两道防线自动阻隔攻击

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:yjddstevens
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  上午刚上班,就接到多个同事的求救电话:电脑慢得跟蜗牛一样,基本上都处于死机状态。到同事那里想方设法安装上360安全卫士,扫描之后竟然发现数十个木马。这样的电脑岂能不慢?而且,幾乎所有同事的电脑或多或少都存在类似的问题——虽然每台计算机都已经安装了防病毒软件,但是没能有效地防止木马的进攻。有没有好的方法解决此类问题呢?如果将客户端计算机的被动防御(通过防病毒软件来实现)转为主动防御,就能为所有的客户端提供一个安全稳定的应用环境。
  随着Internet的普及,网络蠕虫、恶意攻击的日益猖獗,网络对安全的要求越来越高,只要稍有疏忽,灾难便如影随形。可见,对于管理员而言,网络安全工作尤其重要。如果网络中成百上千台计算机中的每台计算机都需要管理员单独防范,那将使管理员总是处于救火状态,疲于奔命,而效率却很低,效果也很差。我们必须认识到,影响网络安全的因素除了硬件之外,最主要的是病毒、恶意代码、黑客、漏洞等。
  
  阻止病毒和木马主体
  
  在主动防御病毒和木马之前,要先清楚病毒和木马的传播机制。了解其传输机制之后,才能进行针对性的防御,做到有的放矢。计算机病毒具有自我复制和传播的特点,能够进行数据交换的介质都可能成为计算机病毒的传播途径,常见的如可移动设备,包括软盘、光盘、磁带、U盘等。互联网的大量应用也为计算机病毒的传播提供了新的渠道。现在,互联网已经成为病毒和木马的重灾区。
  病毒和木马在计算机中以应用程序的方式体现,只有病毒和木马程序主体文件在计算机中运行才能影响到计算机的正常运行。因此,阻止病毒和木马程序主体文件进入网络也是有效的防御方法。
  清楚了病毒和木马的传输机制,就可以在网络边界处设置一面墙,截断病毒和木马程序的传播渠道,同时过滤掉病毒和木马程序主体文件。这样,网络中的计算机就处于安全的状态,从而达到自动防御的目的。
  防止病毒和木马主体进入网络,建议使用防火墙产品,如ISA Server。将ISA Server部署在网络的边界处,安装完成后,默认禁止任何用户访问外部网络。简而言之,在ISA Server默认状态下,病毒和木马不能进入网络,网络中的任何人也不能访问互联网。这是最安全的防护体系。如果用户要访问互联网,可以使用ISA Server的新建访问规则向导,创建一条“允许内部用户访问互联网”的访问规则,指明允许何人(用户或者用户组)在何时(工作时间或者非工作时间)访问何种网站(网站集合)。规则创建完成并应用后,授权的用户即可访问互联网。
  在互联网中,病毒或者木马主要通过网页挂马的方式进行传播。网页病毒或者木马完全不受计算机用户控制,一旦浏览含有该病毒的网页,在没有防护措施的情况下计算机会立即被感染,给用户系统带来不同程度的破坏,同时访问网页的速度变慢,甚至带来惨重的损失。
  利用ISA Server访问规则的http过滤器单功能,启用禁止文件扩展名访问功能,例如禁止下载exe、com、bat、pif、scr以及vbs等后缀格式文件,将禁止病毒和木马主体程序进入到网络中,禁止浏览器插件dll和ocx的下载,将禁止恶意的浏览器插件安装到用户系统中。这样病毒和木马程序主体文件不能通过互联网访问模式进入网络中,像一面虚拟的墙阻挡病毒主体的进入。对病毒和木马来说,相当于关上了大门。
  在ISA管理控制台的防火墙策略窗口中,选择创建的“允许内部用户访问互联网”访问规则,右击该规则并选择“配置http”选项,打开“为规则配置http策略”对话框并选择“扩展名”选项卡,在“指定对文件扩展名要执行的操作”下拉列表框中选择“阻止指定的扩展名”选项。
  单击“添加”按钮,显示“扩展名”对话框,在“扩展名”文本框中输入需要禁止的文件扩展名,如“.exe”;在“描述”文本框中输入说明信息,例如禁止从互联网下载exe文件。
  按照同样的方法,可以添加需要禁止的文件类型。在“扩展名”选项卡中,选择“阻止包含不明确的扩展名的请求”选项,这样当访问陌生的文件类型时,ISAServer将自动禁止该类型的访问,完成安全防护的目的。
  
  部署密码策略
  
  黑客出现的历史已经有多年,黑客技术对许多人来说已经不再高深莫测,逐渐被越来越多的人所掌握。黑客以获取系统管理权限为目的,大多是通过各种系统和设置漏洞,以获得管理员密码来获得管理员的权限,然后再实现对系统的恶意攻击。弱密码会让黑客很容易破解从而顺利访问计算机和网络,而强密码则难以破解,即使是密码最终可能被破解,那也难以在短时间内实现。
  密码是用户登录网络的钥匙。无论入侵者采用何种远程攻击,如果无法获得管理员或超级管理员的用户密码,就无法完全控制整个系统。如果密码十分简单,黑客即可轻易地进入目标系统,从而控制网络,因此,部署强密码是基本防护准则。验证网络用户的用户名和密码是防止非法访问的第一道防线。用户在注册网络时,需键入用户名和密码,服务器将验证其合法性。其中,密码是问题的关键所在。据统计,大约80%的安全隐患是由于密码设置不当引起的。
  为了防止黑客的攻击,最基本的安全方法就是强迫用户使用强密码,禁止常用网络命令行工具的使用。强密码具备以下特征:长度至少有7个字符,不包含用户的生日、电话、用户名、真实姓名或公司名等,不包含完整的字典词汇,应该包含大写字母、小写字母、数字、非字母字符等。
  密码策略需要和账户锁定策略配合使用,如果仅部署了密码策略而没有部署账户锁定策略,那么黑客就可以使用暴力破解的方法无限制地尝试密码,从而达到得到正确密码的目的。因此,在账户锁定策略中,建议设置为用户密码无效登录3次后,账户锁定生效。锁定账户的时间为30分钟,30分钟之后自动进行解锁,从而达到保护账户的目的。
  密码策略和账户锁定策略需要对网络中的所有用户进行部署,在域控制器上启动组策略管理控制台,在域站点找到“Default Domain Policy”策略,不能在组织单位的层次上部署。
  编辑“Default Domain Policy”策略,打开组策略控制台,选择“计算机配置/Windows设置/安全设置/账户策略/密码策略”选项,即可设置网络环境中的密码策略。推荐的密码策略为:启用“密码必须符合复杂性要求”策略,“密码长度最小值”为8个字符或者更高。
  选择“计算机配置/Windows设置/安全设置/账户策略/账户锁定策略”选项,即可设置网络环境中的账户锁定策略。
其他文献
金融风暴来袭让高度依赖资本市场的互联网企业感受到阵阵寒意,有分析认为,首当其冲的便是视频网站与SNS社区。国内视频网站已有不少面临裁员、节流的压力。同样没有清晰盈利模式的SNS们,如校内网、海内网、开心网、51.com等,其境况可想而知。虽然在互联网盛行这样一句话:先把流量做起来,盈利模式迟早总会找到的。但在这个风投捂紧口袋的漫漫长冬,SNS依靠什么来获得企业所急需的现金?  众所周知,互联网企业
危机到来,IT公司裁员声此起彼伏,但当中也不乏逆流而动者。Novell开放平台解决方案部门的总经理Roger Levy日前在中国表示,未来几个月,Novell在北京研发中心的团队人数会翻番,由目前的35人扩大到70人左右。  客户增加是扩张主因  Roger Levy表示,增加北京研发中心的员工数主要是因为客户的增加使原来的人手显得捉襟见肘。“OEM订单持续增长,在过去6个月,我们的企业级用户新增
六西格玛的内涵在变化,正向与精益结合的趋势走。  六西格玛和精益制造两种管理模式都是基于顾客驱动的持续改进模式。六西格玛是持续改进问题的方法论,有非常好的解决问题的框架和模式。它以数据分析为基础,旨在通过消除过程变异和持续改进获得近乎完美的质量,进而获得顾客完全满意和顾客忠诚。它关注质量(广义的质量)和价值,其核心目的是增加价值,满足顾客。六西格玛的过程建立在严格的数据收集和分析基础上,通过严格的
安装趋势2007网络安全版要占据多达165MB的硬盘空间,可见趋势集成的功能之多。利用趋势2007版杀毒软件,我们花费了超过一个小时的时间才完成海量文件扫描测试,但由于趋势的该版本支持文件指纹功能,在第二次测试时只用了近20分钟的时间,这个成绩还是可以肯定的。  趋势在桌面版的产品中也应用了很多企业级的病毒防护特性,特别是防御病毒爆发功能。当安全威胁即将在网络上传播的时候,趋势将主动向用户传递更新
时下,SOA正成为国际大厂商和CIO们共同的热点话题。与此同时,各分析机构乐观预测,SOA将大行其道。但放眼全球,由于缺少更多的成功案例,SOA正逐渐招致CIO怀疑的目光。  在未来,到底SOA将扮演一个怎样的角色?企业千差万别,IT系统又是各具特色,他们该如何寻找SOA路线图,实现SOA就绪?怎样让SOA发挥更大的效益?是什么使得CIO们在SOA面前变得永无宁日?  我们走近大师——SOA的鼻祖
上海某厂,信息化项目立项时间是2005年6月,如今标准模块早已上线,二次开發项目却成为了烂尾楼。无独有偶,苏州某公司,信息化项目立项时间是2006年7月,现在也是标准模块早已上线,其中的二次开发同样成为了烂尾楼。  直接宣告项目失败或许还算不上太坏,最坏的恐怕要数上面说的这种烂尾楼了,将项目相关人员拖进一个无限期拖延的泥潭当中。造成这种信息化项目烂尾楼的原因可谓多种多样,结合多家失败案例的具体分析
正當浏览器的两大阵营——微软和Mozilla以非妥协的方式缓和着紧张关系,正当你认为这标志着浏览器之战暂时告一段落的时候,Google让这场战争再起波澜。显然,Google最新发布Chrome浏览器是要确保自己的托管应用程序(Gmail、Google Docs等)能有一个坚实基础作保证。  事实上,除了基于Safari开源WebKit标准的核心渲染引擎之外,Google发布的 Chrome浏览器对
与同期崛起的菲律宾、巴西乃至东欧这些外包新星不同,初涉欧美市场的中国IT外包企业显然不满足于印度人吃剩下的残羹冷炙,赶超印度是埋藏在每个外包企业心中心照不宣的目标。在远大的目标与冷峻的现实之间,过埠之后的长征之路依然显得漫长并且变数重重。    2008年,中国外包行业正处于一个微妙而关键的时刻。在日本市场站稳脚跟之后,初成气候的中国外包军团大都已经登陆欧美市场。虽然他们终于与声名显赫的印度对手们
《满城尽带黄金甲》(以下都简称为《黄金甲》),这部花费3.5亿元,周润发、巩利、刘烨等影帝、影后领衔主演,大导演张艺谋执导的岁末大片,在中国大地掀起了一股“黄金甲”旋风。“看《黄金甲》了吗?”这句话最近竟成为人们见面问候常用语,就如同“你吃饭了吗?”“最近忙吗?”一样耳熟能详。这种疯狂也传染到IT业界,IT营销居然也尽染“黄金甲”。    北京移动:抢票抢出“移动梦网”    时尚女孩剑楠坐在电脑
随着网络应用的发展,各种互联网协议正在发生微妙的变化。在新技术取代老技术的时候,我们究竟是该把新技术放在边缘并且向核心推进,还是把新技术增加到核心,把老技术推向边缘并且最终在网络中取消老技术呢?作为互联网标准开发和推动的主要负责机构,互联网工程工作组(IETF)8月初在爱尔兰都柏林举行了第72次会议,期间就IPv6的推广和应用展开了讨论。    IPv4开始走向边缘    现在大多数考虑采用IPv