这里先来谈下无线网络,大家知道,无线网络节点正常可以辐射到300米左右的范围,因此在300米以内的安装有无线网卡的任何计算机,都能访问到无线网络节点,并有可能进入到无线网络中;很显然这种便捷的访问方式,容易给无线网络带来安全威胁。例如,在300米以内的某台黑客计算机同样也有机会进入到你的无线网络,从而控制你的计算机中的“一举一动”;尽管无线网络在信息的保密性方面没有有线网络那样严格,但你肯定不希望非法攻击者很轻易地知道你在网络中的各种行踪,例如你访问了哪些网站啦,对外发送了什么隐私邮件啦等等,都有可能被非法访问者了解得一清二楚。 更为严重的是,离你不远的非法访问者一旦进入到你的无线网络中,就会很容易地窃取你的网上各种帐号信息,这样会给你造成更大的安全损失。因此面对无线网络存在的种种安全隐患,你必须及时行动起来,以便采取应对措施,例如通过加密技术或者采用网络验证识别技术,确保只有你事先指定的用户或网络设备才能进入到你的无线网络中,而其他想强行借助各种无线网络技术访问你无线网络的操作,都将被拒绝。 笔者的QQ或者论坛短信就经常有人问,这里就发出来个焦急的读者的提问:我公司在写字楼办公,我们都用无线网络办公和上网,近来发现有人偷偷用我们的网络上网,无线信号泄漏到其他的公司,他们用无线网卡就能上网那,我们也不能控制无线信号的范围,他们用的可是我们的血汗钱呀,再说那,这样也造成我们网络的不安全。我们的网络很简单,一个adsl modem 加一个AP,自动分配IP地址。如何控制呀?一个朋友说,用PC-cillin 2005的无线网络检测功能,我没有用过这个软件,请大家指点,这个好像是杀毒软件,怎么能控制无线网络,朋友是不是逗我的? 一个很平常的问题,无线网络遭受这样的事情很多,对于普通的无线网络用户来说,该采取怎样的措施来确保自己的无线网络安全无忧呢?下面笔者给出了几个建议。 1、正确设置网络密钥 初次连接到无线局域网中时,必须记得设置好网络密钥,来对在无线网络中传输的数据进行加密,以便有效抵御普通黑客的非法入侵。 在设置网络密钥之前,你必须先安装好无线网卡,同时将无线网卡的IP地址以及掩码地址,设置为与无线网络节点的IP地址、掩码地址处于同一网段;接着打开工作站中的IE浏览器,在地址栏中输入无线网络节点的默认IP地址(目前大多数无线网络节点的IP地址都为“192.168.1.1”,要是不能连接上的话,可以查看对应设备的操作说明书),进入无线网络节点管理登录页面,输入登录密码后(该密码可以在无线网络节点的说明书中找到),就能在随后的页面中,对无线网络节点的安全进行设置了。单击无线网络节点管理页面中的安全选项,选中WEP加密功能,并依照不同的加密类型,设置好密码字符串;倘若你选用的是64位加密类型,那么就必须输入10位字符串作为加密密码,要是选用128位加密类型的话,就必须将密码的位数设置为26位。完成密码设置后,关闭无线网络节点电源,然后再次接通电源,这样无线网络节点将会重新启动,网络密钥才会生效。 接着你还必须在工作站中,设置一下无线网络的连接属性,才能安全连接到无线局域网中。依次单击“开始”/“设置”/“网络和拨号连接”选项,并用鼠标右击该选项下面的“无线连接”选项,在随后的右键菜单中单击“属性”命令,打开无线网络属性设置窗口;单击该窗口的“无线网络配置”标签,并在该标签页面中选中已经启用加密功能的无线网络,然后单击“属性”,在随后的属性窗口中选中“关联”标签,再将对应该标签页面中的“数据加密(WEP启用)”选项选中,如此一来“网络密钥”设置项就被激活,接着你可以正确输入无线网络节点的访问密码,再单击一下“确定”,就可以让工作站安全地连接到无线网络中了。 2、更改默认的SSID设置 在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过的话,就可能顺利连接到无线网络中;所以在初次安装好无线局域网时,你必须及时登录到无线网络节点的管理页面中,打开SSID设置选项,重新设置一下初始化字符串,最好让人难于猜测到;而且为了更有效地避免非法链接,你最好在条件允许的前提下,取消SSID的网络广播,这样能将黑客入侵机会降到最低限度。 当然,无线网络节点中的SSID名称变化后,你也必须在工作站的无线网络属性设置窗口中,重新修改SSID服务名称,这样才能确保你的工作站顺利地接入无线网络中。在普通工作站中修改SSID名称其实很简单,只要你在无线网络连接属性窗口中,单击“无线网络配置”标签,然后在该标签页面中,选中无线网络节点名称,再单击一下“属性”按钮,在接着弹出的“关联”标签页面中,直接将新的SSID名称输入在“服务名(SSID)”文本框中,最后单击“确定”按钮,就能使设置生效了。 3、合适放置天线 由于无线网络节点是有线信号和无线信号的转换“枢纽”,无线网络节点中的天线位置,不但能够决定无线局域网的信号传输速度、通信信号强弱,而且还能影响无线网络的通信安全,为此将无线网络节点摆放在一个合适的位置是非常有必要的!在放置天线之前,你最好先弄清楚无线网络节点的通信信号覆盖范围为多大,然后依据范围大小,将天线放置到其他用户无法“触及”的位置处。例如,要是无线网络节点的信号传输能力在30米以内,而现在你想要在100平方米的空间中,建立一个小型无线局域网的话,最好将无线网络节点放置在该空间的正中央,同时将其他工作站分散在无线网络节点的四周放置,这样一来位于其他房间的工作站就不会自动搜索到你的无线网络,那么无线网络个人和你差不多把就不容易出现信号泄密的危险。倘若你随便将无线网络节点放置在*窗口或墙壁的位置处,不但会影响信号的对外发射,而且位于墙壁另一边的工作站用户,就能很轻易地搜索并连接到你的无线网络中,如此一来,你的网络安全性就会大大降低。 如果是支持简单网络管理功能的无线网络访问节点(SNMP功能),笔者建议你尽量将该功能关闭,以防止非法攻击者轻易地通过无线网络节点,来获取整个无线局域网中的隐私信息。倘若你的无线网络节点还支持访问列表功能的话,那你可以利用该功能,精确限制哪些工作站可以连接到无线网络节点中,而那些不在访问列表中的工作站,是无权进入无线网络中的。例如,考虑到每一块无线上网卡都有自己的MAC地址,你完全可以在无线网络节点设备中创建一张“MAC访问控制表”,然后将自己认为合法的网卡MAC地址逐一输入到这个表格中,以后只有“MAC访问控制表”中显示的MAC地址,才能进入到你的无线网络中。 说了很多无线网络的,再来说说有线网络,有线网络在网络应用领域里还上占了老大哥的市场份额,而很多入侵方式都是围绕着有线网络讲的,作为有线网络,如何防范外来人员入侵有线网络呢? 此外要 构建好你的硬件安全防御系统 ,选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。 最好选用英文的操作系统 ,要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。如何防止网络服务器不被黑客入侵,最基本的有5点,是最基本的,必须设置好 。
有了网络,就有了安全与不安全,无论是无线网络还是有线网络都存在着被人攻击,入侵,利用的安全隐患,我们在合法享受着网络的便捷的同时,很多人也从中寻求着免费,经常在很多技术论坛看到有朋友问相关如何防范别人免费用自己网络这样的提问。
4、做好其他防范工作
很多公司一般都会有一台Web服务器作为公司网站的主机。如果这台网络服务器不需要访问后台数据库或者你私有网络中的其他资源的话,那么就没有理由把它放在你的私有网络中。既然我们可以把这台服务器和你自己的网络隔离开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的机会呢? 如果你的Web服务器需要访问数据库或者私有网络中的其他资源,那么我建议你在你的防火墙和网络服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信,而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec连接,并在Web服务器和ISA服务器之间建立起了一个SSL联接。网络防护不包含外部防护墙,但这并不意味着它完全不涉及防火墙。相反,我所建议的网络防护的第一步就是在可能的情况下使用内部防火墙。内部防火墙同外部防火墙一样是安全的基础。两者主要的区别在于内部防火墙的主要工作是保护你的机器不受内部通信的伤害。有很多使用内部防火墙的理由。
在你已经采取了所有必要的步骤来保护经过你的网络中的通信之后,我建议偶尔采用包监听来监视网络通信。这仅仅是一个预防措施,因为它帮助你了解在你的网络中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型,你就可以查找到这些包的来源,从而避免网络服务器受网上那些恶意的攻击行为。
1:采用NTFS文件系统格式
2:做好系统备份
常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
3:关闭不必要的服务,只开该开的端口
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。
4:软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。
5:开启你的事件日志
虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。