似乎有很多介紹寬帶上網安全的文章，但往往提到的是木馬、IE的漏洞之類的問題，殊不知有一類更危險的問題卻好像未被用戶注意，甚至不為防火墻所重視，但是一旦被人入侵卻可以隨意共享你的所有驅動器和其中的文件，而且實現起來是如此的簡單。是何危險？且聽我慢慢道來。

　　思考

　　近來我正在裝修新居，這兩天考慮到新家的局域網的網絡結構，因為我早使用上了有線通，到時候肯定移機過去，所以現在有兩種方案能被我考慮：

　　1、CABLE MODEM――HUB――各臺主機；
　　2、CABLE MODEM――服務器（軟路由）――HUB――各臺主機

　　看到這里大家一定認為第一種方案更好，很明顯網絡結構簡單，至少可以節約一塊網卡，而且不需要有一臺服務器整天開著。有線通的說明書上也是這么推薦的。但是，我正是想到第一種方案各臺主機之間的共享時，才突然意識到長期未被我重視的安全問題。

　　大家都知道，所謂的小區寬帶是一種局域網+互聯網出口的解決方案，小區的用戶連在一個局域網上，然后通過一個出口上互聯網，這種方案的安全性是比較差的，主要是內部的安全性，因為是連在一個局域網上嘛，如果你不注意，別人是可能共享到你的資源的。而有線通的問題則比較有隱蔽性，他在物理上并不是我們常見的星形以太網+出口的結構，而且DHCP服務器分配給用戶的也是標準的C類地址，似乎我們直接面對的就是廣域網上的沖擊。殊不知，他在物理上的總線型結構把幾乎所有的有線通用戶連接在了一個局域網上，我們同樣面臨著一個嚴重的本地網的安全問題，而且這個本地網的范圍更大，因此被入侵（嚴格的來講不能叫做入侵，而是共享）的機率就更大。

　　實驗

　　為了驗證我的觀點，特地做了以下實驗：

　　我的主機現在被分配到的ip地址是211.167.123.8，這是一個標準的c類地址，因此子網掩碼是24位，這就意味著理論上有252臺主機（去掉網關和我自己）和我是處在同一網段中，考慮到有線通的實際使用率，252臺估計是沒有的，但同時間幾十臺應該還是有的，應該說我是可以訪問到這些主機的。

　　于是我就ping，從211.167.123.2開始，到211.167.123.15 ping通了，說明這臺主機正聯線，我馬上打開IE，在地址欄中輸入//211.167.123.15，系統提示我輸入用戶名和密碼，用戶名輸入administrator，密碼為空，嘿嘿，進入了。除了打印機外看不到什么共享資源？沒關系，我已經是管理員了，還怕找不到資源？我再輸入//211.167.123.15/c$，c盤的根目錄不就出來了，這是windows2000的默認共享，是為管理而設的，去不掉的。接下來d$、e$，要找什么自己輸入。
　　在整個實驗的過程中，配合上FluxayIV（流光），一個網段3、5分鐘就搞定了，發現有3x臺主機正聯線，其中居然有5、6臺主機的administrator賬號密碼為空，這豈不是任人宰割了？就算那些設了密碼的，一般也不會有人在自己的電腦上設得太復雜，如果有心拆解的話，配上個詞典，也不是很困難的事。更有甚者，可能是一臺某個公司的主機，居然直接共享了所有的資源，沒有任何密碼，看來是被他們作為文件服務器使用了。

　　結論

　　現在大家知道我上面說的兩種方案哪個更好了吧？

　　由于有線通分配的是標準C類地址，不可能通過延長子網掩碼去減少每個網段的主機數，所以本地網的安全始終是我們這些用戶的大敵。而且DHCP服務器分配的IP地址是有存活期的，大概一個星期左右，你又會被分配到一個新的IP地址，也就意味著你又進入了一個新的網段，又有252個新鄰居在等著你，可怕吧？最可怕的是，和你處在同一網段的主機被你的防火墻認為是局域網主機，一般防火墻的預設里不會對這類主機進行設防。

　　防范措施

　　首先，也是最起碼的，就是為你的administrator賬號設一個密碼（不能太簡單），因為這個賬號是刪不掉的，你即使不用也不能讓密碼空著。在實驗的過程中我發現有好多用戶平時可能用另外一個賬號，密碼倒是設了，但administrator的密碼卻是空的，那你豈不是白忙一場？

　　還有些用戶administrator賬號密碼設了，但又開了幾個密碼為空的賬號，這同樣是危險的。記住，所有的可用賬號都要設密碼，而且要定時管理這些賬號，關閉長期不用的賬號，對于administrator賬號最好是能經常更換密碼。

　　安裝一兩個防火墻是好方法，但記住一定要對防火墻進行設置，因為一般預設里面對局域網主機是沒有嚴密防范的，而你看到這里應該知道我們最需要防范的恰好是這些“局域網”主機。同時，防火墻本身也可能是有漏洞的，所以我用的是天網+Norton，這樣交叉防范還是比較令我放心的。至于防火墻的具體設置方法就請參閱相關文章了，我就不贅述了。

　　還要提醒你的就是，作了這樣防范之后，如果你的網絡結構采用的是第一種方案，那么你的幾臺主機之間也不能共享了，因為這幾臺主機和本網段的其他主機是處在平等地位。所以你如果要建設自己的網絡，考慮到安全性，建議你采用第二種方案，如果能用硬件路由器代替軟路由那就更佳了。

　　寫這篇文章的目的是希望起到拋磚引玉的作用，如果各位看官想到方便、安全、高效的防范手段請一定和我交流。