2003年,中国几乎所有使用计算机的人应该都记得了“冲击波”这个词汇。专门针对微软Windows 2000、Windows XP和Windows 2003中所存在的一个RPC漏洞而设计的一个蠕虫大范围爆发,跟随起来的就是网络的大范围堵塞以及使用这些版本操作系统的计算机不断重启。于是人们可以看到一个很有趣的现象,那就是各个反病毒软件厂商都抢着发布自己的“冲击波”专杀工具并且大力宣传自己的个人计算机安全解决方案,同时各个BBS都在大量讨论这个小小的蠕虫是什么以及如何对付。“冲击波”给国内用户的这种体验,大大增加了反病毒软件厂商各种安全产品的出货量。在这以后,关注自己计算机在网络中安全问题的人多了起来,各种计算机安全软件被大量的讨论,这是一个好事情,在这同时,我想也应该关注一下这些讨论中出现的误区。
误区一:杀毒软件只安装一次便一劳永逸
在“冲击波”爆发以后,很多用户都去采购了杀毒软件安装上了,并且把“冲击波”从自己的计算机里面清理了出去,但是有的用户很快就发现,自己的计算机在后来又出现了一些跟“冲击波”相似,但是更古怪的情况,这就是紧接着“冲击波”出现的“冲击波杀手”,于是有人开始抱怨自己买的杀毒软件是次品。但其实这些人并没有意识到一个问题,新产生的计算机病毒是变化的。面对一个变化的东西,针对它的解决办法就是跟着变。杀毒软件作为计算机病毒的解决办法,必须针对不断变化的病毒更新它们各自杀毒所依赖的病毒库(或者叫病毒签名)。杀毒软件是可以对付新产生的病毒的,但是前提是必须得去升级它。
另一种情况则是一些用户把杀毒软件安装后就万事大吉了,并关闭了杀毒软件中重要的实施监控程序,指望杀毒软件安装后就立即起到保护作用,但实际上杀毒软件来以防护计算机的手段就是通过实施监控程序对病毒的行为进行阻断,关闭了实施监控也就关闭了杀毒软件对自己计算机的保护。因此开启杀毒软件的实施监控程序至为重要。
误区二:杀毒软件可以实现防火墙的功能,或者反之
二者的简单定义是:防火墙的作用就是为用户的联网计算机提供网络安全防护;杀毒软件的作用是为用户的计算机(不论是单机还是联网环境)提供计算机病毒防护和查杀。从这两者的作用上就可以发现,二者的功用根本不能重叠,一个是提供网络防护,一个则是提供病毒防护。在联网环境下,二者可以互补,但功能上是井水不犯河水。
国内一些用户对这两者的概念模糊可能要归结到厂商的宣传模糊了两者之间的界线。厂商往往把杀毒软件的实施监控程序称作“病毒防火墙”,这的确很形象,但是他们没有意识到将实施监控程序命名为病毒防火墙会跟网络防火墙(也就是一般意义上的防火墙)产生名称上的模糊,从而让初级用户概念混淆,导致他们认为这两者可以互相实现对方的功能,只需要其中一个就可以获得全方位的防护。这种概念的区别是必须要弄清的。
误区三:防火墙多安装几个更有安全保障
这个问题在很多人的计算机使用过程中都出现过,包括一些计算机专业的学生。安装多个杀毒软件并打开监控程序会导致操作系统的运行不正常,甚至是致命错误,因此多数人都会在经历一次异常以后吸取教训。防火墙软件则不同,安装两个或者多个防火墙可能并不会造成严重的系统错误,但并不代表不会出现严重的系统错误,在底层驱动程序上存在的潜在冲突如果出现,完全可以让操作系统无法运行。防火墙软件直接监视TCP/IP协议栈的工作,并依据用户自定义或者内置的规则对数据包进行筛选,如果同时运行两个或者多个防火墙,则存在因同时动作而引起的CPU资源占用大幅上涨的可能,同时毫无疑问多个防火墙会浪费更多的内存资源。
在防护效果上,多个防火墙并不会带来防护效能的叠加。有的人可能发现自己在同时运行了两个防火墙的时候出现了一个防火墙拦截一部分异常通讯,另一个防火墙拦截另一部分的情况,这看起来很像两个防火墙各自有各自无法拦截的通讯,但是这么想的人往往忽略了一个问题:在规则相同的情况下,当一个防火墙拦截掉了符合规则的通讯的时候,另一个防火墙还能拦截什么?防火墙的工作效率肯定会有差别,规则的完善与否也会影响到防护效能,这时候可以更换一个品牌的防火墙软件,但请记住,同时安装多个防火墙并运行是个既浪费钱又浪费系统资源的举动。
误区四:封闭端口是带给自己网络安全的唯一办法
在一些论坛的安全讨论区可以看到这样的讨论:经过XX在线扫描发现自己的XX端口是开放的,怎么办?也经常可以听到讨论端口状态是怎样才算最安全,事实上这样的内容在很多论坛都存在。这里首先要弄明白一点,什么是端口?端口可以这样理解:应用程序如果需要通讯,或者是计算机上需要主持一项服务,就必须先要建立一个从本机到网络的通道(这个通道是逻辑意义上的,建立在TCP/IP协议栈上,TCP/IP协议栈去和物理设备打交道),而这个通道就是端口。木马和蠕虫也是程序,它们要通讯,也要打开相应的端口,由于大部分的木马和蠕虫是使用固定的一个端口进行通讯,所以很多人封闭通过封闭端口来达到阻止它们通讯的目的。另一方面,Windows那些默认打开的著名的服务,如NetBIOS,连带随“冲击波”而被人广泛认识的RPC服务,让很多人记住了诸如139、135、137这样的端口号,并且想方设法的堵住这些端口。这样封闭端口的确起到了一定防护效果,于是很多人热衷于了解各种恶意程序所使用的端口,并且弄了很多的所谓“IP规则包”去封闭这些端口,但是网络安全真的是这样么?
TCP/IP端口作为各种服务和应用程序通讯的通道,是受到管理的,一般而言,端口号低于1024的端口称为保留端口(或已知端口、低端端口),是由IANA通过RFC文档定义的,每个端口由固定的服务使用。而大于1023的端口称为随机端口(或者高端端口),应用程序可以随机打开,并在使用后关闭。封闭那些“危险”服务和木马、蠕虫使用的端口,可以阻止这些有害通讯,但是这有一个前提,那就是这些程序所使用的端口必须不变化,一旦发生变化就要去定义新规则重新封闭端口,这对那些只在几个端口之间变动的木马和蠕虫而言还好说,但如果那个木马和蠕虫大范围的变动端口呢?况且这些随机端口并不是只有木马和蠕虫使用,任何程序都可以调用,就算恶意程序不变化端口,但当正常程序与这些恶意程序所使用的端口正好一致呢?针对大范围变动端口的恶意程序,有人做出来“IP规则包”封闭了那一整段的端口,并且随着恶意程序的增多,封闭的端口越来越多,范围越来越大,最终导致自己最终无法上网。
封闭端口可以阻断恶意程序的通讯,但是进行这个操作的前提是自己要了解TCP/IP的相关原理。事实上很多网管应该有感受,“冲击波”爆发的时候,通过在汇聚层甚至接入层封闭掉“冲击波”使用的端口,可以很好的阻止“冲击波”的传播。但网络安全不是靠封闭端口带来的。经常性的更新操作系统,并升级自己的反病毒软件;不去那些不可靠的站点随意下载软件并运行;使用强健的管理员密码,并为自己的共享资源设置密码,等等这些习惯对网络安全而言比单纯的封闭一些端口要行之有效得多。
误区五:迷信简易在线检测
随着防火墙产品厂商的增多,一些厂商想出了新的办法吸引消费者,这就是所谓的在线安全检测。
通过打开这些厂商的检测网页,网站即开始对用户的机器进行在线的检测,在等待一段时间后就会反馈给检测者一个报告,报告内容一般是检测者开放了XX服务,XX端口开放等。这种检测是可以提供给检测者关于自己网络状态的报告,但是问题是有的人把这种检测说成了来自某某厂商的“权威检测”,产生迷信。实际上有很多人忽略了这些检测提供方的意图,那就是让更多的人用它们各自的产品,而这些“权威检测”往往是针对本厂商的产品设计的,自己的产品在检测时绝无可能被报告“不安全”。再者,有不少人的机器处于局域网环境中,通过局域网网关于Internet相连,这样他们在进行这类检测的时候,可能会被报告成非常安全,但实际上他们获得的只是检测网站对自己所在局域网网关(或防火墙)的检测报告;有时候因为局域网内部需要,在网关上开放了一些个人用户一般不会用的端口,比如23和80端口,而正好进行了在线检测的话,检测网站则会给出一个不安全的结论,这可能会让一些人心里不安,认为自己所用的防火墙软件很不可靠,并且四处检查自己怎么会开放了这些端口,但实际上他们没有意识到局域网网关的存在。
事实上一个完整的网络安全检测并非是这类简单的在线检测能够完成的,本地的漏洞和来自外部的可能威胁都应该被检测,这需要由一套安全评估软件来进行,这类软件根据已公布的各种漏洞清单扫描本地操作系统漏洞,并模拟来自外部的入侵和攻击,进而得到一个全面的检测报告,这个报告才是真正应该被关心的。
因此,不要迷信这类在线检测,它们的检测结果并不权威,如果需要进行安全检测,至少应该在本机安装一套安全评估软件进行检测,比如Eeye出品的Retina。
误区六:盲目追求安全
如果说前面五个误区产生在初学者人群中多一些的话,应该说这种情况更多的发生在那些对安全有一定认识的人身上。因为对安全有了一定认识,所以对安全的追求非常热烈:他们安装上所有的操作系统更新;频繁升级自己的反病毒软件;
