网络攻击的第一道防线【两道防线自动阻隔攻击】

　　上午刚上班，就接到多个同事的求救电话：电脑慢得跟蜗牛一样，基本上都处于死机状态。到同事那里想方设法安装上360安全卫士，扫描之后竟然发现数十个木马。这样的电脑岂能不慢？而且，几乎所有同事的电脑或多或少都存在类似的问题――虽然每台计算机都已经安装了防病毒软件，但是没能有效地防止木马的进攻。有没有好的方法解决此类问题呢？如果将客户端计算机的被动防御（通过防病毒软件来实现）转为主动防御，就能为所有的客户端提供一个安全稳定的应用环境。
　　随着Internet的普及，网络蠕虫、恶意攻击的日益猖獗，网络对安全的要求越来越高，只要稍有疏忽，灾难便如影随形。可见，对于管理员而言，网络安全工作尤其重要。如果网络中成百上千台计算机中的每台计算机都需要管理员单独防范，那将使管理员总是处于救火状态，疲于奔命，而效率却很低，效果也很差。我们必须认识到，影响网络安全的因素除了硬件之外，最主要的是病毒、恶意代码、黑客、漏洞等。
　　
　　阻止病毒和木马主体
　　
　　在主动防御病毒和木马之前，要先清楚病毒和木马的传播机制。了解其传输机制之后，才能进行针对性的防御，做到有的放矢。计算机病毒具有自我复制和传播的特点，能够进行数据交换的介质都可能成为计算机病毒的传播途径，常见的如可移动设备，包括软盘、光盘、磁带、U盘等。互联网的大量应用也为计算机病毒的传播提供了新的渠道。现在，互联网已经成为病毒和木马的重灾区。
　　病毒和木马在计算机中以应用程序的方式体现，只有病毒和木马程序主体文件在计算机中运行才能影响到计算机的正常运行。因此，阻止病毒和木马程序主体文件进入网络也是有效的防御方法。
　　清楚了病毒和木马的传输机制，就可以在网络边界处设置一面墙，截断病毒和木马程序的传播渠道，同时过滤掉病毒和木马程序主体文件。这样，网络中的计算机就处于安全的状态，从而达到自动防御的目的。
　　防止病毒和木马主体进入网络，建议使用防火墙产品，如ISA Server。将ISA Server部署在网络的边界处，安装完成后，默认禁止任何用户访问外部网络。简而言之，在ISA Server默认状态下，病毒和木马不能进入网络，网络中的任何人也不能访问互联网。这是最安全的防护体系。如果用户要访问互联网，可以使用ISA Server的新建访问规则向导，创建一条“允许内部用户访问互联网”的访问规则，指明允许何人（用户或者用户组）在何时（工作时间或者非工作时间）访问何种网站（网站集合）。规则创建完成并应用后，授权的用户即可访问互联网。
　　在互联网中，病毒或者木马主要通过网页挂马的方式进行传播。网页病毒或者木马完全不受计算机用户控制，一旦浏览含有该病毒的网页，在没有防护措施的情况下计算机会立即被感染，给用户系统带来不同程度的破坏，同时访问网页的速度变慢，甚至带来惨重的损失。
　　利用ISA Server访问规则的http过滤器单功能，启用禁止文件扩展名访问功能，例如禁止下载exe、com、bat、pif、scr以及vbs等后缀格式文件，将禁止病毒和木马主体程序进入到网络中，禁止浏览器插件dll和ocx的下载，将禁止恶意的浏览器插件安装到用户系统中。这样病毒和木马程序主体文件不能通过互联网访问模式进入网络中，像一面虚拟的墙阻挡病毒主体的进入。对病毒和木马来说，相当于关上了大门。
　　在ISA管理控制台的防火墙策略窗口中，选择创建的“允许内部用户访问互联网”访问规则，右击该规则并选择“配置http”选项，打开“为规则配置http策略”对话框并选择“扩展名”选项卡，在“指定对文件扩展名要执行的操作”下拉列表框中选择“阻止指定的扩展名”选项。
　　单击“添加”按钮，显示“扩展名”对话框，在“扩展名”文本框中输入需要禁止的文件扩展名，如“．exe”；在“描述”文本框中输入说明信息，例如禁止从互联网下载exe文件。
　　按照同样的方法，可以添加需要禁止的文件类型。在“扩展名”选项卡中，选择“阻止包含不明确的扩展名的请求”选项，这样当访问陌生的文件类型时，ISAServer将自动禁止该类型的访问，完成安全防护的目的。
　　
　　部署密码策略
　　
　　黑客出现的历史已经有多年，黑客技术对许多人来说已经不再高深莫测，逐渐被越来越多的人所掌握。黑客以获取系统管理权限为目的，大多是通过各种系统和设置漏洞，以获得管理员密码来获得管理员的权限，然后再实现对系统的恶意攻击。弱密码会让黑客很容易破解从而顺利访问计算机和网络，而强密码则难以破解，即使是密码最终可能被破解，那也难以在短时间内实现。
　　密码是用户登录网络的钥匙。无论入侵者采用何种远程攻击，如果无法获得管理员或超级管理员的用户密码，就无法完全控制整个系统。如果密码十分简单，黑客即可轻易地进入目标系统，从而控制网络，因此，部署强密码是基本防护准则。验证网络用户的用户名和密码是防止非法访问的第一道防线。用户在注册网络时，需键入用户名和密码，服务器将验证其合法性。其中，密码是问题的关键所在。据统计，大约80%的安全隐患是由于密码设置不当引起的。
　　为了防止黑客的攻击，最基本的安全方法就是强迫用户使用强密码，禁止常用网络命令行工具的使用。强密码具备以下特征：长度至少有7个字符，不包含用户的生日、电话、用户名、真实姓名或公司名等，不包含完整的字典词汇，应该包含大写字母、小写字母、数字、非字母字符等。
　　密码策略需要和账户锁定策略配合使用，如果仅部署了密码策略而没有部署账户锁定策略，那么黑客就可以使用暴力破解的方法无限制地尝试密码，从而达到得到正确密码的目的。因此，在账户锁定策略中，建议设置为用户密码无效登录3次后，账户锁定生效。锁定账户的时间为30分钟，30分钟之后自动进行解锁，从而达到保护账户的目的。
　　密码策略和账户锁定策略需要对网络中的所有用户进行部署，在域控制器上启动组策略管理控制台，在域站点找到“Default Domain Policy”策略，不能在组织单位的层次上部署。
　　编辑“Default Domain Policy”策略，打开组策略控制台，选择“计算机配置/Windows设置/安全设置/账户策略/密码策略”选项，即可设置网络环境中的密码策略。推荐的密码策略为：启用“密码必须符合复杂性要求”策略，“密码长度最小值”为8个字符或者更高。
　　选择“计算机配置/Windows设置/安全设置/账户策略/账户锁定策略”选项，即可设置网络环境中的账户锁定策略。