| 局域网安全防范与技巧 |
|
| http://www.cnfp.net 时间:2004-1-2来源:中国人民银行平顶山市中心支行 李洪涛 |
|
计算机网络日益普及,但非法入侵活动也已经引起厂公众的高度重视,一直危害着网络安全。
计算
机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面,其安全威胁方向也
分为外部和内部。防止病毒感染是有效保护计算机最重要的项目之—,因为很多病毒都是利用系统漏洞给破感染的电脑加卜后㈠,以使黑客更容易地从后门入侵到目标电恼里盗取重要信息。为了有效地
防上汁算机病毒和黑客攻击,除了构建网络防病毒系统和制定一套完整的网络安全管理操作规范外,
汁算机网络管理人员必须增强计算机安全意识,不断学;八十算机网络知识,提高网络应用技术,不给计算机病毒和黑客攻击任何可乘之机。具体可以用如下的方法来预防:
隐藏计算机IP地址
病毒或黑客若要对计算机实施攻击,首先要找到被攻击的计算机的IP地址,否则无从下手。隐藏
IP地址常用如下三法:
1.代理服务器(ProxyServer):若用户浏览网站、聊天、BBS等,这时留下的网址是代理服务器的,而非用户的网址:
2.使用工具软件NortonIntemetSecurity或防火墙软件,具有隐藏IP的功能,使对方无法看到用户的
汁算机IP地址;
3.对于局域网中的电脑,浏览器中Proxy的地址应设为与Internet连接的电脑的地址。
以上措施可以在一定程度上防范入侵,但仍然存在疏漏之处,黑客还可以利用端口扫描,找到用户
的IP地址,因此更进一步的措施就是“端口防范”。
端口防范
谨慎开放缺乏安全保障的应用和端口,很多黑客攻击程序是针对特定服务和特定服务端口的,所
以关闭不必要的服务和服务端口,能大大降低遭受黑客攻击的风险。黑客或病毒对计算机入侵时,要不断地扫描用户的计算机端口,如果用户安装了端口监视程序(比如NetWatch、防火墙软件等),该监视程序就会有警告提示。入侵者很可能连续频繁扫描端口以寻找时机,监视程序也会不断地提示,令用户不胜其烦。
如果遇到这种入侵,可用工具软件关闭不用的端口。比如用NortonIntemetSecurity关闭不用的80和
443端口,这两个端口提供HTTP服务,如果用户不提供网页浏览服务,尽可以关闭之;25和110这两个
端口是提供SMTP和POP3服务的,不用时也应关闭;其他一些不用端口也可关闭。关闭了这些端口,无异于挡入侵者于大门之外。在TCP/IP协议上,Windows是通过135~139端口与其他安装Windows系统的电脑进行连接的,关闭这些端口,可以防范绝大多数的攻击。关闭步骤如下:
[网络]一[配置]一[TCP/IP]一[属性]一[绑定]…[Microsoft网络客户端](把此项前面的“√”去掉,若
无此项可不作变动)。
网络监控
利用网络管理软件对整个局域网进行监控,发现问题及时防范。定期分析系统日志,日志文件不
仅在调查网络入侵时十分重要,也是用较小的代价阻止攻击的办法之——。常用的日志文件分析工
具如下:
NestWatch能从所有主Web服务器和许多防火墙中导入日志文件,能够以HTML格式输出报告,
并将它们分发到选定的服务器上;
LogSurfer是一个综合日志分析工具,根据发现的内容,能执行各种动作,包括告警、执行外部程
序,甚至将日志文件数据分块并将它们送交外部命令或进程处理。
使用防火墙
防火墙是防止从网络外部访问本地网络的设备,它为防止外部攻击提供了重要的安全保障。大多数单位设立的第一道防线就是防火墙,但防火墙往往又是最后一道防线,没有哪个防火墙能保护主机避免针对网络服务的“零时间”漏洞(zero—day exploit),设置防火墙不是万无一失的安全策略,必须加以合理的配置和管理,如:定期查看分析日志,定期审计和修改防火墙安全策略,对防火墙应用系统和主机操作系统打上更新补丁等。
关闭共享和设置密码
关闭全部硬盘和文件夹共享,步骤如下: [网络]一[文件和打印机共享]一[允许其他用户访问我的文件](把此项前面的“√”去掉即可)。 如若不能关闭所有硬盘或文件夹共享,则对共享的部分需设置只读与密码,步骤如下:
右键单击某[文件夹]一[共享…],需要注意的是,由于Windows9x与WindowsMe的共享密码极易被破解,而Windows2000与WindowsXP的密码较安全,因此升级操作系统是明智之举。
ActiveX控件与√ava的防护
网页中ActiveX控件与JavaApplets有较强的功——旦遭到恶意破坏,损失是相当大的。IE对此也采取了慎重态度,提供了多种选择,具体设置步 [工具]一口nternet选项]一[安全]一[自定义级别],建议对不了解的网页的ActiveX控件与Java程序采取严防的态度。
账号和密码防护
安装某些系统服务功能模块时有内建账号,应及时修改操作系统内部账号口令的缺省设置。建立账号锁定机制,一旦同…—账号密码校验错误若干次,立即断开连接并锁定该账号。在系统中增加安全策略,选用安全的口令并定期更改。
拒绝使用盗版软件和共享软件
有些计算机操作人员安全防范意识不强,出于个人爱好或其他目的,使用盗版软件或随意下载共享软件,在这些软件里可能隐含程序开发人员设置的后门或携带计算机病毒,往往成为最便捷的攻击方式。
系统升级
在不影响日常业务应用软件的使用和硬件条件允许的情况下,对计算机操作系统进行升级,最好
升级到Windows2000以上版本,并及时打上相应的系统升级补丁。
做好数据备份工作
经常对计算机数据进行备份,对服务器则应进行系统的完整备份,当计算机遭到攻击或系统出现故障时,可以迅速恢复系统和数据。
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
热点文章排行