三招鑄銅墻，上網才安全

當前，木馬，病毒和垃圾郵件無疑是我們不得不面對的最主要的網絡安全威脅。本刊2007年第12期也曾跟大家探討過“通過隔離登錄用戶和代理用戶，再進行適當的安全設置”來減緩這些威脅的方式。受到不少讀者的關注。今天，我們就再深入探討一下網絡安全的問題。

的確，當時探討的方式，在確保登錄用戶安全方面，是一個大膽而有效的構思。但是，如果僅憑此一招，就希望將木馬和病毒消滅于無形，未免有些難度。目前的木馬和病毒，往往直接通過掃描端口，開辟后門；或者直接攻擊交換機端口；或者直接進行網頁破壞。因此，要真正打造普通上網終端安全的銅墻鐵壁，需要從交換機設置、安全網關設置和虛擬機軟件設置三個方面進行安全整合。

1 第一招：交換機設置

交換機是一種工作在OSI第二層(數據鏈路層)上的、基于MAC(網卡的介質訪問控制地址)識別、能完成封裝轉發數據包功能的網絡設備。它通過對信息進行重新生成，并經過內部處理后轉發至指定端口，具備自動尋址能力和交換作用。目前交換機還具備了一些新的功能，如對VLAN、鏈路匯聚的支持，甚至有的已具有防火墻的功能，也就是所謂的三層交換。目前，許多網絡病毒就是通過多端口發送大量無用的數據包，造成網絡擁塞，給用戶的上網帶來致命的打擊。因此，通過交換機的安全設置，一方面可以進行過濾和屏蔽，另一方面可以進行數據包上傳的帶寬限制，有效防止網絡風暴。

設置方法

1、層過濾

目前新的交換機大都可以通過“建立規則”的方式來實現各種過濾需求。規則設置有兩種模式，一種是MAC模式，可根據用戶需要，依據“源MAC或目的MAC”有效實現數據的隔離；另一種是IP模式，可以通過“源IP、目的IP、協議、源應用端口及目的應用端口”過濾數據封包。建立好的規則必須附加到相應的接收或傳送端口上，當交換機此端口接收或轉發數據時，根據過濾規則來過濾封包，決定是轉發還是丟棄，完全不影響數據轉發速率。

2、流量控制

交換機的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過大造成交換機帶寬的異常負荷，并可提高系統的整體效能，保持網絡安全穩定地運行。對端口的上傳帶寬進行適當控制，比如：控制在128KB。

3、訪問控制

為了阻止非法用戶對局域網的接入，保障網絡的安全性，基于端口的訪問控制協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。這一功能不僅為網絡內的移動用戶對資源的應用提供了靈活便利，同時又保障了網絡資源應用的安全性。

4、安全網管

安全網管SNMP v3提出全新的體系結構，將各版本的SNMP標準集中到一起，進而加強網管安全性。SNMP v3建立的安全模型是基于用戶的安全模型，即USM.USM對網管消息進行加密和認證是基于用戶進行的。通過認證、加密和時限提供數據完整性、數據源認證、數據保密和消息時限服務，從而有效防止非授權用戶對管理信息的修改、偽裝和竊聽。

5、日志功能

交換機的Syslog日志功能可以將系統錯誤、系統配置、狀態變化、狀態定期報告、系統退出等用戶設定的期望信息傳送給日志服務器，網管人員依據這些信息掌握設備的運行狀況，及早發現問題，及時進行配置設定和排障，保障網絡安全穩定地運行。

Watchdog設定了一個計時器，如果設定的時間間隔內計時器沒有重啟，則生成一個內在CPU重啟指令，使設備重新啟動，這一功能可使交換機在緊急故障或意外情況下，智能自動重啟，保障網絡的運行。

6、雙映像文件

一些最新的交換機，還具備雙映像文件。這一功能保護設備在異常情況下仍然可正常啟動運行。文件系統分majoy和mirror兩部分進行保存，如果一個文件系統被損壞或中斷，另外一個文件系統會將其重寫，如果兩個文件系統都被損壞，則設備會清除兩個文件系統并重寫為出廠時默認設置，確保系統安全啟動運行。

2 第二招：安全網關設置

當用戶使用一個非活動帳戶去上網時，無論什么類型的網站，通過IE得到的信息都是把代理帳戶當作當前的活動帳戶。如果它想在你瀏覽網頁時，用惡意代碼對你的系統發起攻擊的話，就會行不通!即使行得通，被修改的也僅僅是代理用戶的一個配置文件而已，而所有惡意代碼和病毒試圖通過代理用戶進行的破壞活動都將失敗。因為代理用戶根本就沒有運行，怎么能取得系統的操作權呢?況且，它們更不可能跨越用戶來操作，因為微軟的配置本來就是“各個用戶之間是彼此獨立的”。

操作準備階段

1、確保你當前的系統的安全可靠

如果你是剛剛安裝的系統，那是最好不過了。如果你沒有重新安裝系統，也沒有關系，但是你必須確保你的系統運行完全正常和無病毒。

2、點擊“開始→程序→管理工具→計算機管理→本地用戶和組→用戶”，操作如下：

(1)首先把超級管理員密碼更改成新的密碼，然后創建一個用戶，把它的密碼也設置成新密碼并提升為超級管理員。

(2)接著再添加兩個用戶，比如用戶名分別為：rtm1、rtm2；并且指定它們屬于user組。

(3)除非你需要維護你的計算機，否則就不要使用超級管理員和rtm2登錄了。僅需使用rtm1登錄就行。至此，準備階段的工作就全部完成了。

設置代理階段

本操作的關鍵就是要嚴格區分代理用戶和登錄用戶，其目的就是要設置一個密碼，將病毒、木馬等擋在登錄用戶之外。操作步驟如下：

1、登錄之后上網，建立IE瀏覽的桌面快捷方式。

2、右鍵單擊快捷方式，選擇“以其他用戶方式運行”。

3、以后上網，用戶就直接點擊快捷方式。

4、在用戶名和密碼的提示框中，注意要輸入rtm2的用戶名和密碼。

至此，用戶就可以隨心所欲地瀏覽任何網站和網頁了，而不必再擔心這些網站或網頁是否有毒，因為只有rtm1才是當前系統的活動用戶。

安全設置階段

安全都是相對的，網絡安全沒有一勞永逸的事情。用戶操作也總有犯錯的時候，萬一不小心中毒了怎么辦呢?沒有關系，你只需遵循如下的操作步驟：

1、重新啟動機器，采用超級管理員登錄系統，進入系統后什么程序都不要運行。

2、用鼠標點擊“開始一程序一管理工具一計算機管理一本地用戶和組一用戶”。

3、將“用戶rtm1和用戶rtm2”兩個用戶刪除。

一旦刪除這兩個用戶，那么以前隨之而存在的病毒也就隨著這兩個用戶的消失而一起消失。經過上述簡單的處理，你的操作系統就像新裝的一樣，任何系統文件和系統進程都是完全沒有病毒的!

4、重復點擊“開始→程序→管理工具→計算機管理→本地用戶和組→用戶”。重新創建trm1和rtm2兩個用戶。

表面上看，原來的兩個用戶又復活了，但是以前曾經追隨它們的病毒無從復活。這是因為操作系統在重新創建用戶的時候，會重新給它們分配全新的配置，而這個全新的配置是不可能包含病毒的。

5、重新啟動機器，采用用戶rtm1登錄系統。

這時，用戶就會發現他的系統又如同重新安裝了。

設置要點：

在實際操作中，必須遵循微軟的以下3條重要原則：

1、如果你不是進行系統更新或系統維護，任何時候都不要以超級管理員的身份登錄系統。

2、當你在采用超級管理員身份登錄系統的時候，必須確保不運行任何除了操作系統自帶的工具和程序之外的任何程序。

3、所有維護操作只允許通過“開始”菜單中的選項來完成。

3 第三招：虛擬機軟件設置

上面兩招在提高上網終端安全方面建立了較強的預警機制，但是還不能完全確保終端用戶免受木馬和病毒的攻擊。因此，必須再建立一套應急處理機制，以從根本上提高終端用戶的安全性和穩定性。

安裝病毒和木馬防火墻

應該說，殺毒軟件和木馬防火墻在查殺病毒和木馬等方面發揮了重要的作用，大大提高了終端用戶的安全性。因此，用戶如果完全放棄這些有效的工具軟件，顯然是不行的。大家可以參照本刊前期評測過的殺毒軟件專題，選擇適合自己的安防產品。安裝虛擬影子系統

一旦上面的措施全部失效，那么下面的虛擬影子系統將發揮作用。用戶惟一要做的就是重新啟動機器，系統就恢復正常，快速而有效。根據筆者的反復實踐，除了筆者曾經撰文推薦的影子系統POWER SHADOW2008以外，下面向大家推薦一個更加簡單實用的虛擬影子系統軟件Retumil Virtual System，它來自歐洲著名的安全公司Retumil SIA，是一個基于虛擬機原理的新一代防毒防木馬類軟件，可以瞬間把您的計算機用隔離罩保護起來，同時用一個內存中的虛假替身“影子”系統來接管真實的操作系統，任何病毒和木馬都被限制在虛擬系統中使用，無法感染你真實的操作系統。重啟后，所有危險即刻消失得無影。Returnil虛擬影子系統支持Windows XP、2003、Vista等操作系統，支持RAID等磁盤陣列體系，同時兼容IDE、SATA、CF卡等存儲設備。該軟件完全免費，無需注冊，占用系統資源少，無廣告，無插件。

下載地址：www.returnilvirtual system.com