- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
[推荐]网上信息安全的防范技巧十三法 |
| 发布时间: 2012/7/4 11:07:03 |
|
INTERNET共享资源的方式越来越多,就大多数而言,DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式,DDN方式的连接在硬件的需求上是简单的,仅需要一台路由器(router)、代理服务器(proxy server)即可,但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题。下面以CISCO路由器为例,笔者就几种比较成功的配置方法作以介绍,以供同行借鉴: 一、直接通过路由器访问INTERNET资源的配置 1. 总体思路和设备连接方法 一般情况下,单位内部的局域网都使用INTERNET上的保留地址: 10.0.0.0/8:10.0.0.0~10.255.255.255 172.16.0.0/12:172.16.0.0~172.31.255.255 192.168.0.0/16:192.168.0.0~192.168.255.255 在常规情况下,单位内部的工作站在直接利用路由对外访问时,会因工作站使用的是互联网上的保留地址,而被路由器过滤掉,从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT(Network Address Translation)地址转换功能,将内部网的私有地址转换成互联网上的合法地址,使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。这样做的好处是无需配备代理服务器,减少投资,还可以节约合法IP地址,并提高了内部网络的安全性。 NAT有两种类型:Single模式和global模式。 使用NAT的single模式,就像它的名字一样,可以将众多的本地局域网主机映射为一个Internet地址。局域网内的所有主机对外部Internet网络而言,都被看做一个Internet用户。本地局域网内的主机继续使用本地地址。 使用NAT的global模式,路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围(IP地址池)。当本地主机端口与Internet上的主机连接时,IP地址池中的某个IP地址被自动分配给该本地主机,连接中断后动态分配的IP地址将被释放,释放的IP地址可被其他本地主机使用。 下面以我单位的网络环境为例,将配置方法及过程列示出来,供大家参考。 我单位利用联通光缆(V.35)接入INTERNET的,路由器是CISCO2610,局域网采用的是INTEL550百兆交换机,联通向我们提供了下列四个IP地址: 211.90.137.25(255.255.255.252) 用于本地路由器的广域网端口 211.90.137.26(255.255.255.252) 用于对方(联通)的端口 211.90.139.41(255.255.255.252) 供自己支配 211.90.139.42(255.255.255.252) 供自己支配 2. 路由器的配置 (1) 网络连接示意图: 说明:校内所有的工作站都与交换机连接,路由器也通过以太口连接在内部交换机上,路由器上以太口使用内部私有地址,光纤的两端分别使用了联通分配的两个有效IP地址。在这种连接方式下,只要在路由器内部设置NAT,便可以使得单位内部的所有工作站访问INTERNTE了,在每台工作站上只需设置网关指向路由器的以太口(192.168.0.3)即可上网,无需设代理,并节省了两个有效IP地址可供自己自由支配(如建立单位自已的WEB和E-MAIL服务器)。但也存在缺点:不能享受代理服务器提供的CACHE服务来提高访问速度。所以本配置方案适合工作站数量较少的单位,对于单位内部工作站数量较多的情况可以使用后面介绍的两种方法。路由器上具体配置如下: (2)路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定义一个地址池c2601,其内包含了两个空闲的合法IP地址,供NAT转换时使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit (设置以太口的IP地址,并设置其为连接内部网的端口) interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit (设置广域网端口的IP地址,并设置其为连接外部网的端口) ip route 0.0.0.0 0.0.0.0 211.90.137.26 (设置动态路由) access-list 2 permit 192.168.0.1 0.0.0.255 (建立访问控制列表) ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload (建立动态地址翻译) line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的设置) 3. 工作站的配置 要求使用静态IP地址,在TCP/IP属性中进行设置,并设置关网为192.168.0.3(路由器以太口IP地址),设置DNS为接入商提供的地址,浏览器等上网工具中无需作任何特殊设置。 二、 通过代理服务器访问INTERNET资源的配置 1. 总体的思路和设备连接方法 利用代理服务器方式访问INTERNET资源,优点是可以利用代理服务器提供的CACHE服务来提高INTERNET的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专门配备一台计算机作为代理服务器,增加了投资成本;且较第一种法方还需多占用两个合法IP地址,网络安全性不高。 采用这种方案来访问互联网,设备连接方法如下: 代理服务器上安装两块网卡,一块连接内部网,设置内部私有地址;另一块连接路由器以太口,设置联通分配的合法地址(211.90.139.42),并设置其网关为211.90.139.41(路由器以太口) 路由器以太口也设置联通分配的合法IP地址(211.90.139.41) 这样,将设备连接好后,在代理服务器上安装代理软件,并在工作站上设置代理即可访问INTERNET。 2. 路由器的配置 (1) 网络连接示意图: 说明:在上图中,单位内的所有计算机通过交换机直接与代理服务器上的内部网网卡(192.168.0.4)通讯,然后在代理服务软件的控制之下经过路由器访问INTERNET。 (2)路由器的配置 en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit (设置以太口的IP地址) interface s0/0 ip address 211.90.137.25 255.255.255.252 exit (设置广域网端口的IP地址) ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing (设置动态路由,并激活路由) end wr (保存所作的设置) 3. 代理服务器的设置 代理服务器必须按装两块网卡,一块用于连接内部局域网,设IP地址为内部私有地址(如:192.168.0.4 netmask 255.255.255.0)无需设网关。另一块用于连接路由器,设置联通分配的合法地址(211.90.139.42 netmask 255.255.255.252),并设置其网关为:211.90.139.41(路由器以太口)。 按照上面的方法设置好网卡后,再安装一套代理软件即可。(如:MS PROXY SERVER 2.0、WINGATE等,代理软件的安装调试方法请参阅其它资料) 4. 工作站的设置 (1) INTERNET EXPLORER设置 工具菜单->internet选项->连接->局域网设置->使用代理服务器->地址:192.168.0.4端口:80->确定 (2)其他软件的设置请参阅软件说明。 三、 直接访问与代理访问并存的配置 1. 总体思路和设备连接方法 通过上面介绍的两种方法进行配置,都能顺利地实现INTERNET的访问,但每种方法即有优点,又存在一定的缺点,且两种方法的优点是互补的。哪能不能将两种方法的优点合二为一,方法三就是一种鱼和熊掌能够兼得的方案。集成了一、二两种方法的优点,即节省了IP地址,又能通过代理服务器提供的CACHE来提高INTERNET的访问效率。 采用这种方案来访问互联网,设备连接方法如下: 代理服务器上安装两块网卡,两块网卡均连接在交换机上,在设置IP地址时,两块网卡均设置内部私有地址,但这两个地址应不属于一个网络(即IP地址的网络地址不同),一块用于与内部网通信(网卡1),一块用于与路由器通信(网卡2),否则代理无法实现。 在代理服务器上不要安装NETBEUI协议,仅安装TCP/IP协议。(注意:这一步必须要做,否则会因为代理服务器与交换机之间连接线路冗余而导致代理服务器NETBIOS计算机名冲突而影响正常通信) 路由器以太口也设置一个内部私有地址,该地址因与网卡2的地址在同一个网络(即IP地址的网络地址与网卡2相同) 2. 路由器的设置 (1) 网络连接示意图 (2)路由器的配置 en config t 二十世纪九十年代末出现的INTERNET标志着人类社会已经进入了信息化时代,在这个时代,越来越多的人已经开始离不开Internet网络。然而在现有的Internet的环境中,君子风度和信任感已经所剩无几了。社会上能找到的所有的凶险, 卑鄙和投机, Internet上应有尽有。从Internet诞生之日起, 特别是自90年代它向公众开放以来, 它已经成为众矢之的。尤其是在一些电子商务网站进行购物,或者希望注册成为某些网站的会员的时候,我们要特别注意保护自己个人信息在网上的安全。这是因为我们通过表格来注册和提交个人信息时,程序会把这些信息打包发送到目的地,在传送到目的地的过程中需要经过一系列的网站中转,当然被传送的信息就很容易在所经过的网路上留下自己的踪迹,如果这些蛛丝马迹不幸被某些别有用心的人截获并加以利用,麻烦可就大了--虽然这种几率比较低,但面对如今一无法规二无规则、尚显无序的网络,总应该多加小心。下面,笔者就为各个用户提供一些保护网上信息安全的方法措施,希望能够对各位用户。 1、不轻易运行不明真相的程序 如果你收到一封带有附件的电子邮件,且附件是扩展名为EXE一类的文件,这时千万不能贸然运行它,因为这个不明真相的程序,就有可能是一个系统破坏程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些:“这是个好东东,你一定要试试”,“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。 2、屏蔽小甜饼信息 小甜饼就是Cookie,它是Web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息。实际上,它使你访问同一站点时感到方便,比如,不用重新输入口令。但Cookies收集到的个人信息可能会被一些喜欢搞“恶作剧”的人利用,它可能造成安全隐患,因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受Cookie之前提醒您,或者干脆拒绝它们。通常来说,Cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多Cookie会一反常态,始终存储在硬盘中收集用户的相关信息,其实这些Cookie就是被设计成能够驻留在我们的计算机上的。随着时间的推移,Cookie信息可能越来越多,当然我们的心境也因此变得越来越不踏实。为了确保万无一失,对待这些已有的Cookie信息应该从硬盘中立即清除,并在浏览器中调整Cookie设置,让浏览器拒绝接受Cookie信息。屏蔽Cookie的操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”;接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮;同时在打开的“安全设置”对话框中找到关于Cookie的设置,然后选择“禁用”或“提示”。 3、不同的地方用不同的口令 对于经常上网的用户,可能会发现在网上需要设置密码的情况有很多。有很多用户图方便记忆,不论在什么地方,都使用同一个口令,殊不知他们已不知不觉地留下了一个安全隐患。因为攻击者一般在破获到用户的一个密码后,会用这个密码去尝试用户每一个需要甬道口令的地方!想想看,别人用一个口令慢慢地盗用你的帐号上网;再去偷看与冒发你的E-mail;也许还会用你的身份去聊天室损害你的形象;还有.....,想想看那后果该有多严重呀!所以笔者强烈建议各位用户,每个不同的地方用不同的密码,一定不能不同,同时要把各个对应的密码记下来,以备日后查用。另外一点就是我们在设定密码时,不应该使用字典中可以查到的单词,也不要使用个人的生日,最好是字母、符号和数字混用,多用特殊字符,诸如%、&、#、和$,并且在允许的范围内,越长越好,以保证你的密码不易被人猜中。 4、 屏蔽ActiveX控件 由于ActiveX控件可以被嵌入到HTML页面中,并下载到浏览器端加以执行,因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明,在客户端的浏览器中,如IE中插入某些ActiveX控件,也将直接对服务器端造成意想不到的安全威胁。同时,一些其他技术,如内嵌于IE的VB Script语言,用这种语言生成的客户端可执行的程序模块,也同 Java小程序一样,有可能给客户端带来安全性能上的漏洞。此外,还有一些新技术,如ASP(Active serv er Pages)技术,由于用户可以为ASP的输出随意增加客户脚本、ActiveX控件和动态HTML,因此在ASP脚本中同样也都存在着一定的安全隐患。所以,用户如果要保证自己在因特网上的信息绝对安全,可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件,具体操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”;接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮;同时在打开的“安全设置”对话框中找到关于ActiveX控件的设置,然后选择“禁用”或“提示”。 5、定期清除缓存、历史记录以及临时文件夹中的内容 我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率。但是浏览器的缓存、历史记录以及临时文件夹中的内容保留了我们太多的上网的记录,这些记录一旦被那些无聊的人得到,他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。为了确保个人信息资料的绝对安全,我们应该定期清理缓存、历史记录以及临时文件夹中的内容。清理浏览器缓存并不麻烦,具体的操作方法如下:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”;接着在选项设置框中选中“常规”标签,并单击标签中的“删除文件”按钮来删除浏览器中的临时文件夹中的内容;然后在同样的饿对话框中单击“清除历史记录”按钮来删除浏览器中的历史记录和缓存中的内容。 6、不随意透露任何个人信息 在网上浏览信息时,经常会发现需要用户注册自己个人信息资料的表单。这些站点通过程序设计达到一种不填写表单就不能获取自己需要的信息的目的。面对这种强迫用户注册个人信息的情况,我们最好的办法是不要轻易把自己真实的信息提交给他们,特别是不要向任何人透露你的密码。还有,在使用ICQ、OICQ等网络软件以及注册免费E-mail信息的时候,我们都需要填写一些个人资料。某些资料是必须填写的,自然无法略过。但是对于可填可不填但又涉及自己隐私的资料,还是能免就免,您有权利保持沉默,否则您所说的一切,有可能在网络上被黑客利用。这一沉默原则同样适用于聊天室,在弄清楚聊天室的环境和各个人物之前,使用虚拟的网名应该是明智的选择。你应该注意你常去的地方是不是把你的IP地址显示了出来,特别是在一些聊天室里,你一定要小心了!可能攻击你的人就是这样才能控制你的。因为我们拨号上网的用户IP是动态的,你每次上网的IP是服务器随机分配给你的,所以自己的IP如果不让人知道,是不会遭到袭击的。 7、突遇莫名其妙的故障时要及时检查系统信息 上网过程中,突然觉得计算机工作不对劲时,仿佛感觉有人在遥远的地方遥控你。这时,你必须及时停止手中的工作,立即按Ctrl+Alt+Del复合键来查看一下系统是否运行了什么其他的程序,一旦发现有莫名其妙的程序在运行,你马上停止它,以免对整个计算机系统有更大的威胁。但是并不是所有的程序运行时出现在程序列表中,有些程序例如Back Orifice(一种黑客的后门程序)并不显示在Ctrl+Alt+Del复合键的进程列表中,所以如果你的计算机中运行的是WIN98或者WIN2000操作系统,最好运行“附件”/“系统工具”/“系统信息”,然后双击“软件环境”,选择“正在运行任务”,在任务列表中寻找自己不熟悉的或者自己并没有运行的程序,一旦找到程序后应立即终止它,以防后患。 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
