起先也只是自己收到Q友的這種病毒信息，沒想到，從蘇州回到上海之后，自己也就中標了。這東西害人不淺。病毒如下：“我剛剛給你點了一首好聽的歌放在手機信箱里你用手機撥 1②590556225就可以聽了，聽完后有我留言”。在網上查過，有人打過這類的電話，70元的話費只剩1元了，謀財的。我殺了兩天的時間才在迷失中搞定，現在還不知有沒有徹底清除掉，詢問多個同學，好象沒有再出現，叫人深惡痛絕的狀況。隨將自己解決的方法與大家共享，以抵制垃圾人物制造的垃圾程序。
在中毒后，我下載了N多的殺毒軟件，包括本機中原有的“木馬殺客”、“卡巴斯基”，以及下載的，“QQKAV”、“Saint”、“瑞星QQ專殺”、“Ewido”、“Virus Scan”只有“Ewido”和“QQKAV”查殺到多個病毒，但問題仍然沒有解決，晚上和同事出去吃完飯回來，病毒更加猖獗。向我大學同學發了N個病毒，他的電腦好像也中標了，發給我的，被我的“QQKAV”給屏蔽了，丫的，不解決不行呀，這不是害人又害已嗎~~~~~~~~~~~~多次重起電腦后發現在，在剛剛打開桌面的時候，有兩個不知名的進程在運行，然后就沒了，進程查看器也看不到了。分別是：“8AB0E010.EXE”和“D504584F.EXE”，到注冊表里找到這兩個文件：打開—開始—運行—輸入“regedit”—CTRL+F—把剛剛那兩個文件名寫上，再找呀，時間漫長~~=====刪除。繼續再找下，防止沒有刪除，汗，還又出來了，怎么刪也沒行，找到原文件刪，打開我的電腦，使用查詢快鍵方式“CTRL+F”，查找下，全在WINDOWS系統里面，我刪~~~~~~~~~但是與這兩個名字相同，后綴名不同的DLL文件刪不了，可能還有程序在占用。我都快傻了。重起，按F8，進入安全模式，按上面的步驟再刪一次，把DLL文件也刪了，全刪了，OK。重起之后看不到這兩個進程了。
但再用Ewido殺時候還有一個毒（可能是，英文版的，偶不認識）HKLM/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{471E7641-6365-43FE-8464-37DEF8335FB0}/{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : No action taken 找到這個注冊表位置，刪，刪了再殺，有再刪，不行就到安全模式下刪。重查殺兩次，沒有了。哈哈~~~~~~~~~不知道問題有沒有最終解決。
如有朋友看到此文有更好的解決軟件，請給我留言，告之下，十分感謝ING。

各種病毒時至今日也可算是百花齊放了，搞得人心惶惶，一旦發現自己的電腦有點異常就認定是病毒在作怪，到處找殺毒軟件，一個不行，再來一個，總之似乎不找到"元兇"誓不罷休一樣，結果病毒軟件是用了一個又一個，或許為此人民幣是用了一張又一張，還是未見"元兇"的蹤影，其實這未必就是病毒在作怪。


這樣的例子并不少見，特別是對于一些初級電腦用戶。下面我就結合個人電腦使用及企業網絡維護方面的防毒經驗從以下幾個方面給大家介紹介紹如何判斷是否中了病毒，希望對幫助識別"真毒"有一定幫助！


病毒與軟、硬件故障的區別和聯系


電腦出故障不只是因為感染病毒才會有的，個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬件故障引起的，網絡上的多是由于權限設置所致。我們只有充分地了解兩者的區別與聯系，才能作出正確的判斷，在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬件故障引起的一些常見電腦故障癥狀分析。


病毒入侵后可能引起軟、硬件故障的可能性


經常死機：病毒打開了許多文件或占用了大量內存；不穩定(如內存質量差，硬件超頻性能差等)；運行了大容量的軟件占用了大量的內存和磁盤空間；使用了一些測試軟件(有許多BUG)；硬盤空間不夠等等；運行網絡上的軟件時經常死機也許是由于網絡速度太慢，所運行的程序太大，或者自己的工作站硬件配置太低。


系統無法啟動：病毒修改了硬盤的引導信息，或刪除了某些啟動文件。如引導型病毒引導文件損壞；硬盤損壞或參數設置不正確；系統文件人為地誤刪除等。


文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬盤損壞；文件快捷方式對應的鏈接位置發生了變化；原來編輯文件的軟件刪除了；如果是在局域網中多表現為服務器中文件存放位置發生了變化，而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。


經常報告內存不夠：病毒非法占用了大量內存；打開了大量的軟件；運行了需內存資源的軟件；系統配置不正確；內存本就不夠(目前基本內存要求為128M)等。


提示硬盤空間不夠：病毒復制了大量的病毒文件(這個遇到過好幾例，有時好端端的近10G硬盤安裝了一個WIN98或WINNT4.0系統就說沒空間了，一安裝軟件就提示硬盤空間不夠。硬盤每個分區容量太小；安裝了大量的大容量軟件；所有軟件都集中安裝在一個分區之中；硬盤本身就小；如果是在局域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制，因查看的是整個網絡盤的大小，其實"私人盤"上容量已用完了。


軟盤等設備未訪問時出讀寫信號：病毒感染；軟盤取走了還在打開曾經在軟盤中打開過的文件。


出現大量來歷不明的文件：病毒復制文件；可能是一些軟件安裝中產生的臨時文件；也或許是一些軟件的配置信息及運行記錄。


啟動黑屏：病毒感染(記得最深的是98年的4.26，我為CIH付出了好幾千元的代價，那天我第一次開機到了Windows畫面就死機了，第二次再開機就什么也沒有了)；顯示器故障；顯示卡故障；主板故障；超頻過度；CPU損壞等等


數據丟失：病毒刪除了文件；硬盤扇區損壞；因恢復文件而覆蓋原文件；如果是在網絡上的文件，也可能是由于其它用戶誤刪除了。


鍵盤或鼠標無端地鎖死：病毒作怪，特別要留意"木馬"；鍵盤或鼠標損壞；主板上鍵盤或鼠標接口損壞；運行了某個鍵盤或鼠標鎖定程序，所運行的程序太大，長時間系統很忙，表現出按鍵盤或鼠標不起作用。


系統運行速度慢：病毒占用了內存和CPU資源，在后臺運行了大量非法操作；硬件配置低；打開的程序太多或太大；系統配置不正確；如果是運行網絡上的程序時多數是由于你的機器配置太低造成，也有可能是此時網路上正忙，有許多用戶同時打開一個程序；還有一種可能就是你的硬盤空間不夠用來運行程序時作臨時交換數據用。


系統自動執行操作：病毒在后臺執行非法操作；用戶在注冊表或啟動組中設置了有關程序的自動運行；某些軟件安裝或升級后需自動重啟系統。


通過以上的分析對比，我們知道其實大多數故障都可能是由于人為或軟、硬件故障造成的，當我們發現異常后不要急于下斷言，在殺毒還不能解決的情況下，應仔細分析故障的特征，排除軟、硬件及人為的可能性。

網絡犯罪日益猖獗，明年也肯定會有新病毒、新犯罪手段出現，雖然這些現在可能和你沒有關系，但是常在江湖漂，哪能不挨刀，McAfee在分析明年安全形勢的時候做出了十條預測，我們與大家分享一下，了解之后預防勝于治療，希望大家永遠不要被病毒、木馬、流氓軟件騷擾。

網絡沖浪，小心為上，讓我們來看看這十條預測：

1.盜竊密碼的網頁會增加，多數是模仿知名網站例如eBay的登陸界面，誘使用戶上當。

2.垃圾郵件、占據帶寬的圖像郵件等比率會繼續增長。

3.視頻網站的流行會讓黑客也注意到MPEG這一散布惡意代碼的途徑。

4.當移動設備變得更加智能的時候，針對它們的攻擊也會增加。

5.隨著網絡的發展，廣告流氓軟件也會增多。

6.身份和數據被盜仍會成為廣大用戶頭痛的原因，除了計算機被控制之外，裝有信息的設備丟失和網絡通訊截取也是主要丟失原因。

7.使用“機器人”來自動完成任務，也會讓黑客較容易盯上你。

8.惡意軟件、木馬、病毒將會更不容易徹底清除，它們會采用更加難纏的備份恢復手段。

9.32位平臺上的攻擊型rootkit會增加，不過相應的防護技術也會進步。

10.系統或軟件漏洞仍會持續刺激“信息地下市場”。

雖然情況看上去不太樂觀，但是就如McAfee安全研究通信主管David Marcus所說的：“這不是世界末日，壞家伙在盡力而為，安全業界也在日益成長中。”

據統計，全球平均每20秒鐘就發生一次網上入侵事件，我國互聯網站點已達3萬個之多，國內有80%以上的網站缺乏安全措施，20%的網站有嚴重的安全問題。國內各行業、企業用戶已逐漸意識到網絡安全的重要性，正在打算或者已經開始實施完善的安全解決方案。那么，目前主流的網絡安全技術、產品和市場到底如何呢？記者總結了日前參加第三屆中國國際計算機信息系統安全展覽會時的所見所聞，以饗讀者。

今年的安全展參展廠商有60家左右，規模比去年小，涵蓋了信息與網絡安全所涉及的主要方面，但這其中最值得的關注的依然是防火墻、防病毒以及入侵檢測幾大領域。

硬件防火墻是主流
防火墻作為防護網絡安全的第一道門，是目前市場規模最大的一種產品，也是企業用戶率先選用的網絡安全產品。同時，由于防火墻技術相對比較成熟，幾乎每家的產品都使用了包過濾、狀態檢測以及應用層代理這三種實現技術，所以很多網絡安全企業認為防火墻門檻比較低，紛紛從防火墻切入網絡安全領域。
作為目前最琳瑯滿目的網絡安全產品，從實現形式來說，我們可以看到以硬件為主體的防火墻是主流方向，國內代表當屬天融信、東方龍馬、安氏、聯想網御等，國外代表是Cisco PIX、NetScreen、SonicWall等。據安全專家介紹，大家之所以都在走硬件防火墻之路，其中一個原因是軟件往往會成為影響網絡性能的瓶頸，我們報社曾經刊登的“防火墻測試報告”中也顯示出硬件防火墻性能遠遠高于軟件，同時國內用戶往往感覺硬件比軟件要安全。
CheckPoint FireWall-1作為業界第一大防火墻品牌，以軟件制勝，但實際上此次展會上所見到的集成了CheckPoint FireWall-1內核的上海應確信有限公司安全產品和群柏數碼所帶來的諾基亞系列安全產品都是典型的硬盒子。國內自主研發的防火墻產品基本上都是將以Linux 為內核開發的防火墻軟件固化在硬件中提供給用戶。

入侵檢測應用嶄露頭角
對于企業用戶來說，防火墻畢竟還是被動防護手段，入侵檢測作為一種主動動態的防護手段，與防火墻、防病毒產品結合在一起，才能構筑完整的安全防護解決方案。
此次展會上，我們看到入侵檢測產品數量遠比去年增加了不少，但廠商規模和實力相差甚大。據專家介紹，其實，國內不少入侵檢測產品是拿國外的產品改頭換面，并非真正從底層進行研發的，所以用戶選擇時一定要擦亮眼睛。同時，用戶在選購入侵檢測產品時，除了考慮檢測能力和協議分析能力以外，還需要注意產品本身的升級擴充能力，因為入侵檢測產品與防病毒軟件一樣依賴于巨大的攻擊特征庫，特征庫的更新對產品的功能和性能都非常重要。當然，對于入侵檢測產品來說，產品本身的安全性也非常關鍵。

防病毒走向多層次
如今，越來越多的企業用戶認識到單靠在客戶端安裝個人防病毒軟件并不能解決問題，病毒是無孔不入的，有的病毒來自軟盤或光盤，有的來自電子郵件，有的是通過Internet瀏覽、下載文件時感染。因此針對不同的病毒來源，用戶應該建立全方位的防病毒體系，也就是在客戶端、服務器端(包括文件服務器、郵件服務器、Web服務器等)以及網關端都部署防病毒產品，這種多層次防病毒體系將從不同的角度全面保障企業免受病毒之侵害。IDC統計數字表明，防病毒軟件市場正從消費性市場逐漸轉型成為企業防毒軟件市場，成長動力主要源自于服務器和訂閱服務市場，其在2005年將占據整體防毒軟件市場中的70%。如今，不只是國外廠商在企業級防毒方面提供完善的方案，國內廠商如瑞星也在大力推廣自己的網絡防病毒軟件。
當然，對于用戶來說，要想真正實現對病毒的防患于未然，還必須要時常更新病毒特征庫。同時，對于企業級防病毒軟件來說，部署與管理是非常重要的問題。各防病毒軟件廠商都推出了專門的管理工具來實現對各節點防病毒軟件的管理與升級。

協作與寬帶——安全產品之方向
以往企業用戶采購安全產品往往只買一個防火墻或一套防病毒軟件，并沒有真正將網絡安全作為一種完整的體系來考慮。而實際上，今天的用戶正在朝向構建網絡安全體系的方向發展。
當然，國內的產品與國外的產品相比較，在產品系列的完整性和產品性能上都存在較大的差距，各產品間缺乏協作，難以適應國內安全產品市場的需求。由于單一的網絡安全產品，如防火墻、入侵檢測系統等，只注重于網絡安全的某一方面，難以滿足日益復雜的安全需求。實際應用中，用戶往往要購買多類產品。可是，由于產品之間相互獨立，合作起來很不方便，無法發揮整體優勢。因此，將各類產品集成起來，使之相互協作，成為當前網絡安全發展的一個重要趨勢。
我們可以看到，原本生產單一網絡安全產品的廠商正將產品朝向多元化方向發展或者與其他安全廠商攜手并進，以實現不同網絡安全產品之間的互動。比如，CheckPoint的OPSEC便是為了集結其他安全領域的強手而推出的一個平臺，國內的天融信也推出了類似的TOPSEC平臺以實現以防火墻為基礎的網絡安全防護體系。安氏公司8月初推出的LinkTrust防火墻與ISS的入侵檢測體系以及趨勢科技的InterScan防病毒網關實現互動，真正結成了完整的網絡安全體系。
另外，隨著寬帶應用的發展，高速網絡已經開始從100M帶寬向1000M帶寬過渡，現有的產品難以適應高速網絡的安全需求，如何在這種情況下實現安全與性能之間的平衡是網絡安全產品面臨的一大挑戰。比如，在防火墻領域，用戶希望高速度的寬帶防火墻，Cisco和NetScreen都已推出了千兆級防火墻產品；入侵檢測產品也在朝向寬帶方向發展，目前很多廠商在采用集群技術實現千兆級入侵檢測。

安全服務不容忽視
如同軟件服務一樣，安全服務是一個重要方向無庸置疑。但就目前的網絡安全市場來說，安全服務還處于初級階段。雖然有一些廠商宣稱自己是安全服務提供商，但要想將安全服務作為唯一的盈利點，在目前市場狀態下還無法實現。所以，目前安全服務的提供者往往又是安全產品的生產者或有其他業務作為基礎，將安全服務作為增值來發展，這使得國內安全服務的質量參差不齊。
同時，就國內的網絡安全應用水平來說，網絡管理人員至少有90%以上沒有受過正規的網絡安全培訓；很多網絡管理員還是新手上路。信息系統從基礎設施到應用程序都存在著大量的漏洞與隱患，即使是經驗豐富的系統管理員對層出不窮的漏洞與日新月異的黑客技術也常常感到束手無策。在這種情況下，用戶確實需要專業化的網絡安全服務，希望廠商能夠提供從安全檢測及風險評估，安全方案設計與系統集成，安全應急響應以及相關的安全技術咨詢與培訓服務在內的完善的服務。但面對這么多宣稱能夠提供安全服務的廠商，用戶不知如何選擇，因此制定衡量安全服務廠商資質的標準是亟需解決的重要問題。
國家正在引導網絡安全服務朝向規范化方向發展。不久前，信息產業部計算機網絡與信息安全管理工作辦公室組織進行了“國家計算機網絡安全服務試點單位”選拔工作。三O衛士信息安全事務所、瑪賽、中聯綠盟等十幾家單位入選國家首批網絡安全服務試點單位，將為全國范圍內的信息安全建設提供示范工程，對促進安全服務的規范化起到重要的作用

入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：
· 監視、分析用戶及系統活動；
· 系統構造和弱點的審計；
· 識別反映已知進攻的活動模式并向相關人士報警；
· 異常行為模式的統計分析；
· 評估重要系統和數據文件的完整性；
· 操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網絡系統（包括程序、文件和硬件設備等）的任何變更，還能給網絡安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業人員非常容易地獲得網絡安全。而且，入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后，會及時作出響應，包括切斷網絡連接、記錄事件和報警等。

信息收集

入侵檢測的第一步是信息收集，內容包括系統、網絡、數據及用戶活動的狀態和行為。而且，需要在計算機網絡系統中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。

當然，入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟件來報告這些信息。因為黑客經常替換軟件以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常并看起來跟正常的一樣，而實際上不是。例如，unix系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來檢測網絡系統的軟件的完整性，特別是入侵檢測系統軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

入侵檢測利用的信息一般來自以下四個方面：

1.系統和網絡日志文件

黑客經常在系統日志文件中留下他們的蹤跡，因此，充分利用系統和網絡日志文件信息是檢測入侵的必要條件。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日志文件，能夠發現成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。

2.目錄和文件中的不期望的改變

網絡環境中的文件系統包含很多軟件和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日志文件。

3.程序執行中的不期望行為

網絡系統上的程序執行一般包括操作系統、網絡服務、用戶起動的程序和特定目的的應用，例如數據庫服務器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同權限的環境中，這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網絡間其它進程的通訊。

一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。

4. 物理形式的入侵信息

這包括兩個方面的內容，一是未授權的對網絡硬件連接；二是對物理資源的未授權訪問。黑客會想方設法去突破網絡的周邊防衛，如果他們能夠在物理上訪問內部網，就能安裝他們自己的設備和軟件。依此，黑客就可以知道網上的由用戶加上去的不安全（未授權）設備，然后利用這些設備訪問網絡。例如，用戶在家里可能安裝Modem以訪問遠程辦公室，與此同時黑客正在利用自動工具來識別在公共電話線上的Modem，如果一撥號訪問流量經過了這些自動工具，那么這一撥號訪問就成為了威脅網絡安全的后門。黑客就會利用這個后門來訪問內部網，從而越過了內部網絡原有的防護措施，然后捕獲網絡流量，進而攻擊其它系統，并偷取敏感的私有信息等等。

信號分析

對上述四類收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

1. 模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

2.統計分析

統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發展之中。

3.完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查。

入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網絡上自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網絡提供安全。

入侵檢測功能

·監督并分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理，判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在于：
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別并報告數據文件的改動
·發現系統配置的錯誤，必要時予以更正
·識別特定類型的攻擊，并向相應人員報警，以作出防御反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望：這些產品并不是無所不能的，它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下，無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網絡協議的漏洞
·不能彌補由于系統提供信息的質量或完整性的問題
·它們不能分析網絡繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網絡的硬件及特性

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內，隨著上網的關鍵部門、關鍵業務越來越多，迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品（缺乏升級和服務）階段，或者是防火墻中集成較為初級的入侵檢測模塊。可見，入侵檢測產品仍具有較大的發展空間，從技術途徑來講，我們認為，除了完善常規的、傳統的技術（模式識別和完整性檢測）外，應重點加強統計分析的相關技術研究。

單憑防火墻再也不足以保護網上資產。如今，黑客及其攻擊策略是越來越精明、越來越危險。當前的一大威脅就是應用層攻擊，這類攻擊可以偷偷潛入防火墻、直至潛入Web應用。沒錯，這類攻擊有不少喜歡把寶貴的客戶數據作為下手目標。


那么，為什么普通防火墻阻止不了這類攻擊呢？因為這類攻擊偽裝成正常流量，沒有特別大的數據包，地址和內容也沒有可疑的不相配，所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊（SQL injection）。在這種攻擊中，黑客利用你自己的其中一張HTML表單，未經授權就查詢數據庫。另一種威脅就是命令執行。只要Web應用把命令發送到外殼程序，狡猾的黑客就可以在服務器上隨意執行命令。


另一些攻擊比較簡單。譬如說，HTML注釋里面往往含有敏感信息，包括不謹慎的編程人員留下的登錄信息。于是，針對應用層的攻擊手段，從篡改cookies到更改HTML表單里面的隱藏字段，完全取決于黑客的想象力。不過好消息是，大多數這類攻擊是完全可以阻止的。


如果結合使用，兩種互為補充的方案可以提供穩固防線。首先，使用應用掃描器徹底掃描你的Web應用，查找漏洞。然后，使用Web應用防火墻阻止不法分子闖入。


應用掃描器基本上可以對你的服務器發動一系列模擬攻擊，然后匯報結果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在詳細列出缺陷、建議補救方法方面的功能都相當全面。AppScan Audit尤其值得關注，因為這款產品具有事后檢查功能，可以幫助編程人員在編制代碼時就查出漏洞。不過，這些工具包沒有一款比得上安全專業人士的全面審查。


一旦你設法堵住了漏洞，接下來就是部署Web應用防火墻。這類防火墻的工作方式很有意思：弄清楚進出應用的正常流量的樣子，然后查出不正常流量。為此，Web應用防火墻必須比普通防火墻更深層地檢查數據包。Check Point在這方面最出名，不過KaVaDo、NetContinuum、Sanctum和Teros等其它廠商的名氣相對要小。這類防火墻有的采用軟件，有的采用硬件，還有一些則兼而有之。不過別誤以為這類防火墻是即插即用的，即便采用硬件的也不能。與入侵檢測系統一樣，你也要認真調整Web應用防火墻，以減少誤報，又不讓攻擊潛入進來。


由于垃圾郵件以及越來越狡猾的攻擊，如果您以為安裝防火墻就萬事大吉，高枕無憂的話，您就應該好好想想上面所說您該如何應對。

1.引言


隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統和銀行等傳輸敏感數據的計算機網絡系統而言，其網上信息的安全和保密尤為重要。因此，上述的網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。


2.計算網絡面臨的威脅


計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網絡系統資源的非法使用，歸結起來，針對網絡安全的威脅主要有三：


(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。


(2)人為的惡意攻擊：這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。


(3)網絡軟件的漏洞和“后門”：網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。


3.計算機網絡的安全策略


(1)物理安全策略


物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。


抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。


(2)訪問控制策略


訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。


(3)入網訪問控制


入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。


用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。


對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。


網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。


用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時，網絡還應能對用戶的帳號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。


(4)網絡的權限控制


網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；（3）審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。


(5)目錄級安全控制


網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限（Supervisor）、讀權限（Read）、寫權限（Write）、創建權限（Create）、刪除權限（Erase）、修改權限（Modify）、文件查找權限（File Scan）、存取控制權限（Access Control）。用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網絡和服務器的安全性。


(6)屬性安全控制


當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。


(7)網絡服務器安全控制


網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。


(8)網絡監測和鎖定控制


網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。


(9)網絡端口和節點的安全控制


網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證。


(10)防火墻控制


防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型；


包過濾防火墻：包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。


代理防火墻：代理防火墻又稱應用層網關級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似于一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網絡轉發這項請求。代理防火墻無法快速支持一些新出現的業務（如多媒體）。現要較為流行的代理服務器軟件是WinGate和Proxy Server。


雙穴主機防火墻：該防火墻是用主機來執行安全控制功能。一臺雙穴主機配有多個網卡，分別連接不同的網絡。雙穴主機從一個網絡收集數據，并且有選擇地把它發送到另一個網絡上。網絡服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據，從而保護了內部網絡不被非法訪問。


4.信息加密策略


信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。


信息加密過程是由形形 色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密算法分為常規密碼算法和公鑰密碼算法。


在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。


常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。


在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的算法、橢園曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。


公鑰密碼的優點是可以適應網絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其算法復雜。加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼算法將是一種很有前途的網絡安全加密體制。


當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。 密碼技術是網絡安全最有效的技術之一。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。


5.網絡安全管理策略


在網絡安全中，除了采用上述技術措施之外，加強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。


網絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。


6.結束語


隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。

防火墻可分為幾種不同的安全等級。在Linux中，由于有許多不同的防火墻軟件可供選擇，安全性可低可高，最復雜的軟件可提供幾乎無法滲透的保護能力。不過，Linux核心本身內建了一種稱作“偽裝”的簡單機制，除了最專門的黑客攻擊外，可以抵擋住絕大部分的攻擊行動。


當我們撥號接連上Internet后，我們的計算機會被賦給一個IP地址，可讓網上的其他人回傳資料到我們的計算機。黑客就是用你的IP來存取你計算機上的資料。Linux所用的"IP偽裝"法，就是把你的IP藏起來，不讓網絡上的其他人看到。有幾組IP地址是特別保留給本地網絡使用的，Internet骨干路由器并不能識別。像作者計算機的IP是192.168.1.127，但如果你把這個地址輸入到你的瀏覽器中，相信什么也收不到，這是因為Internet骨干是不認得192.168.X.X這組IP的。在其他Intranet上有數不清的計算機，也是用同樣的IP，由于你根本不能存取，當然不能侵入或破解了。


那么，解決Internet上的安全問題，看來似乎是一件簡單的事，只要為你的計算機選一個別人無法存取的IP地址，就什么都解決了。錯！因為當你瀏覽Internet時，同樣也需要服務器將資料回傳給你，否則你在屏幕上什么也看不到，而服務器只能將資料回傳給在Internet骨干上登記的合法IP地址。


"IP偽裝"就是用來解決此兩難困境的技術。當你有一部安裝Linux的計算機，設定要使用"IP偽裝"時，它會將內部與外部兩個網絡橋接起來，并自動解譯由內往外或由外至內的IP地址，通常這個動作稱為網絡地址轉換。


實際上的"IP偽裝"要比上述的還要復雜一些。基本上，"IP偽裝"服務器架設在兩個網絡之間。如果你用模擬的撥號調制解調器來存取Internet上的資料，這便是其中一個網絡；你的內部網絡通常會對應到一張以太網卡，這就是第二個網絡。若你使用的是DSL調制解調器或纜線調制解調器(Cable Modem)，那么系統中將會有第二張以太網卡，代替了模擬調制解調器。


而Linux可以管理這些網絡的每一個IP地址，因此，如果你有一部安裝Windows的計算機（IP為192.168.1.25），位于第二個網絡上（Ethernet eth1）的話，要存取位于Internet（Ethernet eth0）上的纜線調制解調器（207.176.253.15）時，Linux的"IP偽裝"就會攔截從你的瀏覽器所發出的所有TCP/IP封包，抽出原本的本地地址（192.168.1.25），再以真實地址（207.176.253.15）取代。接著，當服務器回傳資料到207.176.253.15時，Linux也會自動攔截回傳封包，并填回正確的本地地址（192.168.1.25）。


Linux可管理數臺本地計算機，并處理每一個封包，而不致發生混淆。作者有一部安裝SlackWare Linux的老486計算機，可同時處理由四部計算機送往纜線調制解調器的封包，而且速度不減少。


在第二版核心前，"IP偽裝"是以IP發送管理模塊（IPFWADM，IP fw adm）來管理。第二版核心雖然提供了更快、也更復雜的IPCHAINS，但仍舊提供了IPFWADM wrapper來保持向下兼容性，因此，作者在本文中會以IPFWADM為例，來解說如何設定"IP偽裝"（您可至http：//metalab.unc.edu/mdw/HOWTO/IPCHAINS－HOWTO.html查詢使用IPCHAINS的方法，該頁并有"IP偽裝"更詳盡的說明）。


另外，某些應用程序如RealAudio與CU－SeeME所用的非標準封包，則需要特殊的模塊，您同樣可從上述網站得到相關信息。


作者的服務器有兩張以太網卡，在核心激活過程中，分別被設定在eth0與eth1。這兩張卡均為SN2000式無跳腳的ISA適配卡，而且絕大多數的Linux都認得這兩張卡。作者的以太網絡初始化步驟在rc.inet1中設定，指令如下：


IPADDR="207.175.253.15"

＃換成您纜線調制解調器的IP地址。

NETMASK="255.255.255.0"

＃換成您的網絡屏蔽。

NETWORK="207.175.253.0"

＃換成您的網絡地址。

BROADCAST="207.175.253.255"


＃換成您的廣播地址。

GATEWAY="207.175.253.254"

＃換成您的網關地址。

＃用以上的宏來設定您的纜線調制解調器以太網卡

/sbin/ifconfig eth0 ＄{IPADDR} broadcast ＄ {BROADCAST} netmask ＄{NETMASK}

＃設定IP路由表

/sbin/route add －net ＄{NETWORK} netmask ＄ {NETMASK} eth0

＃設定intranet以太網絡卡eth1，不使用宏指令

/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0

/sbin/route add －net 192.168.1.0 netmask 255.255.255.0 eth1

＃接著設定IP fw adm初始化

/sbin/ipfwadm －F －p deny ＃拒絕以下位置之外的存取 ＃打開來自192.168.1.X的傳送需求

/sbin/ipfwadm －F －a m －S 192.168.1.0/24 －D 0.0.0.0/0

/sbin/ipfwadm －M －s 600 30 120


就是這樣！您系統的"IP偽裝"現在應該可以正常工作了。如果您想得到更詳細的信息，可以參考上面所提到的HOWTO，或是至http：//albali.aquanet.com.br/howtos/Bridge＋Firewall－4.html參考MINI HOWTO。另外關于安全性更高的防火墻技術，則可在ftp：//sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall－HOWTO中找到資料。


半年來，56K模擬數據卡的價格突然跌降了不少。不過，大多數新的數據卡，其實是拿掉了板子上的控制用微處理器，因此會對系統的主CPU造成額外的負荷，而Linux并不支持這些"WinModem"卡。雖然Linux核心高手們，還是有能力為WinModem卡撰寫驅動程序，但他們也很明白，為了省10元美金而對系統效能造成影響，絕對不是明智之舉。


請確定您所使用的Modem卡，有跳腳可用來設定COM1、COM2、COM3與COM4，如此一來，這些數據卡才可在Linux下正常工作。您可在http：//www.o2.net/～gromitkc/winmodem.html中找到與Linux兼容的數據卡的完整列表。


當作者在撰寫本篇文章時，曾花了點時間測試各種不同的數據卡。Linux支持即插即用裝置，所以我買了一塊由Amjet生產的無跳腳數據卡，才又發現另一個令人困擾的問題。


作者測試用的PC是一部老舊的486，用的是1994年版的AMI BIOS。在插上這塊即插即用數據卡后，計算機便無法開機了，畫面上出現的是"主硬盤發生故障"（Primary hard disk failure）。經檢查，發現即插即用的BIOS居然將原應保留給硬盤控制器的15號中斷，配給了數據卡。最后作者放棄了在舊計算機上使用即插即用產品，因為不值得為這些事花時間。所以，請您注意在購買數據卡之前，先看清楚是否有調整COM1到COM4的跳腳。


在作者的布告板（http：//trevormarshall.com/BYTE/）上，看到有幾位朋友詢問是否可以用多條撥號線來改善Internet的上網速度。這里最好的例子是128K ISDN，它同時運用兩條56K通道，以達到128K的速度。當ISP提供這樣的服務時，其實會配置兩條獨立的線路連到同一個IP上。


您可以看到，雖然Linux上有EQL這類模塊，可讓您在計算機上同時使用兩塊數據卡，但除非ISP對兩組撥號連線提供同一個IP，否則這兩塊數據卡也只是對送出資料有幫助而已。


如果您撥接的是一般的ISP PPP線路，那么您會得到一個IP地址，從服務器回傳的封包才能在數百萬臺計算機中找到您；而您每次撥入ISP時，都會得到一個不同的IP地址。


你的瀏覽器所送出的封包中，也包含供服務器資料回傳的本地IP地址。EQL可將這些外傳的封包，分散到不同的ISP線路上，但當資料回傳時，卻只能通過一個IP地址接收，也就是瀏覽器認為正在使用的那個地址。若是使用ISDN，那么ISP會處理這個問題；一些ISP會為多組線路的撥號接入提供相應的IP地址，但價錢非常昂貴。


在追求速度時，請別忽略了Linux防火墻的效率。在作者辦公室有六位使用者通過"IP偽裝"防火墻，去存取一部56K模擬調制解調器，工作情況十分良好，只有在有人下載大文件時速度才會變慢。在您決定要加裝多條ISP撥號線之前，可以先架設一部"IP偽裝"服務器試試。Windows處理多重IP的方式并非十分有效率，而將Windows網絡與調制解調器隔開，效能的增進將會讓您驚訝不已。

簡而言之，Linux所用的"IP偽裝"法，就是把你的IP藏起來，不讓網絡上的其他人看到.

用過DOS的人對參數并不陌生，DOS下的很多程序都有參數，盡管是枯燥的英文字母，但功能卻非常強大。Ghost是一個典型的支持參數的DOS程序，充分利用它的參數，我們可以更好地控制Ghost。讓它們更好地為我們工作，前面幾個例子，我們就使用了Ghost的參數做出了一張自動備份和恢復硬盤數據的自啟動光盤。正是因為Ghost參數眾多，功能強大，我們才有必要把一些最最常用的參數列出，供大家平時參考使用。

　　小提示

　　★參數(Parameter)是程序提供給我們一些隱藏選項，通過添加參數，可以實現正常啟動程序無法實現或者能夠實現，但需要很多步驟才能夠實現的功能，可以給我們帶來很多的方便。

　　★參數與程序、參數與參數之間用空格符分隔。　　

　　★我們可以把Ghost的參數寫入到一些BAT文件中，并通過控制語句來用它更方便地克隆和恢復我們的系統。

　　1.磁盤對磁盤拷貝

　　圖形界面: Disk To Disk

　　參數例子: ghost -clone，mode=copy，src=1，dst=2 -sure -fx

　　參數功能: 拷貝磁盤一的全部內容到磁盤二，不必詢問，完成后退出Ghost。

　　2.把磁盤上的所有內容備份成映像文件

　　圖形界面: Disk To Image

　　參數例子: ghost -clone，mode=dump，src=1，dst=d:Win98sys.gho -z3 -sure -fx

　　參數功能: 備份機器第一塊硬盤上的全部內容到另一臺硬盤d:Win98sys.gho文件中，高壓縮，不必詢問，完成后退出Ghost。

　　3.從備份的映像文件復原到磁盤

　　圖形界面: Disk From Image

　　參數例子: ghost -clone，mode=load，src=d:Win98sys.gho，dst=1 -sure -fx

　　參數功能: 從備份在另一塊硬盤d:Win98sys.gho的映像文件復原到第一塊硬盤上，不必詢問，完成后退出Ghost。

　　4.分區對分區拷貝

　　圖形界面: Partition To Partition

　　參數例子: ghost -clone，mode=pcopy，src=1:1，dst=2:1 -sure -fx

　　參數功能: 拷貝第一塊硬盤第一個分區上的所有內容到第二塊硬盤的第一個分區上，不必詢問，完成后退出Ghost。

　　5.把分區內容備份成映像文件

　　圖形界面: Partition To Image

　　參數例子: ghost -clone，mode=pdump，src=1:1，dst=d:Win98sys.gho -z9 -sure -fx

　　參數功能: 備份第一塊硬盤第一分區到d:Win98sys.gho，采用最高壓縮率，不必詢問，完成后退出Ghost。

　6.從備份的映像文件克隆到分區

　　圖形界面: Partition From Image

　　參數例子: ghost -clone，mode=pload，src=d:Win98sys.gho:1，dst=1:1 -sure -fx

　　參數功能: 把d:Win98sys.gho中的第一個分區內存克隆到第一塊硬盤第一分區上，不必詢問，完成后退出Ghost。

　　7.平行端口電纜線直接連接電腦客戶機

　　圖形界面: LPT/Slave

　　參數例子: ghost -lps

　　參數功能: 啟動客戶機 (兩臺電腦必須同時執行Ghost)。

　　8.平行端口電纜線直接連接服務機

　　圖形界面: LPT/Master

　　參數例子: ghost -lpm -clone，mode=dump，src=1，dst=c:Win98sys.gho -sure -fx

　　參數功能: 將服務機第一塊硬盤上的內容備份到客戶機c:Win98sys.gho文件中，不必詢問，完成后退出Ghost。

　　9.硬盤間直接克隆

　　參數例子:ghost -clone，mode=copy，src=1，dst=2 -sure

　　參數功能:在內部模式拷貝第一塊硬盤到第二塊硬盤，無需提示，直接克隆。

　　10.網絡備份

　　參數例子:ghost -nbm -clone，mode=dump，src=2，dst=c:xxxx.gho

　　參數功能:由NetBIOS模式連接到正在進行ghostslave的網絡遠程個人電腦并備份本機第二塊硬盤到遠程硬盤C:xxxx.gho成一映像壓縮文件。

　　小提示

　　該遠程客戶機必須使用ghost -nbs命令來啟動。

11.將映像文件克隆到硬盤

　　參數例子:ghost -clone，mode=load，src=e:savdsk.gho,dst=1

　　參數功能:讀入E:SAVEDSK.gho文件，并把它克隆到第一塊硬盤上。

　　12.將第二個分區備份為映像文件(還原)

　　參數例子:ghost -clone，mode=pdump，src=1:2，dst=g:imgspart2.gho

　　參數功能:備份第一塊硬盤的第二分區到g:imgspart2.gho映像文件。

　　參數例子:ghost -clone，mode=pload，src=g:imgspart2.gho:2，dst=1:2

　　參數功能:載入(恢復)映像文件內的第二分區到內部硬盤第一塊硬盤的第二分區。

　　13.不同硬盤不同分區復制

　　參數例子:ghost -clone，mode=pcopy，src=1:2，dst=2:1

　　參數功能:拷貝第一塊硬盤的第二分區到第二塊硬盤的第一分區。

　　14.還原到第二塊硬盤并調整分區大小

　　參數例子:ghost -clone，mode=load，src=g:imgs2prtdisk.gho，dst=2，sze1=60P，sze2=40P

　　參數功能:克隆g:imgs2prtdisk.gho映像文件到第二塊硬盤， 并重整按60%和40%大小分配分區大小。
15.還原到第一塊硬盤并調整分區大小

　　參數例子:ghost -clone，mode=load，src=e:imgs3prtdisk.gho，dst=1，sze1=450M，sze2=1599M，sze3=2047M

　　參數功能:克隆e:imgs3prtdisk.gho映像文件到第一塊硬盤， 并重整分區大小為: 第一分區450MB，第二分區1599MB，第三分區2047MB。

　　16.保留第一分區，其他不分配

　　參數例子:ghost -clone，mode=copy，src=1，dst=2，sze1=F，sze2=V，sze3=V

　　參數功能:拷貝有三個分區的第一塊硬盤到第二塊硬盤并保持第一分區與來源大小相同，但是其他分區所剩余空間保留不予分配。

　　17.還原到最后的分區并調整分區大小

　　參數例子:ghost -clone，mode=load，src=g:imgs2prtdisk.gho，dst=1，szeL

　　參數功能:載入映像文件到磁盤最后的分區并按照容量重整其大小，第一分區則利用剩余的空間。

　　18.從參數文件讀取

　　參數例子:GHOST.EXE @(參數文件)

　　參數功能:GHOST命令行參數可從參數文件讀取并執行(注意參數文件是文本格式的)。

　　小提示

　　參數文件中可以以文本格式編寫包含任何Ghost命令行參數，除了-AFILE=和-DFILE= 參數外。

　　19.備份并自動分割

　　參數例子:ghost -sure -clone,mode=pdump,src=1:1,dst=system.gho -span -split=630

　　參數功能:它的作用是把第一塊硬盤第一分區信息備份到當前文件夾下的system.gho中，如果生成的system.gho大于630MB，則會分割生成的GHO文件，這個參數在備份大的分區，并把它們燒錄到650MB的CD-R上時非常有用。

　　20.備份并加密

　　參數例子:ghost -sure -pwd,666888 -clone,mode=pdump,src=1:1,dst=system.gho

　　參數功能:該語句的作用是把第一塊硬盤第一分區信息備份到當前文件夾下的system.gho中，并且以666888作為生成后GHO文件的密碼，以便加密。以后用Ghost恢復system.gho文件，或者用Ghost Explorer來釋放其中的文件時，都必須輸入密碼，否則無法恢復或釋放文件，從而起到了保密的作用。如果輸入ghost -sure -pwd -clone,mode=pdump,src=1:1,dst=system.gho，即-pwd后面不帶密碼，則Ghost在制作GHO文件前會詢問用戶加密GHO的密碼，你必須記牢。給GHO文件加密后，別人就無法隨意查看或恢復我們的文件了。

傳統的補丁管理，存在著可控性差、無法評估實施效果等問題。系統管理員往往只能將需要更新的補丁連接通知用戶，至于用戶是否打了補丁、補丁應用成功與否則很難控制。在這種情況下，企業IT系統仍然會存在很多漏洞，成為病毒和黑客程序攻擊的目標。要提升補丁管理的水平，首先要分析補丁管理過程中的各個環節，然后利用相關的管理工具最大限度地降低管理員的工作量和工作難度。

一般來說，主動的補丁管理過程應該包括以下幾個環節：

* 調查環境 首先需要了解網絡中所有的設備并獲得這些設備的基本信息，只有對網絡環境的資產信息進行集中管理，才能夠針對不同的平臺和對象采用不同的應用策略。

* 研究和調查漏洞 對最新的漏洞信息，應該能夠收集完整的描述信息，包括漏洞的發布時間、平臺相關性、嚴重級別、內容描述等，根據這些信息管理員可以確認漏洞的重要程度。

* 威脅評估 收集整個網絡中每臺設備上詳細的漏洞狀況，即針對每臺設備上存在哪些漏洞。

* 下載和測試補丁 系統管理員需要下載相應的補丁，同一個漏洞在不同的操作系統上需要應用不同的補丁，這些補丁的可靠性必須經過嚴格的試。

* 部署補丁 系統員需要快速給有的系統打補丁。

* 結果評估 系統管理員需要得到補丁應用結果的詳細統計信息，針對沒有打上補丁的系統，管理員需要采取必要的措施。

補丁管理方案必備功能

針對以上六個步驟，我們不難看出，一個好的補丁管理解決方案應該具有以下特點：

* 具有完整的資產收集功能，能夠收集到所有終端節點的設備名稱、IP地址、操作系統平臺、語言版本等信息。

* 同步更新操作系統漏洞信息，系統管理員能夠從控制臺上隨時了解完整的漏洞信息。

* 收集客戶端當前漏洞狀態，該漏洞狀態是自動應用補丁的基礎。

* 自動下載補丁。針對管理員需要彌補的一個或多個漏洞，自動下載所有對應的補丁，補丁的來源必須是可靠的并且經過檢驗。

* 自動分發并安裝補丁。能夠自動向需要打補丁的客戶端分發并安裝補丁，該過程對客戶端是透明的，不需要客戶干預。

* 自動評估效果。補丁應用策略實施后，自動評估補丁應用的效果，形成修復報告。