八卦局域网 走出迷魂阵
——为你澄清局域网安全误解

    近来，小张的单位总出怪事，一些同事在单位计算机上的内部资料莫名其妙的“人间蒸发”了，单位没有专职的网络管理员，小张只有请来一“半仙”为局域网把脉诊断，“半仙”查看了内部局域网内出现怪事的计算机，花了半天时间，驱妖降魔，从此小张单位上的计算机再没有出现怪事。原因何在？大家首先会想到是网络安全的问题，可能是有黑客入侵了计算机，删除了同事计算机中的内部资料。真是这样的吗？听听“半仙”怎么说吧。

    讲述网管自己的故事
    我就是那个“半仙”，其实我既不会算命，也不会驱妖降魔，只不过是一个有七年网管经验的系统管理员。小张单位发现的事也并不怪，因为随着网络的遍及，越来越多的单位内部都组建了局域网。很多用户在充分利用局域网共享优势的同时，忽视了局域网的安全问题，其实在局域网内仍然存在不少安全隐患。能用到互联网上的各个黑客工具，同样适用于局域网，再利用局域网内的共享和服务的特点使黑客入侵和网络蠕虫病毒的感染更为便利，因此一定要有正确的局域网安全意识，本文就是帮助你消除对局域网内部安全知识的一些盲点，保证局域网内计算机的安全。

    误解一：局域网单机无须再装杀毒软件

    这是一个很普遍的安全误区，不少用户认为局域网中的代理服务器上已安装了杀毒软件和防火墙，下面的单机无须再安装了，其实这种认识是错误的。网络蠕虫病毒离不开局域网这个大环境，都是在局域网内部蔓延的。由于蠕虫病毒大都具备自我复制的特征，它们不会仅限于网络中的一台计算机上发作，中毒计算机往往还会将病毒在局域网内蔓延开来，使其他用户也中招，其中毒后的顽固程度也比清杀一个单机的病毒要严重许多。经常会发生这种情况，刚把小张计算机的病毒清干净重装了系统，而小李的计算机却因未装杀毒再次被感染，又反复感染小张的，这样反反复复久杀不绝，今年众所周知的“熊猫烧香”病毒就是这样一个典型的蠕虫病毒。既然局域网内必须安装杀毒软件，那么怎样安装才是更有效而合理的呢？

    ★实例：以一个50台的局域网为例来看看局域网内杀毒软件怎样配置安装，局域网内有一台WEB服务器，一台数据库服务器，48台单机，一般有两个方案比较实用：
一是对于安全性能要求高的服务器可以在WEB服务器上用LINUX操作系统就可以不装杀毒软件，单机上用网络版杀毒软件；
二是相对安全性能没有那么高的服务器（如安装的Windows2003操作系统的服务器），可以在WEB服务器上安装网络版杀毒软件的服务端，其余装客户端，ISA Server装在局域网内的任一单机（如网管的单机上，但一定要内存大）。

    ★小知识：ISA Server是微软出品的一款网络防火墙，具有防火墙和代理服务器的功能，而且具有web缓存，也就是说，可以对内部网络的web页面访问请求缓存下来备用。公司里有200台客户端，都通过ISA上网，当其中一台客户端访问www.microsoft.com/china这个web页面的时候，ISA就会把这个页面缓存下来。当然另外的客户端访问的时候，ISA不会去网络下重新下载这个页面，而是直接从缓存里将这个页面取出，发送给客户端，从而实现加速web的访问。利用ISA的深度防护功能，可以屏蔽、控制一些软件的使用或者下载，例如QQ、BT等，还可以避免网页挂木马对内网的影响。

    ★小提示：
    1.每台单机同样也必须安装杀毒软件和防火墙，并且必须及时升级。
    2.不要以为所有出去的信息都是无害的，现在有很多反弹木马，能够主动向外连接客户端。因此Windows XP SP2内置的防火墙默认设置不能防止反弹木马，可以考虑更换其它功能全面的防火墙。

    ★小资料：2007年八款杀毒软件评测附表

    误解二：安装了杀毒软件和病毒防火墙就万无一失

    通常情况下，一台普通计算机安装了杀毒软件和病毒防火墙之后（图1），可以帮助我们阻挡大多数已知的病毒，但并不是说安装了杀毒软件和病毒防火墙后，我们就可以随意在网上访问，而不会被感染病毒了。因为目前主流杀毒软件的原理是“特征码对照法”，
我们只有在病毒发作后，再提取病毒特征码加入到杀毒软件中，当杀毒软件查毒时检测到相同的病毒特征码时，它才会把具有病毒特征码的程序当作病毒清杀掉，因此用户只有升级病毒库杀毒软件才具有防备能力。

图1

    ★防范措施：不要访问不良网站，一般拒绝访问过程中的杀毒软件弹出的要修改注册表的未知程序。
3.随时注意检查病毒实时监控和防火墙的状态，许多病毒、黑客软件有关闭防火墙的功能，一旦你发现自己的防火墙无故被关，一定要注意了，赶紧使用最新的杀毒软件查杀。

    ★小知识：什么是“特征码对照法”？通俗地说是在病毒爆发时，杀毒软件编写者会提取病毒代码中最具特点的一段作为特征码加入到杀毒软件的病毒库中，当用户安装好杀毒软件并升级最新病毒库后杀毒软件就会对本机计算机接收的所有数据进行扫描，一旦又符合特征码的数据就认为它是病毒，从而杀之。
虚拟机方法：是杀毒软件提出的另一个原理。它不需要一一核对数据的特征，而是在其内部虚拟一个真实的硬件环境，所有需要执行的数据现在这个虚拟的硬件环境里执行一次，然后对其行为进行判断，这是一种很超前的思想。但目前各大杀毒软件厂商对此技术还在试行研究阶段。

    ★“特征码对照法”三大弊病：一是具有滞后性，病毒先发作，我们才能提取特征码加入到杀毒软件中，因此用户只有升级病毒库杀毒软件才具有防备能力。二是杀毒原理不稳定，病毒编写者甚至无须修改特征码，只需稍微移动一下特征码的位置就能开发出所谓的变种病毒，这时杀毒软件又需要重新更新病毒码。三是占用资源高，由于杀毒软件需要对所有计算机出入的数据进行检测，因此需要耗费很高的硬件资源，而且不同厂商的算法不同，耗费资源的大小也不同。基于以上原理，我们可以知道杀毒软件不可能囊括完所有的病毒特征，即使杀毒软件保证了及时更新，仍然不可避免会有病毒通过网页或者其他方式入侵或者感染，所以不能认为安装了杀毒软件和病毒防火墙就万无一失。