如何在局域網中保護自我， 不僅僅是管理員也是大家要掌握技術。 怎么做?筆者認為首先要從防開始。 　　一、防掃描， 讓攻擊者暈頭轉向　　幾乎所有的入侵都是從掃描開始的， 攻擊者首先判斷目標主機是否存在， 進而探測其開放的端口和存在的漏洞， 然后根據掃描結果采取相應的攻擊手段實施攻擊。 因此， 防掃描是安全防護的第一步。 防掃描做得好， 就會讓惡意攻擊失去了目標。 　　1、工具和原理　　(1).掃描工具　　攻擊者采用的掃描手段是很多的， 可以使用Ping、網絡鄰居、SuperScan、NMAP、NC、S掃描器等工具對目標計算機進行掃描。 其中SuperScan的掃描速度非常快， 而NMAP的掃描非常的專業， 不但誤報很少， 而且還可以掃描到很多的信息， 包括系統漏洞、共享密碼、開啟服務等等。 　　(2).防范原理　　要針對這些掃描進行防范， 首先要禁止ICMP的回應， 當對方進行掃描的時候， 由于無法得到ICMP的回應， 掃描器會誤認為主機不存在， 從而達到保護自己的目的。 另外， 利用蜜罐技術進行掃描欺騙也是不錯的方法。 　　2、防范措施　　(1).關閉端口　　關閉閑置和有潛在危險的端口。 這個方法比較被動， 它的本質是將除了用戶需要用到的正常計算機端口之外的其他端口都關閉掉。 因為就黑客而言， 所有的端口都可能成為攻擊的目標。 可以說， 計算機的所有對外通訊的端口都存在潛在的危險， 而一些系統必要的通訊端口， 如訪問網頁需要的HTTP(80端口);QQ(4000端口)等不能被關閉。 　　在Windows版本的服務器系統中要關閉掉一些閑置端口是比較方便的， 可以采用“定向關閉指定服務的端口”(黑名單)和“只開放允許端口的方式”(白名單)進行設置。 計算機的一些網絡服務會有系統分配默認的端口， 將一些閑置的服務關閉掉， 其對應的端口也會被關閉了。 　　進入“控制面板”→“管理工具”→“服務”項內， 關閉掉計算機的一些沒有使用的服務(如FTP服務、DNS服務、IIS Admin服務等等)， 它們對應的端口也被停用了。 至于“只開放允許端口的方式”， 可以利用系統的“TCP/IP篩選”功能實現， 設置的時候， “只允許”系統的一些基本網絡通訊需要的端口即可。 　　　　圖1　　(2).屏蔽端口　　檢查各端口， 有端口掃描的癥狀時， 立即屏蔽該端口。 這種預防端口掃描的方式通過用戶自己手工是不可能完成的， 或者說完成起來相當困難， 需要借助軟件。 這些軟件就是我們常用的網絡防火墻。 　　防火墻的工作原理是:首先檢查每個到達你的電腦的數據包， 在這個包被你機上運行的任何軟件看到之前， 防火墻有完全的否決權， 可以禁止你的電腦接收Internet上的任何東西。 當第一個請求建立連接的包被你的電腦回應后， 一個“TCP/IP端口”被打開;端口掃描時， 對方計算機不斷和本地計算機建立連接， 并逐漸打開各個服務所對應的“TCP/IP端口”及閑置端口。 防火墻經過自帶的攔截規則判斷， 就能夠知道對方是否正進行端口掃描， 并攔截掉對方發送過來的所有掃描需要的數據包。 　　現在市面上幾乎所有網絡防火墻都能夠抵御端口掃描， 在默認安裝后， 應該檢查一些防火墻所攔截的端口掃描規則是否被選中， 否則它會放行端口掃描， 而只是在日志中留下信息而已。 　3、防范工具 　　(1).系統防火墻　　現在很多的防火墻都有禁止ICMP的設置， 而Windows XP SP2自帶的防火墻也包括該功能。 啟用這項功能的設置非常簡單：執行“控制面板”→“Windows防火墻”， 點擊“高級”選項卡， 選擇系統中已經建立的Internet連接方式(寬帶連接)， 點擊旁邊的“設置”按鈕打開“高級設置”窗口， 點擊“ICMP”選項卡， 確認沒有勾選“允許傳入的回顯請求”， 最后點擊“確定”即可。 　　　　圖2　　另外， 通過其他專業的防火墻軟件不但可以攔截來自局域網的各種掃描入侵， 從軟件的日志中， 我們還可以查看到數據包的來源和入侵方式等。 　　(2).第三方防火墻　　在企業局域網中部署第三方的防火墻， 這些防火墻都自帶了一些默認的“規則”， 可以非常方便地應用或者取消應用這些規則。 當然也可以根據具體需要創建相應的防火墻規則， 這樣可以比較有效地阻止攻擊者的惡意掃描。 　　比如以天網防火墻為例：首先運行天網防火墻， 點擊操作界面中的“IP規則管理”按鈕， 彈出“自定義IP規則”窗口， 去掉“允許局域網的機器用ping命令探測”選項， 最后點擊“保存規則”按鈕進行保存即可。 例如創建一條防止Ineternet中的主機ping的規則， 可以點擊“增加規則”按鈕， 輸入如圖的相關參數就創建成功， 然后勾選并保存該規則就可以防止網絡中的主機惡意掃描局域網了。 　　　　圖3(3).蜜罐技術 　　蜜罐工具很多， 其原理大同小異， 它會虛擬一臺有“缺陷”的服務器， 等著惡意攻擊者上鉤。 在黑客看來被掃描的主機似乎打開了相應的端口， 但是卻無法實施工具， 從而保護了真正的服務器， 這也可以說是比較另類的防掃描手法。 　　例如， Defnet HoneyPot“蜜罐”虛擬系統， 通過Defnet HoneyPot虛擬出來的系統和真正的系統看起來沒有什么兩樣， 但它是為惡意攻擊者布置的陷阱。 只不過， 這個陷阱欺騙惡意攻擊者， 能夠記錄他都執行了那些命令， 進行了哪些操作， 使用了哪些惡意攻擊工具。 通過陷阱的記錄， 可以了解攻擊者的習慣， 掌握足夠的攻擊證據， 甚至反擊攻擊者。 利用該工具部署一個蜜罐系統非常簡單， 打開軟件， 輸入相應的參數即可。 然后它會隨機啟動， 如果有惡意的掃描它都會記錄下來如圖。 　　　　圖4　　現在的黑客工具非常普及其操作也越來越傻瓜化， 入侵門檻比較低。 一個具有初、中級電腦水平的攻擊者利用掃描器隨意掃描， 就能夠完成一次入侵。 做好防掃描措施， 就能夠在很大程度上杜絕來自這些一般入侵者的騷擾， 而這也是網絡入侵的大多數。 二、防溢出， 讓攻擊者無功而返 　　溢出是操作系統、應用軟件永遠的痛!在駭客頻頻攻擊、系統漏洞層出不窮的今天， 任何人都不能保證操作系統系統、應用程序不被溢出。 既然溢出似乎是必然的， 而且利用溢出攻擊的門檻比較低， 利用工具有一定電腦基礎的人都可以完成一次溢出。 這樣看來， 我們的系統就處于隨時被溢出的危險中， 所以防溢出也是我們必須要做的工作。 　　1、全面出擊， 嚴防死守　　(1).必須打齊補丁　　盡最大的可能性將系統的漏洞補丁都打完;Microsoft Windows Server系列的服務器系統可以將自動更新服務打開， 然后讓服務器在指定的某個時間段內自動連接到Microsoft Update網站進行補丁的更新。 如果服務器為了安全起見禁止了對公網外部的連接的話， 可以用Microsoft WSUS服務在內網進行升級。 　　(2).服務最小化　　最少的服務等于最大的安全， 停掉一切不需要的系統服務以及應用程序， 最大限度地降底服務器的被攻擊系數。 比如前陣子的NDS溢出， 就導致很多服務器掛掉了。 其實如果WEB類服務器根本沒有用到DNS服務時， 大可以把DNS服務停掉， 這樣DNS溢出就對你們的服務器不構成任何威脅了。 　　　　圖5　　(3).端口過濾　　啟動TCP/IP端口的過濾， 僅打開服務器常用的TCP如21、80、25、110、3389等端口;如果安全要求級別高一點可以將UDP端口關閉， 當然如果這樣之后缺陷就是如在服務器上連外部就不方便連接了， 這里建議大家用IPSec來封UDP。 在協議篩選中只允許TCP協議、UDP協議 以及RDP協議等必需用協議即可;其它無用均不開放。 　(4).系統防火墻 　　啟用IPSec策略， 為服務器的連接進行安全認證， 給服務器加上雙保險。 封掉一些危險的端口， 諸如：135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關系的IP或者網絡進行通訊等等。 通過IPSec禁止UDP或者不常用TCP端口的對外訪問就可以非常有效地防反彈類木馬。 　　(5).系統命令防御　　刪除、移動、更名或者用訪問控制表列Access Control Lists (ACLs)控制關鍵系統文件、命令及文件夾：攻擊者通常在溢出得到shell后， 來用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來達到進一步控制服務器的目的。 如：加賬號、克隆管理員了等等。 我們可以將這些命令程序刪除或者改名。 　　訪問控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的文件， 在“屬性”→“安全”中對他們進行訪問的ACLs用戶進行定義， 諸如只給administrator有權訪問， 如果需要防范一些溢出攻擊、以及溢出成功后對這些文件的非法利用;那么我們只需要將system用戶在ACLs中進行拒絕訪問即可。 　　　　如果你覺得在GUI下面太麻煩的話， 你也可以用系統命令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改， 或者說將他寫成一個.bat批處理 文件來執行以及對這些命令進行修改。 對磁盤如C、D、E、F等進行安全的ACLS設置從整體安全上考慮的話也是很有必要的， 另外特別要對Windows、WinntSystem、Document and Setting等文件夾。 (6).組策略配置 　　想禁用“cmd.exe”， 執行“開始→運行”輸入gpedit.msc打開組策略， 選擇“用戶配置→管理模板→系統”， 把“阻止訪問命令提示符”設為“啟用”。 同樣的可以通過組策略禁止其它比較危險的應用程序。 　　　　圖7　　(7).服務降級　　對一些以System權限運行的系統服務進行降級處理。 比如：將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System權限運行的服務或者應用程序換成其它administrators成員甚至users權限運行， 這樣就會安全得多了。 但前提是需要對這些基本運行狀態、調用API等相關情況較為了解。 　　其實， 關于防止如Overflow溢出類攻擊的辦法除了用上述的幾點以外， 還有很多種辦法：比如通過注冊表進行建立相應的鍵值， 進行設置;寫防護過濾程序用DLL方式加載windows到相關的SHell以及動態鏈接程序之中這類。 當然自己寫代碼來進行驗證加密就需要有相關深厚的Win32編程基礎了， 以及對Shellcode較有研究。 　　三、防竊密， 讓惡意用戶無可奈何 　　在資源比較緊缺的企事業單位中多人共用一臺電腦是非常普遍的， 或者在某些企業中有那么一些公共電腦供大家使用。 既然多人使用， 存儲在這些電腦上的公共資料以及個人資料就沒有什么安全性可言， 極易造成信息的泄密， 因此如何安全部署這些公用電腦是擺在管理員面前的一個必須要解決的問題。 　　1、操作系統很重要　　管理員要實施對這些公共電腦的權限控制， 就必須得考慮采用什么操作系統。 由于Server版系統的安全性遠遠高于個人版系統， 一般在這樣的電腦上安裝Windows Server 2003或者Windows Server 2008這樣的系統。 另外， 要設置用戶權限系統分區格式必須是NTFS格式。 　　2、嚴密部署　　(1).每個用戶各歸其所　　管理員制定安全策略， 為每個用戶在公共電腦上建立私人文件夾僅供個人使用， 另外建一個共享文件夾讓大家使用。 具體步驟是：　　在文件公共電腦上建立NTFS分區， 然后為每個用戶創建一個賬號， 再創建一個組包含所有的用戶。 為每個用戶創建一個共享文件夾， 在設置共享權限的時候去掉Everyone組， 將對應的個人用戶賬號添加進來， 然后根據需要設置權限。 為所有的人創建一個共享文件夾， 再在設置共享權限的時候去掉Everyone組， 將第一步中創建的包含所有用戶的組添加進來如圖1， 然后根據需要設置權限即可。 　　(2).防止惡意刪除　　公共文件夾里的內容是只許大家看的， 但有些惡意用戶會刪除其中的文件， 因此還要做好防刪除措施。 操作如下： 　　右鍵點擊公共文件夾“屬性→安全→高級”， 取消“允許父項的繼承權限傳播到到該對象和所有子對象”選項， 在彈出的菜單中選擇“刪除”操作， 點擊“確定”。 添加需要設置的帳號， 只賦予該帳號“遍歷文件夾/運行文件 ”、“列出文件夾/讀取數據 ”、“讀取屬性 ”、“讀取擴展屬性 ”、“創建文件/寫入數據 ”看到的文章源自活動目錄、“創建文件夾/附加數據 ”、“寫入屬性 ”、“寫入擴展屬性”的權限。 拒絕該帳號“刪除子文件夾及文件”和“刪除”權限。 選中“用在此顯示的可以應用到子對象的項目代替所有子對象的權限項目”， 點擊“確定”。 　　　　圖10　　關于局域網中公共電腦的安全部署因為具體的安全要求、應用需求等不同會有所不同， 上面的兩個策略是最常見的。 在實際應用中， 關鍵是制定安全策略， 然后利用技術去實現。 　　總結：防掃描、防溢出、防竊密這是局域網安全安防的重點， 但不是全部。 另外， 安全防護不僅僅是技術， 還是意識。 只有大家提高自身的安全意識， 然后利用相應的技術才能最大程度地保證網絡安全。