你的网络易受攻击吗？如果你在网上经营业务或与外部网络连接，那么答案可能就是肯定的。统计数字显示，80%以上的成功入侵之所以发生，是因为Web技术人员没有安装已知及公开故障的修补程序。换句话说，稍稍做出一些努力就能对保护你的网络安全起到很大帮助作用。

DNS 的优与劣

如果你曾使用URL来代表IP地址，那么你就使用了DNS—一个在域名和IP地址之间提供转换功能的分布式数据库。DNS也为存储和访问其他类型的数据如MX（邮件交换）记录提供了一项标准的Internet机制。

Internet没有DNS就无法运行，但这项服务也存在着漏洞，尤其是在那些使用BIND（伯克利Internet名称域，一种DNS变体）的UNIX设备上面。BIND旨在成为健壮的、稳定的系统，以建立一个健全的机构命名体系结构。但是，在其最早的版本中，BIND因为存在安全漏洞而出名。事实上，计算机应急响应小组（CERT）已经宣布8.2.3版之前的所有BIND版本都可能包含有危险的安全漏洞。

更糟糕的是，自动检查网络和查询公司DNS服务器以寻找安全漏洞的网络入侵程序，越来越容易为黑客所获得。他们使用这些程序来测试一个系统的锁，就像过去小偷轻轻摇动门把手一样。这些在大多数黑客或“入侵者”网站上能够找到的程序不需要什么技术。一旦受到破坏，DNS服务器就能被用来进行捣乱，如发动DoS（拒绝服务）攻击，使你的业务中断。

那么，如何才能保证DNS安全呢？其实并不复杂。首先，如果你的公司正运行过时的DNS软件，那么需要升级，立即安装最新版的DNS软件。其次应该是在防火墙上限制对端口53（DNS端口）的访问。

服务和文件共享

虽然在Windows和Unix上面都能使用服务和文件共享功能，但Windows计算机更容易受到特洛伊木马的文件共享攻击以及共享破坏。

许多网络管理员使用共享服务以使数据访问更加方便。但黑客常常安装后门程序来破坏健康的机器，后门程序在用户启动系统时作为共享服务进行注册。然后这些共享服务可以从任何一台拥有“作为服务登录”权利的客户上运行。

为了防止未经授权通过网络服务进行的访问，要确认并清除所有并非绝对必要的服务（这样做也许会提高网络性能）。同样的规则适用于新的服务，特别是那些在系统启动时自动开始的服务，同时永远不要使用外来的东西。

文件共享给网络带来了另一个潜在的漏洞，因为如果配置不当，它们就可能暴露关键的系统文件，甚至使任何一个能够与你的网络连接的人都可以全面访问你的系统文件。

因为Windows的文件共享服务使用NetBIOS，允许文件共享的机制也可以被用来通过与NetBIOS会话服务的“零会话”连接来检索敏感的系统信息，如用户名、配置信息以及某些注册密钥。然后，这些信息可以被利用来猜测口令，或者对Windows NT目标发动无情的攻击。

最好的防御手段依然是保持应有的注意，不要不分青红皂白地共享文件。当你没有其他选择时，一定要只共享那些绝对必需的文件。

记住，不管你多么谨慎地保护你的网络，专业黑客总是会找到入侵的方法。甚至安全专家也承认，防火墙和防病毒程序只能提供偶尔“一切正常”的保护。恶意的黑客甚至会收买内部人员以盗走公司数据，没有办法能够保护网络防止那种攻击。用户所应做的是采取必要的保护措施以防止黑客入侵。

封锁漏洞

保护网络避免黑客攻击无需一项全职工作。将几项最佳做法纳入企业之中，作为日常程序的一部分，就能防止漏洞发生，或者至少在大堤完全决口之前堵塞它们。

● 保持警惕。确保网络安全的最好方法之一是跟踪了解正在形成的威胁。安全专家一致认为，无知是破坏性最大的安全问题。大多数非法入侵事件之所以发生，是因为有人没注意。像CERT主页（www.cert.org）这样的网站是了解当前信息的很好的地方。

● 采用各种补丁程序。许多公司将补丁程序搁置起来而不使用它们。另外一些公司在搜索和下载最新的病毒定义上面不太用功。聪明的攻击者会利用他们的疏忽。

● 限制端口访问。虽然任何使用TCP的应用都需要端口，但能够限制可通过防火墙访问的端口数量，从而使暴露减少到最低限度。NNTP（网络新闻传输协议）是一个极好的例子：除非你的计算机需要新闻组访问，否则端口119就应该被关闭。

● 消除不使用的用户ID并改变现有的口令。维护不善几乎和无知一样危险。系统管理员应当定期检查并删除任何闲置的用户ID，此外，为了限制成功的任意猜测的可能性，所有用户和系统口令均应当由系统生成或执行。

● 避免在防火墙中使用SNMP。SNMP是记录来自服务器和路由器的系统错误信息的一个极其有用的特征，但它也能显示很多有关你的网络的信息。应当对路由器进行检查，以确保它们不对源于网络之外的SNMP命令作出反应。

● 保护远程访问安全。尝试闯入自己的网络。通过闯入自己的网络，可以了解到很多东西。如果能从网络之外的一个工作站访问你的系统，就可以很容易地测试你的安全方案，如果的确发现了一个弱点，就会比黑客领先一步。

● 如果有怀疑，请教顾问。如果企业内部没有必要的手段，或者如果你的员工在其他项目上工作太忙，要毫不犹豫地找来一名顾问，许多公司提供安全评估和培训服务。