為了確保單位網(wǎng)絡(luò)運(yùn)行安全，很多人想方設(shè)法，選用了各種專業(yè)安全工具，來為普通終端系統(tǒng)或網(wǎng)絡(luò)設(shè)備“保駕護(hù)航”。其實(shí)，有時(shí)大家不需要舍近求遠(yuǎn)，只要善于利用系統(tǒng)或設(shè)備自身的屏蔽功能，巧妙將一些不安全因素拒之于千里之外，就能有效提高網(wǎng)絡(luò)的安全防護(hù)水平。

屏蔽非法地址申請

在使用動(dòng)態(tài)IP地址上網(wǎng)時(shí)，必須事先向局域網(wǎng)中的DHCP服務(wù)器申請合法IP地址，才能確保上網(wǎng)成功。為了保護(hù)網(wǎng)絡(luò)連接安全，如何屏蔽非法用戶，從不可信任DHCP服務(wù)器那里申請獲得地址呢？

首先強(qiáng)制進(jìn)行域認(rèn)證。在將可信任DHCP服務(wù)器加入到指定域時(shí)，先登錄域控制器，展開DHCP服務(wù)器控制臺。右擊域控制主機(jī)名稱，執(zhí)行“添加服務(wù)器”命令，進(jìn)入添加服務(wù)器對話框，點(diǎn)擊“瀏覽”按鈕，導(dǎo)入可信任DHCP服務(wù)器主機(jī)名稱。這樣，特定域中的上網(wǎng)終端系統(tǒng)日后上網(wǎng)訪問時(shí)，會優(yōu)先向可信任DHCP服務(wù)器申請IP地址。

接著集中綁定地址。要在可信任DHCP服務(wù)器中，對合法終端主機(jī)的IP地址和MAC地址進(jìn)行集中捆綁時(shí)，先用“ipconfig /all”命令，查詢得到每臺終端系統(tǒng)的IP地址和MAC地址。之后進(jìn)入DHCP服務(wù)器主機(jī)，通過雙擊“管理工具”、“DHCP”等圖標(biāo)，打開DHCP控制臺窗口，將鼠標(biāo)定位到特定作用域節(jié)點(diǎn)下面的“保留”選項(xiàng)上，打開它的右鍵菜單，執(zhí)行“新建保留”命令，在界面的“保留名稱”位置處，輸入好特定IP地址的保留名稱，在“IP地址”位置處輸入好特定終端主機(jī)使用的IP地址，在“MAC地址”位置處輸入與之對應(yīng)的MAC地址，并將“支持類型”選擇為“兩者”選項(xiàng)，單擊“確定”按鈕后完成地址綁定操作。按照相同的操作方法，完成其他終端主機(jī)的IP和MAC地址綁定任務(wù)。

下面啟用DHCP監(jiān)聽。在網(wǎng)絡(luò)交換機(jī)具有DHCP監(jiān)聽功能的情況下，啟用該功能屏蔽非信任端口的地址申請。以H3C系列交換機(jī)為例，在啟用DHCP監(jiān)聽功能時(shí)，先以系統(tǒng)管理員身份登錄交換機(jī)后臺系統(tǒng)，通過“systemview”命令進(jìn)入全局視圖模式，執(zhí)行“dhcp-snooping”命令，啟用交換機(jī)的全局DHCP監(jiān)聽功能。此時(shí)，交換機(jī)會自動(dòng)偵聽局域網(wǎng)中存在的所有DHCP數(shù)據(jù)報(bào)文，同時(shí)限制非信任端口只能對外發(fā)送DHCP數(shù)據(jù)包，而無法接受DHCP數(shù)據(jù)包，日后即使有非法DHCP服務(wù)器嘗試接入單位網(wǎng)絡(luò)時(shí)，該功能將會對其自動(dòng)屏蔽，保證網(wǎng)絡(luò)中的終端計(jì)算機(jī)能安全穩(wěn)定地從可信任DHCP服務(wù)器那里申請IP地址上網(wǎng)。如果希望特定交換端口能正常接收DHCP數(shù)據(jù)報(bào)文，并能轉(zhuǎn)發(fā)它們時(shí)，需要將該口配置成可信任端口。例如，要將G0/2/18端口配置成為可信任交換端口時(shí)，只要在全局視圖模式下，執(zhí)行“interface G0/2/18”命令，再 輸 入“dhcpsnooping trust”命令即可。

屏蔽地址解析攻擊

局域網(wǎng)環(huán)境中，基于地址解析方式的病毒攻擊愈演愈烈，這種非法攻擊會悄悄修改數(shù)據(jù)報(bào)文中的源IP地址或源MAC地址，欺騙地址解析響應(yīng)，造成合法用戶數(shù)據(jù)流被竊。

為了保護(hù)網(wǎng)絡(luò)安全，可以巧妙配置接入交換機(jī)，來有效屏蔽地址解析攻擊。經(jīng)常采取的屏蔽措施，就是在交換機(jī)端口生成IP地址和MAC地址的綁定表，將其保存于地址池中。當(dāng)交換端口下面的上網(wǎng)終端系統(tǒng)向網(wǎng)絡(luò)發(fā)送地址解析報(bào)文時(shí)，其所包含的源IP地址和源MAC地址，與交換機(jī)地址池中的綁定關(guān)系不一致時(shí)，那么地址解析攻擊就會被交換機(jī)自動(dòng)屏蔽。以思科交換機(jī)為例，只要啟用AM使能功能，進(jìn)入基于端口的視圖配置模式，生成合法用戶的IP地址和MAC地址綁定表，日后只有來自地址池中的IP報(bào)文能通過交換端口，其他報(bào)文會被交換機(jī)的AM模塊自動(dòng)屏蔽掉。例如，要啟用交換機(jī)的使能AM，允許ethernet 0/6端口上MAC地址 為61-a4-45-7d-56-93、IP地址為10.172.22.68的用戶通過時(shí)，只要先輸入“am enable”字符串命令，啟用交換機(jī)的使能AM，再逐一輸入“interface ethernet 0/6”、“am port”、“am mac-ippool 61-a4-45-7d-56-9310.172.22.68”等命令即可。

要屏蔽以假網(wǎng)關(guān)形式發(fā)起的地址解析攻擊時(shí)，只要在特定交換端口，啟用ARP Guard功能，來保護(hù)局域網(wǎng)中的特定網(wǎng)關(guān)地址不被惡意利用。例如，要在ethernet 0/2端口上開啟ARP Guard功能，來保護(hù)10.172.22.1這個(gè)網(wǎng)關(guān)地址時(shí)，只要先在交換機(jī)后臺系統(tǒng)執(zhí)行“interface ethernet 0/2”命令，進(jìn)入特定交換端口視圖模式，繼續(xù)輸入“arpguard ip 10.172.22.1”命令，交換機(jī)日后就能自動(dòng)掃描分析來自ethernet 0/2端口上的所有地址解析數(shù)據(jù)報(bào)文，如果數(shù)據(jù)報(bào)文中的源IP地址是10.172.22.1時(shí)，交換機(jī)就會認(rèn)為它是攻擊報(bào)文，并將其自動(dòng)屏蔽掉。

屏蔽網(wǎng)頁廣告攻擊

現(xiàn)在網(wǎng)頁廣告攻擊無孔不入，對付這些煩人的攻擊，人們也采取了很多解決措施。但即使采用最專業(yè)的安全工具，仍然不能高效攔截某些廣告插件。有沒有簡單高效的方法，屏蔽這些煩人的廣告呢？

在Windows 10企業(yè)版系統(tǒng)環(huán)境中，利用不斷改善的Windows Defender程序，可輕松攔截各種形式的網(wǎng)頁廣告攻擊。盡管其他版本還不直接支持該功能，但通過巧妙編輯注冊表相關(guān)鍵值的方法，也能達(dá)到屏蔽網(wǎng)頁廣告攻擊目的。首先使用“Windows+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行對話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。在該編輯界面左側(cè)顯示區(qū)域，將鼠標(biāo)定位到“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender”注冊表節(jié)點(diǎn)上。

其次打開該節(jié)點(diǎn)選項(xiàng)的右鍵菜單，依次選中“新建”、“項(xiàng)”命令，將新項(xiàng)名稱設(shè)置為“MpEngine”。選中“MpEngine”子項(xiàng)，用鼠標(biāo)右鍵單擊之，依次點(diǎn)選“新建”、“Dword值（32位）”命令，將新創(chuàng)建的雙字節(jié)鍵值取名為“MpEnablePus”，同 時(shí) 將其數(shù)值設(shè)置為“1”。最后重新啟動(dòng)Windows系統(tǒng)，這樣Windows Defender程序的安全功能就會得到加強(qiáng)，網(wǎng)頁廣告攻擊的攔截能力也會顯示出來。

屏蔽惡意進(jìn)程攻擊

從安全角度來看，應(yīng)用程序進(jìn)程可以分成不安全、一般安全、非常安全、未知安全這些等級，系統(tǒng)進(jìn)程屬于非常安全級別，通過安全認(rèn)證的程序?qū)儆谝话惆踩燃?，病毒木馬屬于不安全等級，沒有通過微軟數(shù)字簽名認(rèn)證或有BUG的程序?qū)儆谖粗踩燃?。除此而外，在遇到不熟悉的程序進(jìn)程時(shí)，我們該怎樣檢測它們的安全等級，并將惡意進(jìn)程攻擊屏蔽掉呢？

借助Security Process Explorer這款工具幫忙，通過標(biāo)識進(jìn)程的顏色色塊，就能準(zhǔn)確檢測出陌生進(jìn)程究竟安全與否了。啟動(dòng)Security Process Explorer工具后，所有程序進(jìn)程都能被自動(dòng)顯示出來。不同安全等級的程序進(jìn)程，Security Process Explorer會使用不同顏色色塊進(jìn)行標(biāo)識，我們只要識別顏色色塊，就能快速地檢測出陌生進(jìn)程是否安全了。

如果想更進(jìn)一步了解不安全進(jìn)程信息時(shí)，可以用鼠標(biāo)右擊紅色色塊進(jìn)程，執(zhí)行“詳細(xì)信息”命令，打開不安全進(jìn)程詳細(xì)信息查看窗口。在這里，可以查看到陌生進(jìn)程的許多狀態(tài)信息，包括進(jìn)程詳細(xì)名稱、進(jìn)程運(yùn)行優(yōu)先級、進(jìn)程標(biāo)識ID以及進(jìn)程設(shè)計(jì)公司等。

屏蔽DOS工作方式

在服務(wù)器之類的重要主機(jī)系統(tǒng)中，要是允許普通權(quán)限的用戶隨意執(zhí)行一些有安全威脅的DOS命令，那么重要主機(jī)系統(tǒng)的安全穩(wěn)定運(yùn)行將無法得到保證。為了讓用戶無法輕易執(zhí)行一些安全威脅大的DOS命令，建議按照如下步驟，屏蔽掉重要主機(jī)系統(tǒng)中的MS-DOS工作方式：

首先依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“regedit”命令并回車，進(jìn)入系統(tǒng)注冊表編輯界面。將鼠標(biāo)定 位 到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies”注冊表節(jié)點(diǎn)上，在指定節(jié)點(diǎn)下手工創(chuàng)建一個(gè)“WinOldApp”子項(xiàng)。

接著用鼠標(biāo)右鍵單擊該子項(xiàng)，從彈出的快捷菜單中，逐一選中“新建”、“Dword值”命令，將新創(chuàng)建的雙字節(jié)鍵值取名為“Disabled”，用鼠標(biāo)雙擊該鍵值選項(xiàng)，彈出編輯鍵值對話框，再將其數(shù)值設(shè)置為“1”，刷新系統(tǒng)注冊表讓設(shè)置正式生效即可。

屏蔽網(wǎng)絡(luò)地址修改

在局域網(wǎng)環(huán)境中，經(jīng)常有人會隨意修改IP地址，造成網(wǎng)絡(luò)地址發(fā)生沖突現(xiàn)象。為了保持網(wǎng)絡(luò)運(yùn)行安全穩(wěn)定，怎樣屏蔽網(wǎng)絡(luò)連接地址修改功能，以禁止他人隨意調(diào)整上網(wǎng)地址呢？

依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，進(jìn)入系統(tǒng)組策略編輯界面。在該編輯界面左側(cè)顯示區(qū)域，依次展開“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”分支，在對應(yīng)分支的右側(cè)列表區(qū)域中，找到“禁止訪問LAN連接組件的屬性”組策略選項(xiàng)，并用鼠標(biāo)雙擊之，打開組策略屬性對話框，選中“已啟用”選項(xiàng)，再單擊“確定”按鈕保存設(shè)置，并重啟計(jì)算機(jī)。日后，當(dāng)嘗試打開“本地連接”圖標(biāo)右鍵菜單時(shí)，會看到其中的“屬性”命令呈不可用狀態(tài)，那樣別人就無法隨意改動(dòng)本地系統(tǒng)的IP地址了。