- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
[推薦]網上信息安全的防范技巧十三法 |
| 發布時間: 2012/7/4 11:07:03 |
|
INTERNET共享資源的方式越來越多,就大多數而言,DDN專線以其性能穩定、擴充性好的優勢成為普遍采用的方式,DDN方式的連接在硬件的需求上是簡單的,僅需要一臺路由器(router)、代理服務器(proxy server)即可,但在系統的配置上對許多的網絡管理人員來講是一個比較棘手的問題。下面以CISCO路由器為例,筆者就幾種比較成功的配置方法作以介紹,以供同行借鑒: 一、直接通過路由器訪問INTERNET資源的配置 1. 總體思路和設備連接方法 一般情況下,單位內部的局域網都使用INTERNET上的保留地址: 10.0.0.0/8:10.0.0.0~10.255.255.255 172.16.0.0/12:172.16.0.0~172.31.255.255 192.168.0.0/16:192.168.0.0~192.168.255.255 在常規情況下,單位內部的工作站在直接利用路由對外訪問時,會因工作站使用的是互聯網上的保留地址,而被路由器過濾掉,從而導致無法訪問互聯網資源。解決這一問題的辦法是利用路由操作系統提供的NAT(Network Address Translation)地址轉換功能,將內部網的私有地址轉換成互聯網上的合法地址,使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務器,減少投資,還可以節約合法IP地址,并提高了內部網絡的安全性。 NAT有兩種類型:Single模式和global模式。 使用NAT的single模式,就像它的名字一樣,可以將眾多的本地局域網主機映射為一個Internet地址。局域網內的所有主機對外部Internet網絡而言,都被看做一個Internet用戶。本地局域網內的主機繼續使用本地地址。 使用NAT的global模式,路由器的接口將眾多的本地局域網主機映射為一定的Internet地址范圍(IP地址池)。當本地主機端口與Internet上的主機連接時,IP地址池中的某個IP地址被自動分配給該本地主機,連接中斷后動態分配的IP地址將被釋放,釋放的IP地址可被其他本地主機使用。 下面以我單位的網絡環境為例,將配置方法及過程列示出來,供大家參考。 我單位利用聯通光纜(V.35)接入INTERNET的,路由器是CISCO2610,局域網采用的是INTEL550百兆交換機,聯通向我們提供了下列四個IP地址: 211.90.137.25(255.255.255.252) 用于本地路由器的廣域網端口 211.90.137.26(255.255.255.252) 用于對方(聯通)的端口 211.90.139.41(255.255.255.252) 供自己支配 211.90.139.42(255.255.255.252) 供自己支配 2. 路由器的配置 (1) 網絡連接示意圖: 說明:校內所有的工作站都與交換機連接,路由器也通過以太口連接在內部交換機上,路由器上以太口使用內部私有地址,光纖的兩端分別使用了聯通分配的兩個有效IP地址。在這種連接方式下,只要在路由器內部設置NAT,便可以使得單位內部的所有工作站訪問INTERNTE了,在每臺工作站上只需設置網關指向路由器的以太口(192.168.0.3)即可上網,無需設代理,并節省了兩個有效IP地址可供自己自由支配(如建立單位自已的WEB和E-MAIL服務器)。但也存在缺點:不能享受代理服務器提供的CACHE服務來提高訪問速度。所以本配置方案適合工作站數量較少的單位,對于單位內部工作站數量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下: (2)路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個地址池c2601,其內包含了兩個空閑的合法IP地址,供NAT轉換時使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit (設置以太口的IP地址,并設置其為連接內部網的端口) interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit (設置廣域網端口的IP地址,并設置其為連接外部網的端口) ip route 0.0.0.0 0.0.0.0 211.90.137.26 (設置動態路由) access-list 2 permit 192.168.0.1 0.0.0.255 (建立訪問控制列表) ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload (建立動態地址翻譯) line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設置) 3. 工作站的配置 要求使用靜態IP地址,在TCP/IP屬性中進行設置,并設置關網為192.168.0.3(路由器以太口IP地址),設置DNS為接入商提供的地址,瀏覽器等上網工具中無需作任何特殊設置。 二、 通過代理服務器訪問INTERNET資源的配置 1. 總體的思路和設備連接方法 利用代理服務器方式訪問INTERNET資源,優點是可以利用代理服務器提供的CACHE服務來提高INTERNET的訪問速度和效率。比較適合工作站較多的單位使用。缺點是需要專門配備一臺計算機作為代理服務器,增加了投資成本;且較第一種法方還需多占用兩個合法IP地址,網絡安全性不高。 采用這種方案來訪問互聯網,設備連接方法如下: 代理服務器上安裝兩塊網卡,一塊連接內部網,設置內部私有地址;另一塊連接路由器以太口,設置聯通分配的合法地址(211.90.139.42),并設置其網關為211.90.139.41(路由器以太口) 路由器以太口也設置聯通分配的合法IP地址(211.90.139.41) 這樣,將設備連接好后,在代理服務器上安裝代理軟件,并在工作站上設置代理即可訪問INTERNET。 2. 路由器的配置 (1) 網絡連接示意圖: 說明:在上圖中,單位內的所有計算機通過交換機直接與代理服務器上的內部網網卡(192.168.0.4)通訊,然后在代理服務軟件的控制之下經過路由器訪問INTERNET。 (2)路由器的配置 en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit (設置以太口的IP地址) interface s0/0 ip address 211.90.137.25 255.255.255.252 exit (設置廣域網端口的IP地址) ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing (設置動態路由,并激活路由) end wr (保存所作的設置) 3. 代理服務器的設置 代理服務器必須按裝兩塊網卡,一塊用于連接內部局域網,設IP地址為內部私有地址(如:192.168.0.4 netmask 255.255.255.0)無需設網關。另一塊用于連接路由器,設置聯通分配的合法地址(211.90.139.42 netmask 255.255.255.252),并設置其網關為:211.90.139.41(路由器以太口)。 按照上面的方法設置好網卡后,再安裝一套代理軟件即可。(如:MS PROXY SERVER 2.0、WINGATE等,代理軟件的安裝調試方法請參閱其它資料) 4. 工作站的設置 (1) INTERNET EXPLORER設置 工具菜單->internet選項->連接->局域網設置->使用代理服務器->地址:192.168.0.4端口:80->確定 (2)其他軟件的設置請參閱軟件說明。 三、 直接訪問與代理訪問并存的配置 1. 總體思路和設備連接方法 通過上面介紹的兩種方法進行配置,都能順利地實現INTERNET的訪問,但每種方法即有優點,又存在一定的缺點,且兩種方法的優點是互補的。哪能不能將兩種方法的優點合二為一,方法三就是一種魚和熊掌能夠兼得的方案。集成了一、二兩種方法的優點,即節省了IP地址,又能通過代理服務器提供的CACHE來提高INTERNET的訪問效率。 采用這種方案來訪問互聯網,設備連接方法如下: 代理服務器上安裝兩塊網卡,兩塊網卡均連接在交換機上,在設置IP地址時,兩塊網卡均設置內部私有地址,但這兩個地址應不屬于一個網絡(即IP地址的網絡地址不同),一塊用于與內部網通信(網卡1),一塊用于與路由器通信(網卡2),否則代理無法實現。 在代理服務器上不要安裝NETBEUI協議,僅安裝TCP/IP協議。(注意:這一步必須要做,否則會因為代理服務器與交換機之間連接線路冗余而導致代理服務器NETBIOS計算機名沖突而影響正常通信) 路由器以太口也設置一個內部私有地址,該地址因與網卡2的地址在同一個網絡(即IP地址的網絡地址與網卡2相同) 2. 路由器的設置 (1) 網絡連接示意圖 (2)路由器的配置 en config t 二十世紀九十年代末出現的INTERNET標志著人類社會已經進入了信息化時代,在這個時代,越來越多的人已經開始離不開Internet網絡。然而在現有的Internet的環境中,君子風度和信任感已經所剩無幾了。社會上能找到的所有的兇險, 卑鄙和投機, Internet上應有盡有。從Internet誕生之日起, 特別是自90年代它向公眾開放以來, 它已經成為眾矢之的。尤其是在一些電子商務網站進行購物,或者希望注冊成為某些網站的會員的時候,我們要特別注意保護自己個人信息在網上的安全。這是因為我們通過表格來注冊和提交個人信息時,程序會把這些信息打包發送到目的地,在傳送到目的地的過程中需要經過一系列的網站中轉,當然被傳送的信息就很容易在所經過的網路上留下自己的蹤跡,如果這些蛛絲馬跡不幸被某些別有用心的人截獲并加以利用,麻煩可就大了--雖然這種幾率比較低,但面對如今一無法規二無規則、尚顯無序的網絡,總應該多加小心。下面,筆者就為各個用戶提供一些保護網上信息安全的方法措施,希望能夠對各位用戶。 1、不輕易運行不明真相的程序 如果你收到一封帶有附件的電子郵件,且附件是擴展名為EXE一類的文件,這時千萬不能貿然運行它,因為這個不明真相的程序,就有可能是一個系統破壞程序。攻擊者常把系統破壞程序換一個名字用電子郵件發給你,并帶有一些欺騙性主題,騙你說一些:“這是個好東東,你一定要試試”,“幫我測試一下程序”之類的話。你一定要警惕了!對待這些表面上很友好、跟善意的郵件附件,我們應該做的是立即刪除這些來歷不明的文件。 2、屏蔽小甜餅信息 小甜餅就是Cookie,它是Web服務器發送到電腦里的數據文件,它記錄了諸如用戶名、口令和關于用戶興趣取向的信息。實際上,它使你訪問同一站點時感到方便,比如,不用重新輸入口令。但Cookies收集到的個人信息可能會被一些喜歡搞“惡作劇”的人利用,它可能造成安全隱患,因此,我們可以在瀏覽器中做一些必要的設置,要求瀏覽器在接受Cookie之前提醒您,或者干脆拒絕它們。通常來說,Cookie會在瀏覽器被關閉時自動從計算機中刪除,可是,有許多Cookie會一反常態,始終存儲在硬盤中收集用戶的相關信息,其實這些Cookie就是被設計成能夠駐留在我們的計算機上的。隨著時間的推移,Cookie信息可能越來越多,當然我們的心境也因此變得越來越不踏實。為了確保萬無一失,對待這些已有的Cookie信息應該從硬盤中立即清除,并在瀏覽器中調整Cookie設置,讓瀏覽器拒絕接受Cookie信息。屏蔽Cookie的操作步驟為:首先用鼠標單擊菜單欄中的“工具”菜單項,并從下拉菜單中選擇“Internet選項”;接著在選項設置框中選中“安全”標簽,并單擊標簽中的“自定義級別”按鈕;同時在打開的“安全設置”對話框中找到關于Cookie的設置,然后選擇“禁用”或“提示”。 3、不同的地方用不同的口令 對于經常上網的用戶,可能會發現在網上需要設置密碼的情況有很多。有很多用戶圖方便記憶,不論在什么地方,都使用同一個口令,殊不知他們已不知不覺地留下了一個安全隱患。因為攻擊者一般在破獲到用戶的一個密碼后,會用這個密碼去嘗試用戶每一個需要甬道口令的地方!想想看,別人用一個口令慢慢地盜用你的帳號上網;再去偷看與冒發你的E-mail;也許還會用你的身份去聊天室損害你的形象;還有.....,想想看那后果該有多嚴重呀!所以筆者強烈建議各位用戶,每個不同的地方用不同的密碼,一定不能不同,同時要把各個對應的密碼記下來,以備日后查用。另外一點就是我們在設定密碼時,不應該使用字典中可以查到的單詞,也不要使用個人的生日,最好是字母、符號和數字混用,多用特殊字符,諸如%、&、#、和$,并且在允許的范圍內,越長越好,以保證你的密碼不易被人猜中。 4、 屏蔽ActiveX控件 由于ActiveX控件可以被嵌入到HTML頁面中,并下載到瀏覽器端加以執行,因此會給瀏覽器端造成一定程度的安全威脅。目前已有證據表明,在客戶端的瀏覽器中,如IE中插入某些ActiveX控件,也將直接對服務器端造成意想不到的安全威脅。同時,一些其他技術,如內嵌于IE的VB Script語言,用這種語言生成的客戶端可執行的程序模塊,也同 Java小程序一樣,有可能給客戶端帶來安全性能上的漏洞。此外,還有一些新技術,如ASP(Active serv er Pages)技術,由于用戶可以為ASP的輸出隨意增加客戶腳本、ActiveX控件和動態HTML,因此在ASP腳本中同樣也都存在著一定的安全隱患。所以,用戶如果要保證自己在因特網上的信息絕對安全,可以屏蔽掉這些可能對計算機安全構成威脅的ActiveX控件,具體操作步驟為:首先用鼠標單擊菜單欄中的“工具”菜單項,并從下拉菜單中選擇“Internet選項”;接著在選項設置框中選中“安全”標簽,并單擊標簽中的“自定義級別”按鈕;同時在打開的“安全設置”對話框中找到關于ActiveX控件的設置,然后選擇“禁用”或“提示”。 5、定期清除緩存、歷史記錄以及臨時文件夾中的內容 我們在上網瀏覽信息時,瀏覽器會把我們在上網過程中瀏覽的信息保存在瀏覽器的相關設置中,這樣下次再訪問同樣信息時可以很快地達到目的地,從而提高了我們的瀏覽效率。但是瀏覽器的緩存、歷史記錄以及臨時文件夾中的內容保留了我們太多的上網的記錄,這些記錄一旦被那些無聊的人得到,他們就有可能從這些記錄中尋找到有關個人信息的蛛絲馬跡。為了確保個人信息資料的絕對安全,我們應該定期清理緩存、歷史記錄以及臨時文件夾中的內容。清理瀏覽器緩存并不麻煩,具體的操作方法如下:首先用鼠標單擊菜單欄中的“工具”菜單項,并從下拉菜單中選擇“Internet選項”;接著在選項設置框中選中“常規”標簽,并單擊標簽中的“刪除文件”按鈕來刪除瀏覽器中的臨時文件夾中的內容;然后在同樣的餓對話框中單擊“清除歷史記錄”按鈕來刪除瀏覽器中的歷史記錄和緩存中的內容。 6、不隨意透露任何個人信息 在網上瀏覽信息時,經常會發現需要用戶注冊自己個人信息資料的表單。這些站點通過程序設計達到一種不填寫表單就不能獲取自己需要的信息的目的。面對這種強迫用戶注冊個人信息的情況,我們最好的辦法是不要輕易把自己真實的信息提交給他們,特別是不要向任何人透露你的密碼。還有,在使用ICQ、OICQ等網絡軟件以及注冊免費E-mail信息的時候,我們都需要填寫一些個人資料。某些資料是必須填寫的,自然無法略過。但是對于可填可不填但又涉及自己隱私的資料,還是能免就免,您有權利保持沉默,否則您所說的一切,有可能在網絡上被黑客利用。這一沉默原則同樣適用于聊天室,在弄清楚聊天室的環境和各個人物之前,使用虛擬的網名應該是明智的選擇。你應該注意你常去的地方是不是把你的IP地址顯示了出來,特別是在一些聊天室里,你一定要小心了!可能攻擊你的人就是這樣才能控制你的。因為我們撥號上網的用戶IP是動態的,你每次上網的IP是服務器隨機分配給你的,所以自己的IP如果不讓人知道,是不會遭到襲擊的。 7、突遇莫名其妙的故障時要及時檢查系統信息 上網過程中,突然覺得計算機工作不對勁時,仿佛感覺有人在遙遠的地方遙控你。這時,你必須及時停止手中的工作,立即按Ctrl+Alt+Del復合鍵來查看一下系統是否運行了什么其他的程序,一旦發現有莫名其妙的程序在運行,你馬上停止它,以免對整個計算機系統有更大的威脅。但是并不是所有的程序運行時出現在程序列表中,有些程序例如Back Orifice(一種黑客的后門程序)并不顯示在Ctrl+Alt+Del復合鍵的進程列表中,所以如果你的計算機中運行的是WIN98或者WIN2000操作系統,最好運行“附件”/“系統工具”/“系統信息”,然后雙擊“軟件環境”,選擇“正在運行任務”,在任務列表中尋找自己不熟悉的或者自己并沒有運行的程序,一旦找到程序后應立即終止它,以防后患。 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
