确保网络安全的最有效对策（探讨：如何有效减少遭受黑客侵袭的风险）

问答题：如何减少遭受黑客攻击的风险
简要来说：
启用防火墙；设置较为复杂的密码；关闭电脑部分端口（如）；避免访问非法网站。
一、关闭3389端口
3389端口是“远程桌面”端口，远程桌面操作简便、快捷、无需交互式登录，可后台操作，因此深受“黑客”青睐。因此，我们可以将其关闭。
1. 点击任务栏上的网络图标，再点击【打开网络和共享中心】。
2. 弹出【网络和共享中心】后，点击【本地连接】。
3. 弹出【本地连接状态】对话框后，点击【属性】。
4. 进入【本地连接属性】后，双击列表中的【Internet协议版本 4(TCP/IPv4)】。
5. 进入【Internet协议版本 4(TCP/IPv4)】后，点击【高级】按钮。
6. 弹出【高级TCP/IP设置】对话框，然后切换到【WINS】选项。
7. 选中【NetBIOS设置】功能区中的【禁用TCP/IP上的 NetBIOS】单选按钮，再点击【确定】按钮。至此，我们已经关闭了3389端口。
二、关闭139端口
139端口是操作系统的共享服务端口。该端口用于文件、打印机的共享。也应该关闭这个端口。
1. 点击【开始】菜单，在【计算机】的图标上点击鼠标右键，再选择【属性】。
2. 进入【系统】窗口后，点击左侧的【远程设置】。
3. 进入【系统属性】对话框，然后切换到【远程】选项，再选中【远程桌面】中的【不允许连接到这台计算机】单选按钮，然后点击【确定】按钮即可。
如何预防计算机网络攻击
一、计算机网络攻击的常见手段
互联网发展到今天，除了表面的繁荣外，也出现了一些不良现象，其中黑客攻击是最令广大网民头疼的事情，它是计算机网络安全的主要威胁。以下重点分析黑客进行网络攻击的几种常见手段及其预防措施。
（一）利用网络系统漏洞进行攻击
许多网络系统都存在这样那样的漏洞，这些漏洞可能是系统本身固有的，如WindowsNT、UNIX等都有数量不等的漏洞，也可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞，可以安装软件补丁；另外网管也需要认真工作，尽量避免因疏忽而使他人有机可乘。
（二）通过电子邮件进行攻击
电子邮件是互联网上应用十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目标邮箱发送大量内容重复、无用的垃圾邮件，从而使目标邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对正常工作的响应缓慢，甚至瘫痪，这一点和后面要讲到的“拒绝服务攻击（DDoS）”比较相似。
对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决，其中常见的有SpamEater、Spamkiller等，Outlook等收信软件同样也能达到此目的。
（三）破解攻击
在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份验证。而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，获取密码也是黑客进行攻击的重要手段。
获取密码也有好几种方法，一种是对网络上的数据进行监听。因为系统在进行密码验证时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。
但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又增加了一道难题。这种手法一般运用于局域网，一旦成功攻击者将会得到很大的操作权限。
另一种破解方法就是使用穷举法对已知用户名的密码进行暴力破解。这种破解软件对尝试所有可能字符所组成的密码，但这项工作十分费时，不过如果用户的密码设置得比较简单，如“12345”、“ABC”等，那有可能只需一眨眼的功夫就可搞定。
为了防止受到这种攻击的危害，用户在进行密码设置时一定要将其设置得复杂，也可使用多层密码，或者变换思路使用中文密码，并且不要以自己的生日和电话甚至用户名作为密码，因为一些密码破解软件可以让破解者输入与被破解用户相关的信息，如生日等，然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码，这样使其被破解的可能性又降低了不少。
（四）后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手段。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地获取用户电脑的超级用户级权限，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、获取密码等操作。
这些后门软件分为服务器端和客户端，当黑客进行攻击时，会使用客户端程序登录上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，后门软件的服务器端就安装完成了，而且大部分后门软件的重生能力比较强，给用户进行清除造成一定的麻烦。
当在网上下载数据时，一定要在其运行之前进行病毒扫描，并使用一定的反编译软件，查看来源数据是否有其他可疑的应用程序，从而杜绝这些后门软件。
（五）拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击（DDoS）的难度比较小，但它的破坏性却很大。它的具体手法就是向目标服务器发送大量的数据包，几乎占取该服务器所有的网络带宽，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。

互联网上众多大型网站都曾遭遇此类攻击。执行分布式拒绝服务攻击（DDoS）的门槛较低，但其破坏力却极为显著。其具体操作方式是向目标服务器发送大量数据包，几乎占据服务器全部的网络带宽，导致服务器无法处理正常的服务请求，进而造成网站无法访问、响应速度显著下降或服务器崩溃。

目前流行的蠕虫病毒或类似病毒均能对服务器实施拒绝服务攻击。它们的繁殖能力极强，通常通过Microsoft的Outlook软件向众多邮箱发送携带病毒的邮件，导致邮件服务器因处理庞大的数据量而崩溃。

对于个人网络用户来说，也可能遭受大量数据包的攻击，使其无法进行正常的网络操作。因此，大家在上网时务必安装好防火墙软件，并可以安装一些能够隐藏IP地址的程序，以显著降低被攻击的风险。

二、计算机网络安全的防火墙技术
计算机网络安全涉及利用网络管理控制和技术手段，确保网络环境中的信息数据保持保密性、完整性和可用性。网络安全防护的根本目标是防止计算机网络存储、传输的信息被非法使用、破坏和篡改。防火墙技术是实现上述目标的一种常用计算机网络安全技术。

（一）防火墙的含义
所谓“防火墙”，是指一种将内部网络与公共访问网络（如互联网）隔开的方法，实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制标准，它允许“认可”的人和数据进入你的网络，同时将“不认可”的人和数据拒之门外，最大限度地阻止网络中的黑客访问你的网络，防止他们篡改、复制、破坏你的重要信息。

（二）防火墙的安全性分析
防火墙对网络安全起到了一定的保护作用，但并非绝对可靠。通过对防火墙的基本原理和实现方式进行分析和研究，作者对防火墙的安全性有以下几点认识：

1．只有正确选择、合理配置防火墙，才能有效发挥其安全防护作用
防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循以下四个基本步骤：
a.风险评估；
b.需求分析；
c.制定安全策略；
d.选择恰当的防护手段，并使其与安全策略保持一致。
然而，许多防火墙的设置没有或很少进行充分的风险评估和需求分析，而只是根据不很完善的安全策略选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”还是个未知数。

2．应正确评估防火墙的失效状态
评估防火墙性能如何，以及能否起到安全防护作用，不仅要看其工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的迹象，而且要看到一旦防火墙被攻破，其状态如何？按级别来分，它应有以下四种状态：
a.未受损害，能继续正常工作；
b.关闭并重新启动，同时恢复到正常工作状态；
c.关闭并禁止所有数据通行；
d.关闭并允许所有数据通行。
前两种状态较为理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

3.防火墙必须进行动态维护
防火墙安装和投入使用后，并非一劳永逸。要想充分发挥其安全防护作用，必须对其进行跟踪和维护，与厂商保持密切联系，时刻关注厂商的动态。因为厂商一旦发现其产品存在安全漏洞，就会尽快发布补丁产品，此时应尽快确认真伪（防止特洛伊木马等病毒），并对防火墙软件进行更新。

4.目前很难对防火墙进行测试验证
防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大，主要原因包括：
a.防火墙性能测试目前仍是一种较新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解，目前只有美国ISS公司提供防火墙性能测试的工具软件。
b.防火墙测试技术尚不成熟，与防火墙设计并非完全吻合，使得测试工作难以达到预期效果。
c.选择“谁”进行公正的测试也是一个问题。
可见，防火墙的性能测试并非易事，但这种测试又相当必要，进而提出这样一个问题：不进行测试，何以证明防火墙安全？

5.非法攻击防火墙的基本“招数”
a. IP地址欺骗攻击。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制而得成的。
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。
c.防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。

（三）防火墙的基本类型

（三）防火墙的主要种类

实施防火墙的技术主要分为四大类：网络层防火墙（亦称数据包过滤型防火墙）、应用层网关、电路层网关以及规则审查防火墙。
1.网络层防火墙
通常依据源地址和目的地址、应用或协议以及每个IP数据包的端口来决定是否允许通过。一个路由器便是一个“传统”的网络层防火墙，大多数的路由器都能通过检查这些信息来决定是否转发所收到的数据包，但它无法判断出一个IP数据包的来源和目的地。
先进的网络层防火墙能够判断这一点，它能提供内部信息以说明所通过的连接状态和一些数据流的内容，将判断的信息与规则表进行比对，在规则表中定义了各种规则来表明是否同意或拒绝数据包的通过。包过滤防火墙检查每一条规则直至发现数据包中的信息与某规则相符。
如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该数据包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
以下是某一网络层防火墙的访问控制规则：
(1)允许网络123.1.0使用FTP(21口)访问主机；
(2)允许IP地址为和的用户Telnet(23口)到主机上；
(3)允许任何地址的E-mail(25口)进入主机；
(4)允许任何WWW数据（80口）通过；
(5)不允许其他数据包进入。
网络层防火墙结构简单、速度快捷、成本较低，并且对用户透明，但网络保护能力有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。
2.规则审查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则审查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。
当然它也像应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。规则审查防火墙虽然集成了前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。
规则审查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。
目前在市场上流行的防火墙大多属于规则审查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。
如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则审查防火墙。
从趋势上看，未来的防火墙将位于网络层防火墙和应用层防火墙之间，也就是说，网络层防火墙将变得更加能够识别通过的信息，而应用层防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。
（四）防火墙的配置方式
防火墙配置有三种：双宿主方式、屏蔽主机方式和屏蔽子网方式。双宿主方式最简单。双宿主网关放置在两个网络之间，这个双宿主网关又称为堡垒主机。
这种结构成本低，但是它有单点故障的问题。这种结构没有增加网络安全的自我防护能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。
屏蔽主机方式中的屏蔽路由器为保护堡垒主机的安全建立了一道屏障。它将所有进入的信息先送往堡垒主机，并且只接受来自堡垒主机的数据作为出去的数据。
这种结构依赖屏蔽路由器和堡垒主机，只要有一个失败，整个网络就暴露了。屏蔽子网包含两个屏蔽路由器和两个堡垒主机。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即DemilitarizedZone），堡垒主机放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很高。

（四）防火墙的安全策略
各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全策略：
1.防网络欺骗术
防网络欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别，并向网络管理员报警。
2.网络地址转换
地址转换是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。
3.开放性结构设计
开放性结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
4.路由器安全管理程序
它为Bay和Cisco的路由器提供集中管理和访问列表控制。
（六）传统防火墙的五大缺陷
1．无法检测加密的Web流量
如果你正在部署一个光键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。

如果您正在实施一个光键门户网站，期望将所有网络层和应用层的漏洞隔离在应用层面之外。这一要求，对传统网络防火墙来说，无疑是一项巨大挑战。

鉴于网络防火墙对加密的SSL数据流不可见，防火墙难以迅速截取SSL数据流并解密，因此无法有效阻止应用程序的攻击。有些网络防火墙甚至根本不具备数据解密功能。
1、普通应用程序加密后，也易于绕过防火墙检测
网络防火墙无法观测的，不仅是SSL加密的数据。对于应用程序加密的数据，同样难以察觉。当前大多数网络防火墙依赖静态特征库，与入侵检测系统（IDS，Intrusion Detect System）原理相似。只有当应用层攻击行为的特征与防火墙数据库中已有的特征完全一致时，防火墙才能识别并截获攻击数据。
然而，采用常见的编码技术，可以将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端网络安全系统，又能在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一致，就能绕过网络防火墙，成功避开特征匹配。
2、对于Web应用程序，防护能力有限
网络防火墙于1990年发明，而商用的Web服务器则是在一年后才问世。基于状态检测的防火墙，其设计原理是基于网络层TCP和IP地址，来设置与加强状态访问控制列表（ACLs，Access Control Lists）。在这方面，网络防火墙表现确实出色。
近年来，实际应用中，HTTP成为主要传输协议。主流平台供应商和大型应用程序供应商均已转向基于Web的架构，安全防护目标不再仅仅是重要业务数据。网络防火墙的防护范围发生了变化。
对于常规企业局域网防护，通用网络防火墙仍占有很高市场份额，继续发挥重要作用，但对于新近出现的上层协议，如XML和SOAP等应用的防护，网络防火墙显得有些力不从心。
由于体系结构原因，即使是最先进的网络防火墙，在防护Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层攻击。由于缺乏对整体应用数据流基于会话（Session）级别的完整监控能力，因此难以预防新的未知攻击。
3、应用防护特性仅适用于简单情况
目前数据中心服务器时常发生变化，例如：
★ 定期部署新的应用程序；
★ 经常增加或更新软件模块；
★ QA团队经常发现代码中的bug，已部署的系统需要定期打补丁。
在这样的动态复杂环境中，安全专家需要采用灵活的、粗粒度的方法，实施有效的防护策略。
尽管一些先进的网络防火墙供应商提出了应用防护特性，但仅适用于简单环境。细看就会发现，对于实际企业应用，这些特性存在局限性。在多数情况下，弹性概念（proof-of-concept）的特性无法应用于现实生活中的数据中心。
例如，有些防火墙供应商曾声称能够阻止缓存溢出：当黑客在浏览器URL中输入过长数据，试图使后台服务崩溃或非法访问时，网络防火墙能够检测并阻止这种情况。
然而，这些供应商采用的是对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能。
如果使用这个规则，将对所有应用程序生效。如果一个程序或简单的Web网页确实需要涉及很长的URL，就要屏蔽该规则。
网络防火墙的体系结构决定了其针对网络端口和网络层进行操作，因此很难对应用层进行防护，除非是一些简单的应用程序。
4、无法扩展深度检测功能
基于状态检测的网络防火墙，如果希望仅扩展深度检测（deep inspection）功能，而不增加相应网络性能，这是不可行的。
真正的针对所有网络和应用程序流量的深度检测功能，需要前所未有的处理能力，来完成大量计算任务，包括以下几个方面：
★ SSL加密/解密功能；
★ 完全的双向有效负载检测；
★ 确保所有合法流量的正常化；
★ 广泛的协议性能；
这些任务在基于标准PC硬件上无法高效运行，尽管一些网络防火墙供应商采用的是基于ASIC的平台，但进一步研究就能发现：旧的基于网络的ASIC平台对于新的深度检测功能无法支持。
三、结束语
由于互联网的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和访问处理的分布式特点，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有效的网络安全防护至关重要。