Linux系統中如何用防火墻抵擋黑客攻擊
[ 2007-03-25 03:53:25 | 作者: sun ]
防火墻可分為幾種不同的安全等級。在Linux中,由于有許多不同的防火墻軟件可供選擇,安全性可低可高,最復雜的軟件可提供幾乎無法滲透的保護能力。不過,Linux核心本身內建了一種稱作“偽裝”的簡單機制,除了最專門的黑客攻擊外,可以抵擋住絕大部分的攻擊行動。
當我們撥號接連上Internet后,我們的計算機會被賦給一個IP地址,可讓網上的其他人回傳資料到我們的計算機。黑客就是用你的IP來存取你計算機上的資料。Linux所用的"IP偽裝"法,就是把你的IP藏起來,不讓網絡上的其他人看到。有幾組IP地址是特別保留給本地網絡使用的,Internet骨干路由器并不能識別。像作者計算機的IP是192.168.1.127,但如果你把這個地址輸入到你的瀏覽器中,相信什么也收不到,這是因為Internet骨干是不認得192.168.X.X這組IP的。在其他Intranet上有數不清的計算機,也是用同樣的IP,由于你根本不能存取,當然不能侵入或破解了。
那么,解決Internet上的安全問題,看來似乎是一件簡單的事,只要為你的計算機選一個別人無法存取的IP地址,就什么都解決了。錯!因為當你瀏覽Internet時,同樣也需要服務器將資料回傳給你,否則你在屏幕上什么也看不到,而服務器只能將資料回傳給在Internet骨干上登記的合法IP地址。
"IP偽裝"就是用來解決此兩難困境的技術。當你有一部安裝Linux的計算機,設定要使用"IP偽裝"時,它會將內部與外部兩個網絡橋接起來,并自動解譯由內往外或由外至內的IP地址,通常這個動作稱為網絡地址轉換。
實際上的"IP偽裝"要比上述的還要復雜一些。基本上,"IP偽裝"服務器架設在兩個網絡之間。如果你用模擬的撥號調制解調器來存取Internet上的資料,這便是其中一個網絡;你的內部網絡通常會對應到一張以太網卡,這就是第二個網絡。若你使用的是DSL調制解調器或纜線調制解調器(Cable Modem),那么系統中將會有第二張以太網卡,代替了模擬調制解調器。
而Linux可以管理這些網絡的每一個IP地址,因此,如果你有一部安裝Windows的計算機(IP為192.168.1.25),位于第二個網絡上(Ethernet eth1)的話,要存取位于Internet(Ethernet eth0)上的纜線調制解調器(207.176.253.15)時,Linux的"IP偽裝"就會攔截從你的瀏覽器所發出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真實地址(207.176.253.15)取代。接著,當服務器回傳資料到207.176.253.15時,Linux也會自動攔截回傳封包,并填回正確的本地地址(192.168.1.25)。
Linux可管理數臺本地計算機,并處理每一個封包,而不致發生混淆。作者有一部安裝SlackWare Linux的老486計算機,可同時處理由四部計算機送往纜線調制解調器的封包,而且速度不減少。
在第二版核心前,"IP偽裝"是以IP發送管理模塊(IPFWADM,IP fw adm)來管理。第二版核心雖然提供了更快、也更復雜的IPCHAINS,但仍舊提供了IPFWADM wrapper來保持向下兼容性,因此,作者在本文中會以IPFWADM為例,來解說如何設定"IP偽裝"(您可至http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查詢使用IPCHAINS的方法,該頁并有"IP偽裝"更詳盡的說明)。
另外,某些應用程序如RealAudio與CU-SeeME所用的非標準封包,則需要特殊的模塊,您同樣可從上述網站得到相關信息。
作者的服務器有兩張以太網卡,在核心激活過程中,分別被設定在eth0與eth1。這兩張卡均為SN2000式無跳腳的ISA適配卡,而且絕大多數的Linux都認得這兩張卡。作者的以太網絡初始化步驟在rc.inet1中設定,指令如下:
IPADDR="207.175.253.15"
#換成您纜線調制解調器的IP地址。
NETMASK="255.255.255.0"
#換成您的網絡屏蔽。
NETWORK="207.175.253.0"
#換成您的網絡地址。
BROADCAST="207.175.253.255"
#換成您的廣播地址。
GATEWAY="207.175.253.254"
#換成您的網關地址。
#用以上的宏來設定您的纜線調制解調器以太網卡
/sbin/ifconfig eth0 ${IPADDR} broadcast $ {BROADCAST} netmask ${NETMASK}
#設定IP路由表
/sbin/route add -net ${NETWORK} netmask $ {NETMASK} eth0
#設定intranet以太網絡卡eth1,不使用宏指令
/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1
#接著設定IP fw adm初始化
/sbin/ipfwadm -F -p deny #拒絕以下位置之外的存取 #打開來自192.168.1.X的傳送需求
/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -M -s 600 30 120
就是這樣!您系統的"IP偽裝"現在應該可以正常工作了。如果您想得到更詳細的信息,可以參考上面所提到的HOWTO,或是至http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html參考MINI HOWTO。另外關于安全性更高的防火墻技術,則可在ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到資料。
半年來,56K模擬數據卡的價格突然跌降了不少。不過,大多數新的數據卡,其實是拿掉了板子上的控制用微處理器,因此會對系統的主CPU造成額外的負荷,而Linux并不支持這些"WinModem"卡。雖然Linux核心高手們,還是有能力為WinModem卡撰寫驅動程序,但他們也很明白,為了省10元美金而對系統效能造成影響,絕對不是明智之舉。
請確定您所使用的Modem卡,有跳腳可用來設定COM1、COM2、COM3與COM4,如此一來,這些數據卡才可在Linux下正常工作。您可在http://www.o2.net/~gromitkc/winmodem.html中找到與Linux兼容的數據卡的完整列表。
當作者在撰寫本篇文章時,曾花了點時間測試各種不同的數據卡。Linux支持即插即用裝置,所以我買了一塊由Amjet生產的無跳腳數據卡,才又發現另一個令人困擾的問題。
作者測試用的PC是一部老舊的486,用的是1994年版的AMI BIOS。在插上這塊即插即用數據卡后,計算機便無法開機了,畫面上出現的是"主硬盤發生故障"(Primary hard disk failure)。經檢查,發現即插即用的BIOS居然將原應保留給硬盤控制器的15號中斷,配給了數據卡。最后作者放棄了在舊計算機上使用即插即用產品,因為不值得為這些事花時間。所以,請您注意在購買數據卡之前,先看清楚是否有調整COM1到COM4的跳腳。
在作者的布告板(http://trevormarshall.com/BYTE/)上,看到有幾位朋友詢問是否可以用多條撥號線來改善Internet的上網速度。這里最好的例子是128K ISDN,它同時運用兩條56K通道,以達到128K的速度。當ISP提供這樣的服務時,其實會配置兩條獨立的線路連到同一個IP上。
您可以看到,雖然Linux上有EQL這類模塊,可讓您在計算機上同時使用兩塊數據卡,但除非ISP對兩組撥號連線提供同一個IP,否則這兩塊數據卡也只是對送出資料有幫助而已。
如果您撥接的是一般的ISP PPP線路,那么您會得到一個IP地址,從服務器回傳的封包才能在數百萬臺計算機中找到您;而您每次撥入ISP時,都會得到一個不同的IP地址。
你的瀏覽器所送出的封包中,也包含供服務器資料回傳的本地IP地址。EQL可將這些外傳的封包,分散到不同的ISP線路上,但當資料回傳時,卻只能通過一個IP地址接收,也就是瀏覽器認為正在使用的那個地址。若是使用ISDN,那么ISP會處理這個問題;一些ISP會為多組線路的撥號接入提供相應的IP地址,但價錢非常昂貴。
在追求速度時,請別忽略了Linux防火墻的效率。在作者辦公室有六位使用者通過"IP偽裝"防火墻,去存取一部56K模擬調制解調器,工作情況十分良好,只有在有人下載大文件時速度才會變慢。在您決定要加裝多條ISP撥號線之前,可以先架設一部"IP偽裝"服務器試試。Windows處理多重IP的方式并非十分有效率,而將Windows網絡與調制解調器隔開,效能的增進將會讓您驚訝不已。
簡而言之,Linux所用的"IP偽裝"法,就是把你的IP藏起來,不讓網絡上的其他人看到.
Ghost完全應用技巧二十則
[ 2007-03-25 03:53:08 | 作者: sun ]
用過DOS的人對參數并不陌生,DOS下的很多程序都有參數,盡管是枯燥的英文字母,但功能卻非常強大。Ghost是一個典型的支持參數的DOS程序,充分利用它的參數,我們可以更好地控制Ghost。讓它們更好地為我們工作,前面幾個例子,我們就使用了Ghost的參數做出了一張自動備份和恢復硬盤數據的自啟動光盤。正是因為Ghost參數眾多,功能強大,我們才有必要把一些最最常用的參數列出,供大家平時參考使用。
小提示
★參數(Parameter)是程序提供給我們一些隱藏選項,通過添加參數,可以實現正常啟動程序無法實現或者能夠實現,但需要很多步驟才能夠實現的功能,可以給我們帶來很多的方便。
★參數與程序、參數與參數之間用空格符分隔。
★我們可以把Ghost的參數寫入到一些BAT文件中,并通過控制語句來用它更方便地克隆和恢復我們的系統。
1.磁盤對磁盤拷貝
圖形界面: Disk To Disk
參數例子: ghost -clone,mode=copy,src=1,dst=2 -sure -fx
參數功能: 拷貝磁盤一的全部內容到磁盤二,不必詢問,完成后退出Ghost。
2.把磁盤上的所有內容備份成映像文件
圖形界面: Disk To Image
參數例子: ghost -clone,mode=dump,src=1,dst=d:Win98sys.gho -z3 -sure -fx
參數功能: 備份機器第一塊硬盤上的全部內容到另一臺硬盤d:Win98sys.gho文件中,高壓縮,不必詢問,完成后退出Ghost。
3.從備份的映像文件復原到磁盤
圖形界面: Disk From Image
參數例子: ghost -clone,mode=load,src=d:Win98sys.gho,dst=1 -sure -fx
參數功能: 從備份在另一塊硬盤d:Win98sys.gho的映像文件復原到第一塊硬盤上,不必詢問,完成后退出Ghost。
4.分區對分區拷貝
圖形界面: Partition To Partition
參數例子: ghost -clone,mode=pcopy,src=1:1,dst=2:1 -sure -fx
參數功能: 拷貝第一塊硬盤第一個分區上的所有內容到第二塊硬盤的第一個分區上,不必詢問,完成后退出Ghost。
5.把分區內容備份成映像文件
圖形界面: Partition To Image
參數例子: ghost -clone,mode=pdump,src=1:1,dst=d:Win98sys.gho -z9 -sure -fx
參數功能: 備份第一塊硬盤第一分區到d:Win98sys.gho,采用最高壓縮率,不必詢問,完成后退出Ghost。
6.從備份的映像文件克隆到分區
圖形界面: Partition From Image
參數例子: ghost -clone,mode=pload,src=d:Win98sys.gho:1,dst=1:1 -sure -fx
參數功能: 把d:Win98sys.gho中的第一個分區內存克隆到第一塊硬盤第一分區上,不必詢問,完成后退出Ghost。
7.平行端口電纜線直接連接電腦客戶機
圖形界面: LPT/Slave
參數例子: ghost -lps
參數功能: 啟動客戶機 (兩臺電腦必須同時執行Ghost)。
8.平行端口電纜線直接連接服務機
圖形界面: LPT/Master
參數例子: ghost -lpm -clone,mode=dump,src=1,dst=c:Win98sys.gho -sure -fx
參數功能: 將服務機第一塊硬盤上的內容備份到客戶機c:Win98sys.gho文件中,不必詢問,完成后退出Ghost。
9.硬盤間直接克隆
參數例子:ghost -clone,mode=copy,src=1,dst=2 -sure
參數功能:在內部模式拷貝第一塊硬盤到第二塊硬盤,無需提示,直接克隆。
10.網絡備份
參數例子:ghost -nbm -clone,mode=dump,src=2,dst=c:xxxx.gho
參數功能:由NetBIOS模式連接到正在進行ghostslave的網絡遠程個人電腦并備份本機第二塊硬盤到遠程硬盤C:xxxx.gho成一映像壓縮文件。
小提示
該遠程客戶機必須使用ghost -nbs命令來啟動。
11.將映像文件克隆到硬盤
參數例子:ghost -clone,mode=load,src=e:savdsk.gho,dst=1
參數功能:讀入E:SAVEDSK.gho文件,并把它克隆到第一塊硬盤上。
12.將第二個分區備份為映像文件(還原)
參數例子:ghost -clone,mode=pdump,src=1:2,dst=g:imgspart2.gho
參數功能:備份第一塊硬盤的第二分區到g:imgspart2.gho映像文件。
參數例子:ghost -clone,mode=pload,src=g:imgspart2.gho:2,dst=1:2
參數功能:載入(恢復)映像文件內的第二分區到內部硬盤第一塊硬盤的第二分區。
13.不同硬盤不同分區復制
參數例子:ghost -clone,mode=pcopy,src=1:2,dst=2:1
參數功能:拷貝第一塊硬盤的第二分區到第二塊硬盤的第一分區。
14.還原到第二塊硬盤并調整分區大小
參數例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=2,sze1=60P,sze2=40P
參數功能:克隆g:imgs2prtdisk.gho映像文件到第二塊硬盤, 并重整按60%和40%大小分配分區大小。
15.還原到第一塊硬盤并調整分區大小
參數例子:ghost -clone,mode=load,src=e:imgs3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
參數功能:克隆e:imgs3prtdisk.gho映像文件到第一塊硬盤, 并重整分區大小為: 第一分區450MB,第二分區1599MB,第三分區2047MB。
16.保留第一分區,其他不分配
參數例子:ghost -clone,mode=copy,src=1,dst=2,sze1=F,sze2=V,sze3=V
參數功能:拷貝有三個分區的第一塊硬盤到第二塊硬盤并保持第一分區與來源大小相同,但是其他分區所剩余空間保留不予分配。
17.還原到最后的分區并調整分區大小
參數例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=1,szeL
參數功能:載入映像文件到磁盤最后的分區并按照容量重整其大小,第一分區則利用剩余的空間。
18.從參數文件讀取
參數例子:GHOST.EXE @(參數文件)
參數功能:GHOST命令行參數可從參數文件讀取并執行(注意參數文件是文本格式的)。
小提示
參數文件中可以以文本格式編寫包含任何Ghost命令行參數,除了-AFILE=和-DFILE= 參數外。
19.備份并自動分割
參數例子:ghost -sure -clone,mode=pdump,src=1:1,dst=system.gho -span -split=630
參數功能:它的作用是把第一塊硬盤第一分區信息備份到當前文件夾下的system.gho中,如果生成的system.gho大于630MB,則會分割生成的GHO文件,這個參數在備份大的分區,并把它們燒錄到650MB的CD-R上時非常有用。
20.備份并加密
參數例子:ghost -sure -pwd,666888 -clone,mode=pdump,src=1:1,dst=system.gho
參數功能:該語句的作用是把第一塊硬盤第一分區信息備份到當前文件夾下的system.gho中,并且以666888作為生成后GHO文件的密碼,以便加密。以后用Ghost恢復system.gho文件,或者用Ghost Explorer來釋放其中的文件時,都必須輸入密碼,否則無法恢復或釋放文件,從而起到了保密的作用。如果輸入ghost -sure -pwd -clone,mode=pdump,src=1:1,dst=system.gho,即-pwd后面不帶密碼,則Ghost在制作GHO文件前會詢問用戶加密GHO的密碼,你必須記牢。給GHO文件加密后,別人就無法隨意查看或恢復我們的文件了。
小提示
★參數(Parameter)是程序提供給我們一些隱藏選項,通過添加參數,可以實現正常啟動程序無法實現或者能夠實現,但需要很多步驟才能夠實現的功能,可以給我們帶來很多的方便。
★參數與程序、參數與參數之間用空格符分隔。
★我們可以把Ghost的參數寫入到一些BAT文件中,并通過控制語句來用它更方便地克隆和恢復我們的系統。
1.磁盤對磁盤拷貝
圖形界面: Disk To Disk
參數例子: ghost -clone,mode=copy,src=1,dst=2 -sure -fx
參數功能: 拷貝磁盤一的全部內容到磁盤二,不必詢問,完成后退出Ghost。
2.把磁盤上的所有內容備份成映像文件
圖形界面: Disk To Image
參數例子: ghost -clone,mode=dump,src=1,dst=d:Win98sys.gho -z3 -sure -fx
參數功能: 備份機器第一塊硬盤上的全部內容到另一臺硬盤d:Win98sys.gho文件中,高壓縮,不必詢問,完成后退出Ghost。
3.從備份的映像文件復原到磁盤
圖形界面: Disk From Image
參數例子: ghost -clone,mode=load,src=d:Win98sys.gho,dst=1 -sure -fx
參數功能: 從備份在另一塊硬盤d:Win98sys.gho的映像文件復原到第一塊硬盤上,不必詢問,完成后退出Ghost。
4.分區對分區拷貝
圖形界面: Partition To Partition
參數例子: ghost -clone,mode=pcopy,src=1:1,dst=2:1 -sure -fx
參數功能: 拷貝第一塊硬盤第一個分區上的所有內容到第二塊硬盤的第一個分區上,不必詢問,完成后退出Ghost。
5.把分區內容備份成映像文件
圖形界面: Partition To Image
參數例子: ghost -clone,mode=pdump,src=1:1,dst=d:Win98sys.gho -z9 -sure -fx
參數功能: 備份第一塊硬盤第一分區到d:Win98sys.gho,采用最高壓縮率,不必詢問,完成后退出Ghost。
6.從備份的映像文件克隆到分區
圖形界面: Partition From Image
參數例子: ghost -clone,mode=pload,src=d:Win98sys.gho:1,dst=1:1 -sure -fx
參數功能: 把d:Win98sys.gho中的第一個分區內存克隆到第一塊硬盤第一分區上,不必詢問,完成后退出Ghost。
7.平行端口電纜線直接連接電腦客戶機
圖形界面: LPT/Slave
參數例子: ghost -lps
參數功能: 啟動客戶機 (兩臺電腦必須同時執行Ghost)。
8.平行端口電纜線直接連接服務機
圖形界面: LPT/Master
參數例子: ghost -lpm -clone,mode=dump,src=1,dst=c:Win98sys.gho -sure -fx
參數功能: 將服務機第一塊硬盤上的內容備份到客戶機c:Win98sys.gho文件中,不必詢問,完成后退出Ghost。
9.硬盤間直接克隆
參數例子:ghost -clone,mode=copy,src=1,dst=2 -sure
參數功能:在內部模式拷貝第一塊硬盤到第二塊硬盤,無需提示,直接克隆。
10.網絡備份
參數例子:ghost -nbm -clone,mode=dump,src=2,dst=c:xxxx.gho
參數功能:由NetBIOS模式連接到正在進行ghostslave的網絡遠程個人電腦并備份本機第二塊硬盤到遠程硬盤C:xxxx.gho成一映像壓縮文件。
小提示
該遠程客戶機必須使用ghost -nbs命令來啟動。
11.將映像文件克隆到硬盤
參數例子:ghost -clone,mode=load,src=e:savdsk.gho,dst=1
參數功能:讀入E:SAVEDSK.gho文件,并把它克隆到第一塊硬盤上。
12.將第二個分區備份為映像文件(還原)
參數例子:ghost -clone,mode=pdump,src=1:2,dst=g:imgspart2.gho
參數功能:備份第一塊硬盤的第二分區到g:imgspart2.gho映像文件。
參數例子:ghost -clone,mode=pload,src=g:imgspart2.gho:2,dst=1:2
參數功能:載入(恢復)映像文件內的第二分區到內部硬盤第一塊硬盤的第二分區。
13.不同硬盤不同分區復制
參數例子:ghost -clone,mode=pcopy,src=1:2,dst=2:1
參數功能:拷貝第一塊硬盤的第二分區到第二塊硬盤的第一分區。
14.還原到第二塊硬盤并調整分區大小
參數例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=2,sze1=60P,sze2=40P
參數功能:克隆g:imgs2prtdisk.gho映像文件到第二塊硬盤, 并重整按60%和40%大小分配分區大小。
15.還原到第一塊硬盤并調整分區大小
參數例子:ghost -clone,mode=load,src=e:imgs3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
參數功能:克隆e:imgs3prtdisk.gho映像文件到第一塊硬盤, 并重整分區大小為: 第一分區450MB,第二分區1599MB,第三分區2047MB。
16.保留第一分區,其他不分配
參數例子:ghost -clone,mode=copy,src=1,dst=2,sze1=F,sze2=V,sze3=V
參數功能:拷貝有三個分區的第一塊硬盤到第二塊硬盤并保持第一分區與來源大小相同,但是其他分區所剩余空間保留不予分配。
17.還原到最后的分區并調整分區大小
參數例子:ghost -clone,mode=load,src=g:imgs2prtdisk.gho,dst=1,szeL
參數功能:載入映像文件到磁盤最后的分區并按照容量重整其大小,第一分區則利用剩余的空間。
18.從參數文件讀取
參數例子:GHOST.EXE @(參數文件)
參數功能:GHOST命令行參數可從參數文件讀取并執行(注意參數文件是文本格式的)。
小提示
參數文件中可以以文本格式編寫包含任何Ghost命令行參數,除了-AFILE=和-DFILE= 參數外。
19.備份并自動分割
參數例子:ghost -sure -clone,mode=pdump,src=1:1,dst=system.gho -span -split=630
參數功能:它的作用是把第一塊硬盤第一分區信息備份到當前文件夾下的system.gho中,如果生成的system.gho大于630MB,則會分割生成的GHO文件,這個參數在備份大的分區,并把它們燒錄到650MB的CD-R上時非常有用。
20.備份并加密
參數例子:ghost -sure -pwd,666888 -clone,mode=pdump,src=1:1,dst=system.gho
參數功能:該語句的作用是把第一塊硬盤第一分區信息備份到當前文件夾下的system.gho中,并且以666888作為生成后GHO文件的密碼,以便加密。以后用Ghost恢復system.gho文件,或者用Ghost Explorer來釋放其中的文件時,都必須輸入密碼,否則無法恢復或釋放文件,從而起到了保密的作用。如果輸入ghost -sure -pwd -clone,mode=pdump,src=1:1,dst=system.gho,即-pwd后面不帶密碼,則Ghost在制作GHO文件前會詢問用戶加密GHO的密碼,你必須記牢。給GHO文件加密后,別人就無法隨意查看或恢復我們的文件了。
傳統的補丁管理,存在著可控性差、無法評估實施效果等問題。系統管理員往往只能將需要更新的補丁連接通知用戶,至于用戶是否打了補丁、補丁應用成功與否則很難控制。在這種情況下,企業IT系統仍然會存在很多漏洞,成為病毒和黑客程序攻擊的目標。要提升補丁管理的水平,首先要分析補丁管理過程中的各個環節,然后利用相關的管理工具最大限度地降低管理員的工作量和工作難度。
一般來說,主動的補丁管理過程應該包括以下幾個環節:
* 調查環境 首先需要了解網絡中所有的設備并獲得這些設備的基本信息,只有對網絡環境的資產信息進行集中管理,才能夠針對不同的平臺和對象采用不同的應用策略。
* 研究和調查漏洞 對最新的漏洞信息,應該能夠收集完整的描述信息,包括漏洞的發布時間、平臺相關性、嚴重級別、內容描述等,根據這些信息管理員可以確認漏洞的重要程度。
* 威脅評估 收集整個網絡中每臺設備上詳細的漏洞狀況,即針對每臺設備上存在哪些漏洞。
* 下載和測試補丁 系統管理員需要下載相應的補丁,同一個漏洞在不同的操作系統上需要應用不同的補丁,這些補丁的可靠性必須經過嚴格的試。
* 部署補丁 系統員需要快速給有的系統打補丁。
* 結果評估 系統管理員需要得到補丁應用結果的詳細統計信息,針對沒有打上補丁的系統,管理員需要采取必要的措施。
補丁管理方案必備功能
針對以上六個步驟,我們不難看出,一個好的補丁管理解決方案應該具有以下特點:
* 具有完整的資產收集功能,能夠收集到所有終端節點的設備名稱、IP地址、操作系統平臺、語言版本等信息。
* 同步更新操作系統漏洞信息,系統管理員能夠從控制臺上隨時了解完整的漏洞信息。
* 收集客戶端當前漏洞狀態,該漏洞狀態是自動應用補丁的基礎。
* 自動下載補丁。針對管理員需要彌補的一個或多個漏洞,自動下載所有對應的補丁,補丁的來源必須是可靠的并且經過檢驗。
* 自動分發并安裝補丁。能夠自動向需要打補丁的客戶端分發并安裝補丁,該過程對客戶端是透明的,不需要客戶干預。
* 自動評估效果。補丁應用策略實施后,自動評估補丁應用的效果,形成修復報告。
一般來說,主動的補丁管理過程應該包括以下幾個環節:
* 調查環境 首先需要了解網絡中所有的設備并獲得這些設備的基本信息,只有對網絡環境的資產信息進行集中管理,才能夠針對不同的平臺和對象采用不同的應用策略。
* 研究和調查漏洞 對最新的漏洞信息,應該能夠收集完整的描述信息,包括漏洞的發布時間、平臺相關性、嚴重級別、內容描述等,根據這些信息管理員可以確認漏洞的重要程度。
* 威脅評估 收集整個網絡中每臺設備上詳細的漏洞狀況,即針對每臺設備上存在哪些漏洞。
* 下載和測試補丁 系統管理員需要下載相應的補丁,同一個漏洞在不同的操作系統上需要應用不同的補丁,這些補丁的可靠性必須經過嚴格的試。
* 部署補丁 系統員需要快速給有的系統打補丁。
* 結果評估 系統管理員需要得到補丁應用結果的詳細統計信息,針對沒有打上補丁的系統,管理員需要采取必要的措施。
補丁管理方案必備功能
針對以上六個步驟,我們不難看出,一個好的補丁管理解決方案應該具有以下特點:
* 具有完整的資產收集功能,能夠收集到所有終端節點的設備名稱、IP地址、操作系統平臺、語言版本等信息。
* 同步更新操作系統漏洞信息,系統管理員能夠從控制臺上隨時了解完整的漏洞信息。
* 收集客戶端當前漏洞狀態,該漏洞狀態是自動應用補丁的基礎。
* 自動下載補丁。針對管理員需要彌補的一個或多個漏洞,自動下載所有對應的補丁,補丁的來源必須是可靠的并且經過檢驗。
* 自動分發并安裝補丁。能夠自動向需要打補丁的客戶端分發并安裝補丁,該過程對客戶端是透明的,不需要客戶干預。
* 自動評估效果。補丁應用策略實施后,自動評估補丁應用的效果,形成修復報告。
多重保護防范辦公室內網安全
[ 2007-03-25 03:52:43 | 作者: sun ]
一、邊際設備保護
網關是內外網通信的必經之路,是外網聯入內網的咽喉。相對來說,內網的木馬病毒都是比較少的,但是缺乏隔離機制的內網,一旦有一臺計算機被病毒木馬所感染,其它的也就都陷入了非常危險的境地。正如流感一般,雖然輕易不會得流感,但如果一家人中有一人不小心得上了,那其它家庭成員也就很容易被感染。
所以,對于一個局域網絡來說,在邊際處至少應當有一個初具安全防范功能的路由器或是防火墻,以建立第一道防線。
二、口令安全
現在大部分人都認識到口令安全的重要性了,不過還是要重申一下:口令的位數要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規律的密碼作為口令,并定期改變各系統的口令。另外,個人私用密碼最好與工作時使用的密碼分開。
三、終端計算機防護
一般來說,終端計算機上必然需要安裝的防護軟件就是殺毒軟件了,基本要求就是能實時防護(特別在上外網的時候)、數據庫更新快,以及占用系統資源小。個人強烈推薦使用kaspersky,技術實力沒的說,俄國技術,病毒數據庫每天更新兩次,并承諾對新病毒的響應時間為30分鐘,使用起來也比較方便,又有漢化版,好處說不完(唯一缺點就是不是國產的,使用它不能算支持民族企業了)。
操作系統絕大多數人應當用的是微軟的windows系列,windows9x系列穩定性是不太強,幸而從windows2000之后已經不太容易死機了,操作系統本身的穩定性還可以,主要受影響的就是在安裝軟件時不小心裝上的哪些如同“牛皮癬”一般的各類插件了,如XX實名,XX豬,XX21,XX助手,XX搜等等,不僅占用了大量的系統資源和窗口空間,影響開機速度,有時還會引起不知名的錯誤。想卸載的話就在google、baidu上面搜搜吧,相關的資料還是不少的。另外,系統補丁也要及時打上。
定期備份重要數據也是非常重要的。一方面,硬盤數據恢復的價格一般要高于購買硬盤的價格,而且未必能夠恢復出來;另一方面,若誤操作將重要數據刪除,這時候備份的重要性就體現出來了。
對于擁有數十臺、上百臺甚至以上的企業,添加域控制器進行管理是一個十分有效的方法。企業一般通過代理或者路由上網,那么可以使用“網盾IPtrust內網安全管理系統”對內部計算機的操作行為進行監控,他可以對終端操作、網站瀏覽和各類即時信息軟件進行監控,并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件,還能進行網站的過濾,限制色情、政治或是其它各類網站。
四、物理防護
這里指的是各種PC、路由器、交換機、工作站等硬件設備和通信鏈路的安全,主要應當注意重要設備如對外提供服務的服務器的供電以及防止水災、火災、雷擊等自然災害,人為破壞和誤操作、外界的電磁干擾等,物理安全的威脅可直接造成設備的損壞和數據的丟失。為防止這類事故要建立機房的管理制度,并嚴格執行,在基建階段就要做好機房、電源的防雷工作。
小結
要更好的解決內網的安全問題,需要從各種角度看待內網安全。在目前網絡飛速發展的形勢下,安全問題不能只停留在“堵”,“殺”或者“防”的層面上,要以動態的方式迎接各方面的挑戰,不斷學習跟上新技術的變化。除了技術上的防范,健全網絡安全的管理制度,建立健全各種規章制度也是保障內網安全必不可少的措施。
網關是內外網通信的必經之路,是外網聯入內網的咽喉。相對來說,內網的木馬病毒都是比較少的,但是缺乏隔離機制的內網,一旦有一臺計算機被病毒木馬所感染,其它的也就都陷入了非常危險的境地。正如流感一般,雖然輕易不會得流感,但如果一家人中有一人不小心得上了,那其它家庭成員也就很容易被感染。
所以,對于一個局域網絡來說,在邊際處至少應當有一個初具安全防范功能的路由器或是防火墻,以建立第一道防線。
二、口令安全
現在大部分人都認識到口令安全的重要性了,不過還是要重申一下:口令的位數要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規律的密碼作為口令,并定期改變各系統的口令。另外,個人私用密碼最好與工作時使用的密碼分開。
三、終端計算機防護
一般來說,終端計算機上必然需要安裝的防護軟件就是殺毒軟件了,基本要求就是能實時防護(特別在上外網的時候)、數據庫更新快,以及占用系統資源小。個人強烈推薦使用kaspersky,技術實力沒的說,俄國技術,病毒數據庫每天更新兩次,并承諾對新病毒的響應時間為30分鐘,使用起來也比較方便,又有漢化版,好處說不完(唯一缺點就是不是國產的,使用它不能算支持民族企業了)。
操作系統絕大多數人應當用的是微軟的windows系列,windows9x系列穩定性是不太強,幸而從windows2000之后已經不太容易死機了,操作系統本身的穩定性還可以,主要受影響的就是在安裝軟件時不小心裝上的哪些如同“牛皮癬”一般的各類插件了,如XX實名,XX豬,XX21,XX助手,XX搜等等,不僅占用了大量的系統資源和窗口空間,影響開機速度,有時還會引起不知名的錯誤。想卸載的話就在google、baidu上面搜搜吧,相關的資料還是不少的。另外,系統補丁也要及時打上。
定期備份重要數據也是非常重要的。一方面,硬盤數據恢復的價格一般要高于購買硬盤的價格,而且未必能夠恢復出來;另一方面,若誤操作將重要數據刪除,這時候備份的重要性就體現出來了。
對于擁有數十臺、上百臺甚至以上的企業,添加域控制器進行管理是一個十分有效的方法。企業一般通過代理或者路由上網,那么可以使用“網盾IPtrust內網安全管理系統”對內部計算機的操作行為進行監控,他可以對終端操作、網站瀏覽和各類即時信息軟件進行監控,并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件,還能進行網站的過濾,限制色情、政治或是其它各類網站。
四、物理防護
這里指的是各種PC、路由器、交換機、工作站等硬件設備和通信鏈路的安全,主要應當注意重要設備如對外提供服務的服務器的供電以及防止水災、火災、雷擊等自然災害,人為破壞和誤操作、外界的電磁干擾等,物理安全的威脅可直接造成設備的損壞和數據的丟失。為防止這類事故要建立機房的管理制度,并嚴格執行,在基建階段就要做好機房、電源的防雷工作。
小結
要更好的解決內網的安全問題,需要從各種角度看待內網安全。在目前網絡飛速發展的形勢下,安全問題不能只停留在“堵”,“殺”或者“防”的層面上,要以動態的方式迎接各方面的挑戰,不斷學習跟上新技術的變化。除了技術上的防范,健全網絡安全的管理制度,建立健全各種規章制度也是保障內網安全必不可少的措施。
企業中進行病毒管理防范的技巧
[ 2007-03-25 03:52:30 | 作者: sun ]
對于企業反病毒來說,如何通過少量的管理員來維護龐大的內部網絡是首要問題,如何通過整體的管理策略和解決方案,來讓企業網絡管理員能便捷、輕松、放心地掌控企業信息安全。可以說,企業防毒,“三分技術,七分管理”。本文將著重介紹目前主要的企業反病毒管理策略。
企業反病毒管理策略
1. 集中管理
在管理方式上,可分為B/S架構和C/S架構兩大主流,B/S架構相對C/S架構來說實現更為復雜,但給管理員提供了一個可移動的管理控制臺,更便捷、靈活。而C/S架構則具有實時性的優點,能夠實時反映狀態信息。
2. 分級(分地)管理
在集中管理的基礎上,衍生出分級(分地)管理的策略,針對那些有分支機構企業,提供中央加地方的管理模式,中央的管理員能夠管理企業網絡內所有機器,而分支機構的日常維護工作則由地方管理員來執行,這樣的管理策略顯然比單純的集中管理更可靠、靈活。
3. 分組管理
分組管理是對一個企業機器群的細分管理方式。一個企業內部可能分為研發、市場、財務等部門,而相應的安全性、穩定性的要求是不一樣的,分組管理在客戶端設置、警報級別等方面進行細分管理,幫助企業管理員制定更完善和有針對性的安全管理策略。
4. 權限管理
權限管理是一種強制性策略,管理員通過設置客戶端權限,來保護整個網絡的利益。通過權限管理,管理員可限制反病毒客戶端的直接控制權,比如開/關防火墻、卸載客戶端、關閉客戶端、更改客戶端設置。
5. 升級管理
保證全網所有客戶端病毒庫的及時更新是升級管理的目的,為了減少網絡帶寬和管理員維護的難度,在企業內網搭建專用的升級服務器是最佳解決方案。升級服務器包括自動更新、手動更新、升級包更新等升級方式,相應的管理接口有日志管理、病毒庫管理。
6. 警報與日志
警報在疫情發生或者將要發生時提醒管理員,使管理員可以預先防范,或者采取應急措施,保障企業數據安全。而日志是管理員對行為的一種回溯途徑,可以幫助管理員查找歷史記錄、可疑操作以及越權操作,以發現安全管理隱患。
金山毒霸網絡版的管理策略
1. B/S管理架構
金山毒霸網絡版采用業界主流的B/S結構,可保證管理員在任何一臺具備上網條件的計算機上(即使在外出差)對整個防毒體系進行集中統一的管理。
2. 無限分層的多級管理
針對政府、軍隊及大型企業集團的多級行政架構,金山毒霸網絡版采用了可無限分層的多級管理中心,各級管理中心對應于相應的行政層級,且每級都可實現對下級單位的統一管理。這種模式將行政架構、計算機網絡系統及防毒體系三者完全融合。
3. 分級架構、集中管理
金山毒霸網絡版實現跨地區多網域的分級防毒體系架構,管理員可在總部對各地分支機構的所有防毒節點進行集中統一管理,各分支機構也可實施本地化管理。該架構具有良好的可擴展性和可伸縮性,能很好適應網絡規模擴大或新增管理節點。
4. 可級聯的升級服務器
采用獨立的升級服務器,支持分級,以實現服務器升級流量的負載均衡效果,優化網絡整體性能;
企業反病毒管理策略
1. 集中管理
在管理方式上,可分為B/S架構和C/S架構兩大主流,B/S架構相對C/S架構來說實現更為復雜,但給管理員提供了一個可移動的管理控制臺,更便捷、靈活。而C/S架構則具有實時性的優點,能夠實時反映狀態信息。
2. 分級(分地)管理
在集中管理的基礎上,衍生出分級(分地)管理的策略,針對那些有分支機構企業,提供中央加地方的管理模式,中央的管理員能夠管理企業網絡內所有機器,而分支機構的日常維護工作則由地方管理員來執行,這樣的管理策略顯然比單純的集中管理更可靠、靈活。
3. 分組管理
分組管理是對一個企業機器群的細分管理方式。一個企業內部可能分為研發、市場、財務等部門,而相應的安全性、穩定性的要求是不一樣的,分組管理在客戶端設置、警報級別等方面進行細分管理,幫助企業管理員制定更完善和有針對性的安全管理策略。
4. 權限管理
權限管理是一種強制性策略,管理員通過設置客戶端權限,來保護整個網絡的利益。通過權限管理,管理員可限制反病毒客戶端的直接控制權,比如開/關防火墻、卸載客戶端、關閉客戶端、更改客戶端設置。
5. 升級管理
保證全網所有客戶端病毒庫的及時更新是升級管理的目的,為了減少網絡帶寬和管理員維護的難度,在企業內網搭建專用的升級服務器是最佳解決方案。升級服務器包括自動更新、手動更新、升級包更新等升級方式,相應的管理接口有日志管理、病毒庫管理。
6. 警報與日志
警報在疫情發生或者將要發生時提醒管理員,使管理員可以預先防范,或者采取應急措施,保障企業數據安全。而日志是管理員對行為的一種回溯途徑,可以幫助管理員查找歷史記錄、可疑操作以及越權操作,以發現安全管理隱患。
金山毒霸網絡版的管理策略
1. B/S管理架構
金山毒霸網絡版采用業界主流的B/S結構,可保證管理員在任何一臺具備上網條件的計算機上(即使在外出差)對整個防毒體系進行集中統一的管理。
2. 無限分層的多級管理
針對政府、軍隊及大型企業集團的多級行政架構,金山毒霸網絡版采用了可無限分層的多級管理中心,各級管理中心對應于相應的行政層級,且每級都可實現對下級單位的統一管理。這種模式將行政架構、計算機網絡系統及防毒體系三者完全融合。
3. 分級架構、集中管理
金山毒霸網絡版實現跨地區多網域的分級防毒體系架構,管理員可在總部對各地分支機構的所有防毒節點進行集中統一管理,各分支機構也可實施本地化管理。該架構具有良好的可擴展性和可伸縮性,能很好適應網絡規模擴大或新增管理節點。
4. 可級聯的升級服務器
采用獨立的升級服務器,支持分級,以實現服務器升級流量的負載均衡效果,優化網絡整體性能;
不怕攻擊 撥號上網必學的八招安全技巧
[ 2007-03-25 03:52:13 | 作者: sun ]
與局域網用戶相比,普通撥號上網的用戶在預防黑客入侵的對抗中,往往處于更不利的地位。但是,許多上網的蟲蟲一向對網絡安全抱著無所謂的態度,認為最多不過是被人盜用賬號而損失幾千元而已,卻沒有想到被盜用的賬號如果被黑客利用做為跳板從事網絡破壞活動,你可能就要背黑鍋了。根據筆者一位朋友對撥號上網用戶的抽樣追蹤發現,在廣州城里,居然有三成多的用戶半年以內都不更換一次賬號密碼!由于從事黑客活動越來越容易,是到了需要提高網絡安全意識的時候了,下面的方法將有助于撥號上網用戶預防黑客入侵。
一、 經常修改密碼
老生常談了,但卻是最簡單有效的方法。由于許多黑客利用窮舉法來破解密碼,像John這一類的密碼破解程序可從因特網上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的帳號及密碼,因此,經常修改密碼對付這種盜用就顯得十分奏效。由于那么多潛在的黑客千方百計想要獲得別人的密碼,那么撥號上網用戶就應該加強防范,以下四個原則可提高密碼的抗破解能力。
1.不要選擇常用字做密碼。
2.用單詞和符號混合組成密碼。
3.使用9個以上的字符做密碼,使你的密碼盡可能地長,對Windows系統來說,密碼最少要由9個字符組成才算安全。
4.密碼組成中最好混合使用大小寫字母,一般情況下密碼只由英文字母組成,密碼中可使用26或52個字母。若對一個8個字母組成的密碼進行破解,密碼中字母有無大小寫之分將使破解時間產生256倍的差別。
二、 請他人安裝后應立即修改密碼
這是一個很容易忽略的細節,許多用戶第一次不懂得如何撥號上網,就請別人來教,這樣常常把用戶名和密碼告訴此人,這個人記住以后就可以回去盜用服務了。所以,用戶最好自己學會如何撥號后再去申請上網賬號,或者首先向ISP問清如何修改自己的密碼,在別人教會自己如何撥號后,立刻將密碼改掉,避免被人盜用。
三、 使用“撥號后出現終端窗口”功能
選中某一連接,單擊鼠標右鍵,選“屬性/常規/配置/選項/撥號后出現終端窗口”,然后撥號時,在撥號界面上不要填入用戶名和密碼(更不要選中“保存密碼”項),在出現撥號終端窗口后再進行相應的輸入,這可以避免用戶名和密碼被記錄到硬盤上的密碼文件中,同時,也可以避免被某些黑客程序捕獲用戶名和密碼。
四、 刪除.pwl文件
在Windows目錄下往往有一些以“.pwl”為后綴名的密碼文件,“.pwl”是password的音譯縮寫。比如:在最初的Windows 95操作系統中密碼的保存即存在安全漏洞,從而使黑客可以利用相應的程序輕松獲取保存在pwl文件里的密碼。這一漏洞在Windows 97中已經被修復。因此,你需要為你的電腦安裝Windows 97以上版本的操作系統。pwl文件還常常記錄其他地方要用到的密碼,比如開啟Exchange電子信箱的密碼、玩Mud游戲的密碼等,要經常刪除這些pwl文件避免將密碼留在硬盤上。
五、 禁止安裝擊鍵記錄程序
很多人知道doskey.exe這個程序,這個在DOS下常用的外部命令能通過恢復以前輸入的命令來加快輸入命令的速度,在Windows下也有了許多類似的程序,如keylog,它不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中,而這一文件可以用文本編輯器來查看。密碼就是這樣被泄露出去的,偷盜者只要在根目錄下看看就可以了,根本無需任何專業知識!
六、 對付特洛伊木馬
特洛伊木馬程序常被定義為當執行一個任務時卻實際上執行著另一個任務的程序,用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程序一點也不為過。典型的一個例子是:偽造一個登錄界面,當用戶在這個界面上輸入用戶名和密碼時,程序將它們轉移到一個隱蔽的文件中,然后提示錯誤要求用戶再輸入一遍,程序這時再調用真正的登錄界面讓用戶登錄,于是在用戶幾乎毫無察覺的情況下就得到了記錄有用戶名和密碼的文件。現在互聯網上有許多所謂的特洛伊木馬程序,像著名的BO、Backdoor、Netbus及國內的Netspy等等。嚴格地說,它們屬于客戶機/服務器(C/S)程序,因為它們往往帶有一個用于駐留在用戶機器上的服務器程序,以及一個用于訪問用戶機器的客戶端程序,就好像NT的Server和Workstation的關系一樣。
在對付特洛伊木馬程序方面,有以下幾種辦法:
多讀readme.txt。許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執行其中的程序,這樣往往就錯誤地執行了服務器端程序而使用戶的計算機成為了特洛伊木馬的犧牲品。軟件包中經常附帶的readme.txt文件會有程序的詳細功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執行任何程序,丟棄軟件包當然是最保險的了。有必要養成在使用任何程序前先讀readme.txt的好習慣。
值得一提的是,有許多程序說明做成可執行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執行它,可謂用心險惡。所以從互聯網上得來的readme.exe最好不要執行它。
大多數網站殘疾人無法訪問 缺乏必要軟件
[ 2007-03-25 03:52:01 | 作者: sun ]
本周二,聯合國發表的一份調查報告稱,全球的許多網站都無法為殘疾人所訪問,但通過簡單的改進就能夠符合國際可訪問性標準。
英國高科技廠商Nomensa對20個國家的100個流行的網站進行了研究,發現許多網站不符合國際訪問性標準。Nomensa的沃森在聯合國總部的一個新聞發布會上說,很顯然,我們有些困難需要克服。沃森本人就是個盲人。
沃森表示,盡管許多網站已經采取了提高可訪問性的措施,但是,它們需要做出更多的努力,使自己能夠為不能使用計算機鼠標、弱視的人、甚至是盲人所訪問。
沃森指出,在調查中最常見的問題是對JavaScript腳本語言的使用,以及使用不帶解釋性文字的圖像。大量使用JavaScript使得約10%的互聯網用戶無法訪問關鍵的信息,因為他們缺乏必要的軟件;圖片的文字描述使盲人能夠通過使用可以將文本轉化為語音的屏幕文本閱讀軟件“看到”圖像。
這次調查發現的另一個問題是顏色搭配不夠好,給患有色盲等輕微眼疾的用戶訪問網頁帶來了困難。
在被調查的100個網站中,有3個符合基本的可訪問性標準——德國總理、英國首相,以及西班牙政府的網站。
創建容易記憶而又安全的密碼
[ 2007-03-25 03:51:48 | 作者: sun ]
用戶們經常會忘記自己的密碼。為了不忘記密碼,他們就是用些簡單的信息來創建密碼,比如用養的狗的名字,兒子的名字和生日,目前月份的名稱——或者任何可以幫助他們記住密碼的東西。
對于那些侵入你的計算機系統的黑客來說,你創建的這些密碼毫無作用,就好比把門鎖上了卻把鑰匙扔在門外的擦鞋墊上一樣。黑客不需要使用特殊工具就能發現你個人的基本信息——名字,孩子的名字,生日,寵物名字,等等。他可以把這些作為破解你密碼的線索一一嘗試。
想要創建安全又好記的密碼,請遵循如下幾個簡單的要求:
1、別用個人信息
永遠不要用個人信息來創建密碼。別人很容易猜到你可能用姓,寵物名字,孩子的出生日期或者其他類似的細節。
2、別用真實的單詞
黑客們能用某些工具猜出你的密碼。現如今的計算機不需要花很久的時間就可以把字典中的所有單詞都試一遍,然后找出你的密碼。所以你最好別用真實的單詞做密碼。
3、混用不同體的字符
混用不同的字體的字符可以使你的密碼更安全。既用大寫字母也用小寫字母,以及數字,甚至諸如‘&’和‘%’等。
4、使用慣用語
除了記住那些用各種字符組成的密碼,你還可以使用慣用語,它同樣可以組成不是字典中的單詞的密碼。你可以想出一句話或者一行你喜歡的歌曲或詩歌,用它每個單詞的首字母創建一個密碼。
例如,與其創建一個'yrHes'這樣的密碼,你不如用“I like to read the About.com Internet / Network Security web site”這句話,把它轉成如“il2rtA!nsws”這樣的密碼。這個密碼中,用‘2’取代‘to’,并且用驚嘆號代替‘Internet’的首字母‘i’。你也可以用各種各樣的字符來創建難以被破解的密碼,并且便于自己記憶。
5、使用密碼管理工具
安全地儲存和記憶密碼的另一個辦法就是使用密碼管理工具。這類工具把用戶名密碼加密后保存。有些甚至可以在你訪問網站時自動向站點或者應用程序填寫用戶名和密碼信息。
6、使用不同的密碼
如果想要保護你的賬戶和程序,你應該為每個應用程序使用不同的用戶名和密碼。即使其中的某一個密碼被破解了,你其他的密碼還是安全的。另一個方法比這種方法的安全性略低,但是它可以使你在安全與方便之間取個折衷。這種方法就是對那些不需要額外保障其安全性的應用都是用一套用戶名和密碼,而在你的銀行或者信用卡的網站則用單獨的用戶名和更安全的密碼。
7、經常更換密碼
你應該至少每30到60天就應該更換密碼。并且至少一年之內不應當重復使用同一個密碼。
8、加強密碼的安全性
與其依靠計算機的每一位使用者去理解并遵循以上的建議,你還不如給操作系統配置密碼策略,這樣系統將不接受那些不符合最低安全要求的密碼
對于那些侵入你的計算機系統的黑客來說,你創建的這些密碼毫無作用,就好比把門鎖上了卻把鑰匙扔在門外的擦鞋墊上一樣。黑客不需要使用特殊工具就能發現你個人的基本信息——名字,孩子的名字,生日,寵物名字,等等。他可以把這些作為破解你密碼的線索一一嘗試。
想要創建安全又好記的密碼,請遵循如下幾個簡單的要求:
1、別用個人信息
永遠不要用個人信息來創建密碼。別人很容易猜到你可能用姓,寵物名字,孩子的出生日期或者其他類似的細節。
2、別用真實的單詞
黑客們能用某些工具猜出你的密碼。現如今的計算機不需要花很久的時間就可以把字典中的所有單詞都試一遍,然后找出你的密碼。所以你最好別用真實的單詞做密碼。
3、混用不同體的字符
混用不同的字體的字符可以使你的密碼更安全。既用大寫字母也用小寫字母,以及數字,甚至諸如‘&’和‘%’等。
4、使用慣用語
除了記住那些用各種字符組成的密碼,你還可以使用慣用語,它同樣可以組成不是字典中的單詞的密碼。你可以想出一句話或者一行你喜歡的歌曲或詩歌,用它每個單詞的首字母創建一個密碼。
例如,與其創建一個'yrHes'這樣的密碼,你不如用“I like to read the About.com Internet / Network Security web site”這句話,把它轉成如“il2rtA!nsws”這樣的密碼。這個密碼中,用‘2’取代‘to’,并且用驚嘆號代替‘Internet’的首字母‘i’。你也可以用各種各樣的字符來創建難以被破解的密碼,并且便于自己記憶。
5、使用密碼管理工具
安全地儲存和記憶密碼的另一個辦法就是使用密碼管理工具。這類工具把用戶名密碼加密后保存。有些甚至可以在你訪問網站時自動向站點或者應用程序填寫用戶名和密碼信息。
6、使用不同的密碼
如果想要保護你的賬戶和程序,你應該為每個應用程序使用不同的用戶名和密碼。即使其中的某一個密碼被破解了,你其他的密碼還是安全的。另一個方法比這種方法的安全性略低,但是它可以使你在安全與方便之間取個折衷。這種方法就是對那些不需要額外保障其安全性的應用都是用一套用戶名和密碼,而在你的銀行或者信用卡的網站則用單獨的用戶名和更安全的密碼。
7、經常更換密碼
你應該至少每30到60天就應該更換密碼。并且至少一年之內不應當重復使用同一個密碼。
8、加強密碼的安全性
與其依靠計算機的每一位使用者去理解并遵循以上的建議,你還不如給操作系統配置密碼策略,這樣系統將不接受那些不符合最低安全要求的密碼
Windows服務器:切斷默認共享通道七招
[ 2007-03-25 03:51:37 | 作者: sun ]
在Windows服務器系統中,每當服務器啟動成功時,系統的C盤、D盤等都會被自動設置成隱藏共享,盡管通過這些默認共享可以讓服務器管理維護起來更方便一些;但在享受方便的同時,這些默認共享常常會被一些非法攻擊者利用,從而容易給服務器造成安全威脅。如果你不想讓服務器輕易遭受到非法攻擊的話,就必須及時切斷服務器的默認共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務器的默認共享。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
安全方案 多角度詳解網站安全保護方法
[ 2007-03-25 03:51:25 | 作者: sun ]
一、網站的通用保護方法
針對黑客威脅,網絡安全管理員采取各種手段增強服務器的安全,確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣,可以用如下的方法來對WWW服務器進行保護:
安全配置
關閉不必要的服務,最好是只提供WWW服務,安裝操作系統的最新補丁,將WWW服務升級到最新版本并安裝所有補丁,對根據WWW服務提供者的安全建議進行配置等,這些措施將極大提供WWW服務器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給WWW服務器增加一個防護層,同時需要對防火墻內的網絡環境進行調整,消除內部網絡的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描,來發現潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。
入侵檢測系統
利用入侵檢測系統(IDS)的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務器的安全,減少被攻擊的可能性。
二、網站的專用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務器軟件漏洞的不斷發現,攻擊方法層出不窮,技術高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁的目的。這種情況下,一些網絡安全公司推出了專門針對網站的保護軟件,只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變,就進行恢復。一般情況下,系統首先需要對正常的頁面文件進行備份,然后啟動檢測機制,檢查文件是否被修改,如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個監測端,也可以在網絡上的另一臺主機。如果是本地的話,監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話,WWW服務器需要開放一些服務并給監測端相應的權限,較常見的方式是直接利用服務器的開放的WWW服務,使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄,如FTP等。采用本地方式檢測的優點是效率高,而遠程方式則具有平臺無關性,但會增加網絡流量等負擔。
定時和觸發:絕大部分保護軟件是使用的定時檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時間定時檢測,還可將被保護的網頁分為不同等級,等級高的檢測時間間隔可以設得較短,以獲得較好的實時性,而將保護等級較低的網頁文件檢測時間間隔設得較長,以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能,在文件被創建、修改或刪除時得到通知,這種方法的優點是效率高,但無法實現遠程檢測。
比較方法
在判斷文件是否被修改時,往往采用被保護目錄和備份庫中的文件進行比較,比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較,這種方法雖然簡單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名,最常見的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話,恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫權限。
備份庫的安全
當黑客發現其更換的主頁很快被恢復時,往往會激發起進一步破壞的欲望,此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現,讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過簽名發現,就可停止WWW服務或使用一個默認的頁面。
通過以上分析比較我們發現各種技術都有其優缺點,需要結合實際的網絡環境來選擇最適合的技術方案。
三、網站保護的缺陷
盡管網站保護軟件能進一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計,而現在動態頁面占據的范圍越來越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無能為力。
另外,有些攻擊并不是針對頁面文件進行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面,網站保護軟件本身會增加WWW服務器的負載,在WWW服務器負載本身已經很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網站常用的保護方法,詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點,并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風險。
針對黑客威脅,網絡安全管理員采取各種手段增強服務器的安全,確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣,可以用如下的方法來對WWW服務器進行保護:
安全配置
關閉不必要的服務,最好是只提供WWW服務,安裝操作系統的最新補丁,將WWW服務升級到最新版本并安裝所有補丁,對根據WWW服務提供者的安全建議進行配置等,這些措施將極大提供WWW服務器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給WWW服務器增加一個防護層,同時需要對防火墻內的網絡環境進行調整,消除內部網絡的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描,來發現潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。
入侵檢測系統
利用入侵檢測系統(IDS)的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務器的安全,減少被攻擊的可能性。
二、網站的專用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務器軟件漏洞的不斷發現,攻擊方法層出不窮,技術高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁的目的。這種情況下,一些網絡安全公司推出了專門針對網站的保護軟件,只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變,就進行恢復。一般情況下,系統首先需要對正常的頁面文件進行備份,然后啟動檢測機制,檢查文件是否被修改,如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個監測端,也可以在網絡上的另一臺主機。如果是本地的話,監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話,WWW服務器需要開放一些服務并給監測端相應的權限,較常見的方式是直接利用服務器的開放的WWW服務,使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄,如FTP等。采用本地方式檢測的優點是效率高,而遠程方式則具有平臺無關性,但會增加網絡流量等負擔。
定時和觸發:絕大部分保護軟件是使用的定時檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時間定時檢測,還可將被保護的網頁分為不同等級,等級高的檢測時間間隔可以設得較短,以獲得較好的實時性,而將保護等級較低的網頁文件檢測時間間隔設得較長,以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能,在文件被創建、修改或刪除時得到通知,這種方法的優點是效率高,但無法實現遠程檢測。
比較方法
在判斷文件是否被修改時,往往采用被保護目錄和備份庫中的文件進行比較,比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較,這種方法雖然簡單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名,最常見的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話,恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫權限。
備份庫的安全
當黑客發現其更換的主頁很快被恢復時,往往會激發起進一步破壞的欲望,此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現,讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過簽名發現,就可停止WWW服務或使用一個默認的頁面。
通過以上分析比較我們發現各種技術都有其優缺點,需要結合實際的網絡環境來選擇最適合的技術方案。
三、網站保護的缺陷
盡管網站保護軟件能進一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計,而現在動態頁面占據的范圍越來越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無能為力。
另外,有些攻擊并不是針對頁面文件進行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面,網站保護軟件本身會增加WWW服務器的負載,在WWW服務器負載本身已經很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網站常用的保護方法,詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點,并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風險。
