<![CDATA[畅想博客-CxBlog - 网络技术]> http://www.cxblog.net/ zh-cn PBlog2 v2.4 畅想博客-CxBlog http://www.cxblog.net/images/logos.gif http://www.cxblog.net/ 畅想博客-CxBlog http://www.cxblog.net/default.asp?id=372 <![CDATA[限制右击代码收集]> lyjier@163.com(ier00) Wed,31 Oct 2012 11:07:00 +0800 http://www.cxblog.net/default.asp?id=372 http://www.cxblog.net/default.asp?id=363 <![CDATA[服务器相关知识]> lyjier@163.com(ier00) Fri,12 Nov 2010 09:54:30 +0800 http://www.cxblog.net/default.asp?id=363
    (1)入门级服务器

    入门级服务器通常只使用一块CPU,并根据需要配置相应的内存(如256MB)和大容量IDE硬盘,必要时也会采用IDE RAID(一种磁盘阵列技术,主要目的是保证数据的可靠性和可恢复性)进行数据保护。入门级服务器主要是针对基于Windows NT,NetWare等网络操作系统的用户,可以满足办公室型的中小型网络用户的文件共享、打印服务、数据处理、Internet接入及简单数据库应用的需求,也可以在小范围内完成诸如E-mail、 Proxy 、DNS等服务。

   对于一个小部门的办公需要而言,服务器的主要作用是完成文件和打印服务,文件和打印服务是服务器的最基本应用之一,对硬件的要求较低,一般采用单颗或双颗CPU的入门级服务器即可。为了给打印机提供足够的打印缓冲区需要较大的内存,为了应付频繁和大量的文件存取要求有快速的硬盘子系统,而好的管理性能则可以提高服务器的使用效率。
    
    (2)工作组级服务器
  
    工作组级服务器一般支持1至2个PⅢ处理器或单颗P4(奔腾4)处理器,可支持大容量的ECC(一种内存技术,多用于服务器内存)内存,功能全面。可管理性强、且易于维护,具备了小型服务器所必备的各种特性,如采用SCSI(一种总线接口技术)总线的I/O(输入/输出)系统,SMP对称多处理器结构、可选装RAID、热插拔硬盘、热插拔电源等,具有高可用性特性。适用于为中小企业提供Web、Mail等服务,也能够用于学校等教育部门的数字校园网、多媒体教室的建设等。

    通常情况下,如果应用不复杂,例如没有大型的数据库需要管理,那么采用工作组级服务器就可以满足要求。目前,国产服务器的质量已与国外著名品牌相差无几,特别是在中低端产品上,国产品牌的性价比具有更大的优势,中小企业可以考虑选择一些国内品牌的产品。此外,HP等大厂商甚至推出了专门为中小企业定制的服务器。但个别企业如果业务比较复杂,数据流量比较多,而且资金允许的情况下,也可以考虑选择部门级和企业级的服务器来作为其关键任务服务器。目前HP、DELL、IBM、浪潮都是较不错的品牌。
    
    (3)部门级服务器

    部门级服务器通常可以支持2至4个PⅢ Xeon(至强)处理器,具有较高的可靠性、可用性、可扩展性和可管理性。首先,集成了大量的监测及管理电路,具有全面的服务器管理能力,可监测如温度、电压、风扇、机箱等状态参数。此外,结合服务器管理软件,可以使管理人员及时了解服务器的工作状况。同时,大多数部门级服务器具有优良的系统扩展性,当用户在业务量迅速增大时能够及时在线升级系统,可保护用户的投资。目前,部门级服务器是企业网络中分散的各基层数据采集单位与最高层数据中心保持顺利连通的必要环节。适合中型企业(如金融、邮电等行业)作为数据中心、Web站点等应用。

    (4)企业级服务器

     企业级服务器属于高档服务器,普遍可支持4至8个PIII Xeon(至强)或P4 Xeon(至强)处理器,拥有******的双PCI通道和内存扩展板设计,具有高内存带宽,大容量热插拔硬盘和热插拔电源,具有超强的数据处理能力。这类产品具有高度的容错能力、优异的扩展性能和系统性能、极长的系统连续运行时间,能在很大程度上保护用户的投资。可作为大型企业级网络的数据库服务器。

    目前,企业级服务器主要适用于需要处理大量数据、高处理速度和对可靠性要求极高的大型企业和重要行业(如金融、证券、交通、邮电、通信等行业),可用于提供ERP(企业资源配置)、电子商务、OA(办公自动化)等服务。

    2.按服务器的处理器架构(也就是服务器CPU所采用的指令系统)划分把服务器分为CISC架构服务器、RISC架构服务器和VLIW架构服务器三种。

    (1)CISC架构服务器

    CISC的英文全称为“Complex Instruction Set Computer”,即“复杂指令系统计算机”,从计算机诞生以来,人们一直沿用CISC指令集方式。早期的桌面软件是按CISC设计的,并一直沿续到现在,所以,微处理器(CPU)厂商一直在走CISC的发展道路,包括Intel、AMD,还有其他一些现在已经更名的厂商,如TI(德州仪器)、Cyrix以及VIA(威盛)等。在CISC微处理器中,程序的各条指令是按顺序串行执行的,每条指令中的各个操作也是按顺序串行执行的。顺序执行的优点是控制简单,但计算机各部分的利用率不高,执行速度慢。CISC架构的服务器主要以IA-32架构(Intel Architecture,英特尔架构)为主,而且多数为中低档服务器所采用。

    如果企业的应用都是基于NT平台的应用,那么服务器的选择基本上就定位于IA架构(CISC架构)的服务器。如果企业的应用主要是基于Linux操作系统,那么服务器的选择也是基于IA结构的服务器。如果应用必须是基于Solaris的,那么服务器只能选择SUN服务器。如果应用基于AIX(IBM的Unix操作系统)的,那么只能选择IBM Unix服务器(RISC架构服务器)。

    (2)RISC架构服务器

    RISC的英文全称为“Reduced Instruction Set Computing”,中文即“精简指令集”,它的指令系统相对简单,它只要求硬件执行很有限且最常用的那部分执令,大部分复杂的操作则使用成熟的编译技术,由简单指令合成。目前在中高档服务器中普遍采用这一指令系统的CPU,特别是高档服务器全都采用RISC指令系统的CPU。在中高档服务器中采用RISC指令的CPU主要有Compaq(康柏,即新惠普)公司的Alpha、HP公司的PA-RISC、IBM公司的Power PC、MIPS公司的MIPS和SUN公司的Spare。

    (3)VLIW架构服务器

    VLIW是英文“Very Long Instruction Word”的缩写,中文意思是“超长指令集架构”,VLIW架构采用了先进的EPIC(清晰并行指令)设计,我们也把这种构架叫做“IA-64架构”。每时钟周期例如IA-64可运行20条指令,而CISC通常只能运行1-3条指令,RISC能运行4条指令,可见VLIW要比CISC和RISC强大的多。VLIW的最大优点是简化了处理器的结构,删除了处理器内部许多复杂的控制电路,这些电路通常是超标量芯片(CISC和RISC)协调并行工作时必须使用的,VLIW的结构简单,也能够使其芯片制造成本降低,价格低廉,能耗少,而且性能也要比超标量芯片高得多。目前基于这种指令架构的微处理器主要有Intel的IA-64和AMD的x86-64两种。

    3.按服务器按用途划分为通用型服务器和专用型服务器两类。

    (1)通用型服务器

    通用型服务器是没有为某种特殊服务专门设计的、可以提供各种服务功能的服务器,当前大多数服务器是通用型服务器。这类服务器因为不是专为某一功能而设计,所以在设计时就要兼顾多方面的应用需要,服务器的结构就相对较为复杂,而且要求性能较高,当然在价格上也就更贵些。

    (2)专用型服务器

    专用型(或称“功能型”)服务器是专门为某一种或某几种功能专门设计的服务器。在某些方面与通用型服务器不同。如光盘镜像服务器主要是用来存放光盘镜像文件的,在服务器性能上也就需要具有相应的功能与之相适应。光盘镜像服务器需要配备大容量、高速的硬盘以及光盘镜像软件。FTP服务器主要用于在网上(包括Intranet和Internet)进行文件传输,这就要求服务器在硬盘稳定性、存取速度、I/O(输入/输出)带宽方面具有明显优势。而E-mail服务器则主要是要求服务器配置高速宽带上网工具,硬盘容量要大等。这些功能型的服务器的性能要求比较低,因为它只需要满足某些需要的功能应用即可,所以结构比较简单,采用单CPU结构即可;在稳定性、扩展性等方面要求不高,价格也便宜许多,相当于2台左右的高性能计算机价格。


    4.按服务器的机箱结构来划分,可以把服务器划分为“台式服务器”、“机架式服务器”、“机柜式服务器”和“刀片式服务器”四类。

    (1)台式服务器

    台式服务器也称为“塔式服务器”。有的台式服务器采用大小与普通立式计算机大致相当的机箱,有的采用大容量的机箱,像个硕大的柜子。低档服务器由于功能较弱,整个服务器的内部结构比较简单,所以机箱不大,都采用台式机箱结构。这里所介绍的台式不是平时普通计算机中的台式,立式机箱也属于台式机范围,目前这类服务器在整个服务器市场中占有相当大的份额。

    (2)机架式服务器

    机架式服务器的外形看来不像计算机,而像交换机,有1U(1U=1.75英寸)、2U、4U等规格。机架式服务器安装在标准的19英寸机柜里面。这种结构的多为功能型服务器。

    对于信息服务企业(如ISP/ICP/ISV/IDC)而言,选择服务器时首先要考虑服务器的体积、功耗、发热量等物理参数,因为信息服务企业通常使用大型专用机房统一部署和管理大量的服务器资源,机房通常设有严密的保安措施、良好的冷却系统、多重备份的供电系统,其机房的造价相当昂贵。如何在有限的空间内部署更多的服务器直接关系到企业的服务成本,通常选用机械尺寸符合19英寸工业标准的机架式服务器。机架式服务器也有多种规格,例如1U(4.45cm高)、2U、4U、6U、8U等。通常1U的机架式服务器最节省空间,但性能和可扩展性较差,适合一些业务相对固定的使用领域。4U以上的产品性能较高,可扩展性好,一般支持4个以上的高性能处理器和大量的标准热插拔部件。管理也十分方便,厂商通常提供人相应的管理和监控工具,适合大访问量的关键应用,但体积较大,空间利用率不高。

  

    (3)机柜式服务器

    在一些高档企业服务器中由于内部结构复杂,内部设备较多,有的还具有许多不同的设备单元或几个服务器都放在一个机柜中,这种服务器就是机柜式服务器。

    对于证券、银行、邮电等重要企业,则应采用具有完备的故障自修复能力的系统,关键部件应采用冗余措施,对于关键业务使用的服务器也可以采用双机热备份高可用系统或者是高性能计算机,这样的系统可用性就可以得到很好的保证。
    
    (4)刀片式服务器

    刀片式服务器是一种HAHD(High Availability High Density,高可用高密度)的低成本服务器平台,是专门为特殊应用行业和高密度计算机环境设计的,其中每一块“刀片”实际上就是一块系统母板,类似于一个个******的服务器。在这种模式下,每一个母板运行自己的系统,服务于指定的不同用户群,相互之间没有关联。不过可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下,所有的母板可以连接起来提供高速的网络环境,可以共享资源,为相同的用户群服务。当前市场上的刀片式服务器有两大类:一类主要为电信行业设计,接口标准和尺寸规格符合PICMG(PCI Industrial Computer Manufacturer's Group)1.x或2.x,未来还将推出符合PICMG 3.x 的产品,采用相同标准的不同厂商的刀片和机柜在理论上可以互相兼容;另一类为通用计算设计,接口上可能采用了上述标准或厂商标准,但 尺寸规格是厂商自定,注重性能价格比,目前属于这一类的产品居多。刀片式服务器目前最适合群集计算和IxP提供互联网服务。 ]>
http://www.cxblog.net/default.asp?id=361 <![CDATA[解决win2003不支持FLV的方法]> lyjier@163.com(ier00) Tue,27 Apr 2010 10:21:07 +0800 http://www.cxblog.net/default.asp?id=361    原因是由于windows server 2003上并没有.FLV的这种mime-type类型,对于这一点Adobe给出了它的解决方案.如下:
    针对服务器方案:
          1、在2003服务器,打开IIS管理器。
       2、展开本地服务器名称,右击选择属性,在Internet信息服务器标签上,右击最下方的计算机MIME映射下面的编辑按钮。
       3、点击“新类型”按钮,扩展名添加“.flv”,内容类型(MIME)添上“flv-application/octet-stream”。
       4、点击确定。
       5、重新启动www服务。

   尽管Adobe提供的这种解决方法可以让.FLV工作,但仍会在许多情况下出现意想不到的结果,仍会有许多.FLV不能正常工作。下面有一种解决方法:
       1、在2003服务器,打开IIS管理器。
       2、展开本地服务器名称,右击选择属性,在Internet信息服务器标签上,右击最下方的计算机MIME映射下面的编辑按钮。
       3、点击“新类型”按钮,扩展名添加“.flv”,内容类型(MIME)添上“video/x-flv”。
       4、点击确定。
       5、重新启动www服务。

针对虚拟主机用户:
    解决“虚拟主机不支持.flv格式文件”的问题:比如你的FLV文件名是a.flv,在虚拟主机上建一个名为a.flv的目录,在此目录下放你的FLV格式文件,将其改名为:index.htm,播放器中的文件名保持原样不动,这样就可以了。
]>
http://www.cxblog.net/default.asp?id=340 <![CDATA[局域网不能正常浏览同一网站的情况]> lyjier@163.com(lyjier) Thu,19 Jun 2008 19:14:49 +0800 http://www.cxblog.net/default.asp?id=340
  出现这种现象的原因很可能是各个工作站向Internet发送TCP/IP数据请求包时,其数据包的TCP/IP传输单元数值超过了PPPoE协议下的数据帧所能承受的范围,从而导致了PPPoE协议无法准确将TCP/IP数据请求包发送到指定的Interner站点中,这样网站页面自然就无法被打开。要想消除该现象,IT问号网提示必须按照如下方法,来限制数据包的TCP/IP传输单元最大数值:
打开注册表编辑器,找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\Parameters\Interfaces];在Interfaces分支右边的子窗口中,用鼠标右键单击空白区域,从弹出的右键菜单中依次执行“新建→双字节值”命令,并将新创建的双字节值名称设置为MTU,接着双击MTU键值,在弹出的数值设置窗口中选中“十进制”选项,并在“数值数据”设置项处输入1450,再单击“确定”按钮,最后按下键盘上的F5功能键,刷新一下系统注册表,就可以确保工作站正常访问网站页面了。]>
http://www.cxblog.net/default.asp?id=323 <![CDATA[IIS常见问题-IIS应用常见问题解答]> lyjier@163.com(ier00) Thu,27 Sep 2007 16:46:51 +0800 http://www.cxblog.net/default.asp?id=323   A:windows2003中默认没有启用ASP支持,在IIS的Web Service Extensions里找到Active Server Pages,将ALLOW选上,就可以了。

  Q:我的IIS只要asp文件有错,就显示HTTP500错误,但是却不显示出错的详细信息。以前能够显示究竟是那个文件的那一行出错,但现在却不显示。
  A:在IE的Internet选项中选高级,选中“显示友好的HTTP错误”即可。

  Q:在Windows XP家庭版如何安装IIS?
  A:windows XP家庭版不能安装IIS,请升级到专业版。

  Q:为何我访问本机地址要求输入用户和密码?
  A:将IIS设置中匿名帐号权限打开。再则检查所在目录的NTFS权限。

  Q:我的ASP文件包含文件的时候提示Active Server Pages 错误 'ASP 0131'不允许的父路径,如何解决?
  A:在站点属性中选择主目录-配置-应用程序选项,将“启用父目录”选上。

  Q:为何我的IIS老是当机?
  A:1、检查你设置的脚本超时时间,不能过长。2、检查你的程序是否有对象和连接没有关闭。3、依次停止各个用户的服务,看看是不是有耗大资源的用户程序。

  Q:win200 server+iis,为什么在网页上,有的中文htm链接路径可以显示,有的不行?
  A:'转换双字节字符为合法的URL传输字串
  function getUrlEncodel(byVal Url)
   Dim i,code
   getUrlEncodel=""
   if trim(Url)="" then exit function
   for i=1 to len(Url)
   code=Asc(mid(Url,i,1))
  If code<0 Then code = code + 65536
   If code>255 Then
   getUrlEncodel=getUrlEncodel&"%"Left(Hex(Code),2)&"%"Right(Hex(Code),2)
  else
   getUrlEncodel=getUrlEncodel&mid(Url,i,1)
  end if
   next
  end function

  Q:IIS 所有的exe文件从上面的目录都不能下载,显示404 文件找不到 是什么原因?还是哪里设置错误?
  A:设置一下http头--MIME类型,新建一个类型扩展名为EXE,类型为:application/octet-stream

  Q:在管理工具中找不到IIS了。
  A:在C:\WINDOWS\system32\inetsrv中找到快捷方式重新建立。

  Q:IIS无法支持ASP了,重启N次都不行。
  A:在应用程序程序配置中检查.asp文件是不是已经映射到C:\WINDOWS\system32\inetsrv\asp.dll。若无,则添加。
]>
http://www.cxblog.net/default.asp?id=318 <![CDATA[跨服务器上传文件完美解决]> lyjier@163.com(lyjier) Tue,11 Sep 2007 09:35:00 +0800 http://www.cxblog.net/default.asp?id=318   前提条件,空间都必须支持ASP,上传文件的服务器支持FSO,下面的叙述中,a为存上传文件的服务器,b为网站服务器,即显示用户界面的服务器...
  实现功能,文件上传,上传后在网页的文本区域自动加上对于图片的UBB码,为了清楚,下面列出所有用到的文件。

服务器             文件名                   用途
a        blog_upfile.asp             接收上传文件用
b        blog_add.asp               添加BLOG,上传文件功能在此出现
b        blog_upload.asp          上传文件表单,以iframe的形式嵌在blog_add.asp里
b        blog_upresult.asp        显示上传结果,作善后工作
b        blog_upcheck.asp         验证用户名与密码


  在发布BLOG页面Blog_add.asp增加一个iFrame,调用blog_upload.asp进行上传操作

<iframe border="0" frameBorder="0" frameSpacing="0" height="25" marginHeight="0" marginWidth="0" noResize scrolling="no" width="100%" vspale="0" src=&"http://" target="_blank">http://"&servername&"/blog_upresult.asp?msg="
if   上传成功 then//把脚本传过去,因为JS中的+号不能被传递.因此使用server.urlencode函数,此脚本在b上才有权限运行
    url=url+ "<script>parent.frmAnnounce.Content.value"&server.urlencode("+")&"=''</script>"
     //把文件名也传送过去,以便存数据库备查
     response.redirect  url+"上传成功&filename="&FileName
end if


下面就是blog_upresult.asp上的代码了,很简单


//传成功了,自然要把已经diable的提交BLOG按纽恢复
<script>
parent.frmAnnounce.Submit.disabled=false;
</script>
//还有就是把传过来的信息显示出来
response.write request("msg")
//如果request("filename")<>"" 写入数据库代码省略
response.write "[ <a href=# onclick=history.go(-1)>重新上传</a> ]"


看上去perfect了,但如人家得到了你的源码的话,轻而易举把你的上传服务器当成网络硬盘用....
只要把hosts文件里的中一句 127.0.0.1  b
然后相应写一个提交文件用的blog_upload.asp就行了,
头疼ing,代码是不能允许有半点安全漏洞的,验证的域名能被欺骗,
那就验证上传者的用户名与密码,a怎么去b的数据库上去查询用户名与密码是否正确呢
这就少不了xmlhttp
先在b上做一个blog_upcheck.asp,内容非常简单,对传的用户名与密码验证,成功则输出1,失败则输出0

<%
name=request("name")
psw=request("psw")
checkstr(name)//滤掉SQL字符
checkstr(psw))//滤掉SQL字符
   if  从数据库检查用户名=成功 then
     response.write 0
     else
     response.write 1
     end if

%>

blog_upfile.asp接受上传之前先调用此文件验证.下面为代码,虽然也是使用域名b但此操作在a的服务器上执行,所以与使用者本地的hosts文件无关

<%
str=getHTTPPage("http://"&servername&"/blog_upcheck.asp?name="&name&"&psw="&password)
if str<>"1" then
      response.write "非法用户~!"
     response.end    
end if
//两个操作函数。非常有用,可以用到别的地方
Function getHTTPPage(URL)
    Set HTTPReq = Server.createobject("Microsoft.XMLHTTP")
    HTTPReq.Open "GET", URL, False
    HTTPReq.send
    If HTTPReq.readyState <> 4 Then Exit Function
    getHTTPPage = bytes2BSTR(HTTPReq.responseBody)
    Set HTTPReq = Nothing
End Function

Function bytes2BSTR(vIn)
    Dim strReturn
    Dim I, ThisCharCode, NextCharCode
    strReturn = ""
    For I = 1 To LenB(vIn)
        ThisCharCode = AscB(MidB(vIn, I, 1))
        If ThisCharCode < &H80 Then
            strReturn = strReturn & Chr(ThisCharCode)
        Else
            NextCharCode = AscB(MidB(vIn, I + 1, 1))
            strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))
            I = I + 1
        End If
    Next
    bytes2BSTR = strReturn
End Function
%>]>
http://www.cxblog.net/default.asp?id=317 <![CDATA[加强边界路由器安全防护能力的9个步骤]> lyjier@163.com(lyjier) Fri,07 Sep 2007 10:07:36 +0800 http://www.cxblog.net/default.asp?id=317
  经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

  在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。

  1.修改默认的口令

  据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。

  2.关闭IP直接广播(IP Directed Broadcast)

  你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf******是一种拒绝服务******。在这种******中,******者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

  参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

  3.如果可能,关闭路由器的HTTP设置

  正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

  虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。

  4.封锁ICMP ping请求

  ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性******之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易******的目标的“脚本小子”(script kiddies)。

  请注意,这样做实际上并不能保护你的网络不受******,但是,这将使你不太可能成为一个******目标。

  5.关闭IP源路由

  IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用�******��者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

  6.确定你的数据包过滤的需求

  封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

  对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。

  大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举******。封锁31337 (TCP和UDP)端口将使Back orifice木马程序更难******你的网络。

  这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。

  7.建立准许进入和外出的地址过滤政策

  在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP 地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是, 216.239.55.99这个地址很可能是欺骗性的,并且是一�******��的一部分。

  相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

  最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255.

  8.保持路由器的物理安全

  从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。

  然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

  9.花时间审阅安全记录

  审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的******还是未来******的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的******。

  此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。]>
http://www.cxblog.net/default.asp?id=316 <![CDATA[缩短IIS应用池回收时间,减少IIS假死]> lyjier@163.com(lyjier) Wed,05 Sep 2007 08:13:30 +0800 http://www.cxblog.net/default.asp?id=316
  应用程序:ISAPI 'C:\WINDOWS\system32\inetsrv\asp.dll' 报告它自身有问题,原因如下: 'ASP 不正常,因为执行请求的 100% 被挂起,而且请求队列已经使用了 0%。'。

  关于server 2003+IIS6 出现 'ASP 不正常,因为执行请求的 100% 被挂起

现像如下:
  站点无法打开,或者打开很慢.HTML可以打开.重新启动或者回收应用程序池可恢复.但过一段时间又会出现

日志里会有:
  ISAPI 'C:\WINDOWS\system32\inetsrv\asp.dll' reported itself as unhealthy for the following reason: 'ASP unhealthy because 100% of executing requests are hung and 6% of the request queue is full.'.

或者:
  ISAPI 'C:\WINDOWS\system32\inetsrv\asp.dll' 报告它自身有问题,原因如下: 'ASP 不正常,因为执行请求的 100% 被挂起,而且请求队列已经使用了 0%。'。

解决方法:

  1.asp是否正确映射到'C:\WINDOWS\system32\inetsrv\asp.dll'

  2.一般来讲,是由于在同属IIS的应用程序池出现了某个站ASP代码错误所致,使得内存耗尽,检查代码本身的问题.可以隔离到单独应用程序池调试

  3、减少应用程序池回收时间。默认为:1740。。可设为120(每2小时)

IIS假死的原因:

  打开IIS 你就会看到应用程序池,默认只有一个应用程序池,查看应用程序池的属性,会发现他的回收时间,默认多达,1740分钟,就是说,需要在1740分钟后才回收此应用程序池,如果在这个时间内,达到请求的最高限制,那么就会出现ASP假死的情况,这个就是大型网站出现假死的情况,反而,小型网站确不会出现这样的情况,因为他请求少,流量少,还没达到限制数量。当然要看你的服务器上网站数目而定。

以下是解决方法:

  资料一

  单个网站解决方法:
  把应用程序池回收时间缩短到300-600分钟,其间回收过程中,需要占用一点CPU资源,没办法,为了稳定性,再把回收时间设为凌晨5点。

多网站解决方法:

  视服务器网站的多少,新建多个应用程序池,把每个池回收时间缩小到300分钟,然后再分配每个池10个网站左右(这个分配是要求你的网站访问量所定)如果某个网站,访问量大,就单独给他一个程序池,但是这样做的后果就是需要大内存,一个池现在占用我120M内存左右,反正内存大,没关系,

  那么多网站如何分配应用程序池,打开IIS--查看你要分配的网站属性,查看主目录--在下面你就会看到应用程序池了,分配一个就行了。

资料二

  大家在使用iis6时..如果装了动网论坛.肯定有出现过iis6假死现像..就是asp网页打开慢..但是iis却是正常的..静态网页打开速度一样..这时候..我一直是重启的方法..查了官方的资料结果没有...据官方资料说..win2003很快就要打这个补丁了..是iis6对access驱动支持不理像..也算是一个bug吧..由于我的服务器虚拟主机多..而且大多支持asp..如果一旦假死就无法运行..在多方面的资料查找下..找到了一个比较简单的方法..具体我测试是通过了..iis6自带数据应用程序池..现在就利用他来解决假死..

  首先把bbs设一个单独的目录..然后点击应用程序池..新建应用程序池.输入应用程序池id..

  然后把bbs的虚拟目录下面的.就用程序池..选择刚才新建的应用程序池...

  然后再回到刚才设好的应用程序池...点击..属性...把回收工作进程数(分钟)及回收工作进程数还有在下列时间回收时间进程勾上..然后在下列时间回收程序池里左边添加..选择一个时间..一般来说..网站到凌晨3点的时候.基本人都很少了..这时回收一下bbs的进程数..就可以解决了iis假死的现像..

  当然还可以配置其他信息..比如说iis6的用户名.. 我们可以打开计算机管理..然后打开计算机用户管理..添加一个用户..设置好后..在应用程序池里面..标识..把添加的用户放上去..用用户来测试回收的进程..当然还有..其他配置..其实很简单..只要好好看一下..就能明白意思...

  也可以借助专用的工具来回收应用程序池..这样方便而且快捷..iis的备份.虚拟主机ip的统一修改及端口访问的ip记录..用批处理是一个很简单又方便的方法.所以.把一台服务器做的安全..并不是哪么容易的事..特别是iis..经常去官方网站搜索资料是一个好习惯..还有就是经常性的访问日志..及注册表的用户还有加载运行的程序.及服务也是一个好方法.]>
http://www.cxblog.net/default.asp?id=253 <![CDATA[无线网攻击工具进攻方法及防范技巧]> lyjier@163.com(lyjier) Sun,29 Apr 2007 18:47:45 +0800 http://www.cxblog.net/default.asp?id=253
  找到无线网络

  找到无线网络是******的第一步,这里推荐两款常用工具:

  1、Network Stumbler a.k.a NetStumbler。这个基于Windows的工具可以非常容易地发现一定范围内广播出来的无线信号,还可以判断哪些信号或噪音信息可以用来做站点测量。

  2、Kismet。NetStumbler缺乏的一个关键功能就是显示哪些没有广播SSID的无线网络。如果将来想成为无线安全专家,您就应该认识到访问点(Access Points)会常规性地广播这个信息。Kismet会发现并显示没有被广播的那些SSID,而这些信息对于发现无线网络是非常关键的。

  连上找到的无线网络

  发现了一个无线网络后,下一步就是努力连上它。如果该网络没有采用任何认证或加密安全措施,你可以很轻松地连上它的SSID。如果SSID没有被广播,你可以用这个SSID的名称创建一个文件。如果无线网络采用了认证和/或加密措施,也许,你需要以下工具中的某一个。

  1、Airsnort。这个工具非常好用,可以用来嗅探并破解WEP密钥。很多人都用WEP,当然比什么都不用要好。在用这个工具时你会发现它捕获大量抓来的数据包,来破解WEP密钥。还有其它的工具和方法,可以用来强制无线网络上产生的流量去缩短破解密钥所需时间,不过Airsnort并不具有这个功能。

  2、CowPatty。这个工具被用作暴力破解WPA-PSK,因为家庭无线网络很少用WEP。这个程序非常简单地尝试一个文章中各种不同的选项,来看是否某一个刚好和预共享的密钥相符。

  3、ASLeap。如果某无线网络用的是LEAP,这个工具可以搜集通过网络传输的认证信息,并且这些抓取的认证信息可能会被破解。LEAP不对认证信息提供保护,这也正是LEAP可以被******的主要原因。

  抓取无线网上的信息

  不管你是不是直接连到了无线网络,只要所在的范围内有无线网络存在,就会有信息传递。要看到这些信息,你需要一个工具。

  这就是Ethereal。毫无疑问,这个工具非常有价值。Ethereal可以扫描无线和以太网信息,还具备非常强的过滤能力。它还可以嗅探出802.11管理信息,也可被用作嗅探非广播SSID。

  前面提高的工具,都是你无线网络安全工具包中所必须的。熟悉这些工具最简单的办法就是在一个可控的实验环境下使用它们。这些工具都可以在英特网上免费下载到。

  防范这些工具

  知道怎样使用上述工具是非常重要的,不过,知道怎样防范这些工具、保护你的无线网络安全更重要。

  防范NetStumbler:不要广播你的SSID,保证你的WLAN受高级认证和加密措施的保护。

  防范Kismet:没有办法让Kismet找不到你的WLAN,所以一定要保证有高级认证和加密措施。

  防范Airsnort:使用128比特的,而不是40比特的WEP加密密钥,这样可以让破解需要更长时间。如果你的设备支持的话,使用WPA或WPA2,不要使用WEP。

  防范Cowpatty:选用一个长的复杂的WPA共享密钥。密钥的类型要不太可能存在于黑客归纳的文件列表中,这样破坏者猜测你的密钥就需要更长的时间。如果是在交互场合,不要用共享密钥使用WPA,用一个好的EAP类型保护认证,限制账号退出之前不正确猜测的数目。

  防范ASLeap:使用长的复杂的认证,或者转向EAP-FAST或另外的EAP类型。

  防范Ethereal:使用加密,这样任何被嗅探出的信息就很难或几乎不可能被破解。WPA2,使用AES算法,普通黑客是不可能破解的。WEP也会加密数据。在一般不提供加密的公共无线网络区域,使用应用层的加密,像Simplite,来加密IM会话,或使用SSL。对于需要交互的用户,使用IPSec VPN,并关闭分隧道功能。这就强制所有的流量都必须通过加密隧道,可能是被DES、3DES或AES加密的。]>
http://www.cxblog.net/default.asp?id=242 <![CDATA[IIS配置401错误的解决方法]> lyjier@163.com(lyjier) Fri,30 Mar 2007 08:17:49 +0800 http://www.cxblog.net/default.asp?id=242   症状:HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝。
  分析:
  由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问。
  解决方案:
  (1)查看IIS管理器中站点安全设置的匿名帐户是否被禁用,如果是,请尝试用以下办法启用:
  控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。如果还没有解决,请继续下一步。
  (2)查看本地安全策略中,IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限,如果没有尝试用以下步骤赋予权限:
  开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配,双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。
  注意:一般自定义 IIS默认匿名访问帐号都属于组,为了安全,没有特殊需要,请遵循此规则。

  2、错误号401.2
  症状:HTTP 错误 401.2 - 未经授权:访问由于服务器配置被拒绝。
  原因:关闭了匿名身份验证
  解决方案:
  运行inetmgr,打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”,输入用户名,或者点击“浏览”选择合法的用户,并两次输入密码后确定。

  3、错误号:401.3
  症状:HTTP 错误 401.3 - 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。
  原因:IIS匿名用户一般属于Guests组,而我们一般把存放网站的硬盘的权限只分配给administrators组,这时候按照继承原则,网站文件夹也只有administrators组的成员才能访问,导致IIS匿名用户访问该文件的NTFS权限不足,从而导致页面无法访问。
  解决方案:
  给IIS匿名用户访问网站文件夹的权限,方法:进入该文件夹的安全选项,添加IIS匿名用户,并赋予相应权限,一般是读、写。 ]>