似乎有很多介紹寬帶上網(wǎng)安全的文章，但往往提到的是木馬、IE的漏洞之類的問題，殊不知有一類更危險的問題卻好像未被用戶注意，甚至不為防火墻所重視，但是一旦被人入侵卻可以隨意共享你的所有驅(qū)動器和其中的文件，而且實現(xiàn)起來是如此的簡單。是何危險？且聽我慢慢道來。

　　思考

　　近來我正在裝修新居，這兩天考慮到新家的局域網(wǎng)的網(wǎng)絡結(jié)構(gòu)，因為我早使用上了有線通，到時候肯定移機過去，所以現(xiàn)在有兩種方案能被我考慮：

　　1、CABLE MODEM——HUB——各臺主機；
　　2、CABLE MODEM——服務器（軟路由）——HUB——各臺主機

　　看到這里大家一定認為第一種方案更好，很明顯網(wǎng)絡結(jié)構(gòu)簡單，至少可以節(jié)約一塊網(wǎng)卡，而且不需要有一臺服務器整天開著。有線通的說明書上也是這么推薦的。但是，我正是想到第一種方案各臺主機之間的共享時，才突然意識到長期未被我重視的安全問題。

　　大家都知道，所謂的小區(qū)寬帶是一種局域網(wǎng)+互聯(lián)網(wǎng)出口的解決方案，小區(qū)的用戶連在一個局域網(wǎng)上，然后通過一個出口上互聯(lián)網(wǎng)，這種方案的安全性是比較差的，主要是內(nèi)部的安全性，因為是連在一個局域網(wǎng)上嘛，如果你不注意，別人是可能共享到你的資源的。而有線通的問題則比較有隱蔽性，他在物理上并不是我們常見的星形以太網(wǎng)+出口的結(jié)構(gòu)，而且DHCP服務器分配給用戶的也是標準的C類地址，似乎我們直接面對的就是廣域網(wǎng)上的沖擊。殊不知，他在物理上的總線型結(jié)構(gòu)把幾乎所有的有線通用戶連接在了一個局域網(wǎng)上，我們同樣面臨著一個嚴重的本地網(wǎng)的安全問題，而且這個本地網(wǎng)的范圍更大，因此被入侵（嚴格的來講不能叫做入侵，而是共享）的機率就更大。

　　實驗

　　為了驗證我的觀點，特地做了以下實驗：

　　我的主機現(xiàn)在被分配到的ip地址是211.167.123.8，這是一個標準的c類地址，因此子網(wǎng)掩碼是24位，這就意味著理論上有252臺主機（去掉網(wǎng)關(guān)和我自己）和我是處在同一網(wǎng)段中，考慮到有線通的實際使用率，252臺估計是沒有的，但同時間幾十臺應該還是有的，應該說我是可以訪問到這些主機的。

　　于是我就ping，從211.167.123.2開始，到211.167.123.15 ping通了，說明這臺主機正聯(lián)線，我馬上打開IE，在地址欄中輸入\\211.167.123.15，系統(tǒng)提示我輸入用戶名和密碼，用戶名輸入administrator，密碼為空，嘿嘿，進入了。除了打印機外看不到什么共享資源？沒關(guān)系，我已經(jīng)是管理員了，還怕找不到資源？我再輸入\\211.167.123.15\c$，c盤的根目錄不就出來了，這是windows2000的默認共享，是為管理而設的，去不掉的。接下來d$、e$，要找什么自己輸入。
　　在整個實驗的過程中，配合上FluxayIV（流光），一個網(wǎng)段3、5分鐘就搞定了，發(fā)現(xiàn)有3x臺主機正聯(lián)線，其中居然有5、6臺主機的administrator賬號密碼為空，這豈不是任人宰割了？就算那些設了密碼的，一般也不會有人在自己的電腦上設得太復雜，如果有心拆解的話，配上個詞典，也不是很困難的事。更有甚者，可能是一臺某個公司的主機，居然直接共享了所有的資源，沒有任何密碼，看來是被他們作為文件服務器使用了。

　　結(jié)論

　　現(xiàn)在大家知道我上面說的兩種方案哪個更好了吧？

　　由于有線通分配的是標準C類地址，不可能通過延長子網(wǎng)掩碼去減少每個網(wǎng)段的主機數(shù)，所以本地網(wǎng)的安全始終是我們這些用戶的大敵。而且DHCP服務器分配的IP地址是有存活期的，大概一個星期左右，你又會被分配到一個新的IP地址，也就意味著你又進入了一個新的網(wǎng)段，又有252個新鄰居在等著你，可怕吧？最可怕的是，和你處在同一網(wǎng)段的主機被你的防火墻認為是局域網(wǎng)主機，一般防火墻的預設里不會對這類主機進行設防。

　　防范措施

　　首先，也是最起碼的，就是為你的administrator賬號設一個密碼（不能太簡單），因為這個賬號是刪不掉的，你即使不用也不能讓密碼空著。在實驗的過程中我發(fā)現(xiàn)有好多用戶平時可能用另外一個賬號，密碼倒是設了，但administrator的密碼卻是空的，那你豈不是白忙一場？

　　還有些用戶administrator賬號密碼設了，但又開了幾個密碼為空的賬號，這同樣是危險的。記住，所有的可用賬號都要設密碼，而且要定時管理這些賬號，關(guān)閉長期不用的賬號，對于administrator賬號最好是能經(jīng)常更換密碼。

　　安裝一兩個防火墻是好方法，但記住一定要對防火墻進行設置，因為一般預設里面對局域網(wǎng)主機是沒有嚴密防范的，而你看到這里應該知道我們最需要防范的恰好是這些“局域網(wǎng)”主機。同時，防火墻本身也可能是有漏洞的，所以我用的是天網(wǎng)+Norton，這樣交叉防范還是比較令我放心的。至于防火墻的具體設置方法就請參閱相關(guān)文章了，我就不贅述了。

　　還要提醒你的就是，作了這樣防范之后，如果你的網(wǎng)絡結(jié)構(gòu)采用的是第一種方案，那么你的幾臺主機之間也不能共享了，因為這幾臺主機和本網(wǎng)段的其他主機是處在平等地位。所以你如果要建設自己的網(wǎng)絡，考慮到安全性，建議你采用第二種方案，如果能用硬件路由器代替軟路由那就更佳了。

　　寫這篇文章的目的是希望起到拋磚引玉的作用，如果各位看官想到方便、安全、高效的防范手段請一定和我交流。