淺談內網安全之防護法

摘要：一直以來，對于網絡安全問題的理解，大多數用戶單位把外網作為主要的防護對象，隨著內網應用的不斷深入，內網安全問題變得越來越重要，事實證明也內網的不安全因素遠比外部的危害更大。該文淺談了內網的安全防護問題及防護方法，重點介紹了如何主動防護及被動防護的方法，隨著用戶對內網安全認識的加深和內網安全管理制度的跟進，只有采取了多層次的整體安全措施，才能真正解決內網的安全問題。

關鍵詞：內網安全；防護；設置；被動；主動

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2008)35-2509-03

Shallow Talk Intranet the Protection Method of the Safety

PU Ying

(Baoying Center for Disease Control and Prevention in Jiangsu Province， Baoying 225800， China)

Abstract: Always， for network safety problem of comprehension， majority customer unit pair of outside net conduct and actions main of protection object， along with intranet application of continuously thorough， intranet safety the problem become more and more importance， fact certificate also intranet insecurity factor far ratio exterior of endanger larger.This text was shallow to talk intranet the safety protection problem and protection method， point introduction how active the method of protection and passive protection， along with customer rightness inside net safety understanding of deepen with intranet safety follow of management system， only adopted multilayers of whole safety measure， then can be real to solve intranet of safety problem.

Key words: intranet safety; protection; constitution; passive; active

1 引言

近年來，隨著信息化進程的飛速發展，多數單位的辦公自動化都處于局域網或廣域網中，網絡安全性和可靠性問題也隨之日漸凸出，信息數據面臨安全威脅，想要保證本單位系統的安全，首先應該加強內網的安全防護，而不是片面地希望更高級更貴的防火墻、入侵檢測軟件等設備能堵住來自Internet的不安定因素，而來自內部的威脅卻仍然存在并依然猖獗。

事實證明，內網的不安全因素遠比外部的危害更大，而如今的網絡維護者已經開始大規模致力于增強內網的防衛能力。

2 內網安全的防護法

2.1 被動防護法

2.1.1 保障網絡參數設置的安全

顯然，對網絡設置權限完全放開的做法，不僅會加大網管的工作量，也大大降低了維護效率；為了提高內網的維護效率，避免他人隨意對網絡參數進行非法設置，網管應該采取措施禁止其他人來設置網絡參數，下面就是幾種屏蔽網絡設置的小技巧：

隱藏網上鄰居

隱藏“網上鄰居”圖標，讓其他人無法打開網上鄰居屬性對話框，從而到達禁止設置網絡參數的目的： 進入注冊表編輯器→訪問鍵值HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer→用鼠標左鍵單擊窗口的空白處，依次訪問“新建”/“DWORD串值”命令→給新建的DWORD串值命名為NoNetHood，同時把該值設置為1（十六進制）→設置好所有參數后，重新啟動計算機就可以使設置生效了。

不隱藏“網上鄰居”圖標，而是禁用網上鄰居屬性，也同樣能禁止設置網絡參數：“網上鄰居”圖標的文件是c:\\windows\\system下的netcpl.cpl，把netcpl.cpl移動其他文件夾，或者把netcpl.cpl換名存儲為其他文件名，這樣當有人訪問“網上鄰居”時，系統在c:\\windows\\system下就找不到netcpl.cpl文件了，從而也就無法打開“網上鄰居”屬性對話框。

隱藏網絡圖標

控制面板中的“網絡”圖標，也能進行網絡參數設置，那么網管必須禁止其他用戶對“網絡”圖標的訪問： 運行→control.ini→在該系統文件control.ini的[don't load]設置段處，輸入“netcpl.cpl=no”這樣的字符→保存文件后重新啟動計算機，就可以隱藏控制面板中的“網絡”圖標了。

取消網絡訪問權限

要實現真正意義上的禁止，網管應該通過修改注冊表，來取消用戶訪問網絡屬性的權利： 進入注冊表編輯器→訪問 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Network鍵支→在對應Network鍵值的右邊窗口中，查看是否有“NoNetSetup”這樣的Dword值，如果沒有就新建一個，并把該Dword值設置為1→確認→退出注冊表編輯對話框，并重新啟動計算機。當有人訪問“網上鄰居”或者“網絡”圖標時，系統就會警告用戶無權訪問網絡，這樣用戶自然也就沒有機會修改網絡設置了。

2.1.2 各客戶端禁用網絡共享。

客戶端采用IE，需要交換的文件全放在服務器上實行統一管理，這樣從安全性和管理方面都大大增強。

1) WEB共享

在Windows 2003服務器上找到IIS服務，打開需要共享的文件夾，如001，此時會出現一個WEB共享的對話框，起個別名，默認與原目錄名相同，在中間的訪問許可選項中選擇讀取，全部設置完成后點擊確定。服務器端的設置完成。客戶端如果需要訪問001文件夾時，打開IE，在地址欄中輸入:http://服務器的機器名/001，就能夠看到001文件夾了，需要哪些文件可以單擊右鍵，選擇“目標另存為”就能將文件保留到本地了，比較方便。如果需要下載全部文件可以裝個FLASHGET，使用它的下載全部鏈接即可。這種方法的缺點是:只能實現單干方面的，如果需要收集客戶端上交的文件時就不方便，所有WEB共享適合的是下發公文式，比如文件數目不多的文檔需要散發時這種方式是可行。

2) FTP共享

把FTP用于局域網交換，還可以實現它對文件管理的靈活性和安全性。以SER-U為例：在服務器上安裝SER-U5，使用它的默認配置完成后→開設一個用戶名為anonymous，為它指定一個主目錄即可，主目錄此處為E:\\ftp，你可以為共享的目錄設置各種權限(比如讀、寫，列表，沒有列表權則文件夾不會顯示在用戶的窗口中，由于FTP采用的自己獨有的用戶和安全機制，比原來微軟共享更好的靈活性，所以定義好相關的權限和開設不同的用戶就能實現文件的互相交流了)→啟動客戶機的IE，同樣在地址欄里輸入ftp://192.168.0.2就能訪問剛剛架設好的FTP服務器，這里需要用IP方式。同時，在默認情況下如果你不給帳戶的某個目錄的刪除、寫、追加權，用戶是絕對不能進行非授權的行為的，也就是用戶是不能刪除FTP上的文件或者任意改寫。

2.1.3 Windows服務器：切斷共享通道

在Windows服務器系統中，每當服務器啟動成功時，系統的C盤、D盤等都會被自動設置成隱藏共享，這些默認共享常常會被一些非法攻擊者利用，從而容易給服務器造成安全威脅。禁止掉服務器的默認共享的幾個方法：

1) 功能配置法

這種方法是通過Windows 2003系統中的msconfig命令(Windows 2000服務器系統沒有系統配置實用程序功能，可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中如果在啟動該功能的過程中，遇到有錯誤提示窗口彈出時，不必理會，不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了)，來實現切斷服務器默認共享“通道”目的的。

開始/運行→msconfig→確定→系統配置實用程序→服務→去掉“Server”項目前面的勾號→確定→重新啟動服務器系統。

2) “強行”停止法

借助Windows服務器的計算機管理功能，對已經存在的默認共享文件夾，“強制”停止共享命令，以便讓其共享狀態取消，同時確保這些文件夾下次不能被自動設置成共享：

開始/運行→compmgmt.msc→確定→計算機管理→在該界面的左側列表區域中，逐一展開“系統工具”、“共享文件夾”、“共享”文件夾，在對應“共享”文件夾右邊的子窗口中，服務器系統中所有已被共享的文件文件夾都被自動顯示出來(其中共享名稱后面帶有“$”符號的共享文件夾，就是服務器自動生成的默認共享文件夾)→用鼠標逐一選中要取消這些共享文件夾→用右鍵一一單擊→選中“停止共享”選項→單擊一下“是”按鈕。這時所有選中的默認共享文件夾的共享標志就會自動消失了，它們的共享狀態已經被“強行”停止了，以后哪怕是重新啟動服務器系統，服務器的C盤、D盤也不會被自動設置成默認共享了。

3) 逐一刪除法

利用Windows服務器內置的“net share”命令，將已經處于共享狀態的默認共享文件夾，一個一個地刪除掉（這里的刪除僅僅表示刪除默認共享文件夾的共享狀態，而不是刪除默認文件夾中的內容），但該方法有一個致命的缺陷，就是無法實現“一勞永逸”的刪除效果，只要服務器系統重新啟動一下，默認共享文件夾又會自動生成了：

運行→cmd→確定(Windows服務器系統就會自動切換到DOS命令行工作狀態)→輸入字符串命令“net share c$ /del”→回車。

服務器中C盤分區的共享狀態就被自動刪除了，如果服務器中還存在D盤分區、E盤分區的話，你可以按照相同的辦法，分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態；

此外，對應IP$、Admin$之類的默認共享文件夾，你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”，來將它們的隱藏共享狀態取消，這樣的話非法攻擊者就無法通過這些隱藏共享“通道”，來隨意攻擊Windows服務器了。

4) “自動”刪除法

如果服務器中包含的隱藏共享文件夾比較多的話，依次通過“net share”命令來逐一刪除它們時，將顯得非常麻煩。其實，我們網管還可以自行創建一個批處理文件，來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時，只要打開類似記事本之類的文本編輯工具，并在編輯窗口中輸入下面的源代碼命令：

@echo off

net share C$ /del

net share D$ /del

net share ipc$ /del

net share admin$ /del

……

完成上面的代碼輸入操作后，再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令，在彈出的文件保存對話框中輸入文件名為“delshare.bat”，并設置好具體的保存路徑，再單擊一下“保存”按鈕，就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時，只要雙擊“delshare.bat”批處理文件，服務器系統中的所有默認共享“通道”就能被自動切斷了。

2.1.4 關閉危險端口

對于本地系統中的應用程序來說，它們一般使用大于1024的高端端口，如QQ客戶端程序使用UDP 4000端口進行通信。而病毒、木馬和間諜軟件等高危險性程序同樣會使用高端端口進行傳播、攻擊，而且它們使用的高端端口號比較隱蔽，一般用戶很難發現。

因此，對本地系統中開放的端口進行自檢是有必要的，這樣一來用戶就可掌握系統開放端口的情況，病毒、木馬使用的端口就暴露無遺了。常用端口對應表請參看http://blog.163.com/lingfeng_lyy/blog/static/530954692007111811154368

如果碰到某些高端端口已開放，而且在“常用端口對應表”中無法查找到時，你就得留意了。為了防止可疑的高端端口對本地系統帶來安全隱患，或引來致命攻擊，第一時間內升級病毒和網絡防火墻是很有必要的，即時查殺和封堵系統中存在的可疑程序。

2.2 主動防護法

2.2.1 簡單的檢查與管理就能發揮很高的效用

其實內網的每臺電腦并不一定需要昂貴的、復雜的安全系統，僅僅是一些簡單的檢查和管理就能幫你找出安全隱患，制定防守戰略。

避免安裝或運行未經認證的不明軟件或內容；不要讓非管理員用戶以系統管理員或者根權限身份登錄；保護你的e-mail：將所有進入的HTML內容轉換為普通文本格式，阻止所有文件默認文件擴展，除了少數你希望允許通過的；保護你的密碼：設置較長的密碼，不定期地改變密碼，能執行帳戶鎖定，在Windows系統里，禁用LM密碼hash，在Unix/Linux下，使用較新的crypt（3）hash，MD5類型hash，或者如果你的操作系統支持的話，選擇更好的bcrypt hash；盡可能地使用默認禁用和最小化權限；定義和加強安全域：誰需要訪問什么？什么類型的通信連接是合法的？回答這些問題然后設計周邊防御，定義基準值，記錄反常的通信量；在可能的情況下加密所有的機密數據，特別是在便攜式電腦和存儲設備上；操作系統和所有程序的升級補丁管理；盡可能地在網關和主機上裝配反病毒、反垃圾郵件和反間諜套件；模糊化地設置安全信息：重命名你的管理員和根權限帳戶，在條件允許時將服務置于非默認端口：比如，可以HTTP到30088；在你的網絡上掃描并調查未知TCP或者UDP端口監聽，嚴查外部TCP連接；跟蹤記錄每個用戶在Internet上所瀏覽的區域和時間：加強用戶對自己互聯網沖浪習慣進行自我管理；自動化安全策略；對全體職工進行有關信息安全的教育，并制定合適的策略和程序。

雖然是些基礎工作，但每一個如果能堅持從頭到尾地完成后再開始另一個，并且跳過那些你不能完成的，集中到你所能完成的上去，就能充分體現出簡單的檢查與管理能發揮很高的效用。

2.2.2 網管小助手——第三方軟件工具

1) 局域網內查看誰在訪問你的共享文件局域網

在Windows2003/XP操作系統中，可以隨時看到局域網中的哪個用戶正在訪問你的共享文件夾：控制面板→管理工具→計算機管理的左側欄→依次單擊“系統工具→共享文件夾→會話：右側欄中就可以看到哪臺電腦正在訪問你的計算機→在從左側欄中選擇“系統工具”→共享文件夾→打開文件:在右側欄中就可以看到訪問者正在訪問哪些文件。如果不想讓這臺電腦繼續訪問你的共享文件，在左側欄中選中“會話”項→在右側欄中選中這臺→單擊鼠標右鍵，從快捷菜單中選擇“關閉會話”命令→單擊“是”按鈕：就可以終止這個用戶對你的電腦訪問了。

2) 利用第三方軟件小工具

我們網管可以利用網絡上的一些小巧的軟件工具，有些對網管來說是非常實用的：

① Easy網管(專業版)

軟件版本：9.5.3 軟件大小：3.9M 軟件性質：共享軟件 適用平臺：WinNT/2000/XP/2003 下載地址：http://www.onlinedown.net/soft/3168.htm

軟件特點：\"Easy網管\"集網絡嗅探、遠程控制、郵件監視、上網行為管理、網絡流量監控功能為一體，全面管理和控制局域網內計算機。

② 超級Ping

軟件版本：5.2.7軟件大小：925KB 軟件性質：共享軟件 適用平臺：Win9x/Me/NT/2000/XP/2003下載地址：http://www.onlinedown.net/soft/1529.htm

軟件特點：超級Ping(PingPlus)軟件系統是一套使用ICMP協議實現對多個主機網絡狀態的實時監測、監測結果分析、斷網告警 、網絡狀態上報等功能的網管軟件，并附帶有端口掃描、主機掃描、網絡掃描、路由跟蹤、記錄管理等輔助工具。

③ AnyView（網絡警）網絡監控軟件 專業版簡體

軟件版本：4.69.0613軟件大小：11.8M 軟件性質：共享軟件 適用平臺：WinNT/2000/XP/2003下載地址：http://www.onlinedown.net/soft/22636.htm

軟件特點：AnyView（網絡警）網絡監控軟件包含了AnyView（網絡警）標準版、Intraview(內網監控）標準版、AnyView（網絡警）增強版、AnyView（網絡警）專業版。AnyView（網絡警）專業版：包含了ANYVIEW（網絡警）標準版所有功能和INTRAVIEW（內網監控）標準版所有功能。

④ Tcpview

軟件版本：2.53軟件大小：165KB軟件性質：免費軟件軟件語言：英文 適用平臺：Win9x/Me/NT/2000/XP/2003 下載地址：http://www.onlinedown.net/soft/3483.htm

軟件特點：這是查看端口和線程的。只要木馬在內存中運行，一定會打開某個端口，只要黑客進入你的電腦，就有新的線程，Tcpview雖然是靜態表示端口和線程的，但是它方便，占用資源少。

⑤ 考普信息安全網絡監控系統

軟件版本：Build 20080701軟件大小：20M 軟件性質：試用軟件 適用平臺：WinNT/2000/XP/2003下載地址：http://nj.onlinedown.net/soft/37970.htm

軟件特點：只需要通過一臺電腦即可監控整個公司員工的網絡活動。和傳統監控程序相比，不需要在每臺電腦客戶端安裝軟件即可監控，省去很多麻煩。

3) 防水墻

在計算機安全領域，防火墻和防水墻是一對非常類似的名字。防水墻和傳統的防火墻理念完全不同，防火墻是為了防范外部的非法侵入，而防水墻的設計理念，旨在防止內部信息像水一樣外泄，它是一個內網監控系統，處于內部網絡中，隨時監控內部主機的安全狀況。最簡單的防水墻由探針和監控中心組成，一般由三層結構組成：高層的用戶接口層，以實時更新的內網拓撲結構為基礎，提供系統配置、策略配置、實時監控、審計報告、安全告警等功能；低層的功能模塊層，由分布在各個主機上的探針組成；中層的安全服務層，從低層收集實時信息，向高層匯報或告警，并記錄整個系統的審計信息，以備查詢或生成報表。

防水墻一般具有以下幾大功能：信息泄漏防范，防止在內部網主機上，通過網絡、存儲介質、打印機等媒介，有意或無意的擴散本地機密信息；系統用戶管理，記錄用戶登錄系統的信息，為日后的安全審計提供依據；系統資源安全管理，限制系統軟硬件的安裝、卸載，控制特定程序的運行，限制系統進入安全模式，控制文件的重命名和刪除等操作；系統實時運行狀況監控，通過實時抓取并記錄內部網主機的屏幕，來監視內部人員的安全狀況，威懾懷有惡意的內部人員，并在安全問題發生后，提供分析其來源的依據，在必要時，也可直接控制涉及安全問題的主機的I/O設備，如鍵盤、鼠標等；信息安全審計，記錄內網安全審計信息，并提供內網主機使用狀況、安全事件分析等報告。

綜上所述，防水墻是對防火墻、虛擬專用網、入侵檢測系統等多種安全設備，所提供安全服務的有效補充。對整體安全系統來說，它也是不可或缺的一部分。

3 結束語

內網安全已經成為信息安全的新熱點，其技術和標準也在成熟和演進過程中，我們有理由相信，隨著用戶對內網安全認識的加深和內網安全管理制度的跟進，整體一致的內網安全解決方案和體系建設將成為內網安全的主要發展趨勢。

參考文獻：

[1] 賽迪網技術社區[EB/OL].http://www.enet.com.cn/article/2007/0104/A20070104373476.shtml.

[2] IT世界.http://www.enet.com.cn/article/2007/0117/A20070117402279.shtml[EB/OL].

[3] 天極網.http://www.enet.com.cn/article/2006/1122/A20061122302421_4.shtml[EB/OL].

[4] http://it.21cn.com/software/jdjc/2007/07/05/3332520.shtml [EB/OL].

[5] 中關村在線.http://bbs.zol.com.cn/index20070905/index_282_10017_1.html[EB/OL].

[6] http://hi.baidu.com/hugebear/blog/item/783487eaf4a526d1d539c98b.html [EB/OL].