打造安全的信息网络

2008-04-09 04:10:36来源：互联网阅读 ()

本文是一篇安全向导，以帮助管理员和安全专家更健康的配置windows平台。

防火墙和它们充当的角色

防火墙是被连接到互联网任一个网络的整体部分。如果没有安装防火墙，许多攻击可能在管理员不知道的情况下发生。许多这样的攻击可能是很致命的，会直接导致计算机宕机，如果没有防火墙，可用路由器过滤掉易被入侵者利用来攻击网络的不需要的协议和端口。最多被使用的是TCP/IP协议。低端的TCP端口135，139，和445 ，以及UDP端口135，137，和445应该被阻拦，还有其他所有未使用的端口。你可以认为防火墙是修筑在您的网络附近的物理墙壁。每次您打开端口，就在墙壁打了一个孔来安装窗口。一些窗口向外，另外一些向内。入侵者能利用窗口但只能看到网络里面有什么。您安装窗口(端口)越多，您的墙壁将变得更加透明。

Service packs

Service packs是为了修补已发售的产品的一些错误以及产品的一些新的应用的一个补丁合集。没有这些补丁包，一些windows的应用将无法实现。安全补丁也被发布用于修补有弱点并且程序员未注意的区域。当漏洞被发现后也许要几天甚至几星期才会有一个有效的补丁发布。这期间，您的机器将可能被扫描并且漏洞被人利用。应当让你在网络上的机器随时关注windows的升级中心并随时升级补丁程序，这样你的机器将会安全些。如果您不想为您的机器打补丁，一旦中招，你将花费许多的时间来修复当机的后果，损失将无法计算。

帐户考虑

如果您使用Windows NT 或以上的版本，确保你的管理员的帐号是安全的。给管理员帐户改名，然后再创造其它帐户将之命名为管理员。并且给原来的那个管理员帐户最低的权限，这样入侵者将花费更多的时间才能猜解得到可以存取的管理员帐户。

反病毒

病毒发展迅速，并且许多新病毒每周被发布。如果您的机器有互联网连接或有传输介质与其他的计算机连接，抗病毒就是必需的。定期升级抗病毒软件，这样中毒的风险将大大减少。使用有安全证书的软件，扫描你接收的电子邮件，以及使用的光盘等传输介质。将网络浏览器的安全级别设置为高。不要用服务器或其他重要机器来上网浏览网页。使用安装了补丁并且安装了杀毒软件的测试系统来下载必要的软件这样可以保证软件系统的安全。不要下载形式未知的数据包。从文件共享服务器下载软件不仅危险，并且可能减弱整个网络的性能。一些病毒在执行后被传播到整个网络，根据病毒的危害性将有可能导致网络瘫痪，造成财政损失。

病毒软件设置需要被设置为最高安全性。保证任一种恶意病毒活动的形式都被禁止。可以设置修复被病毒传染的文件，但如果文件不可修复而又不是系统必须的，就没有保留的必要了。木马类型的病毒可轻易地打开你的您的网络，既使您的防火墙将所有的端口关闭。当机器感染特洛伊木马，它可以让你的网络后门大开。在您的邮件服务器禁止所有潜在地恶意文件类型。如VBS 、EXE ，COM 等。如果这些文件为企业目的必须使用，可由信任的用户执行。如果用户需要发送包含.exe的邮件，建议他们给文件改名，并以不同的方式发送。设置您的抗病毒扫描包含选择的方式确保病毒无法通行。

拨号接入或远程网络连接

限制拨号用户的接入和限制用户从远程登入的功能。并且记录用户活动。使用VPN访问网络是一种可信任的安全方法。比正常PPP 连接，VPN 连接的数据相是较不易受拦截。在高安全环境下设定远程连接要求证件检验。在客户端证明上使用强的密码认证方法。远程存取依然是最微弱的链接，如果不正确地实施，在许多情况下将会被入侵者寻找利用。

从公司网络划分出独立的网段给拨号用户是一个不错的方法。这种解答可能有许多功能特点。如果您的网络用户需要拨号回到被预先决定的数字是一个好方式，这样可以保证后面设置连接确实连接到用户的家里。另一考虑是, 用户不能在本地机器存放密码，他访问网络的密码不应该被保存，应该在每次连接时键入。