由萨科齐被“黑” 审视网络安全

　　最近的热点新闻里突然出现了法国总统萨科齐的身影，他也可谓是近期比较倒霉的被黑客暗算的高层领导人了。据法国媒体报道，萨科奇的个人银行帐户遭黑客入侵，黑客从其帐户上转走了“一小笔资金”。萨科奇已经报警求助，当局也出动了许多警队精英调查，不过至今仍毫无头绪。

　　先不论这到底是黑客对他的恶作剧，还是银行系统真的存在巨大缺憾，黑客这个全世界关注度最高的词语，已经成为互联网用户的谈虎色变的代表，黑客就像钻鸡蛋缝的苍蝇一样，看到一丝从系统漏洞发出的光亮就会蠢蠢欲动，这也是网络安全最令人担忧的一方面。

　　面对花样翻新的黑客技术，单纯的使用一种招数也许根本无法与之匹敌，装备TCP/IP协议栈、在协议栈上建立自己的软件模块、使用独立的一套操作系统等等办法都可以加大网络安全性。面对无处可寻的巨大网络隐患，如何有效保护你的网络呢?计算机的高手们最迅速的回答也许是提议你安装网络的防火墙，而安装防火墙也需要很多途径和手段才能真正实现网络保护，IP地址过滤已经是太老套的做法，根本阻挡不住黑客们入侵的脚步，仅仅依靠地址进行数据过滤在实际运用中是根本不可行的，因为目标主机上往往运行着多种通信服务，所以说，对于防火墙的设置，还需从长计议。

　　目前最易被实施的就是对服务器的TCP/ UDP端口进行过滤。TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。但问题又产生了，端口号重复或者难以加以区分时，如果阻塞入站的全部端口，那么所有的客户机就都没法使用网络资源。在此情况之下就需要求助于TCP协议了。

　　TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。最简单的解释就是，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。端口过滤只是一种有效阻隔黑客入侵的途径，真正实施起来还需多加谨慎以免过滤掉应该收取的内容。

　　防火墙只是一个隐形的隔断，它可以把网络系统和黑客之间的距离增大，却并不能真正完全的保护你的网络安全，所以对待网络就要“软硬兼施”，在硬件和软件上做好充足的准备，给网络穿上足够厚的防弹衣，时时提防所有的连线是否隐藏破坏分子，审视系统是否脆弱地不堪黑客一击，同时设法提高系统的自卫能力，这样才能保障网络真正安全的运行。云安全和WEB安全网关已经逐渐走进人们的视线，这无疑又给人们的网络加强了一层盔甲，即使我们永远抓不住黑客的尾巴，也应尽量让其破坏网络的招数遁形。