FT_View_SE网络分布式架构之冗余服务器设置步骤
FT View SE网络分布式架构之冗余服务器设置步骤
整体实施概述:
1.建立两个区域(Area),如要做标签报警,也许要建立单独的报警区域,本文不涉及
(设计院没有此需求)。
2.两个区域分别是Data Server和HMI Server,都需要建立冗余。如有报警区域的
话,也需要设置冗余。
3.在Server1和Server2中都要建立“同名”HMI Server。才能设置冗余。Server1
是主服务器。
4.在配置完Data Server的Rslinx enterprise后,才能设置冗余。
实施步骤:
对于View SE中文版+英文操作系统,应在控制面板中,设置language and region,所有涉及语言的选项,选择中文。是由于控制面板中Region and Language中location里Current Location选择China。
需要安装IIS。
保证分布式网络畅通。
需要做时间同步。
目录服务器指向设置(指向Server1):
指向网络(Network)中的Server1。
1.建立分布式项目
注意:一定要选择中文。
2.建立新的区域
3.建立data server区域,用于Rslinx enterprise
4.选择Rslinx enterprise
5.Rslinx enterprise属性要设置为Server1
6.配置Rslinx enterprise
7.设置Rslinx enterprise冗余
8.Rslinx enterprise冗余设置,要注意鼠标停留位置输入:Server2,以及下方的选项。
9.建立新的区域,用于HMI Server。
10.显示要建立好HMI Server区域
11.建立HMI Server,在Server1中建立
12.选择导入项目(在单机版中开的程序,此程序为拷贝的项目文件夹即可),弹出提示窗口
选择OK
13.设置读取单机版的View开发项目,并选择路径。
14.部署计算机设置为Server1,名称举例为qt,直至完成。
15.以上步骤完成了Server1中的HMI Server建立,在用户\公共文档\Rslinx enterprise\SE\HMI project中有qt文件夹。
暂时从分布式项目删除qt(HMI Server),此删除并非真正删除qt文件夹,只是断掉应用联系。为了建立Sever2中的HMI Server用于冗余设置。
16.再次建立HMI Server,为了Server2。
17.选择复制HMI Server,因为刚刚在Server1中建立了HMI Server项目,所以复制Server1的。
18.选择要导入项目所在的计算机,设为Server1。
19.选择qt项目
20.名称与Server1中的一致,部署的计算机为Server2。直至完成,并删除qt。
以上步骤完成了Server2中的HMI Server建立,在用户\公共文档\Rslinx enterprise\SE\HMI project中有qt文件夹。
此时在Server1和Server2中都已建立了qt。
暂时从分布式项目删除qt(HMI Server),此删除并非真正删除qt文件夹,只是断掉应用联系。为了恢复Sever1中的HMI Server,并做冗余设置。以为Server1是主服务器。
21.再次建立HMI Server
22.选择附加已存在的HMI Server。为了恢复Sever1中的HMI Server
23.选择恢复项目所在的计算机,Server1。
24.选择恢复项目qt,直至完成。
25.选择HMI Server属性,设置冗余。
26.建立类型要选第二项。
27.如图设置冗余,其中Relication作用是同步HMI Server画面用。
28.建议在此处设置Macro。不建议在客户端中设置复杂的宏命令,尤其是DataLogOff,注意:趋势只需要建立启动的DataLogOn,不要建立DataLogOff,放置趋势丢失。选择Alarming等同于Macro启动报警记录。
29.生成客户端文件,切记要选择中文。
30.对于客户端来说,只需要目录服务器指向,并拷贝客户端文件cli即可,不需要拷贝VBA文件。设置language and region,所有涉及语言的选项,选择中文。是由于控制面板中Region and Language中location里Current Location选择China。
服务器安全设置
目前流行的挂木马的基本步骤(可能有个别地方不准确): 1、利用杰奇系统的漏洞,上传具有一定危险功能的文件,表现为:zh.php、cmd.exe、*.asp, 这几个文件都具有不同的目的,只要被上传了这几个文件,相应的js文件就会被修改,然后就被挂马了。 2、上传了文件后,如果你的权限设置的不对,比如多给了运行权限,该黑客就可以利用这 几个文件进行提权,直接可以创建管理员账号,然后通过*.asp文件获得你的远程连接的端口,然后利用注入的管理员账号登录系统,进入系统了,那就随便改啦。 所以针对上面的步骤,我们可以这样做: 1、权限一定要设置好,大部分网站目录只给读取权限即可,个别的多给写入权限。 2、所有的js文件都改成只读的 3、删除系统的以下三个文件,执行脚本如下:(开始-运行里面就可以直接执行) regsvr32 /u %SystemRoot%\System32\wshom.ocx regsvr32 /u %SystemRoot%\System32\shell32.dll regsvr32 /u %SystemRoot%\System32\wshext.dll 4、修改远程链结默认的3389端口,改成12345 12323等等类似的。群共享里有软件直接修改重启机器生效。 设置好了以上的几步后,针对杰奇的漏洞产生的木马,基本上就能防止了。当然,其他的漏洞还是得需要好好设置,可以参考群共享里的一篇word文档,服务器安全设置 贴一下这次挂马的代码,请大家仔细检查自己的js文件中是否有下面的代码: 晕,我的都被我删除了,没了。谁能提供我一个被修改过的js文件。 已经中木马的人的找马步骤: 1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件,直 接删除即可。 2、检查你的所有js文件,如果发现下面这样的代码,那就是木马代码。删除这些木马代码。 本文档的服务器安全设置分三个部分 (一)服务器的基本安全设置 本配置仅适合Win2003,部分内容也适合于Win2000。很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
VPN网络配置步骤
VPN服务设置方法 一、VPN服务的用途 VPN网络的主要用途在于通过Internet网络进行远程维护,局域网需要一台电脑能同时连内部局域网又能连Internet网络,在该电脑上配置VPN服务,然后在任何地方都可以通过Internet网络用VPN客户端连入内部局域网,连接成功后客户端就象内部局域网的一台普通工作站,可以象内部局域网工作站一样方便的进行维护操作。 二、VPN服务的需要的环境 1、上Internet网络的机器需要能连接内部局域网。 2、安装windowns 2000(professional 、server或advanced server均可)、winXP、 win2003操作系统之一。 3、需要上网的机器有个外部IP地址(动态分配的外部IP也可),如,不能只 有内部IP如,可以通过上网路由器进行端口映射,把路由器的vpn服务 端口1723映射到内部机器的IP地址上,这样外部机器访问路由器的IP 就如直接访问被映射的机器,也能达到同样的vpn功能。 4、路由器端口映射方法(上网机器有外部IP地址可跳过此步骤) 不同的路由器配置有所差别,但基本思路相同,即进行端口映射服务或叫虚拟服务,将端口1723映射到内部网络用于配置vpn服务功能的 机器的IP地址上,服务类型选择‘pptp’服务。配置完成后重新启动路 由器。 下面以Netcore 2305NR宽带路由器为例: (1)、通过IE浏览器登陆到路由器上,在IE地址拦输入路由器的IP地 址会出现登陆框,输入用户密码; (2)、选择虚拟服务功能进行配置 虚拟服务功能(即端口映射),提供了一种供Internet上的用户通过路由器访问局域网内的主机的方式。Internet上的用户对路由器的访问,将按照虚拟服务的设置,重定向到局域网中的内部主机。 i.选定局域网内的作VPN服务器的计算机,在这里我们以,如果局域 网内上网的机器IP地址为动态的,则可以通过查看路由器的静态路 由表查看该机器的固定IP。 ii.键入虚拟服务的名称(VPN Server) iii.在虚拟服务模板中选择User defined server iv.选择TCP协议,在内部和外部端口号中输入1723 v.单击新增虚拟服务,已启动的虚拟服务列表中就会出现VPN Server
2003服务器安全设置
一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。 做FTP下载的用户看仔细,如果要关闭不必要的端口,在 \system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!
vm四种网络设置
vm 四种网络连接方式 Bridge:这种方式最简单,直接将虚拟网卡桥接到一个物理网卡上面,和linux下一个网卡绑定两个不同地址类似,实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力. 在此种模式下,虚拟机内部的网卡(例如linux下的eth0)直接连到了物理网卡所在的网络上,可以想象为虚拟机和host机处于对等的地位,在网络关系上是平等的,没有谁在谁后面的问题. 使用这种方式很简单,前提是你可以得到1个以上的地址.对于想进行种种网络实验的朋友不太适合,因为你无法对虚拟机的网络进行控制,它直接出去了. nat方式:这种方式下host内部出现了一个虚拟的网卡vmnet8(默认情况下),如果你有过做nat服务器的经验,这里的vmnet8就相当于连接到内网的网卡,而虚拟机本身则相当于运行在内网上的机器,虚拟机内的网卡(eth0)则独立于vmnet8. 你会发现在这种方式下,vmware自带的dhcp会默认地加载到vmnet8界面上,这样虚拟机就可以使用dhcp服务.更为重要的是,vmware自带了nat服务,提供了从vmnet8到外网的地址转换,所以这种情况是一个实实在在的nat服务器在运行,只不过是供虚拟机用的. 很显然,如果你只有一个外网地址,此种方式很合适. hostonly: 这应该是最为灵活的方式,有兴趣的话可以进行各种网络实验.和nat唯一的不同的是,此种方式下,没有地址转换服务,因此,默认情况下,虚拟机只能到主机访问,这也是hostonly的名字的意义. 默认情况下,也会有一个dhcp服务加载到vmnet1上.这样连接到vmnet8上的虚拟机仍然可以设置成dhcp,方便系统的配置. 是不是这种方式就没有办法连接到外网呢,当然不是,事实上,这种方式更为灵活,你可以使用自己的方式,从而达到最理想的配置,例如: a.使用自己dhcp服务:首先停掉vmware自带的dhcp服务,使dhcp服务更为统一. b.使用自己的nat,方便加入防火墙.windows host可以做nat的方法很多,简单的如windows xp的internet共享,复杂的如windows server里的nat服务. c. 使用自己的防火墙.因为你可以完全控制vmnet1,你可以加入(或试验)防火墙在vmnet1和外网的网卡间. 从以上可以看出,hostonly这种模式和普通的nat server带整个内网上网的情形类似,因此你可以方便的进行与之有关的实验,比如防火强的设置等 1、Bridge模式(一切都跟host一样,只有ip不能与host相同) ip 192.168.39.222 netmask:255.255.252.0 gateway:192.168.39.254 Primary nameserve:192.168.39.252 2、NAT模式 首先在host中查看VMnet8的IP(e.g. 192.168.255.1). 启动VMware,点Edit下Virtual Network Settin g… ,弹出Virtual network Editor对话框;
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
代理服务器的安装及配置
代理服务器的安装及配置 1、设计目的: 1、局域网内没有与外网相连的机器,必须通过内网的代理服务器连接到外网; 2、为了获得更大的速度,通过带宽较大的代理服务器与目标主机连接; 3、同一地区未互联的不同网络通过代理建立连接; 2、设计内容:(操作系统、选用代理服务器软件、测试方法等...) 操作系统:具有Windows Xp Sp3 什么是代理服务器? 代理服务器是介于浏览器和Web服务器之间的一台服务器,当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器来取回浏览器所需要的信息,并传送给你的浏览器。 代理服务器软件CCProxy的工作机制很象我们生活中常常提及的代理商,假设你的机器为A机,你想获得的数据由B机提供,代理服务器为C机,那么具体的连接过程是这样的: 首先,A机需要B机的数据,它与C机建立连接,C机接收到A机的数据请求后,与B机建立连接,下载A机所请求的B机上的数据到本地,再将此数据发送至A机,完成代理任务。 3、设计步骤: 1.双击运行CCProxy安装文件。
. 2.点击“Next”按钮之后,您会看到下图界面,请记下您软件所安装的地址,后面注册时需要用到,我这里安装的地址为:C:\CCProxy,就是C盘下面的CCProxy文件夹下面。 3到此,我们算是安装成功了,我们此时还没有注册,如果你现在打开CCProxy,您将会看到下图所示,只支持3个用户,这对您做代理服务器是远远不够的,所以我们要先注册,注册时请先将CCProxy关闭。
. 4.安装与运行代理服务器软件:点击CCProxysetup.exe安装CCProxy代理服务器软件,安装完毕以后启动CCProxy软件。下列是代理服务器配置全过程。 5.然后在帐号管理里面进行设置,允许范围一般选择“允许部分”,验证类型可以根据需要选 择,一般默认为“IP地址”,这时就可以对帐号进行管理操作了。
网络打印机的配置方法
网络打印机的配置方法 网络打印机有软件和硬件形式两种类型: 一、软件形式的网络打印机。 对于局域网上的某台电脑,如果其连接有打印机(可是任何类型的打印机),可以将其设置为共享方式,该局域网上的其他电脑通过执行相应的安装操作后即可使用这台打印机。具体设置方法如下: 1、检查两台计算机间网络连接情况。如果检测从未连接打印机的电脑(假定其IP地址为“172.16.7.38”)上测试与连接打印机的电脑(假定其IP地址为“172.16.7.40”)的连接情况,请从IP地址为“172.16.7.38”的电脑上,选择“开始”---“运行”在“打开”文本框中输入“cmd”,然后点击“确定”按钮。 2、然后在打开的DOS窗口中,用“ping ”命令测试两计算机间网络连接情况。这里以IP 地址分别为“172.16.7.38”和“172.16.7.40”两台计算机间要建立网络打印为例。如从IP地址为“172.16.7.38”的计算机上测试其与IP地址为“172.16.7.40”的计算机的网络连接状况,其输入的网络命令应为“ping 172.16.7.40”后回车,如果出现 “Pinging 172.16.7.40 with 32 bytes of data: Destination host unreachable. Destination host unreachable. Destination host unreachable. Destination host unreachable. Ping statistics for 172.16.7.40: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 或出现 Pinging 172.16.7.40with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 172.16.7.40: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), ”则说明网络连接异常。请先检查网络连接情况。 如果结果显示的是“ Pinging 172.16.7.40 with 32 bytes of data: Reply from 172.16.7.40: bytes=32 time<1ms TTL=128 Reply from 172.16.7.40: bytes=32 time<1ms TTL=128 Reply from 172.16.7.40: bytes=32 time<1ms TTL=128 Reply from 172.16.7.40: bytes=32 time<1ms TTL=128 Ping statistics for 172.16.7.40: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms” 则说明两计算机间网络连接正常 2、设置连接有打印机的主机: 依次点击并选择“开始”---“设置”---“控制面板”,双击列表框中的“用户帐户”图
(完整版)WindowsServer2008R2WEB服务器安全设置指南(四)之禁用不必要的服务和关闭端口
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
CENTOS 网络配置方法
CentOS 7 网络配置方法 今天在一台PC上安装了CentOS 7,当时选择了最小安装模式,安装完成后马上用ifconfig查看本机的ip地址(局域网已经有DHCP),发现报错,提示ifconfig 命令没找到。 [root@centos1 ~]# ifconfig -bash: ifconfig: command not found 首先,习惯性的输入echo $PATH(查看当前PATH环境变量,跟DOS的path命令一样的功能,注意Linux系统中的命令是区分大小写的),显示结果如下: [root@centos1 ~]# echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin 从上面显示结果看,放置系统管理程序的路径/usr/sbin已存在,就是放外部命令的路径。直接用ls 查看/usr/sbin/目录,也没看到ifconfig,怎么回事? [root@centos1 ~]# ls /usr/sbin/ 我还是不死心,再用find命令也没找到ifconfig? [root@centos1 ~]# find / -name "ifconfig" 此时心里有底了,应该是用某个命令代替了ifconfig了。上百度一查,果不其然,已经用ip命令代替ifconfig命令了。下面列出ip命令常用参数。 复制代码 代码如下: ip [选项] 操作对象{link|addr|route...} # ip link show # 显示网络接口信息 # ip link set eth0 upi # 开启网卡 # ip link set eth0 down # 关闭网卡 # ip link set eth0 promisc on # 开启网卡的混合模式 # ip link set eth0 promisc offi # 关闭网卡的混个模式 # ip link set eth0 txqueuelen 1200 # 设置网卡队列长度 # ip link set eth0 mtu 1400 # 设置网卡最大传输单元 # ip addr show # 显示网卡IP信息 # ip addr add 192.168.0.1/24 dev eth0 # 设置eth0网卡IP地址192.168.0.1 # ip addr del 192.168.0.1/24 dev eth0 # 删除eth0网卡IP地址 # ip route list # 查看路由信息
服务器安全使用指引规范
服务器安全使用指引规范 撰写:杨胜灵 日期:2007/01/22 为了确保服务器安全、服务器性能以及服务器连接带宽,提高机房资源使用效率,提升客户满意度,特制定此服务器使用指引规范。 1,服务器范围 机房服务器是指公司所需要提供服务的所有客户的网络设备,不仅包括公司电信机房的服务器、交换机、带宽等,还包括部署有公司产品的客户自建机房的服务器。 2,服务器管理 服务器由专人管理,负责服务器的日常安全、数据备份、例行检查、域名解析、项目部署(研发人员指导支撑)、网络分析、带宽管理、设备扩容等,需要两名责任人,每个责任人负责制定各自负责领域的详细执行细则; 第一名责任人由客服中心王元超承担,负责服务器数据备份、日常运行情况监控、例行检查、域名解析、网络分析、带宽管理、设备扩容等; 第二名责任人由研发人员承担,负责服务器的系统配置、日常项目的发布部署等;目前暂定由王嵛田同志整理具体执行细则; 3,服务器使用 3.1,使用原则: 1)责任人统一管理服务器账号密码;除责任人授权外,其它任何人不允许拥有服务器账号 密码信息。 2)中小企业网站,逐步迁移到阿里云服务器等专业托管商;带宽分流,减少使用成本; 3)政府类项目根据情况,需要独享服务器的尽量推荐使用独享服务器;后续根据访问流量, 该收费的需要收费;避免公司买单,客户无偿、无限制使用,影响其它付费优质客户的使用。 4)研发测试类、临时演示类项目使用单独服务器,不允许放到正式服务器,避免运营商封 闭IP。责任人可以给每个技术部门负责人创建账号,并对账号进行管理和监控; 5)数据库服务器,如果条件可行,单独配置专用服务器,同其它应用服务分开;避免性能 问题。
如何设置代理服务器
怎样设置代理服务器 什么是代理服务器? 代理服务器是介于浏览器和Web服务器之间的一台服务器,当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器来取回浏览器所需要的信息,并传送给你的浏览器。 什么是免费代理服务器? 在使用代理猎手等软件搜索代理服务器地址时,会在验证状态栏中出现类似“要密码”、“Free”等字样。如果你把“Free”的地址设置为代理服务器,那你就会发现访问网页时不会要求你输入密码了。这就是“免费的代理服务器”。为什么会出现free的呢?有以下几种情况: 1.是系统漏洞,一旦被网管发现就会被堵上; 2.是善良的网管和其他有机会接近主机的人,将机器设成了代理服务器; 3.是真正的好心人,就是将自己的机器作为免费代理,造福广仁。这真值得钦佩!但被查封关闭得也最快。
4.是ISP商为了提高影响,在一段时间免费开放,一般很短。 使用代理服务器的好处 Proxy Server(代理服务器)是Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联(OSI)型的对话层,主要的功能有: 突破自身IP访问限制: 1.访问国外站点。教育网、169网等网络用户可以通过代理访问国外。 2.访问一些单位或团体部资源,如某大学FTP(前提是该代理地址在该资源的允许访问围之),使用教育网地址段免费代理服务器,就可以用于对教育网开放的各类FTP下载上传,以及各类资料查询共享等服务。 3.突破中国电信的IP封锁:中国电信用户有很多是被限制访问的,这种限制是人为的,不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国外的代理服务器试试。 4.提高访问速度:通常代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户
服务器安全防护措施
随着网络技术的发展,服务器面临着越来越多的安全威胁。因此,加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢?今天,我们来谈一谈具体的防护措施,可以从以下五大方面入手: 一、安全设置 1、加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略,能够有效降低服务器的安全隐患,以确保它的安全性。安全设置主要包括:登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务,它既有域名,又有公网IP,显然存在着一些安全隐患。因此,可以给服务器分配私有的IP地址,并且运用防火墙来做NAT (网络地址转换),可将其进行隐藏。 有些攻击来源于内网,如果把内网计算机和服务器放置在相同的局域网之内,则在一定程度上会增加很多安全隐患,所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问,这样就能极大提
高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ(隔离区)端口,将不适宜对外公布的重要信息的服务器,放在内部网络,进而在提供对外服务的同时,可以最大限度地保护好内部网络。 3、网络管理员,要不断加强网络日常安全的维护与管理 要对“管理员用户名与密码”定期修改;要对服务器系统的新增用户情况进行定时核对,并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库,必要时,可针对比较特殊的病毒,安装专门的杀毒程序,同时要定期查杀服务器的系统病毒,定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况,需要及时给予妥当处理。因为很多“病毒与木马程序”,都是运用系统漏洞来进行攻击的,所以需要不断自动更新服务器系统,以及定期扫描服务器系统的漏洞。 很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取,而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作“肉鸡”,来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是,网络管理员在网站安全的防护上太被动。他们只是被动的防御,而没有进行主动防御和检测。为了彻底提高服务器的安全等级,网站安全需要主动出击。、
服务器硬件配置和服务器安全配置信息(全能)
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.360docs.net/doc/cf9743291.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
用Windows 2000 SERVER 实现网外(Internet)访问代理服务器内部的方法
由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射!就象在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对外网来说,你还是只有一个外部的IP地址,怎么样把外网的IP映射成相应的内网IP地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。 要实现这一点,可以用Windows 2000 Server 的端口映射功能,除此之外Winroute Pro 也具有这样的功能,还有各种企业级的防火墙。而对于我们这些普通用户,恐怕还是用Windows 2000 Server最为方便。 先来介绍一下NAT,NAT(网络地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。 端口映射功能可以让内部网络中某台机器对外部提供WWW服务,这不是将真IP地址直接转到内部提供WWW服务的主机,如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同样多的IP地址进行转换,从而达不到节省IP 地址的目的。端口映射功能是将一台主机的假IP地址映射成一个真IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转到内部一主机的提供这种特定服务的主机;利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口。端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。理论上可以提供六万多个端口的映射,恐怕我们永远都用不完的。 一、下面来介绍一下通过NAT共享上网和利用NAT来实现端口映射。 1、在Windows 2000 Server上,从管理工具中进入“路由和远程访问”(Routing and Remote Access)服务,在服务器上鼠标右击,-》“配置并启用路由和远程访问”
Win7无线网络共享设置方法
Win7无线网络共享设置方法 如今,一些公共娱乐场所专门方便人们的上网开设了免费的无线上网。但是,windows 7系统用户在无线上网的时候可能遇到各种各样的问题,可能是某些软件的冲突,也可能是在无线管理的设置有问题等等。 工具/原料 电脑 WIN7系统 ]路由 步骤/方法 如今,一些公共娱乐场所专门方便人们的上网开设了免费的无线上网。但是,windows 7系统用户在无线上网的时候可能遇到各种各样的问题,可能是某些软件的冲突, 也可能是在无线管理的设置有问题等等。 现在我们以两台计算机之间无线共享internet为例。必备配置:主机两块网卡(本地网卡、无线网卡);分机(无线网卡)。 操作步骤如下: 1、主机本地网卡连接属性里勾选“共享”标签下的“允许他人共享internet连接”。
允许他人共享internet连接 2、主机连接本地连接网络(校园网或宽带都行)。 3、主机无线网卡属性里更改ipv4,ip:192.168.0.1子网掩码:255.255.255.0默认网关:192.168.0.1首选DNS服务器:192.168.0.1备用不填点击确定。 IP设置 4、分机同样无线网卡属性里更改ipv4,与主机不同的是IP该为192.168.0.X(X可以是除1
以外的任何0~255的数),其他数值设置与主机一致。 ipv4设置 5、主机建立无线网(有无“启用Internet连接共享”都可),分机连接无线后即可实现共享主机的internet连接。(注意:如果以上设置都正确却出现无法实现共享的情况一般是ICS服务没有打开,请按以下步骤操作):(1)右击我的电脑――管理――服务和应用程序――服务――InternetConnectionSharing(ICS)。
各种代理服务器设置方法
各种代理服务器设置方法 2010-12-03 07:30出处:51cto作者:佚名【我要评论】[导读]代理服务器是很多用户都要用到的,但是如何设置代理服务器呢?本文向您详尽的介绍了各种代理服务器设置方法,希望对您有所帮助。 ADSL代理服务器的设置方法 1、在桌面上用鼠标右键单击‘Internet Explorer’图标,并选择‘属性’,单击‘连接’标签。 2、选中使用的连接,如:‘我的连接’,单击‘设置’按钮。 3、单击‘鼠标左键’,选择‘使用代理服务器’的选项,单击‘确定’按钮。 4、单击‘确定’按钮。 LAN局域网用户代理服务器设置方法 1、在桌面上用鼠标右键单击‘Internet Explorer图标’,并选择‘属性’,单击‘连接’标签。 2、单击‘局域网设置’按钮。 3、单击‘鼠标左键’,去掉‘使用代理服务器’的选项,单击‘确定’按钮。 4、单击‘确定’按钮。 微软IE设置代理 (一)菜单选择“工具”,选“Internet选项(O)”。 (二)选“连接”,单击“设置(S)...” (三)在“代理服务器”组,把“对此连接使用代理服务器”打钩,然后填上HTTP的地址和端口。 (四)如果有更齐全的代理数据,如SOCK及FTP等,可单击“高级(C)...”,分别填入对应的代理数据。(这项一般不填) (五)单击“确定”就可以了。 腾讯TT设置代理 (一)主菜单选择“工具”,选“WWW代理”,选“代理设置...”
(二)点击“新增”,然后在“地址”那填上代理的IP以及端口,单击“确定”,代理就可以生效。 (三)当使用代理的时候,菜单上代理名称前面有“钩”,当向要取消代理或者再次使用代理,点击菜单就行,很方便。 QQ设置代理 1)QQ设置SOCK5代理 (一)打开参数设置。 点击QQ的“QQ2000”,选择“系统菜单”。 (二)输入代理参数。 选择“网络参数”,在腾讯的服务器地址填上绝对IP(“***.***.***.***形式的”),下面有腾讯服务器域名转换绝对IP的表,随便选择一个就行。“使用SOCK5代理服务器”打钩,填上代理服务器的地址和端口参数。把用户名和密码输入框清空(假如是使用有密码的代理,则填上代理的用户名和密码)。 https://www.360docs.net/doc/cf9743291.html, => 61.144.238.145 https://www.360docs.net/doc/cf9743291.html, => 61.144.238.146 https://www.360docs.net/doc/cf9743291.html, => 202.104.129.251 https://www.360docs.net/doc/cf9743291.html, => 202.104.129.254 https://www.360docs.net/doc/cf9743291.html, => 61.141.194.203 https://www.360docs.net/doc/cf9743291.html, => 202.104.129.252 https://www.360docs.net/doc/cf9743291.html, => 202.104.129.253 (三)测试代理参数。 点击测试。假如出现“代理服务器正常”,则这个代理是可用的。假如出现“无法连接代理服务器”,则说明这个代理不能使用,重新输入另外的代理参数,重新测试。 (四)使代理生效。 要使刚刚输入的参数生效,必须下线一次,再上线,这样才能改变QQ的传输状态,使代理生效。如果不能上线,请多换几个代理试试。
小技巧:四种方法屏蔽网络设置
小技巧:四种方法屏蔽网络设置 日期:2002年12月10日作者:人气:4922 查看:[大字体中字体小字体] 管理和维护局域网是一件很烦人的事情,因为网络管理员肯定会经常面临这样的问题,那就是自己设置好的局域网参数,被其他人修改后,导致网络无法正常连接,遇到故障后,自己还必须对出现故障的计算机进行认真排除,直到重新解决故障为止;很显然这种对网络设置权限完全放开的做法,不仅会加大工作人员的维护工作量,也大大降低了维护效率;为了提高局域网的维护效率,避免其他人随意对网络参数进行非法设置,我们应该采取措施禁止别人来设置网络参数,下面就是几种屏蔽网络设置的小技巧: 一、隐藏网上邻居 大家知道,用鼠标右键单击网上邻居图标,然后再从弹出的右键菜单中选择“属性”命令就可以打开网络参数设置对话框,对网络参数进行设置了。为此,我们可以通过隐藏“网上邻居”图标,让其他人无法打开网上邻居属性对话框,从而到达禁止设置网络参数的目的: 1、首先打开开始菜单,并选择其中的运行命令,然后在弹出的运行对话框中,输入regedit命令,这样系统就会打开一个注册表编辑器操作窗口; 2、在这个窗口中,大家可以用鼠标依次访问键值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; 3、随后在对应Explorer键值右边的操作窗口中,大家可以用鼠标左键单击窗口的空白处,从弹出的快捷菜单中,依次访问“新建”/“DWORD串值”命令; 4、在打开的DWORD串值设置框中,大家必须给新建的DWORD串值命名为NoNetHood,同时把该值设置为1(十六进制); 5、设置好所有参数后,重新启动计算机就可以使设置生效了。 二、隐藏网络图标 要想打开网络参数设置对话框,除了通过网上邻居的属性命令能实现目的外,大家也可以利用控制面板中的“网络”图标,来访问网络参数设置对话框,为此我们必须禁止其他用户对“网络”图标的访问: 1、在Windows系统的开始菜单中找到运行命令,并在随后弹出的运行对话框中输入“control.ini”; 2、接着系统将会启动记事本程序,来打开系统文件control.ini,在该文件的[don't load]设置段处,我们输入“netcpl.cpl=no”这样的字符;
服务器策略安全设置
本地安全策略配置 1)开始 > 程序 > 管理工具 > 本地安全策略 2)账户策略 > 密码策略 > 密码最长使用期限改成60天 3)账户策略 > 密码策略 > 密码最短使用期限改成0天[即密码不过期,上面我讲到不会造 成IIS密码不同步] 4)账户策略 > 账户锁定策略 > 账户锁定阈值 6 次账户锁定时间 10分钟 [个人推荐配置] 5)本地策略 > 审核策略 > 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 6)本地策略 > 安全选项 > 清除虚拟内存页面文件更改为"已启用" > 不显示上次的用户 名更改为"已启用" > 不需要按CTRL+ALT+DEL 更改为"已启用" > 不允许 SAM 账户的匿名枚举更改为"已启用" > 不允许 SAM 账户和共享的匿名枚举更改为"已启用" 7)?重命名来宾账户更改成一个复杂的账户名公司统一更改为Guest999$# 8)?重命名系统管理员账号更改一个自己用的账号 [同时可建立一个无用户组的 Administrat账户] 策略如下:更改为localadmin帐户,添加Administrator用户,创建超复杂密码,把用户所属的组全部删除。 9)我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小: 1048576KB=1G 覆盖时间超过30天的事件 10)帐户策略——>帐户锁定策略设置为3次无效登陆 11)本地策略——>用户权限分配关闭系统:只有Administrators组、其它全部删除。通过 终端服务允许登陆:只加入Administrators,Remote Desktop Users组用户权利分配:将“从网络访问此计算机”中只保留(Administrators)、使用https://www.360docs.net/doc/cf9743291.html,还要保留Aspnet账户。 (ASPNET)、启动IIS进程账户(IUSR)、 (IWAM)(Everyone) (Administrators)(ASPNET)(IUSR)(IWAM)(Everyone) 通过终端服务拒绝登陆:加入Guests组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除 网络访问:可匿名访问的命全部删除 网络访问:可远程访问的注册表路径全部删除 网络访问:可远程访问的注册表路径和子路径全部删除 帐户:重命名来宾帐户重命名一个帐