上操作基础。一旦你学会了上面的方法，只用几分钟进行检查，基本就

不需要其他的辅助软件，这样做的好处在于不用花钱哟！
$$$$$$$$$$工具篇
  　在上一部分，我们讨论了怎样调整网络设置以获得更好的安全性，现在，我们来看

看怎样利用一些免费或者商业产品和服务做更多的事。
　　既然你已经有了很好的防范黑客的线上安全基础，现在你可以学习使用决定性的一

招，帮你的机器增强抵抗力，能够防范一些常见的和不常见的攻击，甚至一些更高水平

的或者更迂回曲折的攻击。于是，你就有了两级安全措施了，一个是前面介绍的网络安

全设置，一个是附加的安全产品，即使有其中一个出现了问题，你也仍然有另一个保护

，总不能一棵树上吊死人吧！
　　在你向系统中添加任何安全性产品之前，作一个额外的测试，检查一下你的设置是

否已经OK了。最好是定时（每月或者每周）检查一下你的基本网络设置是否安全。
　　我推荐三个绝好的免费站点帮助你从外端检测你的INTERNET连接，以便你检测和纠

正潜在的安全问题。
　　http://grc.com/intro.htm
　　http://www.dslreports.com/r3/dsl/secureme
　　http://www.antionline.com/
　　我曾经连续使用过这第三个站点，他们测试的对象是一样的，有些重复，但是采用

了不同的方法，测试的重点也不同。通过一个一个地在这三个网站进行测试，你可以“

嗅”到你的INTERNET连接中存在的最常见的漏洞，如果你通过了这三个测试，你就可以

防范绝大多数的常见的黑客攻击了。
　　另外，Gibson Research网站（http://grc.com/intro.htm）所提供的额外的帮助文

件值得一读，特别是当你对关闭一个端口有疑惑（例如NetBIOS的Port 39）的时候，Gi

bson提供了一步一步的指导可以确保你将端口关闭，具体参看http://grc.com/su-bond

age.htm。
　　一旦你的PC经过了上面的测试，你就可以再增加一个加强安全的程序了，这种程序

有很多，但是目前最热门的是“个人用防火墙”，下面我们讨论的重点也就是如何选择

这一类产品。
　　不管你是否已经使用了公用的防火墙、代理服务器、域名服务器，这些本地的防火

墙在你的机器内部监视你的INTERNET数据交换，防止来自黑客的不正常的访问，其中一

些还可以监视非正常的数据输出，也就是那种特洛伊木马程序式偷偷摸摸留下的“后门

”，在你不知道的情况下，向你的机器发送信息或者获取信息。
　　我现在使用的个人防火墙是免费而绝妙的ZoneAlarm，虽然它还有一些粗糙，但是它

更新很快，最新的版本已经是2.0.26了，而且解决了很多早期版本存在的问题，而且它

免费，却比很多售价50美圆的商业产品更有效，例如它是少数能够检测到特洛伊程序的

防火墙之一。
　　Aladdin的eSafe Protect Desktop也加入了类似于防病毒程序的功能，相当于防火

墙加沙箱的功能，能够防范决大多数带有恶意的访问，并将它们隔离起来。另外，它们

让人满意的是占用很少的系统资源，只有2%而已。它是一个值得注意的产品，售价为30

美圆。但是为了与流行的ZoneAlarm抗衡，Aladdin的Protect Desktop现在对个人使用完

全免费，因此很值得试试看，我正在试用，可能它会变成我的新欢哟！
　　FWProxy是一个简单免费的程序，能够在设定的端口监听进入的TCP连接，检查用户

对设备的授权，在远程RAS用户和设定的内部TCP设备之间建立连接，你如果你只需要这

个功能，那你可以试试它。
　　Sybergen Secure Desktop（以前叫SyShield）非常灵活，可以从多方面进行设置，

售价为30美圆，它的长处在于安装简单，虽然为数不多的文档让那些迷失在它过多的设

置选项中的初学者有些困惑，但是它马上就会出新版本了，以后我们还要介绍。
　　BlackIce Defender是一个享有盛誉、非常流行的防火墙，花费40美圆就可以获得B

lackIce Defender和一年的安全升级。和ZoneAlarm一样，BlackIce也有其显得粗糙的地

方，例如它的错误检测警告，几乎让你发生一种错觉，好象你受到外界的攻击是基本不

变的，另外文档也不够完善，除非你对防火墙技术和端口分配都非常精通，还有一些用

户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经被

他们的胜利淹没了，很难继续保持原来的状态。这种说法分的另一个佐证是关于Window

s 2000，Windows 2000已经推出一段时间了，而BlackIce的站点还在说：“Win2k目前仍

然是beta版本，我们目前还不能支持它，检测侵入的部分运行良好，而防火墙部分现在

还不行，我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的安全产

品，因为人们总是希望它的内容能够尽量保持最新状态。
　　如果你到过各种黑客站点和黑客的BBS，你可以看到一个让黑客们又爱又怕的软件，

售价为49美圆的ConSeal Private Desktop，他们喜欢在自己的机器上安装这个软件，但

又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McA

fee收购，我们还不清楚McAfee的计划是什么，你可以到http://www.signal9.com/上去

看看相关信息。
　　McAfee还刚刚收购了Cybermedia，它的售价为30美圆的防护狗软件是一个很有趣的

产品，多种功能兼而有之，病毒检测、隐私保护和在线安全，还包括对恶意ActiveX和J

ava applets的防护。
　　而ConSeal的AtGuard，是另一个让黑客爱恨交织的防火墙，刚刚被Symantec收购，

现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品

相比，AtGuard略显单薄，但是Norton Internet Security 2000是一个安全“巨人”，

虽然它的设置也很麻烦。但是无论如何，AtGuard安全部分的功能仍然使非常出色的，尽

管它现在已经被其他产品的光芒掩盖了。
　　上面介绍的产品都是一些用途广泛功能全面的防护软件，但是还有一些功能比较精

细集中的产品：
　　Jammer，售价为20美圆，专门设计用来防范NetBus和BackOrifice的攻击，如果你的

其他安全产品只有一般的防护能力，它倒还是挺有用的；
　　ProtectX，售价为25美圆，可以同时监视最多20个端口，还可以帮你追踪攻击你的

黑客的来源，也是一个享有盛誉的产品，尽管它所能监视的端口数量受到限制，和同类

产品相比显得有些不足。
　　Rainbow Diamond Intrusion Detector，售价为40美圆，在你可能受到侵犯的时候

会发出警报，Intrusion Detector直接在机器中监视可疑的网络活动，一旦发现对象，

就发出报警。Intrusion Detector还会试图确定攻击你的用户的身份。
　　TDS-2，售价33美圆，来自澳大利亚的Trojan特洛伊防范系统，对特洛伊有比其他软

件更强的检测能力。
所有的机器都没有直接连接INTERNET。相反地，我用了一台烂机器（古老的486，内存很

少）作为与INTERNET连接的服务器，在它上面运行Windows和Sygate，有了Sygate，几台

机器可以通过一个机器上网，而Sygate的防火墙功能非常出色。从外界能够看到的只有

这台烂机器，而其余几台共享连接的机器从外面看不到，所以黑客也无法检测和攻击。

　　Sygate的防火墙功能帮了大忙，它把它自己藏了起来，准确地说，是把运行它的机

器藏起来了，面对黑客的探测“屏声禁气”，所有的现象都说明这里根本就没有一台机

器，所以Sygate的防火墙算是第四层保护了。
　　下面的设置应该说是第五层的防护了：如果黑客打算侵入，他会发现他到了一台又

空又烂的机器，不管怎么看都毫无兴趣和吸引力。我的其他几台位于局域网上的机器都

有口令保护，而我从来不在烂机器中WINDOWS保存任何密码，所以即使黑客进入到这台机

器，也很难进入到局域网中其他机器的系统，要通过防火墙、口令和内部的安全设置这

几关可不是容易的事呢！
　　最后，我还有第六关：我的cable modem ISP使用动态IP地址，和绝大多数拨号上网

ISP使用相同的技术，有了动态网址，每次你上网的时候都用的是新地址，对黑客来讲，

很难预见下次的IP将是什么。利用动态IP地址的优势，我每搁一天或者是通过modem发现

有异常活动的时候，就会拔去cable modem的插头。每当我将插头重新插回去、重新上线

，就会获得一个和上次不同的地址，即使有黑客发现过我，他也要一切重新开始了。
　　话虽这么说，你也应该知道没有任何线上的系统是完全保险的，除非你完全不和IN

TERNET连接，理论上任何系统都可能被攻击，但是如果你的机器加上了6层安全保护，给

黑客们增加了太多的障碍，那么你的安全系数就很高了，也许因为他不能忍受如此多的

麻烦就放弃了你呢！

--
我从山中来，带来兰花草,
 种在校园中，希望花开早.
　　　　          

※ 修改:．ljj 于 Apr  2 16:57:45 修改本文．[FROM: 202.118.234.163]
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: 202.118.234.163]