一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分----proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过 "net start"来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入"net start"来查看服务,再用"net stop server"来禁止服务。
三、轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用"net user+用户名"查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用"net user用户名/del"来删掉这个用户吧!
联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
August 2009 Archives
|
要求: 网络正常时,R4 所在的 199.10.10.0/24 的网段走 R2 的 S0 所连接的线路(模拟电信),R5 所在的 199.10.20.0/24 的网段走 R2 的 S1 所连接的线路(模拟网通);当 R2 的某一条线路出现问题时候,能够 实现自动切换,即当 R2 的 S0 或者 S1 所连接的线路中某一个线路出现故障导致内部主机不能访问外网时, 内网全部主机都自动从另一条线路访问外网。
|
网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
基于windows做操作系统的服务器在中国市场的份额以及国人对该操作系统的了解程度,我在这里谈谈个人对维护windows网络服务器安全的一些个人意见。
如何避免网络服务器受网上那些恶意的攻击行为:
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
(二) 选用英文的操作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。
如何防止网络服务器不被黑客入侵:
首先,作为一个黑客崇拜者,我想说一句,世界上没有绝对安全的系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。
(一) 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
(二)做好系统备份
常言道,"有备无患",虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
(三)关闭不必要的服务,只开该开的端口
关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server 默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。
总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,而且对防止病毒也有一定的帮助。
(四)软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是"保镖"多几个也不是坏事。
(五)开启你的事件日志
虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。
本文出自 51CTO.COM技术博客
组网要求:3个子网:192.168.0.0;192.168.20.0;192.168.30.0
要实现20网段不能访问30网段,30网段中要要开放一些服务器端口给20用,30网段可以访问20网段全部资源,0网段和20网段不能互访。
#
version 5.20, Release 1719P06, Basic
#
sysname H3C
#
ftp server enable
#
tcp syn-cookie enable
tcp anti-naptha enable
tcp state closing connection-number 500
tcp state established connection-number 500
tcp state fin-wait-1 connection-number 500
tcp state fin-wait-2 connection-number 500
tcp state last-ack connection-number 500
tcp state syn-received connection-number 500
#
firewall enable
#
domain default enable system
#
telnet server enable
#
acl number 2999
#
acl number 3000
rule 10 permit tcp destination-port eq 8000 开放一些服务器端口
rule 20 permit tcp destination-port eq smtp
rule 30 permit tcp destination-port eq www
rule 40 permit tcp destination-port eq pop3
rule 50 deny ip
acl number 3002
rule 0 permit ip source 192.168.0.0 0.0.0.255
rule 1 permit ip source 192.168.30.0 0.0.0.255
rule 2 deny ip source 192.168.20.0 0.0.0.255
acl number 3003
rule 1 permit tcp destination-port eq www
rule 2 permit tcp destination-port eq pop3
rule 3 permit tcp destination-port eq smtp
rule 4 permit tcp destination-port eq 8000
rule 5 deny ip
acl number 3111
rule 0 permit ip
#
acl number 4000
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
radius scheme system
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
traffic classifier urllimit-1 operator or
if-match protocol http host http://www.kaixin001.com
if-match protocol http host http://www.taobao.com
#
traffic behavior behaviorfordeny
filter deny
#
qos policy PolicyLimitOut
classifier urllimit-1 behavior behaviorfordeny
#
aspf-policy 1 建立状态防火墙来侦测各种流量
detect h323
detect http
detect ftp
detect tcp aging-time 3000
detect udp
#
user-group system
#
local-user admin
password cipher *a-.$['"$49DA/,%<:34D1!!
authorization-attribute level 1
service-type telnet
service-type ftp
local-user zhangqi
password simple 123456
authorization-attribute level 3
service-type telnet
service-type ftp
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
port link-mode route
nat server protocol tcp global 116.228.231.78 8933 inside 192.168.30.100 8933
qos apply policy PolicyLimitOut outbound
#
interface Ethernet0/1
port link-mode route
nat outbound 3002
nat server protocol tcp global 116.228.231.78 8933 inside 192.168.30.100 8933
ip address 116.228.231.78 255.255.255.252
qos apply policy PolicyLimitOut outbound
#
interface NULL0
#
interface Vlan-interface10
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
firewall packet-filter 3000 inbound
firewall aspf 1 outbound 在vlan接口下挂接
#
interface Vlan-interface30
ip address 192.168.30.1 255.255.255.0
#
interface Ethernet0/2
port link-mode bridge
port access vlan 10
#
interface Ethernet0/3
port link-mode bridge
port access vlan 10
#
interface Ethernet0/4
port link-mode bridge
port access vlan 10
#
interface Ethernet0/5
port link-mode bridge
port access vlan 10
#
interface Ethernet0/6
port link-mode bridge
port access vlan 20
#
interface Ethernet0/7
port link-mode bridge
port access vlan 20
#
interface Ethernet0/8
port link-mode bridge
port access vlan 30
#
interface Ethernet0/9
port link-mode bridge
port access vlan 30
#
ip route-static 0.0.0.0 0.0.0.0 116.228.231.77
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
x86是对基于intel处理器的系统的标准缩写。X与处理器没有任何关系,它是一个对所有*86系统的简单的通配符定义,是一个intel通用计算机系列的编号,也标识一套通用的计算机指令集合,由于早期intel的CPU编号都是如8086,80286来编号,由于这整个系列的CPU都是指令兼容的,所以都用X86来标识所使用的指令集合如今的奔腾,P2,P4,赛扬系列都是支持X86指令系统的,所以都属于X86家族.
这里的64位技术是相对于32位而言的,这个位数指的是CPU GPRs(General-Purpose Registers,通用寄存器)的数据宽度为64位,64位指令集就是运行64位数据的指令,也就是说处理器一次可以运行64bit数据。64bit处理器并非现在才有的,在高端的RISC(Reduced Instruction Set Computing,精简指令集计算机)很早就有64bit处理器了,比如SUN公司的UltraSparc Ⅲ、IBM公司的POWER5、HP公司的Alpha等。
64bit计算主要有两大优点:可以进行更大范围的整数运算;可以支持更大的内存。不能因为数字上的变化,而简单的认为64bit处理器的性能是32bit处理器性能的两倍。实际上在32bit应用下,32bit处理器的性能甚至会更强,即使是64bit处理器,目前情况下也是在32bit应用下性能更强。所以要认清64bit处理器的优势,但不可迷信64bit。
要实现真正意义上的64位计算,光有64位的处理器是不行的,还必须得有64位的操作系统以及64位的应用软件才行,三者缺一不可,缺少其中任何一种要素都是无法实现64位计算的。目前,在64位处理器方面,Intel和AMD两大处理器厂商都发布了多个系列多种规格的64位处理器;而在操作系统和应用软件方面,目前的情况不容乐观。因为真正适合于个人使用的64位操作系统现在就只有Windows XP X64,而Windows XP X64本身也只是一个过渡性质的64位操作系统,在Windows Vista发布以后就将被淘汰,而且Windows XP X64本身也不太完善,易用性不高,一个明显的例子就是各种硬件设备的驱动程序很不完善,而且现在64位的应用软件还基本上没有,确实硬件厂商和软件厂商也不愿意去为一个过渡性质的操作系统编写驱动程序和应用软件。所以要想实现真正的64位计算,恐怕还得等到Windows Vista普及一段时间之后才行。
目前主流CPU使用的64位技术主要有AMD公司的AMD64位技术、Intel公司的EM64T技术、和Intel公司的IA-64技术。其中IA-64是Intel独立开发,不兼容现在的传统的32位计算机,仅用于Itanium(安腾)以及后续产品Itanium 2,一般用户不会涉及到,因此这里仅对AMD64位技术和Intel的EM64T技术做一下简单介绍。
AMD64位技术
AMD64的位技术是在原始32位X86指令集的基础上加入了X86-64扩展64位X86指令集,使这款芯片在硬件上兼容原来的32位X86软件,并同时支持X86-64的扩展64位计算,使得这款芯片成为真正的64位X86芯片。这是一个真正的64位的标准,X86-64具有64位的寻址能力。
X86-64新增的几组CPU寄存器将提供更快的执行效率。寄存器是CPU内部用来创建和储存CPU运算结果和其它运算结果的地方。标准的32-bit x86架构包括8个通用寄存器(GPR),AMD在X86-64中又增加了8组(R8-R9),将寄存器的数目提高到了16组。X86-64寄存器默认位64-bit。还增加了8组128-bit XMM寄存器(也叫SSE寄存器,XMM8-XMM15),将能给单指令多数据流技术(SIMD)运算提供更多的空间,这些128位的寄存器将提供在矢量和标量计算模式下进行128位双精度处理,为3D建模、矢量分析和虚拟现实的实现提供了硬件基础。通过提供了更多的寄存器,按照X86-64标准生产的CPU可以更有效的处理数据,可以在一个时钟周期中传输更多的信息。
EM64T技术
Intel官方是给EM64T这样定义的:EM64T全称Extended Memory 64 Technology,即扩展64bit内存技术。EM64T是Intel IA-32架构的扩展,即IA-32e(Intel Architectur-32 extension)。IA-32处理器通过附加EM64T技术,便可在兼容IA-32软件的情况下,允许软件利用更多的内存地址空间,并且允许软件进行32 bit线性地址写入。EM64T特别强调的是对32 bit和64 bit的兼容性。Intel为新核心增加了8个64 bit GPRs(R8-R15),并且把原有GRPs全部扩展为64 bit,如前文所述这样可以提高整数运算能力。增加8个128bit SSE寄存器(XMM8-XMM15),是为了增强多媒体性能,包括对SSE、SSE2和SSE3的支持。
Intel为支持EM64T技术的处理器设计了两大模式:传统IA-32模式(legacy IA-32 mode)和IA-32e扩展模式(IA-32e mode)。在支持EM64T技术的处理器内有一个称之为扩展功能激活寄存器(extended feature enable register,IA32_EFER)的部件,其中的Bit10控制着EM64T是否激活。Bit10被称作IA-32e模式有效(IA-32e mode active)或长模式有效(long mode active,LMA)。当LMA=0时,处理器便作为一颗标准的32 bit(IA32)处理器运行在传统IA-32模式;当LMA=1时,EM64T便被激活,处理器会运行在IA-32e扩展模式下。
目前AMD方面支持64位技术的CPU有Athlon 64系列、Athlon FX系列和Opteron系列。Intel方面支持64位技术的CPU有使用Nocona核心的Xeon系列、使用Prescott 2M核心的Pentium 4 6系列和使用Prescott 2M核心的P4 EE系列。
在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。相反,在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。有时,可将其称作"无关"位,因为路由器在判断是否匹配时并不关心它们。掩码位设成0则表示IP地址中相对应的位必须精确匹配。
#
domain system
#
detect-group 1
detect-list 1 ip address 140.1.1.2
#
detect-group 2
detect-list 1 ip address 162.1.1.2
#
acl number 2000
rule 0 permit
#
acl number 3001
rule 0 permit ip source 192.168.1.0 0.0.0.254
acl number 3002
rule 0 permit ip source 192.168.1.1 0.0.0.254
#
interface Aux0
async mode flow
#
interface Ethernet1/0
ip address 192.168.1.1 255.255.255.0
ip policy route-policy routeloadshare
interface Ethernet1/1
#
interface Ethernet1/2
#
interface Ethernet1/3
#
interface Ethernet1/4
#
interface Ethernet1/5
#
interface Ethernet1/6
#
interface Ethernet1/7
#
interface Ethernet1/8
#
interface Ethernet2/0
ip address 140.1.1.1 255.255.255.252
nat outbound 2000
#
interface Ethernet3/0
ip address 162.1.1.1 255.255.255.252
nat outbound 2000
#
interface NULL0
#
route-policy routeloadshare permit node 1
if-match acl 3001
apply ip-address next-hop 140.1.1.2
route-policy routeloadshare permit node 2
if-match acl 3002
apply ip-address next-hop 162.1.1.2
#
ip route-static 0.0.0.0 0.0.0.0 140.1.1.2 preference 60 detect-group 1
ip route-static 0.0.0.0 0.0.0.0 162.1.1.2 preference 60 detect-group 2
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
最省电的是拨掉电源,因为现在ATX电源会保证有一个直流5V输出,用于电脑的唤醒。其次是关机和休眠,关机就不用说了。休眠是将内存中的数据放在硬盘上,关闭计算机。同时当从休眠唤醒时,可以快速进入休眠前的工作状态。然后是睡眠(这是VISTA下的称呼,在xp下叫做待机)。也是将内存数据保存是硬盘上,将一些不必要的设备关闭以进入省电模式,当从睡眠中唤醒时会比体眠还要快,但是这个状态下,有些设备还在工作中,只是在低功耗下,所以耗电比关机大。VISTA下默认是启用混合休眠的,我感觉的意思就是如果长时间睡眠的话,系统会自动进入休眠状态。目前我的本本就是这样,在我设置的时间到达时,会自动从睡眠转入体眠。然后就是正常开机工作状态了。本本上还会分为BATTERY-SAVING、OFFICE、MEDIA、HIGH PERFORMANCE、GAME等状态,在不同的状态下,由软件自动设置设备的工作状态,决定设备全功率工作还是自动优化进入某种省电状态。这个需要主板和其它的设备支持才可以,组装台式机一般不具备此功能,一些品牌电脑提供类似功能。
Jump List 是怎么样的?
我们在先前的 Windows 操作系统中有个功能,在开始菜单中点"文档",最近打开过了文档都在这里列出来。在 Windows 7 中这个功能得到了加强:右键点任务栏中的图标,最近在这个程序打开过的文档全部显示出来。比如右键点 Media Player 的图标,最近放过的电影、音乐什么的都列了出来;右键点 IE 浏览器图标,最近访问过的网页链接会显示出来。
收起这个图片展开这个图片
只要把鼠标停在开始菜单中的程序上面,会展开一个列表,显示最近打开过的文档:
收起这个图片展开这个图片
你可以把你想要的程序加到任务栏中:
(右键点这个程序或者是快捷方式,选锁定到任务栏。也可以把程序拖到任务栏。)
收起这个图片展开这个图片
你可能想让有些文档一直留在列表中,点它右边的"小图钉"可以把它固定在列表中。
收起这个图片展开这个图片
(再点一下"小图钉"则解除固定)
收起这个图片展开这个图片
收起这个图片展开这个图片
如果我想关掉这个功能呢?
那么好的功能干吗要关掉呢?:) 不过根据您的需求,也可以关闭这个功能:- 右键点开始菜单,点属性。
- 在[开始]菜单选项卡上,点自定义。
收起这个图片展开这个图片
- 把要显示在跳转列表中的最近使用的项目数调成"0"。
收起这个图片展开这个图片
- 按确定退出。
一.用"回收站"隐藏文件
"回收站"本是用来暂存已被删除的文件,但如果将我们的个人文件隐藏在"回收站"中,那就可能谁也不会去关注它了。首先,我们打开文件
夹,选中上方"工具"--"文件夹选项"中的"查看"选项卡中选择"显示所有文件",然后进入系统所在分区的根目录,右击"Recycled"文件夹选
择"属性"命令,在"属性"对话框中勾选"启用缩略图查看方式"复选框,点击"应用"按钮。这样,系统就会自动将"回收站"的"只读"复选
框选中,然后去掉"只读"复选框前的钩,此时,"回收站"的图标将变成一个普通文件夹的形状。
双击"Recycled"文件夹,将需要隐藏的个人资料拖进该文件夹窗口中,然后再次右击"Recycled"文件夹并选择"属性"命令,勾选"只读"
复选框后,"回收站"图标就又恢复成原状。此后,如果有人双击"回收站",他就根本看不到里面有任何文件。即便其他用户执行了文件删除操作
,同时又执行了"清空回收站"的操作,原先被隐藏在这里的文件仍不会被删除。通过巧妙切换"Recycled"文件夹的属性,我们便可以用它来隐藏
自己的秘密文件。
二.将个人文件夹变为"回收站"
我们还可以利用"偷梁换柱"的手法,即将我们的个人文件夹图标变为"回收站"图标。首先,在"Recycled"文件夹的属性窗口中去除掉"只
读"属性,以便让它变为普通文件夹图标,进入"Recycled"文件夹并将其中的"desktop.ini"隐藏文件复制到需要隐藏的文件夹下,例如"D:abc
";右击"abc"文件夹并选择"属性"命令,在弹出的对话框中勾选"只读"、"隐藏"复选框,再勾选"启用缩略图查看方式"复选框。
现在我们就会发现,"abc"文件夹已变成"回收站"图标了,但当他人打开该文件夹所看到的却是原来"Recycled"文件夹中的内容,而不会是
"abc"文件夹里的文件。当然,别忘了在"文件夹选项"的"查看"选项卡中选中"不显示隐藏文件"项。
三.始终不显示隐藏文件
在WindowsXP中, 一般地,我们可以通过在个人文件的"属性"对话框中勾选"隐藏"复选框,然后在"文件夹选项"的"查看"选项卡中选择
"不显示隐藏文件"单选按钮来达到隐 藏秘密的目的,但稍具计算机知识的人只要选择"显示所有文件"单选按钮就能将它们全部显示出来,因此,
如果用以上方法来隐藏个人文件的话,就必须对"显示 所有文件"这个命令加以限制。
方法是:在注册表编辑器中找到
"HKEY_LOCAL_MACHINE_Software_Microsoft_Windows_CurrentVersion_explorer_Advanced_Folder_Hidden_SHOWALL"分支,然后在右窗口中找到二
进制子键"Checked value",把其键值改为"0"。这样,即使在"查看"选项卡中选择了"显示所有文件",但系统仍不会显示出隐藏着的个人文
件。并且当他人重新进入"查看"选项卡,他就会发现,系统又自动选中了"不显示隐藏文件"这一项!
更绝的是,利用注册表编辑器,我们可以将"查看"选项卡中的"隐藏文件"项下的三个单选按钮都隐藏掉。我们只需将上述"Hidden"下
"NOHIDDEN"、"NOHIDORSYS"、"SHOWALL"三个分支中的"Text"字符串键(注:Windows XP中该键的键值不同)的健值清除掉。这样,退出注册
表编辑器后再进入"查看"选项卡,你就会发现"隐藏文件和文件夹"下面空空如也。任何人想要查看我们的个人文件就都是两个字――没门,因为
这个地方根本没法选择!
四.系统目录警告
操作:打开Windows文件夹,找到里面的两个文件:Folder.htt和Desktop.ini(如果找不到,通过"查看"菜单将文件夹选项设成显示全部文件
。),将其复制到需要隐藏的文件夹里,并将文件夹属性设为只读。用记事本打开文件夹里的Folder.htt,删除"显示文件"四个字。
五.添加系统属性
操作:在方法三的基础上,添加系统属性。进入DOS环境,在命令行后面输入attrib+s+r(文件夹名),这样就给文件夹添加了系统属性。由于系
统属性呈灰色(未激活状),一般人拿它没有办法。
六.添加"隐藏"属性
操作:此方法很简单,只需要右键单击文件夹,再点击属性,在属性中勾选隐藏。然后,点击菜单上的[查看]→[文件夹选项]→[查看],在"隐
藏文件"选项卡中选上"不显示隐藏文件"即可。
据台湾笔记本业者表示,Intel在评估现有迅驰平台化策略已渐渐失效,更导致新旧产品共存于市场时,经常构成信息混乱,因此日后在推广笔记本产品时将以 处理器品牌为主,迅驰品牌将会被淡化,由平台化品牌变成单纯的无线网络产品品牌,新政策将于 2010 年 1 月生效,因此下一代Calpella平台将不会以迅驰3作命名。
根据 Intel 最新品牌政策计划,迅驰品牌初登场时原意是让用家得悉该 Notebook 产品是配搭 Intel笔记本处理器、 Intel 芯片组及 Intel 无线网络产品,提供信心的保证,但由于迅驰平台已经历多代,人们对迅驰品牌概念非常混乱,新旧迅驰平台之间的差异难以采用迅驰品牌作介定,经常构成规格上的信息性混乱,因此 Intel 计划把迅驰品牌地位淡化,专注以处理器品牌「 Core 」作卖点。
2010 年 1 月后,迅驰品牌不再是平台化的代表,只代表着其采用的无线网络技术,代号为Condor Peak 、 Puma Peak 及 Kilmer Peak 的无线网络模块将会以迅驰品牌作命名:
支 援 802.11b/g/n 、采用 1T2R 规格的 Condor Peak 无线网络模块将命名为 Intel Centrino Wireless-N 1000 ,支持 802.11a/g/n 、采用 2T2R 规格的 Puma Peak 模块将命名为 Intel Centrino Advanced-N 6200 ,支持 802.11a/g/n 、采用 3T3R 模块的 Puma Peak 模块将命名为 Intel Centrino Ultimate-N 6300 ,支持 802.11a/g/n 及 WiMax 、采用 2T2R 规格的 Kilmer Peak 模块将命名为 Intel Centrino Advanced-N + WiMAX 6250 。
据台湾 NB 业者指出,新政策可让用家专注选择所需要的处理器等级及效能,并选择所需要的无线技术,而不采用已过时及变得毫无意义迅驰平台化品牌,强化新一代产品与旧产品的识别性以提升买气。
组网需求
采用双臂模式:SSL VPN网关跨接在内网和外网之间,对内网的保护最完全。但
是,此时也处在内外通讯的关键路径上,其性能和稳定性对内外网之间的数据传输
有很大的影响。
配置步骤
SSL VPN命令行基本配置
设备上需要做如下配置:
(1) PKI功能基本配置。用来创建密钥对、配置pki实体、配置pki域,并从CA服务
器上获取CA证书和local证书等。
(2) 配置SSL服务器策略名。用来配置关联的PKI域策略,使用SSL加速卡,配置
客户端证书认证等。
(3) 配置Web服务器策略名。用来配置关联的SSL服务器策略。
(4) 启动Web服务器。
(5) 启动SSL VPN服务。
超级管理员界面相关功能配置
超级管理员:系统域的管理员。创建新的域,并初始化域的管理员密码,给域授予
资源组,并授权域管理员是否能够创建新的资源。
域管理员界面相关功能配置
域管理员:SSL VPN域管理员。域管理员可创建和删除域的本地用户、用户组、
资源、资源组和安全策略等。主要是对一个域的所有用户进行权限访问限制。
普通用户界面配置
SSL VPN用户:使用SSL VPN访问网络资源的用户。SSL VPN用户以域管理员指定的用户名登录,通过SSL VPN网关对其进行认证。用户认证通过后,SSL VPN
用户可以访问SSL VPN网关根据用户的安全状况、用户所属的用户组授权给用户
的内网资源。
在配置之前需要先理清上面各角色之间,以及本地用户、用户组、资源、资源组之
间的关系. 设备默认存在一个ROOT 域,超级管理员可以创建域和资源。对于资源,一
方面:超级管理员创建资源,指定资源属于哪个资源组,并把自己创建的
ROOT 域资源组授予某个域;另一方面:超级管理员授予域管理员是否能够
创建新的资源的权限。
对于能够创建新的资源的域管理员,可以创建并维护自己的资源、资源组、
本地用户及用户组。资源和资源组之间以及用户和用户组之间为多对多关
系,即一个资源可以属于多个组,一个组可以拥有多个资源。通过配置关联资源组和用户组,制定哪些用户组可以访问哪些资源组, 两组之间同样是多
对多关系。
SSL VPN命令行基本配置(以SecpathF1000-A为例)
基本配置
[H3C] firewall packet-filter default permit
[H3C] interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] ip address 192.168.96.22 255.255.255.0
[H3C] interface GigabitEthernet0/1
[H3C-GigabitEthernet0/1] ip address 155.1.1.1 255.0.0.0
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/0
[H3C] firewall zone untrust
[H3C-zone-untrust] add interface GigabitEthernet0/1
PKI功能基本配置(以手动导入CA证书和local证书为例)
包括配置pki实体、pki域,手动导入CA证书和local证书等。
1. 配置pki实体
<H3C> system-view
[H3C] pki entity h3c
[H3C-pki-entity-h3c] common-name h3c
2. 配置pki域
<H3C> system-view
[H3C] pki domain h3c
[H3C-pki-domain-h3c] certificate request from ra
[H3C-pki-domain-h3c] certificate request entity h3c
[H3C-pki-domain-h3c] crl check disable
[H3C]pki import-certificate ca domain h3c der filename cademo.cer
Importing certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:9B23 87B8 96FF BEC5 EE9D 03D0 6586 A8F1
SHA1 fingerprint:15D0 859F A5D6 9F20 7913 09BB E002 3215 B7AA DD60
Is the finger print correct?(Y/N):y
.
%Nov 12 16:53:47:889 2007 H3C PKI/4/Verify_CA_Root_Cert:CA root
certificate of the domain h3c is trusted........
Import CA certificate successfully.
[H3C]
%Nov 12 16:53:56:074 2007 H3C PKI/4/Update_CA_Cert:Update CA certificates
of the Domain h3c successfully.
%Nov 12 16:53:56:074 2007 H3C PKI/4/Import_CA_Cert:Import CA certificates
of the domain h3c successfully.
[H3C]pki import-certificate local domain h3c p12 filename localdemo.pfx
Please input challenge password:// *请输入创建证书时的密码:localdemo *//
Importing certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:9B23 87B8 96FF BEC5 EE9D 03D0 6586 A8F1
SHA1 fingerprint:15D0 859F A5D6 9F20 7913 09BB E002 3215 B7AA DD60
Is the finger print correct?(Y/N):y
%Nov 12 16:55:22:052 2007 H3C PKI/4/Verify_CA_Root_Cert:CA root
certificate of the domain h3c is trusted...............
Import CA certificate successfully..
%Nov 12 16:55:40:607 2007 H3C PKI/4/Update_CA_Cert:Update CA certificates
of the Domain h3c successfully.
%Nov 12 16:55:40:608 2007 H3C PKI/4/Import_CA_Cert:Import CA certificates
of the domain h3c successfully.
%Nov 12 16:55:40:609 2007 H3C PKI/4/Verify_Cert:Verify certificate
emailAddress=localdemo@cademo.com,CN=localdemo,OU=localdemo,O=localdemo,L=
localdemo,ST=localdemo,C=CN of the domain h3c successfully........
Import local certificate successfully..
%Nov 12 16:55:49:860 2007 H3C PKI/4/Import_Local_Cert:Import local
certificate of the domain h3c successfully................
Import key pair successfully.
[H3C]
%Nov 12 16:56:06:833 2007 H3C PKI/4/Import_Local_Key:Import local private
key of the domain h3c successfully.
4. 通过命令进行查看证书状态
[H3C] display pki certificate ca domain h3c // *h3c 查看CA 证书*//
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
4D6D8894 4303D582 4385962F A336BE22
Signature Algorithm: sha1WithRSAEncryption
Issuer:
CN=cademo
Validity
Not Before: Nov 9 01:48:34 2007 GMT
Not After : Nov 9 01:48:34 2017 GMT
Subject:
CN=cademo
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
[H3C] display pki certificate local domain h3c //*h3c 查看LOCAL 证书*//
[h3c]dis pki certificate local domain h3c
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
331D10EA 00000000 0004
Signature Algorithm: sha1WithRSAEncryption
Issuer:
CN=cademo
Validity
Not Before: Nov 12 07:34:55 2007 GMT
Not After : Nov 9 01:48:34 2017 GMT
Subject:
C=CN
ST=localdemo
L=localdemo
O=localdemo
OU=localdemo
CN=localdemo
emailAddress=localdemo@cademo.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
[H3C] ssl server-policy 1
[H3C-ssl-server-policy-1] pki-domain h3c //*引用前面配置的h3c domain*//
[H3C-ssl-server-policy-1] use ssl-card 1/0
[H3C] web-server-policy 1
[H3C-web-server-policy-1] ssl-server-policy 1 //*引用前面配置的ssl 策略"1"
*//
[H3C] svpn service enable //*启动SSL VPN 服务*//
[H3C] web server 1 enable // *启动Web 服务器*//
最近在客户那里碰到一个问题:用户电脑里的office文档都无法打开,双击Word会先跳出提示框正在安装,可是跳完之后就是无法打开。既然不能运行那我就先给卸载了看看,可是"控制面板"里点删除时Window提示:"无法打开次修补程序包",然后出错,停止卸载,尝试再安装一次,再卸载但是卸载的时候总是被错误打断!而不会出现卸载的窗口,不知道如何才能卸载。想进入安全模式卸载,也是会跳出同样的提示,然后屏幕右下角提示盗版蓝色五角星。
首先我先把windows自带的自动更新给关闭,然后网上下载一个WindowsInstaller清理工具并安装运行,删除office的安装信息。再重新安装office,这样就可以正常安装了,安装完打开word也正常,可是接着就提示是盗版软件。先在windows资源管理器里关闭WgaTray.exe进程,这样屏幕右下角的蓝色五角星就没有了,然后打开system32,找到"OGAVerify.exe、OGACheckControl.dll、OGAAddin.dll"三个文件并删除,这样下次就不会再提示office是盗版的了。
删完之后我就重启电脑,然后再打开word就不会提示盗版。这个问题也就解决了。
在一次帮客户安装一个HP5200打印机的时候碰到一个怪问题。
正常安装打印机流程应该是先安装打印机随机附带的光盘,然后按照提示插上USB打印机。然后只要等安装完毕就行了。
但是我在提示插上打印电缆的时候发现,再我插上去后竟然没有反应,反复测试都是如此。有时候认出来时UNKOWN DEVICE。
最后我将另一台HP1008的打印电缆插上去后问题解决了。
看来USB打印电缆线如果有问题也会导致很多UNKOWN的问题。并且距离过长的USB电缆会导致供电不足的情况发生。
2.切换到自己想要创建文件夹的目录,如D盘
3.在d:\下输入"md temp..\",注意文件夹后面有2个小数点,这样,你的D盘就多了一个temp.的文件夹了,并且既不能删,又不能进入。
你可以观察下这个文件夹的大小,大小为0.
我们也可以用"rd temp..\"命令来删除这个文件夹,当然,必须要确认里面的数据可以删
我们可以用"start d:\temp..\"来打开这个文件夹,但是要注意的是,这条命令必须严谨到这个文件夹的绝对路径,否则无法打开此文件夹。
要是闲麻烦,可以制作一个批处理文件
打开一个新的文本框,将start d:\temp..\输入文本,保存为***.bat,使用时双击就能打开这个文件夹。
双AP功能不是双天线功能
为了有利于无线上网信号的接收,能够提供无障碍的高效无线信号传输,无线生产厂商推出了支持双天线或多天线的无线路由器设备,该设备在无线信号的传输稳定性以及信号覆盖范围方面有了明显提升,它的工作性能也得到了大多数无线上网用户的充分认可。为了自己单位的无线局域网能够稳定地工作,多数上网用户都愿意购买支持双天线功能的无线路由器设备进行无线组网,而无线生产厂商为了迎合无线上网用户的消费需求,也十分乐意推出各具特色的双天线无线路由器设备。目前,市场中几乎每一家无线设备生产厂家都有自己的双天线无线路由器产品,不过这种设备产品并不支持双AP功能,它只是为了加大无线信号的发射能力,在原来只有一根天线的基础上又增加了一根天线而已,这种产品的主要作用也就是增强无线信号的穿透能力,让无线上网信号传输得更好一些。
而支持双AP功能的无线路由器设备,其实可以看成是两个普通的无线路由器设备捆绑在一起,它能提供双SSID参数设置,无线上网用户可以分别对每一个AP功能进行配置,利用该设备无线上网用户可以轻松地组建两个简单、经济的无线局域网网络。很明显,要构建既能满足A处室上网要求,又能满足B处室上网要求的无线双网,必须要使用支持双AP功能的无线路由器设备,而不是支持双天线功能的设备。
挑选合适双AP无线路由器
由于双AP无线路由器往往需要承担两个无线局域网的工作任务,为了保障每一个无线局域网都能获得不错的无线信号传输速度,那么我们必须要选用合适的双AP无线路由器,确保该设备能够同时满足两个无线局域网上网用户的工作强度。
考虑到本文使用双AP无线路由器的主要目的就是隔离网络,确保A处室无线上网安全,因此在这里我们选用双AP无线路由器设备时,首先应该选用支持加密设置以及能够防范安全入侵的产品,这样一来无线上网用户日后需要隔离两个无线局域网时,只要通过简单的参数设置就能达到目的了。例如,磊科一款新品NW618双AP无线路由器采用了64/128 Bit连线对等保密和SSID服务区标识符保证无线上网安全;同时,依靠MAC地址验证/过滤功能进一步阻止非授权用户访问无线网络,并防止对无线局域网数据流的非法侦听。
其次为了满足高强度工作要求,双AP无线路由器的主芯片应该有相当高的整合度,毕竟这种类型的主芯片价格比较便宜,更为重要的是它有着非常不错的散热效果,而良好的散热效果是保障无线网络可以稳定工作的重要前提;现在不少双AP无线路由器设备使用的都是Broadcom的主芯片,这种主芯片上能够集成很多东西,可以集成SDRAM控制器、USB控制器、处理器、无线上网模块等。此外,Broadcom的主芯片能够稳定处理大容量的数据交换信息,这种能力也可以很好地满足无线双网用户的高强度工作任务。
下面,我们还应该适当留意一下双AP无线路由器的SDRAM内存空间的大小,选用大容量的SDRAM内存能够保证无线路由器设备更快速地处理无线上网信号,从而保障无线局域网能有不错的上网传输速度。
巧用双AP构建无线双网
选用到合适的双AP无线路由器后,那么构建无线双网就变得非常简单了。我们只要先将双AP无线路由器设备连接到A处室局域网中,之后按照常规方法进入双AP无线路由器的后台管理界面,来配置Internet连接参数,具体配置方法基本与普通无线路由器的上网设置方法一样。
要想让该无线路由器的双AP功能生效,我们必须根据实际组网情况来设置各个AP功能的上网参数;在进行这种设置操作时,我们只要从双AP无线路由器的后台管理界面中找到"无线管理"选项(该设置以NW618设备为例),从该选项下面我们会看到"主AP管理"、"辅AP管理"这两个子项;点选"主AP管理"设置子项后,我们就能在对应的子项设置页面中,设置主AP的频道参数、网络名称参数、频段参数以及模式参数了,再按相同的操作方法,设置好辅AP的各项上网参数,只是主AP、辅AP的网络名称参数不能相同,不然的话构建起来的两个无线局域网就会冲突了。
由于主AP、辅AP的网络名称不同,那么连接到这两个AP上的无线局域网其实是相互独立的,我们再对各自局域网的安全参数进行一下合适设置,就能保证这两个无线局域网相互访问时互不干扰,而且能够互相安全上网访问。
