第一、物理安全
除了要保證要有電腦鎖之外,我們更多的要注意防火,要將電線和網路放在比較隱蔽的地方。我們還要准備UPS,以確保網路能夠以持續的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網路癱瘓,峰值電壓最小的時候,網路根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。
第二、系統安全(口令安全)
我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼,但是自己要記住,我也見過很多這樣的網管,他的密碼設置的的確是復雜也安全,但是經常自己都記不來,每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的,這樣很容易被一些黑客識破。
我們也可以在屏保、重要的應用程序上添加密碼,以確保雙重安全。
第三、打補丁
我們要及時的對系統補丁進行更新,大多數病毒和黑客都是通過系統漏洞進來的,例如今年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統和應用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應用程序。
另外我們要把那些不需要的服務關閉,例如TELNET,還有關閉Guset帳號等。
第四、安裝防病毒軟體
病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描,掃描的結果包括清除病毒,刪除被感染文件,或將被感染文件和病毒放在一台隔離文件夾裡面。所以我們要對全網的機器從網站伺服器到郵件伺服器到文件伺服器知道客戶機都要安裝殺毒軟體,並保持最新的病毒定義碼。我們知道病毒一旦進入電腦,他會瘋狂的自我復制,遍布全網,造成的危害巨大,甚至可以使得系統崩潰,丟失所有的重要資料。所以我們要至少每周一次對全網的電腦進行集中殺毒,並定期的清除隔離病毒的文件夾。
現在有很多防火牆等網關產品都帶有反病毒功能,例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是,她具有防病毒的功能。
第五、應用程序
我們都知道病毒有超過一半都是通過電子郵件進來的,所以除了在郵件伺服器上安裝防病毒軟體之外,還要對PC機上的outlook防護,我們要提高警惕性,當收到那些無標題的郵件,或是你不認識的人發過來的,或是全是英語例如什麼happy99,money,然後又帶有一個附件的郵件,建議您最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況,他們單位有三個人一直收到郵件,一個小時竟然奇跡般的收到了2000多封郵件,致使最後郵箱爆破,起初他們懷疑是黑客進入了他們的網路,最後當問到這幾個人他們都說收到了一封郵件,一個附件,當去打開附件的時候,便不斷的收到郵件了,直至最後郵箱撐破。最後查出還是病毒惹的禍。
除了不去查看這些郵件之外,我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。
很多黑客都是通過你訪問網頁的時候進來的,你是否經常碰到這種情況,當你打開一個網頁的時候,會不斷的跳出非常多窗口,你關都關不掉,這就是黑客已經進入了你的電腦,並試圖控制你的電腦。
所以我們要將IE的安全性調高一點,經常刪除一些cookies和離線文件,還有就是禁用那些Active X的控制項。
第六、代理伺服器
代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站,因為代理伺服器都有緩沖的功能,在這里可以保留一些網站與IP地址的對應關系。
要想了解代理伺服器,首先要了解它的工作原理:
環境:區域網裡面有一台機器裝有雙網卡,充當代理伺服器,其餘電腦通過它來訪問網路。
1、內網一台機器要訪問新浪,於是將請求發送給代理伺服器。
2、代理伺服器對發來的請求進行檢查,包括題頭和內容,然後去掉不必要的或違反約定的內容。
3、代理伺服器重新整合數據包,然後將請求發送給下一級網關。
4、新浪網回復請求,找到對應的IP地址。
5、代理伺服器依然檢查題頭和內容是否合法,去掉不適當的內容。
6、重新整合請求,然後將結果發送給內網的那台機器。
由此可以看出,代理伺服器的優點是可以隱藏內網的機器,這樣可以防止黑客的直接攻擊,另外可以節省公網IP。缺點就是每次都要經由伺服器,這樣訪問速度會變慢。另外當代理伺服器被攻擊或者是損壞的時候,其餘電腦將不能訪問網路。
第七、防火牆
提到防火牆,顧名思義,就是防火的一道牆。防火牆的最根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前,都已經出現了防火牆。
數據包過濾,就是通過查看題頭的數據包是否含有非法的數據,我們將此屏蔽。
舉個簡單的例子,假如體育中心有一場劉德華演唱會,檢票員坐鎮門口,他首先檢查你的票是否對應,是否今天的,然後撕下右邊的一條,將剩餘的給你,然後告訴你演唱會現場在哪裡,告訴你怎麼走。這個基本上就是數據包過濾的工作流程吧。
你也許經常聽到你們老闆說:要增加一台機器它可以禁止我們不想要的網站,可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等,但是沒有一個老闆會說:要增加一台機器它可以禁止我們不願意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。
『貳』 如何實現網路安全措施
網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標准。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素,因為在選擇IDC時你自己會作出決策。
在這里著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房只提供機架。所謂機櫃,就是類似於家裡的櫥櫃那樣的鐵櫃子,前後有門,裡面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體,還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;
(2)安裝完系統後,重啟伺服器,在重啟的過程中把鍵盤和滑鼠拔掉,這樣在系統啟動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
(3)跟機房值班人員搞好關系,不要得罪機房裡其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。
『叄』 路由器換新的出現安全保護要如何設置
1. 為路由器間的協議交換增加認證功能,提高網路安全性。
路由器的一個重要功能是路由的管理和維護,目前具有一定規模的網路都採用動態的路由協議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。當一台設置了相同路由協議和相同區域標示符的路由器加入網路後,會學習網路上的路由信息表。但此種方法可能導致網路拓撲信息泄漏,也可能由於向網路發送自己的路由信息表,擾亂網路上正常工作的路由信息表,嚴重時可以使整個網路癱瘓。這個問題的解決辦法是對網路內的路由器之間相互交流的路由信息進行認證。當路由器配置了認證方式,就會鑒別路由信息的收發方。有兩種鑒別方式,其中「純文本方式」安全性低,建議使用「MD5方式」。
2. 路由器的物理安全防範。
路由器控制埠是具有特殊許可權的埠,如果攻擊者物理接觸路由器後,斷電重啟,實施「密碼修復流程」,進而登錄路由器,就可以完全控制路由器。
3. 保護路由器口令。
在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。一旦密碼泄漏,網路也就毫無安全可言。
4. 阻止察看路由器診斷信息。
關閉命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止查看到路由器當前的用戶列表。
關閉命令為:no service finger。
6. 關閉CDP服務。
在OSI二層協議即鏈路層的基礎上可發現對端路由器的部分配置信息: 設備平台、操作系統版本、埠、IP地址等重要信息。可以用命令: no cdp running或no cdp enable關閉這個服務。
7. 阻止路由器接收帶源路由標記的包,將帶有源路由選項的數據流丟棄。
「IP source-route」是一個全局配置命令,允許路由器處理帶源路由選項標記的數據流。啟用源路由選項後,源路由信息指定的路由使數據流能夠越過默認的路由,這種包就可能繞過防火牆。關閉命令如下: no ip source-route。
8. 關閉路由器廣播包的轉發。
sumrf D.o.S攻擊以有廣播轉發配置的路由器作為反射板,佔用網路資源,甚至造成網路的癱瘓。應在每個埠應用「no ip directed-broadcast」關閉路由器廣播包。
9. 管理HTTP服務。
HTTP服務提供Web管理介面。「no ip http server」可以停止HTTP服務。如果必須使用HTTP,一定要使用訪問列表「ip http access-class」命令,嚴格過濾允許的IP地址,同時用「ip http authentication 」命令設定授許可權制。
10. 抵禦spoofing(欺騙) 類攻擊。
使用訪問控制列表,過濾掉所有目標地址為網路廣播地址和宣稱來自內部網路,實際卻來自外部的包。 在路由器埠配置: ip access-group list in number 訪問控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令將過濾BOOTP/DHCP 應用中的部分數據包,在類似環境中使用時要有充分的認識。
11. 防止包嗅探。
黑客經常將嗅探軟體安裝在已經侵入的網路上的計算機內,監視網路數據流,從而盜竊密碼,包括SNMP 通信密碼,也包括路由器的登錄和特權密碼,這樣網路管理員難以保證網路的安全性。在不可信任的網路上不要用非加密協議登錄路由器。如果路由器支持加密協議,請使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校驗數據流路徑的合法性。
使用RPF (reverse path forwarding)反相路徑轉發,由於攻擊者地址是違法的,所以攻擊包被丟棄,從而達到抵禦spoofing 攻擊的目的。RPF反相路徑轉發的配置命令為: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速轉發。
13. 防止SYN 攻擊。
目前,一些路由器的軟體平台可以開啟TCP 攔截功能,防止SYN 攻擊,工作模式分攔截和監視兩種,默認情況是攔截模式。(攔截模式: 路由器響應到達的SYN請求,並且代替伺服器發送一個SYN-ACK報文,然後等待客戶機ACK。如果收到ACK,再將原來的SYN報文發送到伺服器; 監視模式:路由器允許SYN請求直接到達伺服器,如果這個會話在30秒內沒有建立起來,路由器就會發送一個RST,以清除這個連接。) 首先,配置訪問列表,以備開啟需要保護的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard 然後,開啟TCP攔截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理方案。
SNMP廣泛應用在路由器的監控、配置方面。SNMP Version 1在穿越公網的管理應用方面,安全性低,不適合使用。利用訪問列表僅僅允許來自特定工作站的SNMP訪問通過這一功能可以來提升SNMP服務的安全性能。配置命令: snmp-server community xxxxx RW xx ;xx是訪問控制列表號 SNMP Version 2使用MD5數字身份鑒別方式。不同的路由器設備配置不同的數字簽名密碼,這是提高整體安全性能的有效手段。
『肆』 如何設置網路許可權
設置網路計算機訪問許可權的步驟如下:
1、首先打開控制面板里的設備管理器,點擊打開。
網路技術原理
網路安全性問題關繫到未來網路應用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技術。
「防火牆」是一種形象的說法,其實它是一種計算機硬體和軟體的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器,這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。
隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信,起到一定的過濾作用。由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類,一類被稱為標准「防火牆」;一類叫雙家網關。標准「防火牆」系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩沖。
其中一個路由器的介面是外部世界,即公用網;而另一個則聯接內部網。標准「防火牆」使用專門的軟體,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。
雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的連接,可以確保數據包不能直接從外部網路到達內部網路,反之亦然。
『伍』 銳捷網路安全控制如何設置訪問指定域名+埠
域名默認解析埠是80,這個無法更改,只能通過程序設定指定埠
『陸』 計算機網路安全如何阻止非法用戶進入
何防範非法用戶入侵的「七招」。
第一招:屏幕保護
第二招:巧妙隱藏硬碟 關閉共享
第三招:禁用「開始」菜單命令
第四招:桌面相關選項的禁用
1)隱藏桌面的系統圖標
2)禁止對桌面的某些更改
第五招:禁止訪問「控制面板」
第六招:設置用戶許可權
當多人共用一台計算機時,在Windows XP中設置用戶許可權,可以按照以下步驟進行:
1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開「計算機配置→Windows設置→安全設置→本地策略→用戶許可權指派」分支。
3)雙擊需要改變的用戶許可權,單擊「添加用戶或組」按鈕,然後雙擊想指派給許可權的用戶賬號,最後單擊「確定」按鈕退出。
第七招:文件夾設置審核
Windows XP可以使用審核跟蹤用於訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件,而審核文件和NTFS分區下的文件夾可以保證文件和文件夾的安全。為文件和文件夾設置審核的步驟如下:
1)在組策略窗口中,逐級展開右側窗口中的「計算機配置→Windows設置→安全設置→本地策略」分支,然後在該分支下選擇「審核策略」選項。
2)在右側窗口中用滑鼠雙擊「審核對象訪問」選項,在彈出的「本地安全策略設置」窗口中將「本地策略設置」框內的「成功」和「失敗」復選框都打上勾選標記,然後單擊「確定」按鈕。
3)用滑鼠右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的「屬性」命令,接著在彈出的窗口中選擇「安全」標簽。
4)單擊「高級」按鈕,然後選擇「審核」標簽。
5)根據具體情況選擇你的操作:
有線對等保密 (WEP)
WEP 是一種廣泛使用的網路安全方法。啟用 WEP 的同時,就設置了一個網路安全密鑰。該密鑰可以對計算機通過網路發送到另一台計算機的信息進行加密。接收方計算機需要該密鑰才能對信息進行解碼,這樣其他計算機上的用戶就難以在沒有得到您允許的情況下連接到網路並訪問文件。
Wi-Fi 保護訪問 (WPA)
WPA 旨在提高 WEP 的安全性。與 WEP 類似的是,WPA 也會對信息進行加密,但 WPA 還會檢查網路安全密鑰以確保其未被修改。WPA 還會對用戶進行身份驗證,以幫助確保只有通過驗證的人才能訪問網路。如果網路硬體既可以使用 WEP 安全又可以使用 WPA 安全,則建議使用 WPA。
有兩種類型的 WPA 身份驗證:WPA 和 WPA2。WPA 專門用於所有無線網路適配器,但可能無法用於老式路由器或訪問點。WPA2 比 WPA 更安全,但無法用於某些老式網路適配器。WPA 專門用於向每個用戶分發不同密鑰的 802.1X 身份驗證伺服器。這稱為 WPA-企業或 WPA2-企業。WPA 還可以在預共享密鑰 (PSK) 模式下使用,該模式下會授予每個用戶相同的密碼。這稱為 WPA-個人或 WPA2-個人。
802.1X 身份驗證
802.1X 身份驗證可幫助增強 802.11 無線網路及有線乙太網網路的安全性。802.1X 使用身份驗證伺服器驗證用戶並提供網路訪問。在無線網路上,802.1X 可用於有線對等保密 (WEP) 或 Wi-Fi 保護訪問 (WPA) 密鑰。該身份驗證類型通常在連接到辦公網路時使用
『捌』 如何維護網路安全
我們可以通過設置強力密碼、控制MAC、及時關閉網路、設立有效防火牆等方式維護網路安全。
『玖』 如何進行家庭中網路安全的設置
現在,多數家庭通過組建無線網路來訪問網際網路已經成為一個趨勢。然而又有多少人知道在這個趨勢的背後隱藏著許許多多的網路安全問題。原則上,無線網路比有線網路更容易受到入侵,因為被攻擊端的電腦與攻擊端的電腦並不需要網線設備上的連接,他只要在你無線路由器或中繼器的有效范圍內,就可以進入你的內部網路,訪問的的資源,如果你在內部網路傳輸的數據並未加密的話,更有可能被人家窺探你的數據隱私。此外,無線網路就其發展的歷史來講,遠不如有線網路長,其安全理論和解決方案遠不夠完善。所有的這些都講導致無線網路的安全性教有線網路差。在這篇文章里,讓我來告訴你如何通過一些安全措施來讓你的無線網路變的更安全、更可靠。
家庭網路安全設置1.修改用戶名和密碼(不使用默認的用戶名和密碼)
一般的家庭無線網路都是通過通過一個無線路由器或中繼器來訪問外部網路。通常這些路由器或中繼器設備製造商為了便於用戶設置這些設備建立起無線網路,都提供了一個管理頁面工具。這個頁面工具可以用來設置該設備的網路地址以及帳號等信息。為了保證只有設備擁有者才能使用這個管理頁面工具,該設備通常也設有登陸界面,只有輸入正確的用戶名和密碼的用戶才能進入管理頁面。然而在設備出售時,製造商給每一個型號的設備提供的默認用戶名和密碼都是一樣,不幸的是,很多家庭用戶購買這些設備回來之後,都不會去修改設備的默認的用戶名和密碼。這就使得黑客們有機可乘。他們只要通過簡單的掃描工具很容易就能找出這些設備的地址並嘗試用默認的用戶名和密碼去登陸管理頁面,如果成功則立即取得該路由器/交換機的控制權。
家庭網路安全設置2.使用加密
所有的無線網路都提供某些形式的加密。之前我跟大家提過,攻擊端電腦只要在無線路由器/中繼器的有效范圍內的話,那麼它很大機會訪問到該無線網路,一旦它能訪問該內部網路時,該網路中所有是傳輸的數據對他來說都是透明的。如果這些數據都沒經過加密的話,黑客就可以通過一些數據包嗅探工具來抓包、分析並窺探到其中的隱私。開啟你的無線網路加密,這樣即使你在無線網路上傳輸的數據被截取了也沒辦法(或者是說沒那麼容易)被解讀。目前,無線網路中已經存在好幾種加密技術。通常我們選用能力最強的那種加密技術。此外要注意的是,如果你的網路中同時存在多個無線網路設備的話,這些設備的加密技術應該選取同一個。
家庭網路安全設置3.修改默認的服務區標識符(SSID)
通常每個無線網路都有一個服務區標識符(SSID),無線客戶端需要加入該網路的時候需要有一個相同的SSID,否則將被拒之門外。通常路由器/中繼器設備製造商都在他們的產品中設了一個默認的相同的SSID。例如linksys設備的SSID通常是linksys。如果一個網路,不為其指定一個SSID或者只使用默認SSID的話,那麼任何無線客戶端都可以進入該網路。無疑這為黑客的入侵網路打開了方便之門。
家庭網路安全設置4.禁止SSID廣播
在無線網路中,各路由設備有個很重要的功能,那就是服務區標識符廣播,即SSID廣播。最初,這個功能主要是為那些無線網路客戶端流動量特別大的商業無線網路而設計的。開啟了SSID廣播的無線網路,其路由設備會自動向其有效范圍內的無線網路客戶端廣播自己的SSID號,無線網路客戶端接收到這個SSID號後,利用這個SSID號才可以使用這個網路。但是,這個功能卻存在極大的安全隱患,就好象它自動地為想進入該網路的黑客打開了門戶。在商業網路里,由於為了滿足經常變動的無線網路接入端,必定要犧牲安全性來開啟這項功能,但是作為家庭無線網路來講,網路成員相對固定,所以沒必要開啟這項功能。
家庭網路安全設置5.設置MAC地址過濾
眾所周知,基本上每一個網路接點設備都有一個獨一無二的標識稱之為物理地址或MAC地址,當然無線網路設備也不例外。所有路由器/中繼器等路由設備都會跟蹤所有經過他們的數據包源MAC地址。通常,許多這類設備都提供對MAC地址的操作,這樣我們可以通過建立我們自己的准通過MAC地址列表,來防止非法設備(主機等)接入網路。但是值得一提的是,該方法並不是絕對的有效的,因為我們很容易修改自己電腦網卡的MAC地址,筆者就有一篇文章專門介紹如何修改MAC地址的。
家庭網路安全設置6.為你的網路設備分配靜態IP
由於DHCP服務越來越容易建立,很多家庭無線網路都使用DHCP服務來為網路中的客戶端動態分配IP。這導致了另外一個安全隱患,那就是接入網路的攻擊端很容易就通過DHCP服務來得到一個合法的IP。然而在成員很固定的家庭網路中,我們可以通過為網路成員設備分配固定的IP地址,然後再再路由器上設定允許接入設備IP地址列表,從而可以有效地防止非法入侵,保護你的網路。
家庭網路安全設置7.確定位置,隱藏好你的路由器或中繼器
大家都知道,無線網路路由器或中繼器等設備,都是通過無線電波的形式傳播數據,而且數據傳播都有一個有效的范圍。當你的設備覆蓋范圍,遠遠超出你家的范圍之外的話,那麼你就需要考慮一下你的網路安全性了,因為這樣的話,黑客可能很容易再你家外登陸到你的家庭無線網路。此外,如果你的鄰居也使用了無線網路,那麼你還需要考慮一下你的路由器或中繼器的覆蓋范圍是否會與鄰居的相重疊,如果重疊的話就會引起沖突,影響你的網路傳輸,一旦發生這種情況,你就需要為你的路由器或中繼器設置一個不同於鄰居網路的頻段(也稱Channel)。根據你自己的家庭,選擇好合適有效范圍的路由器或中繼器,並選擇好其安放的位置,一般來講,安置再家庭最中間的位置是最合適的。
『拾』 如何加強計算機網路安全問題
現在,使用ADSL的用戶越來越多,由於ADSL用戶在線時間長、速度快,因此成為黑客們的攻擊目標。現在網上出現了各種越來越詳細的「IP地址庫」,要知道一些ADSL用戶的IP是非常容易的事情。要怎麼保衛自己的網路安全呢?不妨看看以下方法。
一、取消文件夾隱藏共享
如果你使用了Windows 2000/XP系統,右鍵單擊C盤或者其他盤,選擇共享,你會驚奇地發現它已經被設置為「共享該文件夾」,而在「網上鄰居」中卻看不到這些內容,這是怎麼回事呢?
原來,在默認狀態下,Windows 2000/XP會開啟所有分區的隱藏共享,從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」,就可以看到硬碟上的每個分區名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」,系統就會詢問用戶名和密碼,遺憾的是,大多數個人用戶系統Administrator的密碼都為空,入侵者可以輕易看到C盤的內容,這就給網路安全帶來了極大的隱患。
怎麼來消除默認共享呢?方法很簡單,打開注冊表編輯器,進入「HKEY_LOCAL_」,新建一個名為「AutoShareWKs」的雙位元組值,並將其值設為「0」,然後重新啟動電腦,這樣共享就取消了。
二、拒絕惡意代碼
惡意網頁成了寬頻的最大威脅之一。以前使用Modem,因為打開網頁的速度慢,在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬頻的速度這么快,所以很容易就被惡意網頁攻擊。
一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序,只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。
運行IE瀏覽器,點擊「工具/Internet選項/安全/自定義級別」,將安全級別定義為「安全級-高」,對「ActiveX控制項和插件」中第2、3項設置為「禁用」,其它項設置為「提示」,之後點擊「確定」。這樣設置後,當你使用IE瀏覽網頁時,就能有效避免惡意網頁中惡意代碼的攻擊。
三、封死黑客的「後門」
俗話說「無風不起浪」,既然黑客能進入,那說明系統一定存在為他們打開的「後門」,只要堵死這個後門,讓黑客無處下手,便無後顧之憂!
1.刪掉不必要的協議
對於伺服器和主機來說,一般只安裝TCP/IP協議就夠了。滑鼠右擊「網路鄰居」,選擇「屬性」,再滑鼠右擊「本地連接」,選擇「屬性」,卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源,對於不需要提供文件和列印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS關閉,避免針對NETBIOS的攻擊。選擇「TCP/IP協議/屬性/高級」,進入「高級TCP/IP設置」對話框,選擇「WINS」標簽,勾選「禁用TCP/IP上的NETBIOS」一項,關閉NETBIOS。
2.關閉「文件和列印共享」
文件和列印共享應該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下,我們可以將它關閉。用滑鼠右擊「網路鄰居」,選擇「屬性」,然後單擊「文件和列印共享」按鈕,將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。
雖然「文件和列印共享」關閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改「文件和列印共享」。打開注冊表編輯器,選擇「HKEY_CURRENT_」主鍵,在該主鍵下新建DWORD類型的鍵值,鍵值名為「NoFileSharingControl」,鍵值設為「1」表示禁止這項功能,從而達到禁止更改「文件和列印共享」的目的;鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。
3.把Guest賬號禁用
有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具,那還是禁止的好。打開控制面板,雙擊「用戶和密碼」,單擊「高級」選項卡,再單擊「高級」按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在「常規」頁中選中「賬戶已停用」。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。
4.禁止建立空連接
在默認的情況下,任何用戶都可以通過空連接連上伺服器,枚舉賬號並猜測密碼。因此,我們必須禁止建立空連接。方法有以下兩種:
方法一是修改注冊表:打開注冊表「HKEY_LOCAL_」,將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。
最後建議大家給自己的系統打上補丁,微軟那些沒完沒了的補丁還是很有用的!
四、隱藏IP地址
黑客經常利用一些網路探測技術來查看我們的主機信息,主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等於為他的攻擊准備好了目標,他可以向這個IP發動各種進攻,如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。
與直接連接到Internet相比,使用代理伺服器能保護上網用戶的IP地址,從而保障上網安全。代理伺服器的原理是在客戶機(用戶上網的計算機)和遠程伺服器(如用戶想訪問遠端WWW伺服器)之間架設一個「中轉站」,當客戶機向遠程伺服器提出服務要求後,代理伺服器首先截取用戶的請求,然後代理伺服器將服務請求轉交遠程伺服器,從而實現客戶機和遠程伺服器之間的聯系。很顯然,使用代理伺服器後,其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供代理伺服器的網站有很多,你也可以自己用代理獵手等工具來查找。
五、關閉不必要的埠
黑客在入侵時常常會掃描你的計算機埠,如果安裝了埠監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟體關閉用不到的埠,比如,用「Norton Internet Security」關閉用來提供網頁服務的80和443埠,其他一些不常用的埠也可關閉。
六、更換管理員帳戶
Administrator帳戶擁有最高的系統許可權,一旦該帳戶被人利用,後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設置一個強大復雜的密碼,然後我們重命名Administrator帳戶,再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員許可權,也就在一定程度上減少了危險性。
七、杜絕Guest帳戶的入侵
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門!網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法,所以要杜絕基於Guest帳戶的系統入侵。
禁用或徹底刪除Guest帳戶是最好的辦法,但在某些必須使用到Guest帳戶的情況下,就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼,然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說,如果你要防止Guest用戶可以訪問tool文件夾,可以右擊該文件夾,在彈出菜單中選擇「安全」標簽,從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權,比方說只能「列出文件夾目錄」和「讀取」等,這樣就安全多了。
八、安裝必要的安全軟體
我們還應在電腦中安裝並使用必要的防黑軟體,殺毒軟體和防火牆都是必備的。在上網時打開它們,這樣即便有黑客進攻我們的安全也是有保證的。
九、防範木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:
● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟體來檢測,起到提前預防的作用。
● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目,如果有,刪除即可。
● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。
十、不要回陌生人的郵件
有些黑客可能會冒充某些正規網站的名義,然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼,如果按下「確定」,你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件,即使他說得再動聽再誘人也不上當。
做好IE的安全設置
ActiveX控制項和 Applets有較強的功能,但也存在被人利用的隱患,網頁中的惡意代碼往往就是利用這些控制項編寫的小程序,只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇,具體設置步驟是:「工具」→「Internet選項」→「安全」→「自定義級別」,建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯!
另外,在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過,微軟在這里隱藏了「我的電腦」的安全性設定,通過修改注冊表把該選項打開,可以使我們在對待ActiveX控制項和 Applets時有更多的選擇,並對本地電腦安全產生更大的影響。
下面是具體的方法:打開「開始」菜單中的「運行」,在彈出的「運行」對話框中輸入Regedit.exe,打開注冊表編輯器,點擊前面的「+」號順次展開到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右邊窗口中找到DWORD值「Flags」,默認鍵值為十六進制的21(十進制33),雙擊「Flags」,在彈出的對話框中將它的鍵值改為「1」即可,關閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點擊「工具→Internet選項→安全」標簽,你就會看到多了一個「我的電腦」圖標,在這里你可以設定它的安全等級。將它的安全等級設定高些,這樣的防範更嚴密