防火牆

現代都市樓房密集林立，若是失火，將一發不可收拾，為了防止火災由一棟房子延燒到另一棟，建築師便在房屋與房屋之間建立了一道牆壁，用以阻隔火勢的蔓延，達到保護防火牆內的房屋與財產，這就是防火牆 (Firewall) 。

將防火牆的概念套用到網絡環境時，個人電腦或區域網絡就相當於需要保護在防火牆內的房屋財產。防火牆阻隔了互聯網上的黑客或病毒入侵，擔任防火牆任務者，通常是安全驗證的硬體或軟體。

黑客或病毒試圖入侵電腦時，會經過防火牆而被攔截，不能進一步到達電腦上。而正常的網絡資料，防火牆允許其穿透，並到達目標電腦。

一般來說，防火牆有硬體與軟體兩種，對於企業網絡來說，建議採用硬體防火牆。

硬體防火牆效能與防護能力佳，但是價格較昂貴，因此適合企業網絡使用，以滿足區域網絡眾多電腦的防護需求。對於一般的家庭使用者，軟體防火牆符合預算，在效能可以兼顧的情況下，提供硬體防火牆一樣的安全功能。

目前軟體防火牆分為個人用或企業等級兩種，前者的功能與彈性較小，後者則考慮到防火牆需要另外與網絡服務結合的情況。要求的功能必須更為強大複雜（例如微軟開發的 ISA ）。 Windows XP 與 Windows Server 2003 也內建了 一個互聯網連線的防火牆，是微軟提供給 Windows 使用者一個簡單實用、免費的軟體防火牆。

儘管有嚴密的防黑客入侵措施，也不能絕對保護電腦的安全。黑客的攻擊手法很多，例如使用網絡竊聽的功能，就可以在不入侵電腦的情況下，獲得電腦經網絡發送的資料。

通常電腦經網絡發送一筆資料後，只有指明的接收者才可以接收該數據包。但在網絡通訊過程中，該數據包會廣播給所有的電腦，只不過其他電腦收到該數據包後發現目的地不是本機，就會將數據包丟棄。開啟了網絡數據包監視軟體 ( 例如 Sniffer) 的電腦也會收到此數據包，它不僅會保留也同時進行內容解析，如果資料以明文 (Plain Text) 形式傳送，則網絡監視軟體可直接看到監視軟體中的內容。

在網絡傳輸的資料很可能是機密資料，例如使用者的帳戶和密碼，如果這些東西以明文傳送，一旦黑客截獲這些資料，就能以該使用者的身份登入系統，後果不堪設想。

為了保護資料的安全，一般會在發送資料到網絡前，對資料進行加密。加密資料的方式有很多種，例如 Windows XP 經常採用資料加密標準 (Data Encryption Standard, DES) 來加密資料，在發送之前，發送端還需與接收資料的電腦協商，以便接收端獲得發送端加密時的金鑰，協商完成後，發送端才會將加密過的資料透過網絡發送給接收端，此時接收端再利用協商產生的的金鑰解密收到的資料。

常見的加密技術可分為「對稱式」和「非對稱式」：

•  對稱式加密是指加密和解密使用同一個密鑰 (Session Key) ， 這種加密技術目前被廣泛採用，例如美國政府所採用的 DES 加密標準就是一種典型的對稱式加密法，它的密鑰長度為 56Bits 。

•  非對稱式加密是指加密和解密所使用的不是同一個密鑰，分別為「公鑰」和「私鑰」，它們兩個需要配對使用，否則不能開啟加密的檔案。公鑰是可以對外公佈的，而私鑰則只有持有者自己知道。

帳戶與密碼

為了識別使用者身份，大部分作業系統都採用了「帳戶」這個基本的身份識別功能，讓系統知道目前使用電腦的人是誰，應該給他甚麼權利。例如電腦開機進入 Windows XP 系統之前，使用者必須輸入一個使用者名稱，這個名稱就是使用者的帳戶，不同的帳戶對應不同的識別碼 (Identification Code) ，系統根據這個唯一的識別碼來判別使用者的身份，決定允許或拒絕他登入系統，以及登入後可以執行的工作內容。

使用者名稱 ( 帳戶 ) 是給人們方便使用與記憶的，而每一個使用者名稱對應的識別碼，是系統真正用來辨識使用者的依據，系統操作者可以對使用者名稱進行變更、刪除或重建，但是識別碼由系統控制，操作者無法得知與變更，而且每一個使用過的識別碼在系統中不會重覆。

除了在登入系統時就需要用到帳戶，離開本機電腦後的很多場合也要用到帳戶，例如連線到網絡上的伺服器、存取伺服器中的檔案、執行程式、安裝硬體驅動程式等等，為了保護帳戶不被非法使用者濫用，帳戶通常都會搭配一組密碼，所以在登入系統時，除了輸入正確的帳戶，還必須提供與之搭配的密碼，兩者必須吻合系統中的記錄，其中有一個錯誤，都將被視為非法使用者，試圖登入的使用者都會被拒絕登入，在其他需要提供帳戶的場合也是如此，只要未提供正確的帳戶或密碼，都無法完成正常的操作。

對於一般家庭網絡來說，並不需要太嚴厲的身份認證機制，使用 Windows 預設的 NTLM 或 Kerberos 認證機制，就可以滿足安全需求。但是對於企業網絡，對於使用者的身份就不能輕忽，所以在條件許可的情況下，他們可能會採用更為嚴格的 Smart Card 、憑證形式的身份認證。

預防間諜／廣告軟件

現時很多防毒產品的最新版本均設有 間諜／廣告軟件 的檢測和移除功能；用戶亦可使用個人防火牆來檢測及防止這些軟件。此外，亦有一些專門檢測間諜／廣告軟件的掃描程式，例如 Ad-Aware (www.lavasoft.de) 和 Spybot S&D (www.safer-networking.org) 等。但是，用戶選用掃描程式時應謹慎從事，因為有些間諜軟件會把自己偽裝成掃描軟件來欺騙用戶。其實，很多防毒方法亦適用於預防間諜軟件，包括：

•  不要從互聯網下載不可信或未經授權的軟件

•  不要瀏覽可疑網站

•  不要啟動來源有可疑的檔案

•  不要打開或轉發可疑的電郵，而應立即將它刪除

病毒掃描軟件

安裝防毒掃描軟件可防範電腦被病毒入侵。每天工作前應更新病毒定義檔案，使防病毒軟件維持於最佳狀態。最少每星期進行一次電腦病毒掃瞄，而設定掃瞄時間最好在非繁忙工作時間，例如：放工時間，或午飯時間。緊記要選擇「掃瞄所有檔案」，不要只選擇性地掃瞄程式檔案。因為很多流行的電腦病毒和蠕蟲會依附在 .EML ， .VBS 和 .SHS 等檔案上。

要有效管理全公司的防毒軟件，可啟動防毒軟件「集中管理」模式。「集中管理」模式讓用戶在一台電腦上同時管理及監察所有網絡上電腦的病毒定義檔案更新、病毒掃描排程、病毒掃描報告及病毒感染狀態。

如果用戶正在使用 Windows 2000 專業版或伺服器版本，而沒有需要網頁服務 (IIS) 時，可將它解除安裝／停止 ( 預設是已安裝和啟動的 ) 。因為現時流行的蠕蟲，很多會透過 IIS 的漏洞感染其他電腦。

使用 MS Office 的文件閱讀器 (Word/ Excel/ PowerPoint Viewers) 開啟電子郵件內的辦公室文件，文件閱讀器不會執行文件內的巨集程式 (Macro) ，可以防止巨集程式病 毒。文件閱讀器可在 Microsoft 網址下載。

若有軟磁碟，光碟或從互聯網下載的外來檔案，需先用防毒軟件檢查後才開啟。

使用非法的軟件是很危險的，因為這類型的軟件可能已含有病毒，蠕蟲或木馬程式。當用戶安裝此類型的軟件時，可能會讓有害的程式感染你的電腦系統。