当前,木马,病毒和垃圾邮件无疑是我们不得不面对的最主要的网络安全威胁。本刊2007年第12期也曾跟大家探讨过“通过隔离登录用户和代理用户,再进行适当的安全设置”来减缓这些威胁的方式。受到不少读者的关注。今天,我们就再深入探讨一下网络安全的问题。
的确,当时探讨的方式,在确保登录用户安全方面,是一个大胆而有效的构思。但是,如果仅凭此一招,就希望将木马和病毒消灭于无形,未免有些难度。目前的木马和病毒,往往直接通过扫描端口,开辟后门;或者直接攻击交换机端口;或者直接进行网页破坏。因此,要真正打造普通上网终端安全的铜墙铁壁,需要从交换机设置、安全网关设置和虚拟机软件设置三个方面进行安全整合。
1 第一招:交换机设置
交换机是一种工作在OSI第二层(数据链路层)上的、基于MAC(网卡的介质访问控制地址)识别、能完成封装转发数据包功能的网络设备。它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用。目前交换机还具备了一些新的功能,如对VLAN、链路汇聚的支持,甚至有的已具有防火墙的功能,也就是所谓的三层交换。目前,许多网络病毒就是通过多端口发送大量无用的数据包,造成网络拥塞,给用户的上网带来致命的打击。因此,通过交换机的安全设置,一方面可以进行过滤和屏蔽,另一方面可以进行数据包上传的带宽限制,有效防止网络风暴。
设置方法
1、层过滤
目前新的交换机大都可以通过“建立规则”的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要,依据“源MAC或目的MAC”有效实现数据的隔离;另一种是IP模式,可以通过“源IP、目的IP、协议、源应用端口及目的应用端口”过滤数据封包。建立好的规则必须附加到相应的接收或传送端口上,当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃,完全不影响数据转发速率。
2、流量控制
交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定地运行。对端口的上传带宽进行适当控制,比如:控制在128KB。
3、访问控制
为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性。
4、安全网管
安全网管SNMP v3提出全新的体系结构,将各版本的SNMP标准集中到一起,进而加强网管安全性。SNMP v3建立的安全模型是基于用户的安全模型,即USM.USM对网管消息进行加密和认证是基于用户进行的。通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。
5、日志功能
交换机的Syslog日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。
Watchdog设定了一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故障或意外情况下,智能自动重启,保障网络的运行。
6、双映像文件
一些最新的交换机,还具备双映像文件。这一功能保护设备在异常情况下仍然可正常启动运行。文件系统分majoy和mirror两部分进行保存,如果一个文件系统被损坏或中断,另外一个文件系统会将其重写,如果两个文件系统都被损坏,则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。
2 第二招:安全网关设置
当用户使用一个非活动帐户去上网时,无论什么类型的网站,通过IE得到的信息都是把代理帐户当作当前的活动帐户。如果它想在你浏览网页时,用恶意代码对你的系统发起攻击的话,就会行不通!即使行得通,被修改的也仅仅是代理用户的一个配置文件而已,而所有恶意代码和病毒试图通过代理用户进行的破坏活动都将失败。因为代理用户根本就没有运行,怎么能取得系统的操作权呢?况且,它们更不可能跨越用户来操作,因为微软的配置本来就是“各个用户之间是彼此独立的”。
操作准备阶段
1、确保你当前的系统的安全可靠
如果你是刚刚安装的系统,那是最好不过了。如果你没有重新安装系统,也没有关系,但是你必须确保你的系统运行完全正常和无病毒。
2、点击“开始→程序→管理工具→计算机管理→本地用户和组→用户”,操作如下:
(1)首先把超级管理员密码更改成新的密码,然后创建一个用户,把它的密码也设置成新密码并提升为超级管理员。
(2)接着再添加两个用户,比如用户名分别为:rtm1、rtm2;并且指定它们属于user组。
(3)除非你需要维护你的计算机,否则就不要使用超级管理员和rtm2登录了。仅需使用rtm1登录就行。至此,准备阶段的工作就全部完成了。
设置代理阶段
本操作的关键就是要严格区分代理用户和登录用户,其目的就是要设置一个密码,将病毒、木马等挡在登录用户之外。操作步骤如下:
1、登录之后上网,建立IE浏览的桌面快捷方式。
2、右键单击快捷方式,选择“以其他用户方式运行”。
3、以后上网,用户就直接点击快捷方式。
4、在用户名和密码的提示框中,注意要输入rtm2的用户名和密码。
至此,用户就可以随心所欲地浏览任何网站和网页了,而不必再担心这些网站或网页是否有毒,因为只有rtm1才是当前系统的活动用户。
安全设置阶段
安全都是相对的,网络安全没有一劳永逸的事情。用户操作也总有犯错的时候,万一不小心中毒了怎么办呢?没有关系,你只需遵循如下的操作步骤:
1、重新启动机器,采用超级管理员登录系统,进入系统后什么程序都不要运行。
2、用鼠标点击“开始一程序一管理工具一计算机管理一本地用户和组一用户”。
3、将“用户rtm1和用户rtm2”两个用户删除。
一旦删除这两个用户,那么以前随之而存在的病毒也就随着这两个用户的消失而一起消失。经过上述简单的处理,你的操作系统就像新装的一样,任何系统文件和系统进程都是完全没有病毒的!
4、重复点击“开始→程序→管理工具→计算机管理→本地用户和组→用户”。重新创建trm1和rtm2两个用户。
表面上看,原来的两个用户又复活了,但是以前曾经追随它们的病毒无从复活。这是因为操作系统在重新创建用户的时候,会重新给它们分配全新的配置,而这个全新的配置是不可能包含病毒的。
5、重新启动机器,采用用户rtm1登录系统。
这时,用户就会发现他的系统又如同重新安装了。
设置要点:
在实际操作中,必须遵循微软的以下3条重要原则:
1、如果你不是进行系统更新或系统维护,任何时候都不要以超级管理员的身份登录系统。
2、当你在采用超级管理员身份登录系统的时候,必须确保不运行任何除了操作系统自带的工具和程序之外的任何程序。
3、所有维护操作只允许通过“开始”菜单中的选项来完成。
3 第三招:虚拟机软件设置
上面两招在提高上网终端安全方面建立了较强的预警机制,但是还不能完全确保终端用户免受木马和病毒的攻击。因此,必须再建立一套应急处理机制,以从根本上提高终端用户的安全性和稳定性。
安装病毒和木马防火墙
应该说,杀毒软件和木马防火墙在查杀病毒和木马等方面发挥了重要的作用,大大提高了终端用户的安全性。因此,用户如果完全放弃这些有效的工具软件,显然是不行的。大家可以参照本刊前期评测过的杀毒软件专题,选择适合自己的安防产品。安装虚拟影子系统
一旦上面的措施全部失效,那么下面的虚拟影子系统将发挥作用。用户惟一要做的就是重新启动机器,系统就恢复正常,快速而有效。根据笔者的反复实践,除了笔者曾经撰文推荐的影子系统POWER SHADOW2008以外,下面向大家推荐一个更加简单实用的虚拟影子系统软件Retumil Virtual System,它来自欧洲著名的安全公司Retumil SIA,是一个基于虚拟机原理的新一代防毒防木马类软件,可以瞬间把您的计算机用隔离罩保护起来,同时用一个内存中的虚假替身“影子”系统来接管真实的操作系统,任何病毒和木马都被限制在虚拟系统中使用,无法感染你真实的操作系统。重启后,所有危险即刻消失得无影。Returnil虚拟影子系统支持Windows XP、2003、Vista等操作系统,支持RAID等磁盘阵列体系,同时兼容IDE、SATA、CF卡等存储设备。该软件完全免费,无需注册,占用系统资源少,无广告,无插件。
下载地址: