网络通信 频道

给黑客设置障碍:网络安全三部曲

 FWProxy是一个简单免费的程序,能够在设定的端口监听进入的TCP连接,检查用户对设备的授权,在远程RAS用户和设定的内部TCP设备之间建立连接,你如果你只需要这个功能,那你可以试试它。 Sybergen Secure Desktop(以前叫 SyShield)非常灵活,可以从多方面进行设置,售价为30美圆,它的长处在于安装简单,虽然为数不多的文档让那些迷失在它过多的设置选项中的初学者有些困惑,但是它马上就会出新版本了,以后我们还要介绍。BlackIce Defender是一个享有盛誉、非常流行的防火墙,花费40美圆就可以获得BlackIce Defender和一年的安全升级。和ZoneAlarm一样,BlackIce 也有其显得粗糙的地方,例如它的错误检测警告,几乎让你发生一种错觉,好象你受到外界的攻击是基本不变的,另外文档也不够完善,除非你对防火墙技术和端口分配都非常精通,还有一些用户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经被他们的胜利淹没了,很难继续保持原来的状态。这种说法的另一个佐证是关于Windows 2000 ,Windows 2000 已经推出一段时间了,而BlackIce的站点还在说:“Win2k 目前仍然是beta版本,我们目前还不能支持它,检测侵入的部分运行良好,而防火墙部分现在还不行,我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的安全产品,因为人们总是希望它的内容能够尽量保持最新状态。

  如果你到过各种黑客站点和黑客的BBS,你可以看到一个让黑客们又爱又怕的软件,售价为49美圆的ConSeal Private Desktop,他们喜欢在自己的机器上安装这个软件,但又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McAfee收购,我们还不清楚McAfee的计划是什么,你可以到http://www.signal9.com/上去看看相关信息。

  McAfee 还刚刚收购了 Cybermedia,它的售价为30美圆的防护狗软件是一个很有趣的产品,多种功能兼而有之,病毒检测、隐私保护和在线安全,还包括对恶意ActiveX和Java applets的防护。 而ConSeal的AtGuard,是另一个让黑客爱恨交织的防火墙,刚刚被Symantec收购,现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品相比,AtGuard略显单薄,但是Norton Internet Security 2000是一个安全“巨人”,虽然它的设置也很麻烦。但是无论如何,AtGuard安全部分的功能仍然使非常出色的,尽管它现在已经被其他产品的光芒掩盖了。 上面介绍的产品都是一些用途广泛功能全面的防护软件,但是还有一些功能比较精细集中的产品:

  Jammer,售价为20美圆,专门设计用来防范NetBus和 BackOrifice的攻击,如果你的其他安全产品只有一般的防护能力,它倒还是挺有用的;

  ProtectX,售价为25美圆,可以同时监视最多20个端口,还可以帮你追踪攻击你的黑客的来源,也是一个享有盛誉的产品,尽管它所能监视的端口数量受到限制,和同类产品相比显得有些不足。

  Rainbow Diamond Intrusion Detector,售价为40 美圆,在你可能受到侵犯的时候会发出警报,Intrusion Detector直接在机器中监视可疑的网络活动,一旦发现对象,就发出报警。 Intrusion Detector还会试图确定攻击你的用户的身份。

  TDS-2,售价33美圆,来自澳大利亚的Trojan特洛伊防范系统,对特洛伊有比其他软件更强的检测能力。

  哦,你的选择真是太多了,有了这些产品,你的机器的安全级别一定可以到很高的级别。

  但是,即使有了上面的这些产品,我们的安全工作还是没有完成,下一步或者是对上述产品的补充,或是对上述产品的替代,另外,还有一个特殊的措施你可以使用,将你的安全性能提高到一个很高的程度。

窍门篇

  前面我们分别从PC的网络安全设置和优秀的网络安全产品出发,介绍了如何提高机器的安全性能,对大多数人而言,如果仅仅是一般的上网冲浪和日常的网络操作,这些措施已经相当足够了。 但是也许你的要求和他们不同,因此我们还继续讨论第三步,如何让你的安全性能变得更高。实际上,这一步是针对我的个人而定的,因为我有下面几个特殊的地方:

  我每周7天、每天24小时在INTERNET上; 我通过INETRNET做生意,并经营网站; 我比一般人要显眼,更容易成为黑客的目标; 我将INTERNET连接共享给其他的几台机器。 如果你也具备上述的几个或全部特征,你可能也希望采用我的方法来让你的机器“固若金汤”,那么我们就交流一下。 首先,我使用了在第一部分和第二部分介绍的所有技术,例如我的任何一台机器都没有绑定“网络用户”、“文件和打印共享”到TCP/IP,所有常见的攻击对我不起作用;第二,在每台机器里我都用了个人防火墙,ZoneAlarm,可以帮助我阻塞黑客的侵入。 上面只是两个安全的级别,但是我还有第三个更简单和更便宜的方法,那就是:我所有的机器都没有直接连接INTERNET。相反地,我用了一台烂机器(古老的486,内存很少)作为与INTERNET连接的服务器,在它上面运行Windows 和 Sygate,有了Sygate,几台机器可以通过一个机器上网,而Sygate的防火墙功能非常出色。从外界能够看到的只有这台烂机器,而其余几台共享连接的机器从外面看不到,所以黑客也无法检测和攻击。 Sygate的防火墙功能帮了大忙,它把它自己藏了起来,准确地说,是把运行它的机器藏起来了,面对黑客的探测“屏声禁气”,所有的现象都说明这里根本就没有一台机器,所以Sygate的防火墙算是第四层保护了。 下面的设置应该说是第五层的防护了:如果黑客打算侵入,他会发现他到了一台又空又烂的机器,不管怎么看都毫无兴趣和吸引力。我的其他几台位于局域网上的机器都有口令保护,而我从来不在烂机器中WINDOWS保存任何密码,所以即使黑客进入到这台机器,也很难进入到局域网中其他机器的系统,要通过防火墙、口令和内部的安全设置这几关可不是容易的事呢!

  最后,我还有第六关:我的cable modem ISP使用动态IP地址,和绝大多数拨号上网ISP使用相同的技术,有了动态网址,每次你上网的时候都用的是新地址,对黑客来讲,很难预见下次的IP将是什么。利用动态IP地址的优势,我每搁一天或者是通过 modem发现有异常活动的时候,就会拔去 cable modem 的插头。每当我将插头重新插回去、重新上线,就会获得一个和上次不同的地址,即使有黑客发现过我,他也要一切重新开始了。

  话虽这么说,你也应该知道没有任何线上的系统是完全保险的,除非你完全不和INTERNET连接,理论上任何系统都可能被攻击,但是如果你的机器加上了6层安全保护,给黑客们增加了太多的障碍,那么你的安全系数就很高了,也许因为他不能忍受如此多的麻烦就放弃了你呢!

0
相关文章