PersonalCorpus 版 (精华区)

                          初级上网安全注意事项
    
    首先声明：这篇文字针对的是最普通的上网用户，讲的是最初级的安全措施。如果
你是一位资深的安全专家，那么请不要看这篇文字。

    普通上网用户通讯途径无非是以下几种：拨号上网（包括Modem，ISDN等），专线上
网（DDN，局域网等）。对于网络安全来说，其最大区别是：前者动态IP，后者定态IP。
下面对这些上网用户谈一些最基本的安全措施。

    （一）尽可能的隐藏好你的IP。试问如果不知道你的IP，那么别人还能对你做些什
么？顶多能给你发发邮件炸弹、ICQ炸弹了。当然我指的是远程主机，对于局域网内搞
监听的问题不在本文讨论范畴内。既然一切远程攻击都必须从你的IP入手，那么隐藏好
你的IP就是至关重要的问题了。

    怎样隐藏自己的IP呢？隐藏IP并不容易。比如说要上工大的BBS，那么你的IP（或
域名）将不可避免的出现在别人面前。如果要上这类无法隐藏远程登陆IP的站点或者一
些显示IP的聊天室的话，最简单的解决办法是找一个代理服务器。如此一来，那些显示
IP的地方显示的将是代理服务器的IP，你就安全了。除此之外，IP泄漏还会发生在点对
点的传送时，比如说OICQ。众所周知，OICQ发信息时，会先试着点对点的传送。如果点
对点不通的话，它才会发往腾讯的服务器转发。本来这些IP是对用户隐藏的，但是如果
我用了一个破解版的OICQ，或者我熟悉协议，直接把IP调出来看，隐藏就失效了。要避
免OICQ泄漏IP，可以隐身上线，这样所有的信息都将由OICQ服务器转发，IP就不会泄漏
了。我听说过有隐藏IP的工具，没有用过，不知道是否好使。如果有谁用过，请告诉我。
补充一点，对于动态IP的用户来说，不方便换来的好处就是安全。如果你不小心暴露了
IP的话，只要断开再重上一次，攻击者就找不到你了。

    （二）补好你的系统漏洞。如果你实在无法隐藏自己的IP，那么你的系统就会赤裸
裸的暴露在网络上，而恰好你的系统又是漏洞百出的话，呵呵，那你就危险了。世界上
并没有万无一失的系统，要保证系统安全的唯一方法就是及时打补丁。拿微软的操作系
统来讲，从WINDOWS 95的OOB漏洞，到WINDOWS NT的D.O.S和FTP漏洞，再到WINDOWS 98
的IGMP漏洞，个个都是臭名昭著。如果你开着这些漏洞上网的话，那么随随便便一个菜
鸟级的人都可以拿着个漏洞攻击工具让你断线、蓝屏、死机。所以说，补好系统漏洞是
至关重要的。哪怕别人不知道你的IP从而无法攻击你，补漏洞也只有好处没有坏处。

    （三）装网络防火墙。一个好的防火墙可以把大部分的攻击和病毒都拒之门外，对
于普通上网用户来说，这已经足够了。这些防火墙的原理一般都是进行过滤，拒绝接受
一些非正常的ICMP（比如PING程序查询）、IGMP报文，或者拒绝回应，这样对方根本无
法与你的主机建立联系。我用的防火墙是LOCKDOWN，它还能监视端口扫描和共享连接。
如果有人扫描我1024以上的端口或者试图访问我的共享，它会弹出来报警，并且自动回
PING和跟踪（TRACE），查找攻击者的来历。

    （四）严防木马程序。一旦中了木马程序，你的主机将没有任何隐私可言。木马程
序不下几千种，象病毒一样无孔不入。比较著名的木马程序有BO，国产的冰河等。对付
木马程序也应该像对付病毒一样，定期更新，定期查找。我用的LOCKDOWN是最著名的查
木马程序之一，它还能监视SYSTEM.INI和WIN.INI文件的变动，将木马程序的开机驻留
暴露出来。如果你没有查木马的程序，那么只好辛苦一点了：1开机后按下CTRL+ALT+DEL
看看是否有没见过的程序在运行；2上网后察看自己的端口，看看是否有可疑的非知名端
口在开着。但由于TCP建立连接后会改用其他的非知名端口，所以这个方法并不能保证正
确性。

    （五）小心电子邮件。一个忠告：在没有安全措施（比如没开病毒防火墙）的时候
不要打开任何附件，"I LOVE YOU"可不是好惹的！电子邮件是网络病毒传播的最主要途
径。邮件炸弹也是一个问题。虽然邮件炸弹与我们在这里讨论的网络安全并无多大联系，
在此也顺便说几句。要防炸弹，可以在邮件服务器设置大邮件拒收，发信人拒收等服务，
再就是可以用远程邮件服务程序进行远端操作，删掉垃圾邮件。除此之外，还要防止别
人冒充你发邮件。一个方法是用数字签名，此法一般在国内不是很常用。另一个方法是
使用需要发邮件身份验证的服务器。这样就可以杜绝他人冒充你的信箱地址发邮件了。

    以上是一般用户上网的安全措施。本文内所说的一般用户是区别于服务器主机而言
的。对于这些用户来说，这些安全措施已经足够了。最后祝你们网上冲浪玩的愉快！