安全軟體經驗雜談

psac · 2006-04-04, 05:06 PM

安全軟體經驗雜談

恐怕對很多人來說，最痛苦的就是防火牆的選項。一會兒覺得ZA好，一會兒又覺得OP好，接下來又來了一個jetico。。。殺毒軟體也是，到底用卡巴好呢，還是用NOD32?聽說Mcafee也不錯。。。。。
沒有最好的，只有最適合你的。我認為在不互造成衝突的情況下，還是應該選項自己最熟悉的組合，這樣即使出了問題，自己也好解決。
對於大多數人來說，我覺得我下面的選項對他們來說是足夠了。

先說網路防火牆，到底選哪種？
這個要看你的實際情況。假如你是處於局內網、區域網路中，你需要防止ARP欺騙等類似的情形下，你可以選項一款專業的網路防火牆軟體。但是有個問題，所謂的專業防火牆軟體真的能防住arp欺騙嗎？比如ZA，口碑非常好的一個軟體，5.5以上的版本都是帶有防ARP欺騙功能，但是實際上ZA對於網路閘道的ARP保護並沒有效果，同區域網路機器可以使用ARP欺騙進行攻擊致使無法上網。使用專家項設定IP和MAC綁定也無效果。同時ZA裡存在一個安全問題，允許未使用權用戶在本機區域網路安全性設定下連線到該防火牆保護的主機。Sygate Firewall也帶有防arp欺騙功能，我沒有用過，因此不好下結論。但是可以肯定的一點是，與其被動的利用防火牆來做防禦，不如主動的出擊。
第一，可以利用一些修正檔程序來進行免疫 http://bbs.crskSy.com/read.php?tid=602563
我以前在這裡發過一個修正檔程序，但是因為條件有限，我無法進行試驗，還有待大家嘗試以後來驗證。
第二，有幾篇相關的文章，大家有興趣可以看一下
http://www.zhongzi.net/netschool/arp-qipian.htm
http://www.manbu.net/Lib/Class7/Sub5/1/19.asp
http://www.router.net.cn/Article/Net...0603/4093.html

在解決了ARP的問題以後，我們還是應該選項一款防火牆。對於絕大多數人來說，我認為Windows XP SP2原有的的防火牆已經足夠了。因為對於普通用戶，我們只需要防止一些來windows系統漏洞帶來的攻擊和一些非專業黑客人士的騷擾。真正的黑客要攻擊你，你裝上硬體防火牆也無用。所以我們並不需要再用一個龐大的防火牆來消耗系統資源了。但是如果Windows XP SP2原有的的防火牆也出現問題了，怎麼辦？沒關係，我們還有第二層保險，就是IPSEC原則。

IP安全原則是我們很容易忽視的一個法寶，合理的套用他可以封閉很多木馬連接阜，以及對應用程式開放規則的篩選。這也是一個很麻煩的設定，不過還好有高手做好了很多現成的原則包，這裡推薦一個我認為比較全面的（全面的意思是規則很多，但是也有可能造成部分軟體無法接入網路，不過比較少見，目前我還沒有遇到），文末有下載。使用方法很簡單，首先確保我indows服務裡IPSEC Services出於自動模式並且開啟（在執行裡輸入services.msc可以檢視開啟），然後再控制台---系統管理工具---本機安全原則---左邊找到「IP安全原則，本機電腦」點擊，然後在右邊空白處點滑鼠右鍵選項「所有工作」---「匯入原則」，選項下載的原則包，待增加完畢後，你會發現多了一個「qf6xyz's GroupPolicy v2.24」右鍵點擊該項，選項指派就Ok了。

這裡可能會有3個問題：
第一，我前面說了這個原則包規則比較多，所以可以會造成一些麻煩，最明顯的問題就是你會無法ping通任何一個ip位址（除了你自己的），這時你可以雙按點擊該原則，進入規則項目後把第一個IP安全規則「kill ping」去掉就可以了（其實不管它也沒什麼），再遇到某些軟體無法連入網路，你也可以檢視該原則裡面是不是封閉了相應的連接阜。
第二，有些朋友在使用IPSEC的時候總是出現問題，最一般的就是無法啟動IPSEC服務（錯誤1747）。這時候你可以檢視一下網路連接內容裡是否卸載了Microsfot網路客戶端。不需要點選，但是一定要安裝得有該傳輸協定才可以確保IPSEC原則的正常執行。還有其他情況的話，可以使用一個windows的更新包（官方提供的。我已經在文末和IP原則包一併提供下載）看看能否解決問題，不行再提出來大家一起討論。
第三，區域網路內需要用到文件共享的朋友請慎用該原則包，有可能造成連接阜關閉而無法進行文件共享。

這樣設定下來就已經做好了雙保險。不過對於系統的整體安全來說這樣還是不夠的。我們需要選項一款好的殺毒軟體。又是一個頭痛的話題，我們太幸福了，那麼多好的殺毒軟體排隊等我們選，到底選哪個呢？大家都知道，卡巴殺毒能力強，NOD32帶啟發，佔用資源也小，Mcafee監控無敵。。。不過我還是推薦用卡巴2006，雖然現在還沒有正式版。因為kav2006的監控能力已經得到大大的加強，最好的一點是帶有註冊表監控，執行緒注入監控，服務注入監控，反掛鉤。。。這對於木馬入侵的防禦控制是相當有力的。不過目前kav2006還是有些不太穩定，相信正式版會有很好的改觀。這裡不推薦使用kis2006，這個版本帶的防火牆還存在很大的問題，在下載的時候（主要是迅雷和BT）有可能造成顯示藍色。也可以考慮使用江民kv2006，其實好好用過的人都能感覺，kv2006還是挺好用的，功能也全，也有前面提到卡巴2006的部分功能（不過最近在江民和卡巴的事情鬧得沸沸揚揚的，還不知道江民的前景如何）。Mcafee企業版的監控能力實在很強，但是沒有註冊表監控確實很遺憾（8.5版已經有了，不過還在beta中），而且需要相當的設定才能發揮全部的功力，雖然有很多高手做出了原則包，但是最終還是需要自己修改已適合個人的情況，所以不推薦新手使用。
當然我們可以選項一系列的組合項目，比如NOD32+ewido+PG(SSM，或者GSS)，這樣功能很全面了。但是在選項的時候一定要注意各個軟體會不會互相衝突，有衝突就趕快換了吧。

最後一點，最關鍵的就是把系統的各項修正檔打齊，包括某些軟體的安全昇級修正檔。要是系統本身就有漏洞，再好的安全軟體組合也是枉然。如果你還不確定少了什麼重要修正檔沒有裝，趕快上windows update看看吧，或者使用一些漏洞掃瞄器大陸3大殺毒軟體都帶得有，不過要注意更新

不嘮叨了，打字打到手酸，小弟才疏學淺，不正之處請各位看官多多指教！

2006-04-04, 05:06 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	安全軟體經驗雜談安全軟體經驗雜談恐怕對很多人來說，最痛苦的就是防火牆的選項。一會兒覺得ZA好，一會兒又覺得OP好，接下來又來了一個jetico。。。殺毒軟體也是，到底用卡巴好呢，還是用NOD32?聽說Mcafee也不錯。。。。。沒有最好的，只有最適合你的。我認為在不互造成衝突的情況下，還是應該選項自己最熟悉的組合，這樣即使出了問題，自己也好解決。對於大多數人來說，我覺得我下面的選項對他們來說是足夠了。先說網路防火牆，到底選哪種？這個要看你的實際情況。假如你是處於局內網、區域網路中，你需要防止ARP欺騙等類似的情形下，你可以選項一款專業的網路防火牆軟體。但是有個問題，所謂的專業防火牆軟體真的能防住arp欺騙嗎？比如ZA，口碑非常好的一個軟體，5.5以上的版本都是帶有防ARP欺騙功能，但是實際上ZA對於網路閘道的ARP保護並沒有效果，同區域網路機器可以使用ARP欺騙進行攻擊致使無法上網。使用專家項設定IP和MAC綁定也無效果。同時ZA裡存在一個安全問題，允許未使用權用戶在本機區域網路安全性設定下連線到該防火牆保護的主機。Sygate Firewall也帶有防arp欺騙功能，我沒有用過，因此不好下結論。但是可以肯定的一點是，與其被動的利用防火牆來做防禦，不如主動的出擊。第一，可以利用一些修正檔程序來進行免疫 http://bbs.crskSy.com/read.php?tid=602563 我以前在這裡發過一個修正檔程序，但是因為條件有限，我無法進行試驗，還有待大家嘗試以後來驗證。第二，有幾篇相關的文章，大家有興趣可以看一下 http://www.zhongzi.net/netschool/arp-qipian.htm http://www.manbu.net/Lib/Class7/Sub5/1/19.asp http://www.router.net.cn/Article/Net...0603/4093.html 在解決了ARP的問題以後，我們還是應該選項一款防火牆。對於絕大多數人來說，我認為Windows XP SP2原有的的防火牆已經足夠了。因為對於普通用戶，我們只需要防止一些來windows系統漏洞帶來的攻擊和一些非專業黑客人士的騷擾。真正的黑客要攻擊你，你裝上硬體防火牆也無用。所以我們並不需要再用一個龐大的防火牆來消耗系統資源了。但是如果Windows XP SP2原有的的防火牆也出現問題了，怎麼辦？沒關係，我們還有第二層保險，就是IPSEC原則。 IP安全原則是我們很容易忽視的一個法寶，合理的套用他可以封閉很多木馬連接阜，以及對應用程式開放規則的篩選。這也是一個很麻煩的設定，不過還好有高手做好了很多現成的原則包，這裡推薦一個我認為比較全面的（全面的意思是規則很多，但是也有可能造成部分軟體無法接入網路，不過比較少見，目前我還沒有遇到），文末有下載。使用方法很簡單，首先確保我indows服務裡IPSEC Services出於自動模式並且開啟（在執行裡輸入services.msc可以檢視開啟），然後再控制台---系統管理工具---本機安全原則---左邊找到「IP安全原則，本機電腦」點擊，然後在右邊空白處點滑鼠右鍵選項「所有工作」---「匯入原則」，選項下載的原則包，待增加完畢後，你會發現多了一個「qf6xyz's GroupPolicy v2.24」右鍵點擊該項，選項指派就Ok了。這裡可能會有3個問題：第一，我前面說了這個原則包規則比較多，所以可以會造成一些麻煩，最明顯的問題就是你會無法ping通任何一個ip位址（除了你自己的），這時你可以雙按點擊該原則，進入規則項目後把第一個IP安全規則「kill ping」去掉就可以了（其實不管它也沒什麼），再遇到某些軟體無法連入網路，你也可以檢視該原則裡面是不是封閉了相應的連接阜。第二，有些朋友在使用IPSEC的時候總是出現問題，最一般的就是無法啟動IPSEC服務（錯誤1747）。這時候你可以檢視一下網路連接內容裡是否卸載了Microsfot網路客戶端。不需要點選，但是一定要安裝得有該傳輸協定才可以確保IPSEC原則的正常執行。還有其他情況的話，可以使用一個windows的更新包（官方提供的。我已經在文末和IP原則包一併提供下載）看看能否解決問題，不行再提出來大家一起討論。第三，區域網路內需要用到文件共享的朋友請慎用該原則包，有可能造成連接阜關閉而無法進行文件共享。這樣設定下來就已經做好了雙保險。不過對於系統的整體安全來說這樣還是不夠的。我們需要選項一款好的殺毒軟體。又是一個頭痛的話題，我們太幸福了，那麼多好的殺毒軟體排隊等我們選，到底選哪個呢？大家都知道，卡巴殺毒能力強，NOD32帶啟發，佔用資源也小，Mcafee監控無敵。。。不過我還是推薦用卡巴2006，雖然現在還沒有正式版。因為kav2006的監控能力已經得到大大的加強，最好的一點是帶有註冊表監控，執行緒注入監控，服務注入監控，反掛鉤。。。這對於木馬入侵的防禦控制是相當有力的。不過目前kav2006還是有些不太穩定，相信正式版會有很好的改觀。這裡不推薦使用kis2006，這個版本帶的防火牆還存在很大的問題，在下載的時候（主要是迅雷和BT）有可能造成顯示藍色。也可以考慮使用江民kv2006，其實好好用過的人都能感覺，kv2006還是挺好用的，功能也全，也有前面提到卡巴2006的部分功能（不過最近在江民和卡巴的事情鬧得沸沸揚揚的，還不知道江民的前景如何）。Mcafee企業版的監控能力實在很強，但是沒有註冊表監控確實很遺憾（8.5版已經有了，不過還在beta中），而且需要相當的設定才能發揮全部的功力，雖然有很多高手做出了原則包，但是最終還是需要自己修改已適合個人的情況，所以不推薦新手使用。當然我們可以選項一系列的組合項目，比如NOD32+ewido+PG(SSM，或者GSS)，這樣功能很全面了。但是在選項的時候一定要注意各個軟體會不會互相衝突，有衝突就趕快換了吧。最後一點，最關鍵的就是把系統的各項修正檔打齊，包括某些軟體的安全昇級修正檔。要是系統本身就有漏洞，再好的安全軟體組合也是枉然。如果你還不確定少了什麼重要修正檔沒有裝，趕快上windows update看看吧，或者使用一些漏洞掃瞄器大陸3大殺毒軟體都帶得有，不過要注意更新不嘮叨了，打字打到手酸，小弟才疏學淺，不正之處請各位看官多多指教！
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告