發(fā)信人: aeroboy (為人民服務(wù)), 信區(qū): security 

標  題: [轉(zhuǎn)載] 網(wǎng)絡(luò)安全三步曲　 

發(fā)信站: 北大 (Sun Mar 26 00:07:11 2000), 轉(zhuǎn)信 

  

【 以下文字轉(zhuǎn)載自 internet 討論區(qū) 】 

【 原文由 aeroboy 所發(fā)表 】 

基本設(shè)置篇 

一、在線安全的四個誤解 

　　Internet實際上是個有來有往的世界，你可以很輕松地連接到你喜愛的站點，而其 

他人，例如黑客也很方便地連接到你的機器。實際上，很多機器都因為自己很糟糕的在 

線安全設(shè)置無意間在機器和系統(tǒng)中留下了“后門”，也就相當于給黑客打開了大門。 

　　你上網(wǎng)的時間越多，被別人通過網(wǎng)絡(luò)侵入機器的可能性也就越大。如果黑客們在你 

的設(shè)置中發(fā)現(xiàn)了安全方面的漏洞，就會對你發(fā)起攻擊，可能是一般的騷擾，如降低你的 

速度或者讓你的機器崩潰；也可能更嚴重，例如打開你的機密文件、偷竊口令和信用卡 

密碼。 

　　但是很多人并不以為然，因為他們在網(wǎng)絡(luò)安全方面還存在四個誤區(qū)： 

　　誤區(qū)一：我沒有連接其他網(wǎng)絡(luò)，所以我很安全。 

　　對，連接INTERNET是要上網(wǎng)的，但是可以上網(wǎng)的獨立機器，與一臺商業(yè)網(wǎng)絡(luò)中心的 

機器相比，所使用的網(wǎng)絡(luò)協(xié)議仍然有一些甚至全部相同，而一臺商業(yè)網(wǎng)絡(luò)中心的機器還 

可能安裝了公共防火墻或者有專門負責安全的人員。與此形成強烈對比的是一些用于家 

庭、辦公室、小公司的個人用機確是門戶大開，完全沒有防范黑客的能力。這種威脅是 

很現(xiàn)實的：如果你使用了cable modem或是DSL連接上網(wǎng)，而且在網(wǎng)上的時間很長，一天 

里也許就會有2-4個卑鄙的黑客企圖攻擊你。 

　　誤區(qū)二：我是用撥號上網(wǎng)，所以我的機器是安全的。 

　　每次當你開始撥號上網(wǎng)，你使用的IP地址都會不同，也就是動態(tài)IP，所以相比靜態(tài) 

IP的用戶而言。黑客是很難找到你，但是有一些黑客軟件已經(jīng)發(fā)展到可以在1個小時以內(nèi) 

逐個掃描上萬個IP地址的能力，所以只要黑客使用了這些工具，即使是撥號上網(wǎng)的用戶 

也可能受到攻擊。 

　　誤區(qū)三：我使用了防病毒軟件，所以我很安全。 

　　一個好的病毒軟件確實是在線安全不可或缺的部分，但是也是很小的一個部分。它 

能夠通過檢測病毒和類似的問題保護你，但是它們對防范黑客、對帶有惡意的“合法” 

程序卻無能為力。 

　　誤區(qū)四：我使用了防火墻，所以我很安全。 

　　防火墻是很有用處，但是如果你的機器總是采用一些不夠安全的方式接收和發(fā)送數(shù) 

據(jù)，而你又僅僅依靠一些附加的程序提供安全，這就等于把所有的蛋放在一個籃子里， 

一旦防火墻軟件出現(xiàn)bug或者有漏洞，那你很危險了。另外，防火墻對于病毒一類的軟件 

完全沒有防范能力，尤其是那些帶有惡意的悄悄地向你的機器發(fā)送或提取數(shù)據(jù)的程序。 

最后，一些防火墻軟件還可能幫倒忙，因為它們的廠商在廣告中把產(chǎn)品的特點介紹出去 

，可能招致一些專門針對它們?nèi)觞c的攻擊。 

　　但是解決方法是有的，你可以使用你已經(jīng)有的工具，而且本文也會告訴你怎樣才是 

安全的設(shè)置和怎樣選擇安全軟件。 

二、一分鐘的網(wǎng)絡(luò)基礎(chǔ)知識 

　　看到這個內(nèi)容，你可能想一眼掃過或者直接跳過去，但是這只需要一分鐘，而且對 

你理解下面的內(nèi)容很有幫助。 

　　簡單地說，你可以將你和網(wǎng)絡(luò)的連接分為三層。 

　　最深的一層是你和網(wǎng)絡(luò)的物理連接方式，包括硬件。例如撥號上網(wǎng)，要使用“撥號 

適配器”才能和你的MODEM“交談”；如果是局域網(wǎng)，需要網(wǎng)卡和驅(qū)動程序，以便你的P 

C和網(wǎng)卡交換數(shù)據(jù)，而DSL、cable等也需要網(wǎng)卡。一個PC可以同時使用多個硬件適配器， 

例如可以即用cable modem上網(wǎng)，也連接撥號上網(wǎng)的MODEM，還在局域網(wǎng)中，這樣系統(tǒng)的 

網(wǎng)絡(luò)設(shè)置中就有兩個網(wǎng)絡(luò)適配器和一個撥號適配器。 

　　中間的一層連接由你的機器所使用的和網(wǎng)絡(luò)其他機器交流的通訊協(xié)議和語言組成， 

例如TCP/IP協(xié)議，其他還有NetBEUI和IPX/SPX，這些協(xié)議也可以并行工作，一個協(xié)議可 

以被同時捆綁到多個硬件設(shè)備上，而一個硬件設(shè)備也可以同時捆綁多個協(xié)議。 最頂層的 

連接是網(wǎng)絡(luò)設(shè)備，登錄上網(wǎng)、文件與打印共享和以及位于最頂層的客戶程序，為你完成 

需要在網(wǎng)絡(luò)上完成的任務(wù)，但不幸的是，它是雙向的，也可以讓黑客對你執(zhí)行他們的操 

作。 

　　所以，保證安全的竅門在于確保沒有那些危險的設(shè)置和設(shè)備，例如如果不需要從網(wǎng) 

上進行訪問，“文件與打印共享”就完全沒有必要，這也是黑客經(jīng)常利用的地方。換句 

話說，仔細地設(shè)置哪些要進行捆綁，可以確保你的機器不那么輕易被訪問，盡管存在一 

些本身安全性較差的設(shè)備和協(xié)議。 

三、怎樣確保連接安全 

　　在按照我下面提到的建議對系統(tǒng)設(shè)置進行修改以前，最好先將你系統(tǒng)中的關(guān)鍵數(shù)據(jù) 

備份，或者記下你原來的設(shè)置，以便在需要的時候恢復(fù)。如果你是在局域網(wǎng)或是有特殊 

的網(wǎng)絡(luò)要求，請先和管理員商量。 

　　我們先檢查你的網(wǎng)絡(luò)設(shè)置：右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，現(xiàn)在我們要刪除一 

些很容易就能夠讓別人通過INTERNET連接到你的INTERNET協(xié)議：TCP/IP。 

　　如果你沒有使用撥號上網(wǎng)，可以直接跳到下一段。雙擊“撥號適配器”、“綁定” 

，把除TCP/IP以外的內(nèi)容都選掉，回到主界面，雙擊“TCP/IP -> 撥號適配器”，你可 

能看到一個警告，說明如果修改將有危險，不管它，不修改才會有危險呢！單擊“綁定 

”，如果選擇了“microsoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”，把它們選掉，這樣就 

只剩下TCP/IP了，你會得到這樣一個警告：TCO/IP已經(jīng)沒有綁定到任何驅(qū)動程序“，回 

答NO。 

　　如果你使用了網(wǎng)卡，單擊每個卡對應(yīng)的TCP/IP，例如我就用了一塊便宜的Realtek 

網(wǎng)卡，則單擊“TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.”，單擊“綁定” 

，確認沒有選擇“micrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”。 

　　但是如果你是在局域網(wǎng)上，希望在本地共享文件和打印機，也有辦法呀，添加一個 

非INTERNET協(xié)議IPX/SPX 或者 NetBEUI都可以。添加適當?shù)摹癿icrcosoft 網(wǎng)絡(luò)用戶”， 

選擇“文件和打印共享”，就可以共享文件和打印了！ 

　　現(xiàn)在倒回去檢查系統(tǒng)中的每個適配器和協(xié)議，確?！癿icrcosoft 網(wǎng)絡(luò)用戶”和“文 

件和打印共享”只在IPX/SPX and/或 NetBEUI 中被選擇了。同時，也確認在TCP/IP中沒 

有選擇這兩項。然后對局域網(wǎng)中的所有機器重復(fù)這個檢查過程。用這種方法，你的機器 

在INTERNET上就只使用TCP/IP，而在局域網(wǎng)上使用非INTERNET協(xié)議以便共享打印機和文 

件。因為黑客必須使用TCP/IP，這樣他們就需要花費更多的時間來訪問被共享的打印機 

和文件。 

需要注意的是你對網(wǎng)絡(luò)設(shè)置的任何變動都可能重新設(shè)置綁定和其他設(shè)置，甚至包括你不 

曾接觸的內(nèi)容，而當你或者是你所安裝的軟件修改了網(wǎng)絡(luò)設(shè)置，都要執(zhí)行上面介紹的步 

驟檢查TCP/IP連接以確保它保持“干凈”，沒有與“micrcosoft 網(wǎng)絡(luò)用戶”和“文件和 

打印共享”綁定。 

　　AOL（美國在線）有一點是令人厭惡的：它把它自己的（通常是沒有必要的）適配器 

加入到你的網(wǎng)絡(luò)設(shè)置中，而且可能會不正確地修改你的綁定設(shè)置，一些用戶在安裝AOL后 

報告，他們的“文件和打印共享”被綁定在TCP/IP上，意味著對任何想連接的人都提供 

打印機和文件，上面的介紹的竅門對避免出現(xiàn)AOL的這個情況也很有效。 

　　要改善你的網(wǎng)絡(luò)安全性你可以作很多工作，我們將在下面討論，但是上面的設(shè)置將 

消除WINDOWS PC的最常見和突出的網(wǎng)絡(luò)安全問題，把最明顯的漏洞給你堵上，讓你擁有 

一個更安全的線上操作基礎(chǔ)。一旦你學(xué)會了上面的方法，只用幾分鐘進行檢查，基本就 

不需要其他的輔助軟件，這樣做的好處在于不用花錢喲！ 

工具篇 

　　在上一部分，我們討論了怎樣調(diào)整網(wǎng)絡(luò)設(shè)置以獲得更好的安全性，現(xiàn)在，我們來看 

看怎樣利用一些免費或者商業(yè)產(chǎn)品和服務(wù)做更多的事。 

　　既然你已經(jīng)有了很好的防范黑客的線上安全基礎(chǔ)，現(xiàn)在你可以學(xué)習(xí)使用決定性的一 

招，幫你的機器增強抵抗力，能夠防范一些常見的和不常見的攻擊，甚至一些更高水平 

的或者更迂回曲折的攻擊。于是，你就有了兩級安全措施了，一個是前面介紹的網(wǎng)絡(luò)安 

全設(shè)置，一個是附加的安全產(chǎn)品，即使有其中一個出現(xiàn)了問題，你也仍然有另一個保護 

，總不能一棵樹上吊死人吧！ 

　　在你向系統(tǒng)中添加任何安全性產(chǎn)品之前，作一個額外的測試，檢查一下你的設(shè)置是 

否已經(jīng)OK了。最好是定時（每月或者每周）檢查一下你的基本網(wǎng)絡(luò)設(shè)置是否安全。 

我推薦三個絕好的免費站點幫助你從外端檢測你的INTERNET連接，以便你檢測和糾正潛 

在的安全問題。 

　　http://grc.com/intro.htm 

　　http://www.dslreports.com/r3/dsl/secureme 

　　http://www.antionline.com/ 

　　我曾經(jīng)連續(xù)使用過這第三個站點，他們測試的對象是一樣的，有些重復(fù)，但是采用 

了不同的方法，測試的重點也不同。通過一個一個地在這三個網(wǎng)站進行測試，你可以“ 

嗅”到你的INTERNET連接中存在的最常見的漏洞，如果你通過了這三個測試，你就可以