視窗XP
我有一個用戶擁有一台透過標準家庭路由器連接到網路的 PC。路由器現在遇到了與硬體相關的問題,為了省錢,他們正在考慮將 PC 直接連接到 DSL 數據機,因為他們不需要共享網路連線或需要無線功能。
如果他們決定這樣做,我擔心這會帶來額外的安全問題。 Windows 防火牆和 Microsoft Security Essentials 是否足以保護直接連接到 DSL 數據機的電腦?或是這裡還需要其他安全軟體嗎?理想情況下,我希望避免第三方防火牆軟體不斷發出警報並要求他們批准一切。
另外,需要澄清的是,它們的用例只是網路瀏覽和電子郵件。
答案1
啊。路由器不再是單一用途的網路設備。現在幾乎所有消費者路由器都具有內建的硬體防火牆,可設定性令人驚訝。使用軟體/個人防火牆並不理想,因為它們會佔用記憶體和 CPU 週期等系統資源,而路由器中的防火牆不會影響系統,實際上就像擁有專用的安全性一樣器皿。此外,軟體防火牆比路由器內建的防火牆更容易受到惡意軟體的攻擊(例如,關閉、規避),因為其品種和版本較少,這使得尋找漏洞比尋找路由器漏洞容易得多,因為它們更加多樣化。
如果只有一個系統也沒關係;將其放在路由器後面對安全性有很大幫助(如此之大,以至於即使有一點點安全瀏覽習慣,您也可以在沒有任何安全軟體(例如實時防病毒等)的情況下運行系統數年不會被任何東西感染)。
毫不奇怪,我強烈建議您暫時使用該路由器,直到他們找到替代品為止(您確定路由器確實快要死了嗎?我的路由器已因未知原因“死”了幾次並最終恢復)。如果錢是個問題(現在路由器相當便宜),請查看 eBay Classifieds 或 Kijiji 等當地分類廣告,尋找價格實惠的二手路由器。
也就是說,是的,它是可能的直接連接到互聯網並且仍然安全。 (我記得幾年前在直連繫統上安裝Windows XP並發現它感染了Nachi蠕蟲病毒在Windows安裝完成之前!一旦安裝了網路驅動程序,它就在安裝的第二階段被感染。
正如您所想,最重要的安全軟體確實是防火牆。它將防止惡意連接進入並造成損害。 Windows 防火牆通常足以保證新手用戶,尤其是細心的用戶的安全(它首次在 XP SP2 中引入,又名“Windows 安全大改革”)。專用的更好,因為它還可以控制傳出連接,但如果用戶不精通計算機,並且會被提示和設定淹沒(他們應該能夠為每個程式「設定後就忘記它」),那麼 Windows 防火牆及其預設設定確實足夠了(某種程度上)。
專門的安全公司提供了大量(無數?)反惡意軟體,但 Microsoft Security Essentials 整體來說也不錯。
將 DSL 數據機直接連接到 PC(而不是路由器)時需要進行哪些安全性變更?
除了啟用 Windows 防火牆和 Security Essentials(如果尚未啟用)之外,您還可以執行其他一些操作來確保它們保持乾淨和安全(儘管這些通常都是很好的措施,即使是在路由器後面) 。
保持系統更新。確保自動套用 Windows 更新,以最大限度地減少漏洞。也可以將 Security Essentials 設定為自動下載更新的定義。事實上,將他們經常使用的所有軟體(瀏覽器、插件、Acrobat、Flash 等)設定為自動更新。
為他們提供速成課程,教育他們如何安全瀏覽。教導他們惡意軟體的基礎知識,並警告他們有關下載和執行檔案以及垃圾郵件的資訊。
答案2
在目前設定下,它們可能具有兩層(或三層)安全性。
大部分國產路由器都有狀態防火牆(其中傳入回應資料包必須與傳出請求相符),並且還具有網路位址轉換雖然不被視為安全措施,但它提供了與狀態防火牆類似的保護,因為傳入連接必須與NAT 表中的轉換條目匹配,而NAT 表中的轉換條目僅是為了響應傳出連接而創建的。
第三層是Windows的安全功能XP內建防火牆以及提到的安全應用程式。
此提議消除了一層或多層安全性,並將 Windows XP 直接暴露到 Internet(假設數據機像往常一樣向 Windows 提供公共位址,並且其本身沒有任何安全功能)。
決定這是否足夠是一個接受風險的問題。決定風險是否可接受的唯一方法是查看 Windows XP 漏洞的歷史記錄,以及您使用的安全產品在過去是否可以充分緩解這些漏洞,如果沒有,是否需要額外的安全層已經減輕了它們的影響。
這將使您了解未來出現新問題的可能性,以及您是否受到充分保護,以及如果沒有得到充分保護,會產生什麼影響。將這些結合起來就是可以接受的風險。這是否足夠取決於接受風險的人。
答案3
幾年前,當我只有一個桌面時,我曾經有過相同的設置,並發現阻止所有未經請求的傳入連接的防火牆就足夠了。
對於這個用例,您建議的那些工具應該足夠了。