学习时间:4小时
学习难度:
课前导读
无影:哈哈!前面的内容我都已经牢记于心了,现在让我组建局域网已经是“轻车熟路”,我可以算是“出师”了吧,飘雪?
飘雪:无影,先不要骄傲哦!局域网组建的硬、软件知识你确实掌握得很好了,但在这大千网络世界中,每时每刻都有一小撮“破坏分子”在盯着你,它们就是病毒、恶意程序和黑客!因此,做好电脑安全防范是局域网组建完成后非常重要的一步“维护”工作,一定不可轻视!
本章内容提要
6.1不要给病毒任何机会!局域网安全管理
6.2网络安全进阶应用实例
6.1不要给病毒任何机会!局域网安全管理
本节知识点难易程度
网络安全重要性
网络安全基础
6.1.1网络何其大,安全很重要
十几年前,计算机病毒的主要传播媒介还是软盘、光盘这些实物载体。随着Internet这张大网陆续将地球上的计算机“收入囊中”之后,在给用户带来爆炸性信息增长的同时,也为病毒、木马和黑客提供了一个“滋润”的生长空间。
在这里,恶意程序不再需要软盘、光盘这些老旧的“玩意儿”进行传播,简单一根网线就为它们的入侵构筑了“高速公路”。现在你随便打开一个未知网站,就有可能在不知不觉中被安装了木马、插件,从此电脑便开始不断“弹窗”,强迫你浏览那些“垃圾”网站。而且,计算机中的账号、密码等私密信息也受到被盗取的威胁。
由此可见,计算机这艘小船行驶在互联网的大海中,随时随地都会遭遇风浪,安全问题绝对不容忽视。只有时刻提高警惕,设好防火墙、装好杀毒软件、堵好后门、下好补丁,才能让自己的电脑达到“无孔能入”的安全境界,小心驶得万年船!
6.1.2网络安全基础入门
计算机网络安全涉及许多方面,包括网络管理、数据安全和传输安全等。
D防火墙技术:防火墙是网络之间一种特殊的访问控制设施,它在Internet网络与内部网之间设置一道屏障,防止黑客进入内部网。它由用户制定安全访问策略,抵御黑客的侵袭,主要方法有IP地址过滤、服务代理等。
D加密解密技术:数据加密技术是为提高信息系统及数据的安全性和保密性,使得数据以密文的方式进行传输和存储,防止数据在传输过程中被别人窃听、篡改的技术。数据加密是所有数据安全技术的核心,目前加密解密技术在无线网络设备中应用广泛,“WEP”、“WPA”加密设置已经成为无线宽带路由器的数据加密“标配”。
D数字签名:在网络传输中,攻击者往往会伪装成发送者发送数据,或者篡改截取的数据后再转发给接收方。可采用数字签名和数据完整性技术的方式进行防范。数字签名与传统的签名具有类似的功能,可以防止伪造与抵赖。数据完整性技术主要是用来保证数据在传输过程中不被篡改。目前数字签名以及相衍生而出的数字证书技术在网络银行软件中应用广泛,用户要想在本机使用网络银行,必须安装基于文件、加密狗等类型的数字证书方能通过认证,进行交易等操作。
D认证技术:认证又称为鉴证或确认,它是证实被认证的对象,包括人和事是否名副其实、是否有效的一个过程。认证是用来防止入侵者进行假冒、篡改等操作欺骗系统。通常人们利用认证技术作为保护网络安全的第一道防线。目前认证技术在一些涉及私密信息,如电子邮箱、会员论坛等网站中应用较多。
D病毒防护:病毒主要的作用是感染系统中的文件,导致系统在运行中出现异常,达到破坏电脑的目的。病毒一般都具有很强的自我传播能力,通过复制、邮件发送,木马等形式不断感染其他主机。目前最主要的病毒防护方法就是安装杀毒软件,它们可以常驻内存监控病毒的一举一动。
实例1:防止系统损坏,网络病毒防护
防止计算机遭受病毒侵害,最直接的办法就是安装杀毒软件。目前主流杀毒软件有金山毒霸、瑞星、江民、卡巴斯基等,它们各具特色,都是“强壮”的系统卫士。下面我们以瑞星2007杀毒软件为例,介绍一下相关的安全设置。
1.设置杀毒软件
瑞星2007安装完毕后,在主界面选择“设置”>;“详细设置”菜单,打开“瑞星设置”对话框。这里需要手动选择一些防护功能,以增加系统的安全性。
D定制任务:这里主要是病毒扫描的相关设置。
D瑞星监控中心:监控中心可以对系统的各个模块进行实时监控,防范病毒、恶意程序以及黑客的入侵。
D嵌入式杀毒:嵌入式杀毒可以使杀毒软件与指定程序进行捆绑,在程序运行时进行病毒防护。这种方法针对性强,查杀病毒成功率高,一般与Office/IE等使用频率高的软件相结合。
2.安装系统补丁
如果说安装杀毒软件是通过第三方程序对系统进行病毒监控,那么安装系统补丁则是从操作系统自身加强对病毒、恶意程序和黑客攻击的防范能力。
Windows XP系统中已经具备“自动更新”功能,不过不如杀毒软件自带的更新程序使用简便。这里介绍一下如何使用瑞星的“漏洞扫描”程序下载、安装系统漏洞补丁。
实例2:阻挡恶意攻击,防火墙设置
防火墙能让联网系统随时处在监控之中,尽可能地防止恶意程序攻击系统。下面我们分别以Windows XP自带防火墙以及一款额外安装的第三方防火墙为例进行介绍。
Windows XP自带防火墙
目前已经发布的Windows XP(SP2版)包括了Windows防火墙功能,即以前所称的Internet连接防火墙(ICF)。Windows防火墙随时监控系统网络运行状态,阻止那些攻击计算机的恶意用户和程序进入系统。
不仅是Windows XP系统,Windows Server2003服务器操作系统也自带有Internet连接防火墙,其设置与Windows XP下的防火墙完全相同。此外微软公司新推出的Vista系统中,防火墙的相关设置进行了升级,显示出新系统在安全防护方面的进步。
D开启防火墙:在“开始”菜单中选择“控制面板”菜单项,在打开的“控制面板”窗口中双击“Windows防火墙”图标,然后在“Windows防火墙”对话框中选择“启用(推荐)”单选钮并确定,即可开启防火墙。
防火墙开启后,我们可以对系统内的程序或端口进行“例外”设置,使它们获得连接外网的“通行证”。
D添加“例外”程序:添加“QQ.exe”为“例外”程序,使QQ软件能够连接外网。
开启防火墙后,设置为“例外”的程序能够穿过防火墙访问网络,未被设为“例外”的程序将不能访问网络。如果想禁止某个“例外”程序访问网络,则直接取消选择相应程序的复选框并确定即可。
D添加“例外”端口:我们将在第13章讲述的FTP服务器组建,需要使用“21”端口传输数据。这里我们就以“21”端口为例介绍一下“例外”端口的添加步骤。
“例外”端口的开关方法与“例外”程序相同,只要取消选择相应的复选框并确定即可。
什么是端口:端口是英文“Port”的义译,是计算机与外界通信交流的出口,由操作系统定义。端口是一种抽象的软件结构,是操作系统底部的诸多“通道”,不同软件按照不同分类各行其道。如果防火墙关闭某端口,那么使用该端口进行通信的软件将无法正常使用。
2.瑞星防火墙软件
下面以瑞星防火墙软件为例,介绍一下第三方防火墙软件在防护功能上的相关设置。
在防火墙主界面上选择“设置”>;“详细设置”菜单。选择“规则设置”选项下的“黑名单”设置,这里可以对一些发出攻击电脑所使用的IP地址进行阻断。当用户无法确定攻击者的准确IP地址,但可以确认其所在的某个IP段(如202.202.202.XXX),则可以在黑名单中对这一IP地址段进行阻断(如202.202.202.202~202.202.202.255),防止使用这些IP地址的电脑连接本地系统。
同理,我们也可以按照相同的方法设置白名单,允许指定的IP地址访问外部网络。这里的作用主要是为一些“友好”主机访问本地资源提供无障碍通道。其规则同样有IP地址及IP地址段两种。
“端口开关”设置中,可以对指定的程序端口进行打开、关闭的操作,其作用与
Windows XP自带防火墙相同,这里不再赘述。
“可信区”设置中,可以设置一个IP地址段,凡是处于这个地址段中的电脑主机,都可以和本机自由沟通,而不在此地址段中的电脑将无法访问本机。此处作用与“白名单”相仿,但可以进阶控制如“允许Ping入/出”等网络查询操作。
“IP规则”设置中,是一些本机网络相关的参数设置,如“允许域名解析”是指允许将域名解析成IP地址,“允许BT下载”是指允许BT这种点对点形式的网络下载,等等。
什么是BT下载:BitTorrent简称BT,俗称BT下载。是一个多点下载的源码公开的P2P(点对点传输)软件,使用非常方便,适合新发布的热门下载。其最大特点就是下载的人越多,速度越快。群策群力,增加下载带宽。
“访问规则”设置,是指允许本机的特定软件访问Internet。一般在安装完瑞星防火墙之后,当有软件发出网络请求时,瑞星会弹出确认窗口,让使用者确认是否为该软件开通网络访问权限。
“网站访问规则”选项用来设置和网站相关的访问属性,如自动屏蔽常见的不适合青少年浏览的色情、反动网站,给孩子创建一个绿色健康的上网环境。用户可以通过网站访问规则的设置来实现此功能。
D监控用户使用的端口:选择此复选框并输入端口号,然后单击“保存”按钮,防火墙将会监控用户所指定的对方网站端口。在您不指定端口的情况下,防火墙默认监控“80”端口。
D监控用户手工配置的代理:如果用户通过代理服务器上网,选择此复选框,单击“添加”按钮输入用户所使用的代理服务器信息,防火墙将会监控代理服务器。
D启用家长保护:选择此复选框,防火墙将启用家长保护功能,防火墙能够自动识别常见的不良内容网站并加以屏蔽。
“网站访问规则”选项下的“黑名单”和“白名单”设置,能够禁止和允许访问特定网站,相关设置方法与IP地址“黑名单”、“白名单”设置类似,作用也相同。