|
||||||
|
||||||
| 抛弃占用资源[de]防火墙,自己做好防护工作 作者 littlekids 2003-8-5 09:54 AM 发表于 轩辕精品论坛 我相信大家总有这种感觉,总是怕别人入侵自己[de]电脑,但是用了防火墙又影响了自己[de]电脑[de]性能,很希望能由一个比较完美[de]解决方案。而我作为一个网络管理员,在实践中也积累了一定[de]经验,希望在这里和大家交流一下,怎么样才能舍弃浪费系统资源[de]防火墙,自己解决系统防护问题。 我管理[de]网络是以WIN2000 SERVER为基础[de]P2P+P2S[de]混合路由网络,所以必须注重外来和内在[de]攻击威胁。而我[de]做法通常如下:(WIN2000) 1、安装系统过程中,明确分区[de]职能,必须使用NTFS分区,软件与系统[de]分区不能混淆,而且要考虑临时文件[de]存放分区,举个例子,DELL POWEREDGE S4400服务器,实行RAID 0配置,共60G容量,容错,分成C\D\E\F共四个区域,其中C:作为系统分区,除此之外皆免,D:作为软件分区,顾名思义,只作服务器软件安装用途,E:可以考虑作为WEB\FTP\SMTP服务之用,F:纯粹[de]临时文件分区,就是在安装系统之后,通过我[de]电脑---〉单击右键,选择属性---〉高级---〉环境变量中设定用户临时变量存放路径以及系统临时变量存放路径为F:\TEMP,加上在INTERNET选项中把其中[de]临时文件夹移动到F:。 2、设置各分区[de]用户权限,把EVERYONE权限级别降低,使其与USER或GUEST用户组[de]权限相当。然后加入ADMINISTRATOR用户组,赋予全权。 3、进入管理工具,配置用户,把默认配置[de]用户(除ADMINISTRATOR)全部停权,对ADMINISTRATOR用户更名,配备超级密码(例如:hfxe2771016&&)*@!),然后新增用户,赋予全权并配备超级密码,作为admin[de]后备账号,然后新增用户,更名为ADMINISTRATOR,赋予最低权限并配备超级密码,作为入侵陷阱。 4、服务配置。 关闭不需要[de]服务,例如Fax Service、Indexing Service、Messenger、Task Scheduler等等,对其进行停用及禁止配置。 每一项服务都对应相应[de]端口,比如众如周知[de]WWW服务[de]端口是80,smtp是25,ftp是21,win2000安装中默认[de]都是这些服务开启[de]。对于个人用户来说确实没有必要,关掉端口也就是关闭无用[de]服务。 “控制面板”[de]“管理工具”中[de]“服务”中来配置。 (1)关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 (2)关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务[de]管理单元提供 Web 连接和管理。 (3)关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供[de]功能是跨网传送电子邮件。 (4)关掉21端口:关闭FTP Publishing Service,它提供[de]服务是通过 Internet 信息服务[de]管理单元提供 FTP 连接和管理。 (5)关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 (6)还有一个很重要[de]就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k[de]默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您[de]共他操作。 (7)还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意[de]是运行samba[de]unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP[de]NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。 5、本地安全策略配置 (1)账户策略。 A、密码策略。设定为必须符合复杂性要求、长度最小值为8位等等。 B、账户锁定策略。设定为5分钟[de]复位账户锁定计数、30分钟[de]锁定时间、3次无效登陆[de]锁定阙值。 (2)本地策略。 其中[de]审核策略和用户权利指派,我个人认为,每台电脑[de]情况都不一样,需要自己去了解和理解[de],所以不做说明。 A、安全选项。其中[de]关闭时清除虚拟内存页面文件、只有本地用户才能使用CDROM和软驱[de]选项一定要启动,其他[de]视实际情况自己斟酌。 (3)公钥策略(不作说明) (4)本地IP安全策略 这才是电脑防护[de]重要一项,其中包括端口[de]禁止、协议[de]通讯阻止。在这里不可能详细说明,就简单举几个常用例子说一下,有什么不明白再发贴咨询。 A、关闭ICMP协议。先建立新IP 安全策略-----〉进入管理IP筛选器表和筛选器操作-----〉添加新 IP 筛选器列表-----〉设置为:源地址是任何IP、目标地址是本机IP、选择ICMP协议,确定保存-----〉进入管理筛选器操作,建立新[de]阻止动作-----〉回到刚才新建[de]IP安全策略选项,添加刚才新设立[de]IP安全规则,选定阻止动作-----〉对IP安全策略进行指定生效。 B、特定关闭139端口。与上同理,设置为源地址是任何IP、目标地址是本机IP、选择TCP协议,从任何端口到139端口,确定后添加规则,指定策略生效。 6、关闭默认共享。 (1)建立BAT文件,输入以下内容: NET SHARE C$ /DEL NET SHARE D$ /DEL NET SHARE E$ /DEL NET SHARE F$ /DEL NET SHARE IPC$ /DEL NET SHARE ADMIN$ /DEL 输入后保存,配置到启动目录,使其启动后自动执行,达到预期目的。 (2)可在注册表[de]以下位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名称主键名autoshareserver,类型为REG_DWORD ,然后赋值为0就可以了。 [HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer = DWORD[de]键值改为:00000000。 7、安装其他软件包。 (1)安装微软高级加密包(Microsoft High Encryption Pack),将服务器升级为128位加密。 默认状态下,服务器软件[de]加密状态处于较低级别,我们必须手工将其配置为128位加密。而且,这项工作应该在创建帐号和组之前进行,这样就可以保证在服务器上创建[de]所有项目都是128位加密级别[de]。 (2)安装最新[de]SP软件包和Hotfixes 。微软[de]产品是老裁缝做[de],不打补丁不漂亮[de],所以管理员们要经常访问以下地址看看是否又有新补丁面世: http://www.microsoft.com/windows2000/downloads/default.asp 。这个地址包含了大量关于Win2K[de]信息,对日常管理Win2K服务器非常有参考价值。关于HotFixes有一点需要注意:只在系统需要[de]时候才安装相应HotFix。因为,并不是每个服务器都需要所有[de]HotFix,其中有一些hotfix修复[de]漏洞只存在于某些特定配置中。 8、安装杀毒软件,推荐诺顿[de]企业版本8.0,要经常升级 最后,建议大家还是再用X-SCAN等扫描工具进行本机[de]全面扫描,及时发现漏洞,及时修补,这样就算不安装防火墙也能达到一定[de]防护水准了,当然,除非你自己随便[de]下载不知来路[de]东西,自毁长城,那我也没有办法了。上述[de]办法中,最主要[de]就是封闭ICMP协议,以达到阻止PING和扫描[de]目的,但又不会妨碍你[de]网络活动,切记!! 因为配置服务器是1门学问,我自己配置网络[de]服务器往往需要2-3天[de]时间,步骤复杂,要我在短短[de]篇幅之内作详细[de]说明是不可能[de],所以我[de]建议难免会有疏漏,如果那位高手也精于此道,烦请补遗堵漏,以正视听。谢谢! 转载自: http://bbs.cnxy.org/cdb/viewthread.php?tid=24267 j30B0 | ||||||
| :查看相关: | ||||||