利用屏蔽功能提高安全防护

为了确保单位网络运行安全，很多人想方设法，选用了各种专业安全工具，来为普通终端系统或网络设备“保驾护航”。其实，有时大家不需要舍近求远，只要善于利用系统或设备自身的屏蔽功能，巧妙将一些不安全因素拒之于千里之外，就能有效提高网络的安全防护水平。

屏蔽非法地址申请

在使用动态IP地址上网时，必须事先向局域网中的DHCP服务器申请合法IP地址，才能确保上网成功。为了保护网络连接安全，如何屏蔽非法用户，从不可信任DHCP服务器那里申请获得地址呢？

首先强制进行域认证。在将可信任DHCP服务器加入到指定域时，先登录域控制器，展开DHCP服务器控制台。右击域控制主机名称，执行“添加服务器”命令，进入添加服务器对话框，点击“浏览”按钮，导入可信任DHCP服务器主机名称。这样，特定域中的上网终端系统日后上网访问时，会优先向可信任DHCP服务器申请IP地址。

接着集中绑定地址。要在可信任DHCP服务器中，对合法终端主机的IP地址和MAC地址进行集中捆绑时，先用“ipconfig /all”命令，查询得到每台终端系统的IP地址和MAC地址。之后进入DHCP服务器主机，通过双击“管理工具”、“DHCP”等图标，打开DHCP控制台窗口，将鼠标定位到特定作用域节点下面的“保留”选项上，打开它的右键菜单，执行“新建保留”命令，在界面的“保留名称”位置处，输入好特定IP地址的保留名称，在“IP地址”位置处输入好特定终端主机使用的IP地址，在“MAC地址”位置处输入与之对应的MAC地址，并将“支持类型”选择为“两者”选项，单击“确定”按钮后完成地址绑定操作。按照相同的操作方法，完成其他终端主机的IP和MAC地址绑定任务。

下面启用DHCP监听。在网络交换机具有DHCP监听功能的情况下，启用该功能屏蔽非信任端口的地址申请。以H3C系列交换机为例，在启用DHCP监听功能时，先以系统管理员身份登录交换机后台系统，通过“systemview”命令进入全局视图模式，执行“dhcp-snooping”命令，启用交换机的全局DHCP监听功能。此时，交换机会自动侦听局域网中存在的所有DHCP数据报文，同时限制非信任端口只能对外发送DHCP数据包，而无法接受DHCP数据包，日后即使有非法DHCP服务器尝试接入单位网络时，该功能将会对其自动屏蔽，保证网络中的终端计算机能安全稳定地从可信任DHCP服务器那里申请IP地址上网。如果希望特定交换端口能正常接收DHCP数据报文，并能转发它们时，需要将该口配置成可信任端口。例如，要将G0/2/18端口配置成为可信任交换端口时，只要在全局视图模式下，执行“interface G0/2/18”命令，再 输 入“dhcpsnooping trust”命令即可。

屏蔽地址解析攻击

局域网环境中，基于地址解析方式的病毒攻击愈演愈烈，这种非法攻击会悄悄修改数据报文中的源IP地址或源MAC地址，欺骗地址解析响应，造成合法用户数据流被窃。

为了保护网络安全，可以巧妙配置接入交换机，来有效屏蔽地址解析攻击。经常采取的屏蔽措施，就是在交换机端口生成IP地址和MAC地址的绑定表，将其保存于地址池中。当交换端口下面的上网终端系统向网络发送地址解析报文时，其所包含的源IP地址和源MAC地址，与交换机地址池中的绑定关系不一致时，那么地址解析攻击就会被交换机自动屏蔽。以思科交换机为例，只要启用AM使能功能，进入基于端口的视图配置模式，生成合法用户的IP地址和MAC地址绑定表，日后只有来自地址池中的IP报文能通过交换端口，其他报文会被交换机的AM模块自动屏蔽掉。例如，要启用交换机的使能AM，允许ethernet 0/6端口上MAC地址 为61-a4-45-7d-56-93、IP地址为10.172.22.68的用户通过时，只要先输入“am enable”字符串命令，启用交换机的使能AM，再逐一输入“interface ethernet 0/6”、“am port”、“am mac-ippool 61-a4-45-7d-56-9310.172.22.68”等命令即可。

要屏蔽以假网关形式发起的地址解析攻击时，只要在特定交换端口，启用ARP Guard功能，来保护局域网中的特定网关地址不被恶意利用。例如，要在ethernet 0/2端口上开启ARP Guard功能，来保护10.172.22.1这个网关地址时，只要先在交换机后台系统执行“interface ethernet 0/2”命令，进入特定交换端口视图模式，继续输入“arpguard ip 10.172.22.1”命令，交换机日后就能自动扫描分析来自ethernet 0/2端口上的所有地址解析数据报文，如果数据报文中的源IP地址是10.172.22.1时，交换机就会认为它是攻击报文，并将其自动屏蔽掉。

屏蔽网页广告攻击

现在网页广告攻击无孔不入，对付这些烦人的攻击，人们也采取了很多解决措施。但即使采用最专业的安全工具，仍然不能高效拦截某些广告插件。有没有简单高效的方法，屏蔽这些烦人的广告呢？

在Windows 10企业版系统环境中，利用不断改善的Windows Defender程序，可轻松拦截各种形式的网页广告攻击。尽管其他版本还不直接支持该功能，但通过巧妙编辑注册表相关键值的方法，也能达到屏蔽网页广告攻击目的。首先使用“Windows+R”快捷键，调出系统运行对话框，输入“regedit”命令并回车，开启系统注册表编辑器运行状态。在该编辑界面左侧显示区域，将鼠标定位到“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender”注册表节点上。

其次打开该节点选项的右键菜单，依次选中“新建”、“项”命令，将新项名称设置为“MpEngine”。选中“MpEngine”子项，用鼠标右键单击之，依次点选“新建”、“Dword值（32位）”命令，将新创建的双字节键值取名为“MpEnablePus”，同 时 将其数值设置为“1”。最后重新启动Windows系统，这样Windows Defender程序的安全功能就会得到加强，网页广告攻击的拦截能力也会显示出来。

屏蔽恶意进程攻击

从安全角度来看，应用程序进程可以分成不安全、一般安全、非常安全、未知安全这些等级，系统进程属于非常安全级别，通过安全认证的程序属于一般安全等级，病毒木马属于不安全等级，没有通过微软数字签名认证或有BUG的程序属于未知安全等级。除此而外，在遇到不熟悉的程序进程时，我们该怎样检测它们的安全等级，并将恶意进程攻击屏蔽掉呢？

借助Security Process Explorer这款工具帮忙，通过标识进程的颜色色块，就能准确检测出陌生进程究竟安全与否了。启动Security Process Explorer工具后，所有程序进程都能被自动显示出来。不同安全等级的程序进程，Security Process Explorer会使用不同颜色色块进行标识，我们只要识别颜色色块，就能快速地检测出陌生进程是否安全了。

如果想更进一步了解不安全进程信息时，可以用鼠标右击红色色块进程，执行“详细信息”命令，打开不安全进程详细信息查看窗口。在这里，可以查看到陌生进程的许多状态信息，包括进程详细名称、进程运行优先级、进程标识ID以及进程设计公司等。

屏蔽DOS工作方式

在服务器之类的重要主机系统中，要是允许普通权限的用户随意执行一些有安全威胁的DOS命令，那么重要主机系统的安全稳定运行将无法得到保证。为了让用户无法轻易执行一些安全威胁大的DOS命令，建议按照如下步骤，屏蔽掉重要主机系统中的MS-DOS工作方式：

首先依次点击“开始”、“运行”命令，弹出系统运行对话框，输入“regedit”命令并回车，进入系统注册表编辑界面。将鼠标定 位 到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies”注册表节点上，在指定节点下手工创建一个“WinOldApp”子项。

接着用鼠标右键单击该子项，从弹出的快捷菜单中，逐一选中“新建”、“Dword值”命令，将新创建的双字节键值取名为“Disabled”，用鼠标双击该键值选项，弹出编辑键值对话框，再将其数值设置为“1”，刷新系统注册表让设置正式生效即可。

屏蔽网络地址修改

在局域网环境中，经常有人会随意修改IP地址，造成网络地址发生冲突现象。为了保持网络运行安全稳定，怎样屏蔽网络连接地址修改功能，以禁止他人随意调整上网地址呢？

依次点击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，进入系统组策略编辑界面。在该编辑界面左侧显示区域，依次展开“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支，在对应分支的右侧列表区域中，找到“禁止访问LAN连接组件的属性”组策略选项，并用鼠标双击之，打开组策略属性对话框，选中“已启用”选项，再单击“确定”按钮保存设置，并重启计算机。日后，当尝试打开“本地连接”图标右键菜单时，会看到其中的“属性”命令呈不可用状态，那样别人就无法随意改动本地系统的IP地址了。