恶意网页成了宽带的最大威胁之一。以前使涌Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

　　一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

　　运行IE浏览器，点击“工具/Internet选项/安全/自定义级别，将安全级别定义为“安全级-高，对“ActiveX控件和插件中第2、3项设置为“禁用，其它项设置为“提示，之后点击“确定。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

　　组策略最容易引起误解的是它的名字──组策略并不是将策略运用到组中去的方法！与之相反的是，组策略通过将组策略链接到活动目录容器(通常就是组织单元，但也包括域和站点)对象而施行于个体或单独用户账户以及计算机账户。这里的组策略对象，就是策略设置的集合。

　　虽然通过组策略来限制可移动设备并不是一个十分出色的网络安全解决方案，因为一个已经安装了存储设备(如安装了一个USB驱动设备)的用户，可以继续使用它。不过我们还是可以进行一些细微的设置，这些设置可以允许你通过设备的ID来限制特定的可移动存储设备。

　　很难说哪一种安全威胁对你的网络数据影响最大。由于几个原因，我趋向于认为可移动存储设备，特别是USB驱动设备，应该位于列表的顶部。原因1：USB储存设备非常容易被忽略。第二个原因：有一个简单的事实是，你可以将很大的数据(如多达4GB的数据)存储到一个USB驱动器上，这也就意味着用户可以将同样大的应用程序带到企业中。它还意味着用户可以将多达4GB的数据从企业带走。用户可以访问的任何数据都可以轻松地复制到这些驱动器上。而且USB设备本身体积很小，这使得用户可以方便地将它带入、带出企业。

　　笔者曾与一些网管员谈到USB储存设备的安全风险问题。不过，这些网管员最通用的做法是禁用工作站上的USB端口。有一些较新的机器允许你通过BIOS禁用USB端口，不过大多数老机器并没有提供这个能力。这种情况下，还有一种方案最常用，那就是用胶布将USB端口封住以此来阻止其使用。

　　虽然这些方法都可以起到一定的作用，不过，都有一些缺点。对于操作者来说，这些方法都是“劳动密集型的吧，也就是说太难于实施。另外一个问题是禁用USB端口并没有彻底地解决用户访问可移动媒体的问题。用户可以轻松地使用FireWire硬盘驱动器、可移动的DVD驱动器作为另外一种选择。

　　在所有的这些方法中,最大的弊端就在于永久性地禁用USB端口会使用户没法使用USB设备并且使得这些端口不能被支持的用户访问。此外，偶尔也会有一些合法的理由使得USB端口应该可用。例如，有些工作需要用户拥有一个连接到其PC上的USB扫描仪。

　　幸运的是，微软的Windows Vista(还有其著名的Windows Server 2008 (Longhorn))一个重要目标就是就是给管理员控制工作站使用硬件的方法提供了更好的控制。现在我们可以借助于组策略来控制对可移动稿设备的访问。

　　限制对USB存储设备访问的组策略设置目前只是在Windows Vista中可用。目前，这也就意味着你只能在本地计算机的层次上设置组策略。在Windows Server 2008发布之后，你就可以在域中、站点中或OU层次上设置这些组策略(当然，前提是你有一个Windows Server 2008的域控制器)。

　　本文针对入侵检测系统的漏洞来了解一下黑客的入侵手法。一旦安装了网络入侵检测系统，网络入侵检测系统就会为你分析出网上出现的黑客攻击事件，而且你能用此入侵检测系统的反击功能，即时将这种联机猎杀或阻断。你也可以配合防火墙的设置，由入侵检测系统自动为你动态修改防火墙的存取规则，拒绝来自这个IP 的后续联机动作！这种美好的“前景，可能是许多入侵检测系统提供商的惯用销售手法，一般的企业或组织在建立自己的入侵检测系统时也会有这种预期目的。诚然，入侵检测系统可以具有很好的监视及检测入侵的能力，也可以对企业或组织的安全提供很好的协助。但是，正如小偷的手法会随着锁的设计而不断“更新一样，随着入侵检测系统的出现，许多针对网络入侵检测系统的规避手法也随之不断“升级。如今，黑客对于入侵检测系统已经有了一套较完整的入侵手法。下面我们将针对入侵检测系统的漏洞来了解一下黑客的入侵手法。

一、识别方式的设计漏洞

1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串，是大部分网络入侵检测系统都会采取的一种方式。例如，在早期Apache Web服务器版本上的phf CGI程序，就是过去常被黑客用来读取服务器系统上的密码文件(/etc/passWord)，或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时，在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串，以此判断是否出现phf 的攻击行为。

2.这样的检查方式，虽然适用于各种不同的入侵检测系统，但那些不同的入侵检测系统，因设计思想不同，采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比，有的则能进行详细的TCP Session重建及检查工作。这两种设计方式，一个考虑了效能，一个则考虑了识别能力。攻击者在进行攻击时，为避免被入侵检测系统发现其行为，可能会采取一些规避手法，以隐藏其意图。例如：攻击者会将URL中的字符编码成%XX 的警惕6进值，此时“cgi-bin就会变成“%63%67%69%2d%62%69%6e，单纯的字符串对比就会忽略掉这串编码值内部代表的意义。攻击者也可以通过目录结构的特性，隐藏其真正的意图，例如：在目录结构中，“./代表本目录，“../代表上层目录，Web服务器 可能会将“/cgi-bin/././phf、“//cgi-bin//phf、“/cgi-bin/blah/../phf?这些URL request均解析成“/cgi-bin/phf，但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf的字符串，而没有发现其背后所代表的意义。

3.将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet，网络入侵检测若没将整个TCP session重建，则入侵检测系统将仅能看到类似“GET、“/cg、“i、“-bin、“/phf的个别Packet，而不能发现重组回来的结果，因为它仅单纯地检查个别Packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。

二、“猎杀及重调安全政策的漏洞

所谓“猎杀，就是在服务器中设定一个陷阱，如有意打开一个端口，用检测系统对其进行24小时的严密盯防，当黑客尝试通过该端口入侵时，检测系统就会及时地将其封锁。网络入侵检测系统的“猎杀及重新调整防火墙安全政策设置功能，虽然能即时阻断攻击动作，但这种阻断动作仅能适用TCP Session，要完全限制，就必须依赖重新调整防火墙安全政策设置的功能，同时也可能造成另一种反效果：即时阻断的动作会让攻击者发现IDS的存在，攻击者通常会寻找规避方式，或转向对IDS进行攻击。重新设置防火墙的安全政策，若设置不当，也可能造成被攻击者用来做阻断服务(Denial of Service)攻击的工具：经过适当的设计，若网络入侵检测的检查不足，攻击者可以伪装成其他的正常IP来源进行攻击动作，入侵检测系统若贸然限制这些来源的IP，将会导致那些合法用户因攻击者的攻击而无法使用。论是识别方式的设计，还是所谓的“猎杀及重新设置防火墙安全政策的设置功能，都有其利弊。能够实地了解入侵检测系统的识别方式，或进行其识别手法的调整，将有助于提高入侵检测系统运作的正确性。对“猎杀及重新调整防火墙安全政策设置功能工具的使用，则应仔细评估其效益与相应的损失，这样才能有效地发挥网络入侵检测系统的功能。