【正文】 ear 和 Kill89 等產(chǎn)品均采用上述三種防病毒技術(shù) 對付病毒有以下四種基本方法 15 基于網(wǎng)絡(luò)目錄和文件安全性方法 以 NetWare 為例，在 NetWare 中，提供了目錄和文件訪問權(quán)限與屬性兩種安全性措施。屬性有：需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。根據(jù)用戶對目錄和文件的操 作能力，分配不同的訪問權(quán)限和屬性。這樣，病毒就無法對系統(tǒng)程序?qū)嵤└腥竞图纳?，其它用戶也就不會感染病毒。至于網(wǎng)絡(luò)用戶的私人目錄，由于其限于個別使用，病毒很難傳播給其它用戶。現(xiàn)在市場上還沒有一種能夠 完全抵御計算機(jī)病毒侵染的網(wǎng)絡(luò)操作系統(tǒng)，從網(wǎng)絡(luò)安全性措施角度來看，在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。工作站是網(wǎng)絡(luò)的門戶，只要將這扇門戶關(guān)好，就能有效地防止病毒的入侵。 Trend Micro Devices 公司解決的辦法是基于網(wǎng)絡(luò)上每個工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡 上有一個 Boot Rom 芯片，因為多數(shù)網(wǎng)卡的 Boot Rom 并沒有充分利用，都會剩余一些使用空間，所以如果安全程序夠小的話，就可以把它安裝在網(wǎng)絡(luò)的Boot Rom 的剩余空間內(nèi)，而不必另插一塊芯片。在工作站 DOS 引導(dǎo)過程中， ROMBIOS，Extended BIOS 裝入后， Partition Table 裝入之前， Chipway 獲得控制權(quán)，這樣可以防止引導(dǎo)型病毒。但目前，Chipway 對防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。其防毒概念是建立在”病毒必須執(zhí)行有限數(shù)量的程序之后，才會產(chǎn)生感染效力“的基礎(chǔ)之上。引 導(dǎo)型病毒必須使用系統(tǒng)的 BIOS 功能調(diào)用，文件型病毒必須將自己所有的程序代碼拷貝到另一個系統(tǒng)執(zhí)行文件時才能復(fù)制感染。 Station Lock 就是通過這些特點，用間接方法觀察，精確地預(yù)測病毒的攻擊行為。 Station Lock 也能處理一些基本的網(wǎng)絡(luò)安全性問題，例如存取控制、預(yù)放未授權(quán)拷貝以及在一個點對點網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。由于 Station Lock 是在啟動系統(tǒng)開始之前，就接管了工作站上的硬件和軟件，所以病毒攻擊 Station Lock 是很困難的。 基于服務(wù)器的防毒技術(shù) 服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會使服務(wù)器無法啟動，整個網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。市場上的產(chǎn)品如 Central Point 公司的 AntiVirus for Networks， Intel 公司的 LANdesk Virus Protect 以及南京威爾德電腦公司的Lanclear for NetWare 等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。這樣，病毒也就失去了傳播途徑，因而從根本上杜絕了病毒在網(wǎng)上蔓延。允許用戶清除病毒，或刪除帶毒文件，或更改帶毒文件名成為不可執(zhí)行文件名并隔離到一個特定的病毒文件目錄中。為了保證病毒監(jiān)測實時性，通常采用多線索的設(shè)計方法，讓檢測程序作為一個隨時可以激活的功能模塊，且在 NetWare 運行環(huán)境中，不影響其它線索的運行。實時在線掃描能非常及時地追蹤病毒的活動，及時告之網(wǎng)絡(luò)管理員和工作站用戶。 (4)自動報告功能及病毒存檔 當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無意地拷入服務(wù)器中時，網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員，或涉嫌病毒的使用者，同時自己記入病毒檔案。 (5)工作站掃描 基于服務(wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤，有效的方法是在服務(wù)器上安裝防毒軟件，同時 在上網(wǎng)的工作站內(nèi)存中調(diào)入一個常駐掃毒程序，實時檢測在工作站中運行的程序。 (6)對用戶開放的病毒特征接口 大家知道病毒及其變種層出不窮。如何使防病毒系統(tǒng)能對付不斷出現(xiàn)的新病毒？這要求開發(fā)商能夠使自己的產(chǎn)品具有自動升級功能，也就是真正交給網(wǎng)絡(luò) 17 用戶防治病毒的一把金鑰匙。用戶隨時將遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動將病毒特征加入特征庫，以隨時增強(qiáng)抗毒能力。在上述四種網(wǎng)絡(luò)防毒技術(shù)中， Station Lock 是一種針對病毒行為的防治方法， StationLock 目前已能提供 Intel 以太網(wǎng)絡(luò)接口卡支持，而且未來還將支持各種普及型的以太令牌環(huán)(TokenRing)網(wǎng)絡(luò)接口卡。特別是當(dāng)連網(wǎng)的機(jī)器很多時，利用這種方法比為每臺工作站都安裝防病毒產(chǎn)品要 節(jié)省成本。 安全管理隊伍的建設(shè) 在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。網(wǎng)絡(luò)內(nèi)使用的 IP 地址作為一種資源以前一直為 某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對本網(wǎng)內(nèi)的 IP 地址資源統(tǒng)一管理、統(tǒng)一分配。只有共同努力，才能使計算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。它是提供信息安全服務(wù) ,實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。要使一個防火墻有效，所有來自和去往 Inter 的信息都必須經(jīng)過防火墻并接受檢查。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護(hù)了。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻 ,所以網(wǎng)絡(luò)環(huán)境變得更安全。防止內(nèi)部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離 ,而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 分組過濾 (Packetfiltering)。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端 ,其余數(shù)據(jù)包則被從數(shù)據(jù)流中 丟棄。 防火墻的技術(shù)原理 目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種： （ 1）包過濾技術(shù) 包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。而那些不符合規(guī)定 的 IP 地址會被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。目的 IP 地址 。TCP/UDP 目的端口。 缺點： 1）過濾規(guī)則難以配置和測試。 3）對一些協(xié)議，如UDP 和 RPC 難以有效的過濾。其主要 思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。當(dāng)代理服務(wù)器接收到用戶請求后，會檢查用戶請求合法性。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù) 【 9】 。 （ 3）狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點。同包過濾技術(shù)一樣，它能夠檢測通過 IP 地址、端口號以及 TCP 標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。 狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。這樣，通過對各層進(jìn)行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡(luò)安全的目的。 要想建立一個真正行之有效的安全的計算機(jī)網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。 當(dāng)把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運行安裝程序，就可以進(jìn)行瑞星個人防火墻下載版的安裝了。 啟動個人防火墻，當(dāng)出現(xiàn)如圖 下所示的窗口后，在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶 ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。 2）升級 第一步網(wǎng)絡(luò)配置： ?打開防火墻主程序 ?在菜單中依次選擇【設(shè)置】 /【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口 ,如圖 21 圖 1。 2。點擊【確定】按鈕完成設(shè)置 小提示： 1。 2。 3。 第二步：智能升級 完成網(wǎng)絡(luò)配置后，進(jìn)行智能升級的操作方法： 方法一：點擊主界面右側(cè)的【智能升級】按鈕，圖 示 : 圖 方法二：在菜單中依次選擇【操作】 /【智能升級】 方法三：右鍵點擊防火墻托盤圖標(biāo)，在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序 啟動瑞星個人防火墻軟件主程序有三種方法： 方法一：進(jìn)入【開始】 /【所有程序】 /【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。 方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動”上的【瑞星個人防火墻】快捷圖標(biāo) 22 即可啟動。如圖 示 : 圖 操作按鈕： 位于主界面右側(cè)，包括【啟動 /停止保護(hù)】、【連接 /斷開網(wǎng)絡(luò)】、【智能升級】、【查看日志】。 7 示 : 圖 功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點擊將重新啟用防火墻的保護(hù)功能，您也可以通過菜單項【操作】 /【停止保護(hù)】來執(zhí)行此功能；將您的計算機(jī)完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉 Modem 一樣。這是在遇到頻繁攻擊時最為有效的應(yīng)對方法；已經(jīng)斷開網(wǎng)絡(luò)后，此項將變?yōu)椤?連接網(wǎng)絡(luò)】，點擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過菜單項【操作】 /【斷開網(wǎng)絡(luò)】來執(zhí)行此功能；啟動智能升級程序?qū)Ψ阑饓M(jìn)行升級更新；您也可以通過菜單項【操作】 /【智能升級】來執(zhí)行此功能；啟動日志顯示程序；您也可能通過【操作】 /【顯示日志】來執(zhí)行此 23 功能。如圖 3。 8 安全級別： 位于主界面右下角，拖動滑塊到對應(yīng)的安全級別，修改立即生效。 規(guī)則設(shè)置 配置防火墻的過濾規(guī)則（如圖 3。 9 防火墻技術(shù)在校園網(wǎng)中應(yīng)用 一、 安裝防火墻 防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。 二、 校園網(wǎng)防火墻系統(tǒng)的配置 假定校園網(wǎng)通過 Cisco 路由器與 INTERNET 相連。 1) 對進(jìn)入 CERNET 主干網(wǎng)的存取控制 2) 對網(wǎng)絡(luò)中心資源主機(jī)的訪問控制 ,網(wǎng)絡(luò)中心的 DNS、 Email、 FTP、 WWW 等服 務(wù) 器 是 重 要 的 資 源 , 要 特 別 的 保 護(hù) , 可 對 網(wǎng) 絡(luò) 中 心 所 在 子 網(wǎng) 禁止 ,DNS,Email,WWW,FTP 以外的一切服務(wù)。為防止 IP 地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問 Inter進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時進(jìn)行 IP地址和以太網(wǎng)地址檢查 ,盜用 IP 地址的數(shù)據(jù)包將被丟棄 ,并記錄有關(guān)信息 。防止 IP 地址被盜用的徹底解決辦法是 :代理服務(wù)器防火墻和捆綁 IP 地址和以太網(wǎng)地址 ,對非法訪問的動態(tài)禁止一旦獲得某個 IP 地址的訪問是非法的 ,可立即更改路由器中的存取控制表 ,從而禁止其對外的非法訪問。 25 結(jié)論 計算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，一個安全的計算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和每個使用者的安全操作等都有