网络安全三步曲.txt

当今

防范绝大多数的常见的黑客攻击了。 
　　另外，Gibson Research 网站（http://grc.com/intro.htm ）所提供的额外的帮助 
文件值得一读，特别是当你对关闭一个端口有疑惑（例如NetBIOS 的Port 39）的时候， 
Gibson提供了一步一步的指导可以确保你将端口关闭，具体参看 http://grc.com/su-b 
ondage.htm 。 
　　一旦你的PC经过了上面的测试，你就可以再增加一个加强安全的程序了，这种程序 
有很多，但是目前最热门的是“个人用防火墙”，下面我们讨论的重点也就是如何选择 
这一类产品。 
　　不管你是否已经使用了公用的防火墙、代理服务器、域名服务器，这些本地的防火 
墙在你的机器内部监视你的INTERNET数据交换，防止来自黑客的不正常的访问，其中一 
些还可以监视非正常的数据输出，也就是那种特洛伊木马程序式偷偷摸摸留下的“后门 
”，在你不知道的情况下，向你的机器发送信息或者获取信息。 
　　我现在使用的个人防火墙是免费而绝妙的ZoneAlarm，虽然它还有一些粗糙，但是它 
更新很快，最新的版本已经是2.0.26了，而且解决了很多早期版本存在的问题，而且它 
免费，却比很多售价50美圆的商业产品更有效，例如它是少数能够检测到特洛伊程序的 
防火墙之一。 
　　Aladdin的eSafe Protect Desktop也加入了类似于防病毒程序的功能，相当于防火 
墙加沙箱的功能，能够防范决大多数带有恶意的访问，并将它们隔离起来。另外，它们 
让人满意的是占用很少的系统资源，只有2%而已。它是一个值得注意的产品，售价为30 
美圆。但是为了与流行的ZoneAlarm抗衡，Aladdin的Protect Desktop现在对个人使用完 
全免费，因此很值得试试看，我正在试用，可能它会变成我的新欢哟！ 
　　FWProxy是一个简单免费的程序，能够在设定的端口监听进入的TCP连接，检查用户 
对设备的授权，在远程RAS用户和设定的内部TCP设备之间建立连接，你如果你只需要这 
个功能，那你可以试试它。 
Sybergen Secure Desktop（以前叫 SyShield）非常灵活，可以从多方面进行设置，售 
价为30美圆，它的长处在于安装简单，虽然为数不多的文档让那些迷失在它过多的设置 
选项中的初学者有些困惑，但是它马上就会出新版本了，以后我们还要介绍。 
　　BlackIce Defender是一个享有盛誉、非常流行的防火墙，花费40美圆就可以获得B 
lackIce Defender和一年的安全升级。和ZoneAlarm一样，BlackIce 也有其显得粗糙的 
地方，例如它的错误检测警告，几乎让你发生一种错觉，好象你受到外界的攻击是基本 
不变的，另外文档也不够完善，除非你对防火墙技术和端口分配都非常精通，还有一些 
用户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经 
被他们的胜利淹没了，很难继续保持原来的状态。这种说法分的另一个佐证是关于Wind 
ows 2000 ，Windows 2000 已经推出一段时间了，而BlackIce的站点还在说：“Win2k 
目前仍然是beta版本，我们目前还不能支持它，检测侵入的部分运行良好，而防火墙部 
分现在还不行，我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的 
安全产品，因为人们总是希望它的内容能够尽量保持最新状态。 
　　如果你到过各种黑客站点和黑客的BBS，你可以看到一个让黑客们又爱又怕的软件， 
售价为49美圆的ConSeal Private Desktop，他们喜欢在自己的机器上安装这个软件，但 
又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McA 
fee收购，我们还不清楚McAfee的计划是什么，你可以到http://www.signal9.com/上去 
看看相关信息。 
　　McAfee 还刚刚收购了 Cybermedia，它的售价为30美圆的防护狗软件是一个很有趣 
的产品，多种功能兼而有之，病毒检测、隐私保护和在线安全，还包括对恶意ActiveX和 
Java applets的防护。 
　　而ConSeal的AtGuard，是另一个让黑客爱恨交织的防火墙，刚刚被Symantec收购， 
现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品 
相比，AtGuard略显单薄，但是Norton Internet Security 2000是一个安全“巨人”， 
虽然它的设置也很麻烦。但是无论如何，AtGuard安全部分的功能仍然使非常出色的，尽 
管它现在已经被其他产品的光芒掩盖了。 
　　上面介绍的产品都是一些用途广泛功能全面的防护软件，但是还有一些功能比较精 
细集中的产品： 
　　Jammer，售价为20美圆，专门设计用来防范NetBus和 BackOrifice的攻击，如果你 
的其他安全产品只有一般的防护能力，它倒还是挺有用的； 
　　ProtectX，售价为25美圆，可以同时监视最多20个端口，还可以帮你追踪攻击你的 
黑客的来源，也是一个享有盛誉的产品，尽管它所能监视的端口数量受到限制，和同类 
产品相比显得有些不足。 
　　Rainbow Diamond Intrusion Detector，售价为40 美圆，在你可能受到侵犯的时候 
会发出警报，Intrusion Detector直接在机器中监视可疑的网络活动，一旦发现对象， 
就发出报警。 Intrusion Detector还会试图确定攻击你的用户的身份。 
　　TDS-2，售价33美圆，来自澳大利亚的Trojan特洛伊防范系统，对特洛伊有比其他软 
件更强的检测能力。 
　　哦，你的选择真是太多了，有了这些产品，你的机器的安全级别一定可以到很高的 
级别。 
　　但是，即使有了上面的这些产品，我们的安全工作还是没有完成，下一步或者是对 
上述产品的补充，或是对上述产品的替代，另外，还有一个特殊的措施你可以使用，将 
你的安全性能提高到一个很高的程度。 
窍门篇 
　　前面我们分别从PC的网络安全设置和优秀的网络安全产品出发，介绍了如何提高机 
器的安全性能，对大多数人而言，如果仅仅是一般的上网冲浪和日常的网络操作，这些 
措施已经相当足够了。 
　　但是也许你的要求和他们不同，因此我们还继续讨论第三步，如何让你的安全性能 
变得更高。实际上，这一步是针对我的个人而定的，因为我有下面几个特殊的地方： 
　　我每周7天、每天24小时在INTERNET上； 
　　我通过INETRNET做生意，并经营网站； 
　　我比一般人要显眼，更容易成为黑客的目标； 
　　我将INTERNET连接共享给其他的几台机器。 
　　如果你也具备上述的几个或全部特征，你可能也希望采用我的方法来让你的机器“ 
固若金汤”，那么我们就交流一下。 
　　首先，我使用了在第一部分和第二部分介绍的所有技术，例如我的任何一台机器都 
没有绑定“网络用户”、“文件和打印共享”到TCP/IP，所有常见的攻击对我不起作用 
；第二，在每台机器里我都用了个人防火墙，ZoneAlarm，可以帮助我阻塞黑客的侵入。 
  
　　上面只是两个安全的级别，但是我还有第三个更简单和更便宜的方法，那就是：我 
所有的机器都没有直接连接INTERNET。相反地，我用了一台烂机器（古老的486，内存很 
少）作为与INTERNET连接的服务器，在它上面运行Windows 和 Sygate，有了Sygate，几 
台机器可以通过一个机器上网，而Sygate的防火墙功能非常出色。从外界能够看到的只 
有这台烂机器，而其余几台共享连接的机器从外面看不到，所以黑客也无法检测和攻击 
。 
　　Sygate的防火墙功能帮了大忙，它把它自己藏了起来，准确地说，是把运行它的机 
器藏起来了，面对黑客的探测“屏声禁气”，所有的现象都说明这里根本就没有一台机 
器，所以Sygate的防火墙算是第四层保护了。 
下面的设置应该说是第五层的防护了：如果黑客打算侵入，他会发现他到了一台又空又 
烂的机器，不管怎么看都毫无兴趣和吸引力。我的其他几台位于局域网上的机器都有口 
令保护，而我从来不在烂机器中WINDOWS保存任何密码，所以即使黑客进入到这台机器， 
也很难进入到局域网中其他机器的系统，要通过防火墙、口令和内部的安全设置这几关 
可不是容易的事呢！ 
　　最后，我还有第六关：我的cable modem ISP使用动态IP地址，和绝大多数拨号上网 
ISP使用相同的技术，有了动态网址，每次你上网的时候都用的是新地址，对黑客来讲， 
很难预见下次的IP将是什么。利用动态IP地址的优势，我每搁一天或者是通过 modem发 
现有异常活动的时候，就会拔去 cable modem 的插头。每当我将插头重新插回去、重新 
上线，就会获得一个和上次不同的地址，即使有黑客发现过我，他也要一切重新开始了 
。 
　　话虽这么说，你也应该知道没有任何线上的系统是完全保险的，除非你完全不和IN 
TERNET连接，理论上任何系统都可能被攻击，但是如果你的机器加上了6层安全保护，给 
黑客们增加了太多的障碍，那么你的安全系数就很高了，也许因为他不能忍受如此多的 

麻烦就放弃了你呢！ 
  
  
-- 
※ 来源:·北大 IBMS390.PKU.EDU.CN·[FROM: 162.105.20.22] 
--