瑞星卡卡安全论坛

这个帖子专门负责解答<如何保护自己的计算机安全>的相关问题，帖子将本周2和本周4的课时合并如果进度比较快的话我考虑增加一些新的内容（在线语音互动形式）与大家的共同学习。

大家关于<如何保护自己的计算机安全>有什么需要共同探讨的地方大家可以在后面跟帖一同讨论。

作业

1
一个普通的计算机用户（并没有太多的计算机知识）想你询问安装什么样的安全软件，请问您推荐什么软件以及理由。

2
目前很多家庭已经不仅仅只有一台计算机了，很多家庭用户已经开始组建家庭局域网，请问在家庭多机上网的情况你如何配置不同机器的安全软件。

3
防水墙和防火墙区别大家都知道了，但是什么样的用户适合装防火墙什么样的用户适合装防水墙呢？

4
我要进行病毒测试或测试安全软件请问我装黑盒还是虚拟机，为什么？

5
请写出一份你认为能做到全方位防护的全软件搭配方案，并阐释理由。
用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)

老师，讲义中提到的虚拟是怎么回事，比如Geswall
用它浏览 被挂马的网页 就没事么，病毒就进不来么？

帖子涉及的知识都比较简单但是非常贴近现实。我留的的练习作业也基本是模拟现实情况，让大家给不同类型/需求的用户不同的安全配置及安全软件的选择方法。

考虑大家基本都是在校学生，所以给出的题目尽量模拟现实情况，希望这些对大家今后尤其是今后就业的时候有所帮助:kaka12:

老师。如果在校园网上网，还有必要安装防火墙吗。我一直觉得校园网有硬件防火，没必要再给电脑增加负担，一直没装:kaka6:

老师啊
SNS就是犀牛的那个软件和瑞星冲突不？
这个软件具体的是升级补丁还是监控？还有啊，要是升级补丁不会出现打不上和重复打补丁的现象吧~~~

嘿嘿！
VMware Workstation这种叫“虚拟机”它和我文中介绍的“黑盒”的主要区别主要是“虚拟机”主要可以模拟硬件而“黑盒”则是不会模拟硬件系统而软件模拟。

Geswall类似黑盒，而虚拟机之所以安全则是因为目前没有病毒能感染虚拟机/黑盒这个原因

SNS犀牛和瑞星的自我保护有冲突主要都是HIPS的问题，SNS是俄国非常有名的安全软件目前已经和大蜘蛛捆绑成为有HIPS功能和杀毒功能的软件，但是缺点是费用很高。如你真想学习HIPS，简单可以考虑GKR智能HIPS，高级可以学习EQ，GKR和EQ都有付费和免费版本

硬件防火墙保护是内网的安全，但是内网的计算机间相互攻击则不属于硬件防火墙的保护范围

那么云安全呢。。。  说云安全是基于网络的  可是反过来 危险也来自于网络。。

老师，那种情况 是有可能受到ARP欺骗
我们在内网中某一台电脑发起攻击，可以达到ARP欺骗吧:kaka6:

云安全的基于快速上报快速处理快速升级，用以在最大范围最迅速的发现并处理病毒，至于安全性应该没有担心因为瑞星的云安全端有一整套的安全程序避免给用户来带的任何风险。

老师，那HIPS是什么，没看懂？老师在讲义中说杀软＋防火墙＋HIPS组合不错，杀软和防火墙的功能很容易理解，但那HIPS防护的是什么？

完全可以，也完全可以被ARP攻击/欺骗，这个必修靠单击防火墙进行防御。至于效果则要看具体是哪款的产品

HIPS

所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.
二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的 tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)！
上面是对hips和防火墙作个区别，因为杀软和这两类软件差别比较大，就不拿到这里来说了，下面我具体介绍一下hips以及常见的几款hips安全软件，希望对各位有所裨益！
我们个人用的HIPS可以分为3D：
AD(Application Defend)应用程序防御体系
RD(Registry Defend)注册表防御体系
FD(File Defend)文件防御体系
它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

哦，谢谢老师了，我下载个试试！

那 HIPS 的防御体系 一直在监视 系统的动作  会不会很消耗资源啊？而且 程序运行是很快的 如果出现 非法动作 就把程序挂起？比如执行到A语句出问题 就挂起 如果a+1句也有问题  就再挂起？ 
  这样是不是会很消耗资源啊。。   
那如果是积攒了一堆变化后再统一上报。。。那安全性又何来？

资源消耗一定会有，但是在一个可以接受的范围内。而且HIPS一般推荐有一定安全基础的用户使用

明白`

比如360安全卫士 有这个功能吧  可是感觉它的反应很滞后 。。这是为什么？难道HIPS这个机制 会导致本身软件的反应延后？

我不对你说的软件做评价，但是我建议你选择专业的HIPS软件

恩 好的 明白了

老师好，关于arp报告的一个问题。
之前遇到一个问题：同时装有瑞星和360，当我在校园网遭到arp攻击的时候，360报了，瑞星没报；最近同时装了360和金山网镖（无瑞星），金山网镖报了，360没报。
这是怎么回事呢，谁比较准确呢？漏报？误报？其他？
（当然，不能简单地说金山>360>瑞星的）

这可能跟驱动拦截的顺序有关，某款软件的植入驱动优先级较高就可能提前发现并过滤掉相关的ARP攻击信息，这样其它的软件就不会在重复报警，当然这个只是我个人的看法实际可能还有有不同的情况这个要在现场观看分析了。

老师好，来晚了……
关于各防火墙应对ARP攻击的能力有个问题。
不是诋毁国产防火墙，一般校园网内ARP攻击满天飞（我们学校的网管几乎不绑定MAC地址），如果不人为干预的话，像瑞星，360，天网这些的很容易就攻破了。而像Zonealarm,Outpost这些显然防护效果很好多。
是不是说在这方面，国内的防火墙还有待提高？:kaka1:

不对吧
貌似金山wangb网镖未集成ARP防护功能

我感觉
貌似国内的应该是不错的
国外安全软件是不重视ARP欺骗的，ESS和KISs就是例子

嗯。但就实用来讲，在学校一般都是国内的被攻破后给同学换上outpost等就没什么状况了……
:kaka6:

有的啊……

 附件: 您所在的用户组无法下载或查看附件

:kaka6:
偶火星了