巧妙屏蔽 給安全加分

屏蔽Cookies記憶

在上網訪問網頁過程中，Cookies常常會記憶用戶的訪問記錄、輸入在表單中的隱私信息等等，日后再次瀏覽同一個頁面時，網站就能通過Cookies功能快速調用以前的內容。但在一些安全要求較高的場合下，Cookies記憶功能容易出賣用戶的上網隱私數據。

為了保護上網訪問安全，建議大家屏蔽Cookies記憶功能。首先在完成上網訪問操作后，必須及時刪除Cookies功能記錄下來的數據信息。打開IE瀏覽頁面，依次點選“工具”→“Internet選項”命令，展開Internet選項對話框。切換到“常規”標簽頁面，單擊“瀏覽歷史記錄”位置處的“刪除”按鈕，勾選“退出時刪除瀏覽歷史記錄”選項，單擊“確定”按鈕后保存設置操作即可。

其次阻止所有Cookies信息。在IE瀏覽器窗口中，依次點 擊“工 具”→“Internet選項”命令，展開Internet選項設置對話框。點擊“隱私”選項卡，在對應選項頁面的“選擇Internet區域設置”位置處，將移動滑塊調整到最高隱私級別，該級別會阻止所有Cookies信息，單擊“確定”按鈕后Windows系統會屏蔽所有站點的Cookies記憶功能，并且所有站點也不能調用本地系統已經存在的Cookies信息，那么Cookies功能就不會被惡意利用了。

屏蔽非法地址申請

在使用動態IP地址上網時，必須事先向局域網中的DHCP服務器申請合法IP地址，才能確保上網成功。為了保護上網訪問安全，如何屏蔽非法用戶，偷偷從不可信任DHCP服務器那里申請獲得地址呢？

首先強制進行域認證。在將可信任DHCP服務器加入到指定域時，先登錄域控制器，展開DHCP服務器控制臺。右擊域控制主機名稱，執行“添加服務器”命令，進入添加服務器對話框，點擊“瀏覽”按鈕，導入可信任DHCP服務器主機名稱。這樣，特定域中的上網終端系統日后上網訪問時會優先向可信任DHCP服務器申請IP地址。

接著集中綁定地址。要在可信任DHCP服務器中，對合法終端主機的IP地址和MAC地址進行集中捆綁時，先用“ipconfig /all”命令，查詢得到每臺終端系統的IP地址和MAC地址。之后進入DHCP服務器主機，通過雙擊“管理工具”、“DHCP”等圖標，打開DHCP控制臺窗口，將鼠標定位到特定作用域節點下面的“保留”選項上，打開它的右鍵菜單，執行“新建保留”命令，在界面的“保留名稱”位置處，輸入好特定IP地址的保留名稱，在“IP地址”位置處輸入好特定終端主機使用的IP地址，在“MAC地址”位置處輸入與之對應的MAC地址，并將“支持類型”選擇為“兩者”選項，單擊“確定”按鈕后完成地址綁定操作。按照相同的操作方法，完成其他終端主機的IP和MAC地址綁定任務。

下面啟用DHCP監聽。在網絡交換機具有DHCP監聽功能情況下，啟用該功能屏蔽非信任端口的地址申請。

以H3C系列交換機為例，在啟用DHCP監聽功能時，先以系統管理員身份登錄交換機后臺系統，通過“system-view”命令進入全局視圖模式，執行“dhcpsnooping”命令，啟用交換機的全局DHCP監聽功能。此時，交換機會自動偵聽局域網中存在的所有DHCP數據報文，同時限制非信任端口只能對外發送DHCP數據包，而無法接受DHCP數據包，日后即使有非法DHCP服務器嘗試接入單位網絡時，該功能將會對其自動屏蔽，保證網絡中的終端計算機能安全穩定地從可信任DHCP服務器那里申請IP地址上網。如果希望特定交換端口能正常接收DHCP數據報文，并能轉發它們時，需要將該口配置成可信任端口。比如說，要將G0/2/18端口配置成為可信任交換端口時，只要在全局視圖模式下，執行“interface G0/2/18”命令，再輸入“dhcp-snooping trust”命令即可。

屏蔽地址解析攻擊

局域網環境中，基于地址解析方式的病毒攻擊愈演愈烈，這種非法攻擊會悄悄修改數據報文中的源IP地址或源MAC地址，欺騙地址解析響應，造成合法用戶數據流被竊。

為了保護網絡安全，大家可以巧妙配置接入交換機，來有效屏蔽地址解析攻擊。經常采取的屏蔽措施，就是在交換機端口生成IP地址和MAC地址的綁定表，將其保存于地址池中。當交換端口下面的上網終端系統向網絡發送地址解析報文時，其所包含的源IP地址和源MAC地址，與交換機地址池中的綁定關系不一致時，那么地址解析攻擊就會被交換機自動屏蔽。

以思科交換機為例，只要啟用AM使能功能，進入基于端口的視圖配置模式，生成合法用戶的IP地址和MAC地址綁定表，日后只有來自地址池中的IP報文能通過交換端口，其他報文會被交換機的AM模塊自動屏蔽掉。

比如說，要啟用交換機的使能AM，允許ethernet 0/6端口上MAC地址為61-a4-45-7d-56-93、IP 地址為10.172.22.68的用戶通過時，只要先輸入“am enable”字符串命令，啟用交換機的使能AM，再逐一輸入“interface ethernet 0/6”、“am port”、“am mac-ippool 61-a4-45-7d-56-93 10.172.22.68”等命令即可。

要屏蔽以假網關形式發起的地址解析攻擊時，只要在特定交換端口，啟用ARP Guard功能，來保護局域網中的特定網關地址不被惡意利用。

比如說，要在ethernet 0/2端口上開啟ARP Guard功能，來保護10.172.22.1這個網關地址時，只要先在交換機后臺系統執行“interface ethernet 0/2”命令，進入特定交換端口視圖模式，繼續輸入“arpguard ip 10.172.22.1”命令，交換機日后就能自動掃描分析來自ethernet 0/2端口上的所有地址解析數據報文，如果數據報文中的源IP地址是10.172.22.1時，交換機就會認為它是攻擊報文，并將其自動屏蔽掉。

屏蔽DOS工作方式

在服務器之類的重要主機系統中，如果允許普通權限用戶隨意執行一些有安全威脅的DOS命令，那么主機系統的安全穩定運行將無法得到保證。為了讓用戶無法輕易執行一些安全威脅大的DOS命令，建議按照如下步驟，屏蔽掉重要主機系統中的MS-DOS工作方式：

首先依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“regedit”命令并回車，進入系統注冊表編輯界面。將鼠標定位到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies”注冊表節點上，在指定節點下手工創建一個“WinOldApp”子項。

接著用鼠標右鍵單擊該子項，從彈出的快捷菜單中，逐一選中“新建”、“Dword值”命令，將新創建的雙字節鍵值取名為“Disabled”，用鼠標雙擊該鍵值選項，彈出編輯鍵值對話框，再將其數值設置為“1”，刷新系統注冊表讓設置正式生效即可。

屏蔽網絡地址修改

在局域網環境中，經常有人會隨意修改IP地址，造成網絡地址發生沖突。為保持網絡運行穩定，如何屏蔽網絡地址修改功能，以禁止他人隨意調整上網地址呢？

很簡單！依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，進入系統組策略編輯界面。在該編輯界面左側顯示區域，依次展開“本地計算機策略”→“用戶配置”→“管理模板”→“網絡”→“網絡連接”分支，在對應分支的右側列表區域中，找到“禁止訪問LAN連接組件的屬性”組策略選項，打開如圖1所示的組策略屬性對話框，選中“已啟用”選項，再單擊“確定”按鈕保存設置操作，并重新啟動計算機讓設置正式生效。日后，當嘗試打開“本地連接”圖標的右鍵菜單時，會看到其中的“屬性”命令呈不可用狀態，那樣別人就無法隨意改動本地系統的IP地址了。

圖1 組策略屬性對話框

屏蔽惡意進程攻擊

從安全角度來看，應用程序進程可以分成不安全、一般安全、非常安全、未知安全這些等級。系統進程屬于非常安全級別，通過安全認證的程序屬于一般安全等級，病毒木馬屬于不安全等級，沒有通過微軟數字簽名認證或有BUG的程序屬于未知安全等級。

除此而外，在遇到不熟悉的程序進程時，我們該怎樣檢測它們的安全等級，并將惡意進程攻擊屏蔽掉呢？

借助Security Process Explorer這款工具幫忙，通過標識進程的顏色色塊，就能準確檢測出陌生進程究竟安全與否了。

默認狀態下，Security Process Explorer使用空白色塊表示未知安全，用綠中帶紅色塊表示一般安全，用純綠色色塊表示安全類型，用純紅色色塊表示不安全。啟動Security Process Explorer工具后，所有程序進程都能被自動顯示出來。不同安全等級的程序進程，Security Process Explorer會使用不同顏色色塊進行標識，我們只要識別顏色色塊，就能快速地檢測出陌生進程是否安全了。

比如說，如果是發現計算機中某個陌生進程被目標工具標識為紅色色塊時，那就代表該進程或許是病毒木馬。

如果想更進一步了解不安全進程信息時，可以用鼠標右擊紅色色塊進程，執行“詳細信息”命令，打開不安全進程詳細信息查看窗口。在這里，可以查看到陌生進程的許多狀態信息，包括進程詳細名稱、進程運行優先級、進程標識ID以及進程設計公司等。選擇“用到的模塊”標簽，在該標簽設置頁面中，可以了解到陌生進程究竟訪問了計算機的哪些動態鏈接庫文件，根據這些內容，就能準確檢測出陌生進程的安全威脅有多大了。

當某個陌生進程被檢測為不安全級別時，可以用鼠標選中它，單擊“屏蔽進程”按鈕，將對應陌生進程運行狀態立即屏蔽掉，同時將其添加到進程運行屏蔽列表中，確保它們日后不能自動開啟運行。