防范絕大多數(shù)的常見的黑客攻擊了。 

　　另外，Gibson Research 網(wǎng)站（http://grc.com/intro.htm ）所提供的額外的幫助 

文件值得一讀，特別是當(dāng)你對關(guān)閉一個(gè)端口有疑惑（例如NetBIOS 的Port 39）的時(shí)候， 

Gibson提供了一步一步的指導(dǎo)可以確保你將端口關(guān)閉，具體參看 http://grc.com/su-b 

ondage.htm 。 

　　一旦你的PC經(jīng)過了上面的測試，你就可以再增加一個(gè)加強(qiáng)安全的程序了，這種程序 

有很多，但是目前最熱門的是“個(gè)人用防火墻”，下面我們討論的重點(diǎn)也就是如何選擇 

這一類產(chǎn)品。 

　　不管你是否已經(jīng)使用了公用的防火墻、代理服務(wù)器、域名服務(wù)器，這些本地的防火 

墻在你的機(jī)器內(nèi)部監(jiān)視你的INTERNET數(shù)據(jù)交換，防止來自黑客的不正常的訪問，其中一 

些還可以監(jiān)視非正常的數(shù)據(jù)輸出，也就是那種特洛伊木馬程序式偷偷摸摸留下的“后門 

”，在你不知道的情況下，向你的機(jī)器發(fā)送信息或者獲取信息。 

　　我現(xiàn)在使用的個(gè)人防火墻是免費(fèi)而絕妙的ZoneAlarm，雖然它還有一些粗糙，但是它 

更新很快，最新的版本已經(jīng)是2.0.26了，而且解決了很多早期版本存在的問題，而且它 

免費(fèi)，卻比很多售價(jià)50美圓的商業(yè)產(chǎn)品更有效，例如它是少數(shù)能夠檢測到特洛伊程序的 

防火墻之一。 

　　Aladdin的eSafe Protect Desktop也加入了類似于防病毒程序的功能，相當(dāng)于防火 

墻加沙箱的功能，能夠防范決大多數(shù)帶有惡意的訪問，并將它們隔離起來。另外，它們 

讓人滿意的是占用很少的系統(tǒng)資源，只有2%而已。它是一個(gè)值得注意的產(chǎn)品，售價(jià)為30 

美圓。但是為了與流行的ZoneAlarm抗衡，Aladdin的Protect Desktop現(xiàn)在對個(gè)人使用完 

全免費(fèi)，因此很值得試試看，我正在試用，可能它會(huì)變成我的新歡喲！ 

　　FWProxy是一個(gè)簡單免費(fèi)的程序，能夠在設(shè)定的端口監(jiān)聽進(jìn)入的TCP連接，檢查用戶 

對設(shè)備的授權(quán)，在遠(yuǎn)程RAS用戶和設(shè)定的內(nèi)部TCP設(shè)備之間建立連接，你如果你只需要這 

個(gè)功能，那你可以試試它。 

Sybergen Secure Desktop（以前叫 SyShield）非常靈活，可以從多方面進(jìn)行設(shè)置，售 

價(jià)為30美圓，它的長處在于安裝簡單，雖然為數(shù)不多的文檔讓那些迷失在它過多的設(shè)置 

選項(xiàng)中的初學(xué)者有些困惑，但是它馬上就會(huì)出新版本了，以后我們還要介紹。 

　　BlackIce Defender是一個(gè)享有盛譽(yù)、非常流行的防火墻，花費(fèi)40美圓就可以獲得B 

lackIce Defender和一年的安全升級。和ZoneAlarm一樣，BlackIce 也有其顯得粗糙的 

地方，例如它的錯(cuò)誤檢測警告，幾乎讓你發(fā)生一種錯(cuò)覺，好象你受到外界的攻擊是基本 

不變的，另外文檔也不夠完善，除非你對防火墻技術(shù)和端口分配都非常精通，還有一些 

用戶對它支持的級別和對錯(cuò)誤反應(yīng)的時(shí)間也不滿意?？磥鞱etworkice這位始作俑者已經(jīng) 

被他們的勝利淹沒了，很難繼續(xù)保持原來的狀態(tài)。這種說法分的另一個(gè)佐證是關(guān)于Wind 

ows 2000 ，Windows 2000 已經(jīng)推出一段時(shí)間了，而BlackIce的站點(diǎn)還在說：“Win2k 

目前仍然是beta版本，我們目前還不能支持它，檢測侵入的部分運(yùn)行良好，而防火墻部 

分現(xiàn)在還不行，我們計(jì)劃在WIN 2000正式推出時(shí)再支持它。”這種情況讓人聯(lián)想到它的 

安全產(chǎn)品，因?yàn)槿藗兛偸窍Ｍ膬?nèi)容能夠盡量保持最新狀態(tài)。 

　　如果你到過各種黑客站點(diǎn)和黑客的BBS，你可以看到一個(gè)讓黑客們又愛又怕的軟件， 

售價(jià)為49美圓的ConSeal Private Desktop，他們喜歡在自己的機(jī)器上安裝這個(gè)軟件，但 

又痛恨在所攻擊的用戶機(jī)器上也安裝了這個(gè)軟件。出品它的加拿大公司Signal9剛被McA 

fee收購，我們還不清楚McAfee的計(jì)劃是什么，你可以到http://www.signal9.com/上去 

看看相關(guān)信息。 

　　McAfee 還剛剛收購了 Cybermedia，它的售價(jià)為30美圓的防護(hù)狗軟件是一個(gè)很有趣 

的產(chǎn)品，多種功能兼而有之，病毒檢測、隱私保護(hù)和在線安全，還包括對惡意ActiveX和 

Java applets的防護(hù)。 

　　而ConSeal的AtGuard，是另一個(gè)讓黑客愛恨交織的防火墻，剛剛被Symantec收購， 

現(xiàn)在變成了售價(jià)為60美圓的Norton Internet Security 2000的一部分。和它的其他產(chǎn)品 

相比，AtGuard略顯單薄，但是Norton Internet Security 2000是一個(gè)安全“巨人”， 

雖然它的設(shè)置也很麻煩。但是無論如何，AtGuard安全部分的功能仍然使非常出色的，盡 

管它現(xiàn)在已經(jīng)被其他產(chǎn)品的光芒掩蓋了。 

　　上面介紹的產(chǎn)品都是一些用途廣泛功能全面的防護(hù)軟件，但是還有一些功能比較精 

細(xì)集中的產(chǎn)品： 

　　Jammer，售價(jià)為20美圓，專門設(shè)計(jì)用來防范NetBus和 BackOrifice的攻擊，如果你 

的其他安全產(chǎn)品只有一般的防護(hù)能力，它倒還是挺有用的； 

　　ProtectX，售價(jià)為25美圓，可以同時(shí)監(jiān)視最多20個(gè)端口，還可以幫你追蹤攻擊你的 

黑客的來源，也是一個(gè)享有盛譽(yù)的產(chǎn)品，盡管它所能監(jiān)視的端口數(shù)量受到限制，和同類 

產(chǎn)品相比顯得有些不足。 

　　Rainbow Diamond Intrusion Detector，售價(jià)為40 美圓，在你可能受到侵犯的時(shí)候 

會(huì)發(fā)出警報(bào)，Intrusion Detector直接在機(jī)器中監(jiān)視可疑的網(wǎng)絡(luò)活動(dòng)，一旦發(fā)現(xiàn)對象， 

就發(fā)出報(bào)警。 Intrusion Detector還會(huì)試圖確定攻擊你的用戶的身份。 

　　TDS-2，售價(jià)33美圓，來自澳大利亞的Trojan特洛伊防范系統(tǒng)，對特洛伊有比其他軟 

件更強(qiáng)的檢測能力。 

　　哦，你的選擇真是太多了，有了這些產(chǎn)品，你的機(jī)器的安全級別一定可以到很高的 

級別。 

　　但是，即使有了上面的這些產(chǎn)品，我們的安全工作還是沒有完成，下一步或者是對 

上述產(chǎn)品的補(bǔ)充，或是對上述產(chǎn)品的替代，另外，還有一個(gè)特殊的措施你可以使用，將 

你的安全性能提高到一個(gè)很高的程度。 

竅門篇 

　　前面我們分別從PC的網(wǎng)絡(luò)安全設(shè)置和優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品出發(fā)，介紹了如何提高機(jī) 

器的安全性能，對大多數(shù)人而言，如果僅僅是一般的上網(wǎng)沖浪和日常的網(wǎng)絡(luò)操作，這些 

措施已經(jīng)相當(dāng)足夠了。 

　　但是也許你的要求和他們不同，因此我們還繼續(xù)討論第三步，如何讓你的安全性能 

變得更高。實(shí)際上，這一步是針對我的個(gè)人而定的，因?yàn)槲矣邢旅鎺讉€(gè)特殊的地方： 

　　我每周7天、每天24小時(shí)在INTERNET上； 

　　我通過INETRNET做生意，并經(jīng)營網(wǎng)站； 

　　我比一般人要顯眼，更容易成為黑客的目標(biāo)； 

　　我將INTERNET連接共享給其他的幾臺機(jī)器。 

　　如果你也具備上述的幾個(gè)或全部特征，你可能也希望采用我的方法來讓你的機(jī)器“ 

固若金湯”，那么我們就交流一下。 

　　首先，我使用了在第一部分和第二部分介紹的所有技術(shù)，例如我的任何一臺機(jī)器都 

沒有綁定“網(wǎng)絡(luò)用戶”、“文件和打印共享”到TCP/IP，所有常見的攻擊對我不起作用 

；第二，在每臺機(jī)器里我都用了個(gè)人防火墻，ZoneAlarm，可以幫助我阻塞黑客的侵入。 

  

　　上面只是兩個(gè)安全的級別，但是我還有第三個(gè)更簡單和更便宜的方法，那就是：我 

所有的機(jī)器都沒有直接連接INTERNET。相反地，我用了一臺爛機(jī)器（古老的486，內(nèi)存很 

少）作為與INTERNET連接的服務(wù)器，在它上面運(yùn)行Windows 和 Sygate，有了Sygate，幾 

臺機(jī)器可以通過一個(gè)機(jī)器上網(wǎng)，而Sygate的防火墻功能非常出色。從外界能夠看到的只 

有這臺爛機(jī)器，而其余幾臺共享連接的機(jī)器從外面看不到，所以黑客也無法檢測和攻擊 

。 

　　Sygate的防火墻功能幫了大忙，它把它自己藏了起來，準(zhǔn)確地說，是把運(yùn)行它的機(jī) 

器藏起來了，面對黑客的探測“屏聲禁氣”，所有的現(xiàn)象都說明這里根本就沒有一臺機(jī) 

器，所以Sygate的防火墻算是第四層保護(hù)了。 

下面的設(shè)置應(yīng)該說是第五層的防護(hù)了：如果黑客打算侵入，他會(huì)發(fā)現(xiàn)他到了一臺又空又 

爛的機(jī)器，不管怎么看都毫無興趣和吸引力。我的其他幾臺位于局域網(wǎng)上的機(jī)器都有口 

令保護(hù)，而我從來不在爛機(jī)器中WINDOWS保存任何密碼，所以即使黑客進(jìn)入到這臺機(jī)器， 

也很難進(jìn)入到局域網(wǎng)中其他機(jī)器的系統(tǒng)，要通過防火墻、口令和內(nèi)部的安全設(shè)置這幾關(guān) 

可不是容易的事呢！ 

　　最后，我還有第六關(guān)：我的cable modem ISP使用動(dòng)態(tài)IP地址，和絕大多數(shù)撥號上網(wǎng) 

ISP使用相同的技術(shù)，有了動(dòng)態(tài)網(wǎng)址，每次你上網(wǎng)的時(shí)候都用的是新地址，對黑客來講， 

很難預(yù)見下次的IP將是什么。利用動(dòng)態(tài)IP地址的優(yōu)勢，我每擱一天或者是通過 modem發(fā) 

現(xiàn)有異常活動(dòng)的時(shí)候，就會(huì)拔去 cable modem 的插頭。每當(dāng)我將插頭重新插回去、重新 

上線，就會(huì)獲得一個(gè)和上次不同的地址，即使有黑客發(fā)現(xiàn)過我，他也要一切重新開始了 

。 

　　話雖這么說，你也應(yīng)該知道沒有任何線上的系統(tǒng)是完全保險(xiǎn)的，除非你完全不和IN 

TERNET連接，理論上任何系統(tǒng)都可能被攻擊，但是如果你的機(jī)器加上了6層安全保護(hù)，給 

黑客們增加了太多的障礙，那么你的安全系數(shù)就很高了，也許因?yàn)樗荒苋淌苋绱硕嗟?



麻煩就放棄了你呢！ 

  

  

-- 

※ 來源:·北大 IBMS390.PKU.EDU.CN·[FROM: 162.105.20.22] 

--