在秩序井然的企业网络中,一切都按部就班地进行:评估风险、制定战略和部署工具。用户也必须遵守有关网络安全的各项规定。家庭网络则是另一回事儿,虽然面临的安全风险也是一样的,但工具数量有限而且不太成熟。用户的技术水平又参差不齐,如一些人(就像您年迈的双亲那样)不懂得其中的风险;而另一些人(就像企业工作人员那样),精明能干但却经常马马虎虎地对待安全问题;而孩子们则是最糟糕的用户,他们拥有让防火墙失去作用的聪明劲,但却最容易受到安全风险的威胁,而且最不可能认真对待安全问题。更糟糕的是,您不能因为这个问题而解雇自己的孩子。
加固路由器
家庭网络顾问Jeff Jorvig说:“家庭网络用户甚至不知道自己需要防火墙,不懂得在他们的无线网络上启动加密和MAC地址过滤功能的好处。不过,连我都会在自己的孩子使用Napster、Kazaa和LimeWire等免费音乐共享程序时遇到问题。”
在有线和无线路由器中,最重要的安全措施是将厂商提供的缺省管理员口令修改为复杂的由数字和字母组成的口令。一些人(如Believe IT公司的Scott Whitesell)则采取进一步的措施,不让网络所有者知道路由器的口令。他说:“这可能显得有点不近人情,但是路由器口令属于那类用户不知道就不会伤害他们的东西。”
然而,即使采用最安全的设置,路由器仍不能保护自己免受因下列情况受到的伤害:为玩游戏而开放不安全的端口、让ISP的管理人员进入网络或远程登录使用GoToMyPC或PCAnywhere工具。用户常常在使用后忘记手工关闭这些端口,从而使他们容易受到蠕虫和黑客的攻击。
这时,PortMagic将有所帮助。这种Pure Networks公司提供的路由器实用工具可以关闭使用后忘记关闭的无关端口。并且Pure Networks发布了Network Magic管理工具,它可以帮助用户开发简单的网络地图,并在非授权设备试图连接时报警。Network Magic还在路由器安全功能被关闭时发出报警,并在计算机离开家庭网络时关闭文件共享。
多方法加密
Jorvig、Whitesell以及他们的同行用了很多时间来对付无线网络。事实上,Jorvig去年处理过的绝大多数家庭LAN都是无线LAN。这两位专家总是关闭用户网络的服务设置标识符(Service Set Identifier,SSID),将网络隐藏起来不让外部人员看到。他们还认为面临的最大挑战是说服用户开启加密功能,甚至在提醒用户注意风险后,很多用户仍拒绝花时间配置加密功能。
什得庆幸的是,设置加密功能在一些较新的路由器上变得非常容易,如Linksys Wireless G和SpeedBooster,这些路由器根据用户创建的口令短语利用有线等效加密(WEP)和Wi-Fi保护接入(WPA)进行加密。并且,Linksys发布了用于其路由器上的按钮加密功能,当用户按动PC设置屏幕上的一个软件按钮时,路由器上的加密按钮也同步按下。Buffalo Technology的AOSS和WLAN芯片制造商Atheros的Jumpstart也具有类似的功能。当然,这些功能若想发挥作用,所有的产品都必须使用同样的技术。
新兴厂商OTO Software总裁Chris Basham说,尽管加密功能是个良好的开始,但无线网络需要更强的保护。Basham认为口令短语可能被猜出或破译,而且甚至在开启加密功能时,网络MAC地址仍以实际方式传输。OTO的Wi-Fi Defense网络工具自动启动MAC地址过滤功能,使只有指定的设备才能连接在网络上。目前,用户必须手工启动路由器上的MAC地址过滤功能,这意味着需要在路由器界面输入每台PC的IP地址。
桌面卫士
一家制造公司的PC技术员Brian Milovich说,即使有了这些最新的改进,路由器仍不能提供足够的网络保护。Milovich还经营着一家拥有大约20位客户的小型家庭网络咨询公司,客户主要来自他的朋友圈。当移动计算机连接在公共接入点时,文件共享保护不能阻止蠕虫和病毒。Milovich说:“假如用户的笔记本、PC在公共网络上受到感染,然后将感染的病毒带到家中,病毒就会传染所有共享的文件夹。”
当PDA、MP3或手机通过USB口连接时,路由器不能阻止病毒和特洛伊木马进入PC。特洛伊木马已经开始在蓝牙无线手机中间传播,而蠕虫和病毒在无线网络间传播只是时间问题。
因此,Milovich和Whitesell作为额外的一层安全防线,在用户的家庭PC上安装软件防火墙。两个人都喜爱Zone Alarm的免费产品,因为该产品可以阻止外向的恶意传输流。Milovich说:“我喜欢将我的客户带到一个垃圾网站上,让他们看看Zone Alarm是如何因阻止坏东西而不停地发出警报的。”但是,这些报警可能会把用户搞糊涂。Whitesell说:“这是他们最难搞懂的事情。一个对于用户来说像是希腊文、显示‘该程序试图访问Internet’的弹出窗口,可能是发出连接请求的IE关键组件。他们选择了‘No’,结果让IE失去了作用。”(美国《Network World》供本报专稿)