当你打开浏览器时,主页地址被神秘替换成某个你从未见过的网址,收藏夹中多出莫名其妙的链接……
当你在浏览器地址栏中输入的搜索内容时,发现常用的搜索站点被一个陌生的网址所取代……
那么"恭喜"你,你中标了!你的电脑被间谍软件(spy-ware)攻占了,你的个人信息、你的击键动作、你访问的网址和你的隐私正在不知不觉中发给了远处某个家伙手中,这些已经成为你的噩梦。
间谍软件只是一个统称,事实上它除了常说的木马程序以外还包括广告软件(Ad-ware)等,它们往往是在你不知道的情况下进入你的系统的。比如,在您访问某个网站时,轻信并安装了不明证书;在您下载了某个免费软件后,不知道它和广告软件捆绑……
以广告软件为例,这些软件的基本工作方式是调用Java Script脚本来访问互联网上的一些URL服务器,并将结果通过IE浏览器弹出窗口展现出来。对此,可以使用安氏领信防火墙HTTP 代理中的内容过滤功能来解决。
比如,以下代码节选自某个免费软件的HTML页面,如图1所示。
图 1
分析后我们知道其中Java Script调用了http://www.goldenspurcasino.com/ 这个网址。
如果让用户自己来分析各种脚本是很费劲的,实际上屏蔽Ad-ware所访问网址脚本的最简单办法,就是在防火墙的HTTP代理服务中,选择内容过滤功能。防火墙的内容过滤技术,可以针对嵌在HTML页面中的脚本或插件(Java Script、Java、ActiveX)进行有选择的过滤,如果配合使用URL限制则效果更好。具体说来,在防火墙"服务->新增HTTP代理",我们就叫AntiAdware吧,注意到在内容过滤选项方面有"java、java script、activex"三个复选框,选定它们,确认后会在系统中多出一个新的服务项目,接着新增一条从信任区到不信任区HTTP代理过滤规则,启用它吧,好了就这么简单,现在你可以倒杯咖啡,休息一会儿了,那个令你讨厌的网址再也不会出现了,是不是有点小有成就的感觉?
对于木马程序来说,它们在驻留的主机上会开启一些高端端口或者替换一些不常用的低端端口上的服务,并在此响应外部发起的连接或者主动连接外部网址。对于木马程序的防范,可以使用防火墙提供的自定义网络服务功能来解决。以"冰河"为例,它在7626端口侦听,在防火墙中可以在7626端口上自定义一个服务,然后锁定该服务,具体说来,添加一条block 规则,禁止由这些端口发出和到达这些端口的数据流以达到关闭该端口的目的,配合内置的"流检测(Smart Protector)"功能更可以动态识别未知网络活动。如果再结合上基于时间的主动认证、主动签退访问功能,更可以让您的主机增加一份保险系数,它可以保护您的主机,使其不会在不知不觉中被偷偷利用……
在今天这场没有硝烟、魔高一尺道高一丈的无休止战斗中,没有哪一个做法可以一劳永逸。安全是一个人机协同的全面动态防护过程,它需要厂商与用户经常、全面、互动的配合。
附录:安氏公司简介
安氏互联网安全系统(中国)有限公司1999年创立,是一家植根于中国,在国内发展壮大的专业性信息安全公司。安氏公司总部设于北京,在上海、广州、成都、南京等地设有分支机构,业务遍及全国。安氏公司在电信、金融等重点行业率先推出领先的全面性安全管理方案,并通过覆盖全国的渠道分销网络,销售自主可控的"领信"系列安全产品。配合国家的信息安全行业政策,安氏公司以提高中国本土安全技术水平为发展方向,积极担当沟通中外的桥梁作用,不断引入世界顶尖的安全核心技术,将其转化为属于中国的自有知识版权的产品和服务,并重点培育国内安全技术人才。
(责任编辑:宋宏伟)
