编者按：在本文中，我们主要探讨网吧防止非法攻击的解决方案：

    【IT168 专稿】随着木马程序、黑客工具的简单化和傻瓜化，不仅是技术精湛的黑客，即使是很多技术水平不高的用户也可以利用手中的黑客工具大肆进行攻击，尤其在网吧这种资源共享的环境下，我们的上网安全更容易受到网络非法攻击的威胁，对于这种情况，我们不能任由非法攻击行为肆意妄为，必须采取相应的措施和解决方案。事实证明，只要对网吧的硬件和软件设置得当，防范措施完善，我们就可以让网吧的上网环境保持在相对比较安全的状态。本文将提出几种常用的防范技巧，可以有效的抵制非法攻击的危害。

    隐藏上网IP地址

    网络攻击最常见的两种方式就是DoS(拒绝服务)攻击、Floop溢出攻击，在攻击之前，黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，因此如果我们能隐藏自己的IP，就可以避免被直接攻击。

    隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。

    很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。

    关闭不必要的端口

    端口扫描是黑客入侵前的常用手段。黑客在入侵时常常会扫描我们的计算机端口，如果安装了端口监视程序，该监视程序则会有警告提示。

    如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，关闭用来提供网页服务的80和443端口，ftp服务的21端口等，其它一些不常用的端口也可关闭。很多病毒火墙软件，在系统需要提供新的网络服务时，会提示用户是否打开新的端口进行连接，用户可根据提示判断是否是正常的工作进程选择确定或拒绝连接。

    更换管理员帐户

    计算机操作系统中，Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。
 
    首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

    预防Guest帐户的入侵
 
    Guest帐户即所谓的来宾帐户，与管理员账户相比，它可以访问计算机，但权限要低得多。不幸的是，即使是这种受限的用户，也为黑客网络攻击打开了方便之门！有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

 　禁用或彻底删除Guest帐户是最直截了当的办法，但在某些时候必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

    堵死黑客的“后门”

    俗话说“苍蝇不盯无缝的鸡蛋”，既然黑客能进入，那我们的系统一定存在为他们打开的“后门”，我们只要将这些后门堵死，让黑客无处下手，就可防患于未然了!

    1. 删掉不必要的协议

    安装过多的协议，一方面增加系统开销，另一方面为网络攻击提供了便利路径。而对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP/IP协议的NetBIOS关闭掉，避免针对NetBIOS的攻击。

    2. 关闭“文件和打印共享”

    文件和打印共享本应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。因此在没有必要“文件和打印共享”的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享的资源设置强壮的访问密码。
 
    3. 禁止建立空连接

    在Windows系统中，在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。方法有以下两种:方法一是修改注册表:到注册表 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA下，将DWORD值RestrictAnonymous的键值改为1即可。方法二是修改Windows 2000/XP的本地安全策略为“不允许SAM帐户和共享的匿名枚举”。  

    4. 关闭不必要的服务

　　Windows提供了很多服务，而且这些服务如果开得过多会给管理员带来不方便，更会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，就将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行效率和速度。

    合理配置IE的安全设置

    在IE浏览器中，ActiveX控件和Java Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免这种恶意网页的攻击，只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与Java相关选项禁用。

    另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和Java Applets时有更多的选择，并对本地电脑安全产生更大的影响。

    下面是具体的方法:打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定为高，这样的防范更严密。

    安装必要的安全软件

    跟防范病毒同样的措施，我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。 并且要及时更新杀毒软件的病毒库和防火墙的版本，以及时应对新出现的病毒和黑客程序。

    积极防范木马程序

    木马程序已经成为继病毒程序后对电脑的一大威胁，而且其危害程度甚至比起病毒有过之无不及。木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有:

    在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。（2） 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。 （3）将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

    警防陌生人邮件

    除了邮件附件带的很多程序是黑客程序和病毒程序已经引起大部分人的警惕外，有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不要上当。

    定期给系统打补丁

    由于网络攻击技术日新月异，即使设计阶段再周密的设计和防范措施有时也难以应对新的漏洞出现。因此建议大家及时到微软的站点下载自己的操作系统对应的补丁程序，微软不断推出的补丁尽管让人厌烦，但却是我们网络安全的基础。

    做好上述的十项措施，足以应对一般的攻击行为，可以确保网吧用户的上网安全。但同时对于网吧管理者必须时刻提高警惕，针对随时可能出现的新攻击行为，及时采取必要的措施。