Windows2008通过本地安全策略限制ip远程登录
2. 空白处右键选择创建IP安全策略,此处名称可自主命名,然后【下一步】
3. 不用勾选【激活默认响应规则】,然后点击【下一步】
4. 选择编辑属性点击【完成】
5. 下面弹框不要勾选【使用“添加向导”】,点击图中的【添加】
6. 此处的名称可以自定义,我们先添加一条禁止所有ip远程连接本服务器的规则,不用勾选【使用添加向导】,点击【添加】
7. 因为我们先添加一条禁止所有ip连接本服务器3389端口的规则,所以【源地址】选择【任何IP地址】,【目标地址】选择【我的IP地址】,【镜像】不要勾选,然后选择【协议】
8. 【选择协议类型】--【TCP】,【设置IP协议端口】--【从任意端口】--【到此端口】--【3389】,点击【确定】
9. 选择【筛选器操作】,不用勾选【使用“添加向导”】--【添加】
10.【安全方法】--【阻止】--【确定】
11. 选择好刚刚创建的新筛选器操作,点击【确定】
12. 到此,禁止所有IP远程连接本服务器3389的策略已经添加完毕,然后添加允许的IP,不选择【使用“添加向导”】,点击【添加】
13. 点击【添加】
14. 方法与之前添加拒绝任何IP连接本服务器3389端口一样,中间只是把下图的【源地址】选择为【一个特定的IP地址或子网】,【ip地址或子网】填写要允许的地址信息,如我本地的公网IP是 221.216.144.83,切记此处一定要填写准确自己的IP地址,以免添加错误导致自己也无法远程连接,【目标地址】选择【我的IP地址】,不要勾选【镜像】,点击确定
15. 【安全方法】选择【许可】,点击【确定】
16 全部添加完毕,查看没有问题后,右键选择创建好的策略,选择分配,即可生效。
注:如果配置错误可能会导致无法远程,这种情况可以使用管理终端登陆进行操作调试。管理终端使用方法点这里。
IP安全策略的设置
IP安全策略的设置IP安全策略设置方法 一、适用范围: 它适用于2000 以上Windows 系统的专业版;对家庭版的用户可以看一下是不是能通过: 控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。二、找到“IP安全策略,在本地计算机”: “IP 安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法,除特殊情况下在上面说的“控制台”中添加外,主要采用以下两种方法来打开:1是点“开始”-“运行”-输入secpol.msc,点确定;2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。右击它,在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。我们的IP安全策略主要在用于QV同网段IP 隔离这两个菜单下操作。对“创建IP安全策略”的操作,可先做也可以后做。先做呢,没有内容,只能建一个空的策略放在那里,等“筛选器列表”和“筛选器”有了内容,再添加进去;后做呢,就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做,这里也把它放到后面去做。 三、建立新的筛选器: 1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删 除”。.
IP安全策略的设置
IP安全策略的设置 IP安全策略设置方法 一、适用范围: 它适用于2000 以上Windows 系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP 安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。 二、找到“IP安全策略,在本地计算机”: “IP 安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法,除特殊情况下在上面说的“控制台”中添加外,主要采用以下两种方法来打开:1是点“开始”-“运行”-输入secpol.msc,点确定;2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。右击它,在它的下级菜单IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作,可先做也可以后做。先做呢,没有内容,只能建一个空的策略放在那里,等“筛选器列表”和“筛选器”有了内容,再添加进去;后做呢,就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做,这里也把它放到后面去做。 三、建立新的筛选器: 1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文
IP安全策略详细设置
首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3
我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:
接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:
好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7: 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8
服务器远程无法访问的常见解决办法
登录失败:未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 登录失败:未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 如果出现“xxx计算机无法访问,您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限”的报错,这可能是计算机的安全设置被改动过了,导致目标计算机无法被访问。可以采取以下步骤解决: 1. 取消简单文件共享。 打开“我的电脑”,在菜单上选择“工具”->“文件夹选项”->“查看”,清除“使用简单文件共享(推荐)”的选择。 2. 启用guest账户。 右键点击“我的电脑”,选择“管理”,选择“本地用户和组”->“用户”,右键点击Guest用户,选“属性”,清除“帐户已停用”的选择。 3. 在组策略中设置,安全策略。 开始--运行--gpedit.msc--计算机配置--windows设置--安全设置--本地策略--“用户权力指派”,双击右边的“从网络访问此计算机”,保证其中有Everyone,双击左边的“拒绝从网络访问此计算机”,保证其是空的。 4. 选择左边的“本地策略”->“安全选项”, a.确认右边的“网络访问:本地帐户的共享与安全模式”为“经典”; b.确认右边的“Microsoft网络客户:为通讯启用数字签名(总是)”为“已停用”; c.确认右边的“Microsoft网络客户:为通讯启用数字签名(如果服务器允许)”为“已启用”; d.确认右边的“Microsoft网络服务器:为通讯启用数字签名(总是)”为“已停用”; e.确认右边的“Microsoft网络服务器:为通讯启用数字签名(如果服务器允许)”为“已启用”。 5.正确配置网络防火墙 1>很多机器安装了网络防火墙,它的设置不当,同样导致用户无法访问本机的共享资源,这时就要开放本机共享资源所需的NetBIOS端口。笔者以天网防火墙为例,在“自定义IP规则”窗口中选中“允许局域网的机器使用我的共享资源”规则,最后点击“保存”按钮,这样就开放了NetBIOS端口。 2>关闭windows自带防火墙。 6.合理设置用户访问权限 网络中很多机器使用NTFS文件系统,它的ACL功能(访问控制列表)可以对用户的访问权限进行控制,用户要访问这些机器的共享资源,必须赋予相应的权限才行。如使用Guest账号访问该机器的CPCW共享文件夹,右键点击该共享目录,选择“属性”,切换到“安全”标签页,然后将Guest账号添加到用户列表中,接着指定Guest的访问权限,至少要赋予“读取”和“列出文件夹目录”权限。如果想让多个用户账号能访问该共享目录,只需要添加Eeryone账号,然后赋予“读取”和“列出文件夹?.. 7、网络协议配置问题, A、网络协议的安装和设置 1.在WinXP中安装NetBEUI协议 对的,你没有看错,就是要在WinXP中安装NetBEUI协议。微软在WinXP中只支持TCP/IP协议和NWLink IPX/SPX/NetBIOS兼容协议,正式宣布不再支持NetBEUI协议。但是在建立小型局域网的实际使用中,使用微软支持的两种协议并不尽如人意。比如,在解决网上邻居慢问题的过程中,笔者采用了诸多方法后网上邻居的速度虽然好一点,但还是慢如蜗牛;另外,在设置多块网卡的协议、客户和服务绑定时,这两种协议还存在BUG,多块网卡必须同时绑定所有的协议(除NWLink NetBIOS)、客户和服务,即使你取消某些绑定重启后系统又会自动加上,这显然不能很好地满足网络建设中的实际需要。而当笔者在WinXP中安装好NetBEUI协议后,以上两个问题都得到圆满的解决。
操作系统的安全策略基本配置原则(正式)
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
远程登录访问限制
远程登录访问限制 路由器备份与恢复 网络拓扑图 注:X为自己学号后两位。 任务要求: 1、IP编址 子网分配如图所示,子网内部IP地址分配必须满足以下要求: (1)R1的S0/0/0端口分配子网中最小主机地址; (2)以太网中,路由器端口分配子网中最大主机地址,主机或服务器从子网中最小主机地址开始依序分配。 (3)交换机管理VLAN是VLAN1,S1与S2的VLAN1的IP地址分别是各自子网内第4个主机地址。 完成IP地址分配之后,请填充下面的表格: 2、远程访问
(1)开启远程访问功能 在R1上创建用户名(姓名全拼首字母)和密码(学号后两位),并开启虚拟终端远程访问功能,本地验证。设置特权密码为自己学号后两位。 确保A、B、C、D、E、F这6台主机都可以远程访问路由器R1。
(2)远程访问限制 在R1上创建标准访问控制列表,实现以下访问限制:1)子网192.X.1.0/27中,只允许主机A远程访问路由器R1;2)子网192.X.1.64/26中,除了主机D,允许其他所有主机访问路由器R1。 3、路由器备份与恢复 (1)配置文件备份与恢复 将R1、R2、S1、S2四台网络设备上的运行配置文件保存NVRAM中,进而保存到TFTP 服务器上(文件名分别为R1-config,R2-config, S1-config, S2-config)。 删除R1、R2、S1、S2四台网络设备的NVRAM中的startup-config启动配置文件,并从TFTP服务器上恢复。
(2)IOS备份与恢复 将路由器R1 FLASH中的IOS文件备份到TFTP服务器中; 删除R1 FLASH中的IOS文件; 重启路由器; 从TFTP服务器上把IOS文件恢复到R1路由器的FLASH存储器中。
操作系统的安全策略基本配置原则
操作系统的安全策略基 本配置原则 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,
很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统
操作系统的安全策略基本配置原则通用版
管理制度编号:YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
操作系统的安全策略基本配置原则 通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了
windows配置IP访问策略
windows 配置IP访问策略 附件:配置IP安全策略 禁止访问 1、打开组策略编辑器,在运行中输入gpedit.msc ; 2、1、打开:计算机配置>Winodws设置>安全设置>IP 安全策略,在本地计算机 3、在“IP 安全策略,在本地计算机”单击右键,选择“创建IP安全策略” 4、输入策略名称“禁止访问1521”,然后选择下一步>选择“激活默认响应规则“, 然后选择下一步>选择”选择Active Directory 默认值(Kerberos V5协议)“,然后选择下一步>弹出警告框,选择是>选择编辑属性,点击完成。 5、选择添加 6、选择下一步 7、选择“此规则不指定隧道” 8、选择“所有网络连接”点击下一步 9、选择“添加” 10、输入“名称”然后点击添加 11、然后连续点击两次下一步,直到下弹出下面窗口,源地址选择“任何IP地址“,点击下一步。 12、目标地址选择“我的IP地址“,点击下一步 13、IP协议类型选择“TCP“,点击下一步 14、IP协议端口,选择“从任意端口“到”1521端口“,点击下一步然后点完成。15,打开规则属性页面,选择“筛选器操作“页面 16、输入名称 17,选择“阻止“,点击下一步,然后点完成。 18、选择新建的筛选器,然后点击应用。 19、在新建策略上单击右键,选择“指派“ 20、在运行中输入“gpupdate“回车,更新本地安全策略。
只允许特定主机访问445端口 要设置只允许某个特定主机或网段访问445端口(同样可应用于其它端口号)其步骤如下: 一、首先建立一条组策略(组策略中包含“策略拒绝所有主机访问445端口”策略和“允许特定 主机访问445端口”二条子策略)。 二、建立子策略一“策略拒绝所有主机访问445端口” 三、建立子策略二“允许某个特定主机或网段访问445端口” 四、添加子策略到组策略中,并指派策略生效并(使用gpupdate命令)更新组策略。 步骤与截图如下: 一、建立组策略 1.开始菜单->运行->gpedit.msc进入如下图所示位置,并随机附图所示依次点击“下一步” 出现警告点击“是” 点击完成 二、建立子策略“策略拒绝所有主机访问445端口” 建立一条策略拒绝所有主机的445端口访问,依下图所示步骤操作。 去掉“使用添加向导”的勾选,并点击添加: 再次点击“添加” 输入策略名称“拒绝所有445端口访问”,并点击“添加”,进入IP筛选器向导 源地址指定为“任何IP地址” 目标地址指定为“我的IP地址” 协议类型选择为“TCP” 端口设置如下,到此端口输入445: 点击下一步完成。 进入到“筛选器操作”选项卡,为本条策略设置“允许/阻止”该流量。 由于阻止操作并未出现在默认选项中,需人工添加。 同样去掉“使用添加向导”并点击添加。出现对话框,选择“阻止” 在“常规”选项卡中输入操作名称,点击确定完成。 选择刚刚新建的“阻止”操作,点击应用,到此阻止所有主机访问本机的445端口策略设置完毕。 三、建立子策略“允许访问本机的445端口” 再次点击“添加” 假设远程主机IP为,输入策略名称“允许访问445端口” 完成后,去掉“使用添加向导”并点击“添加”,源地址设置为你需要允许访问的IP地址。目标地址选择“我的IP地址”,地址选项卡设置完成。 进入“协议”选项卡,作如下设置,并点击“确定”完成添加操作。 再次点击确认完成操作 到此我们可以看到有二条IP筛选策略已经添加完成。 四、添加子策略到组策略
Telnet访问控制典型配置举例
1 简介 本文介绍使用访问控制列表和IP Source Guard功能控制远程Telnet无线控制器的典型配置案例。 2 配置前提 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解Telnet、ACL和IP Source Guard特性。 3 配置举例 3.1 组网需求 如图1所示,两台主机到AC路由可达。通过在AC上配置ACL功能以实现:仅允许Host A通过Telnet登录AC,不允许Host B通过Telnet登录AC。 图1 基于AC的Telnet访问控制组网图 3.2 配置思路 ? ???????????? 为了实现仅允许Host A可以通过Telnet方式登录AC,需要通过ACL 来匹配Host A的IP地址,并在AC的VTY用户线视图下使用该ACL对Telnet 客户端进行限制。 ? ???????????? 为了防止其它主机使用Host A的IP地址Telnet登录AC,需要在Switch 上配置全局静态绑定表项,将Host A的IP地址和MAC地址进行绑定。3.3 配置步骤 3.3.1 AC的配置 (1)配置ACL
# 创建一个编号为2000的基本ACL,并进入其视图。
远程接入中的安全访问控制
远程接入中的安全访问控制 远程接入中的安全访问控制 摘要:以实际项目应用为例,利用VPN、防火墙、策略交换机等几种典型设备,对解决企业的远程办公接入问题进行深入探究。关键词:远程接入;VPN技术;网络安全 大型企业通常会有若干分驻全国各地的分支机构和为数不少的出差人员,为了解决这些员工的远程办公问题,使他们能够及时了解企业运转情况和参与生产、经营、管理工作的流程运转,远程接入成为一个现实的需求。VPN技术、防火墙的安全过滤技术、三层交换机的路由和控制技术共同实现了远程用户对企业不同应用域的安全访问控制。通过VPN接入,企业可以保证出差在外的员工访问公司里的信息,此外,通过笔记本电脑和一张基于VPN的CDMA1X卡,员工可以真正实现随时随地访问企业局域网的愿望。1远程访问的主要技术手段某大型供电企业网络远程访问系统的拓扑图,主要由VPN客户端软件、VPN客户端E-Key、VPN网关、密钥管理中心、防火墙和策略路由交换机组成。该系统满足了企业员工通过多种网络环境,利用互联网通道访问企业内部网络资源的需求。通过身份认证系统确保了远程网络用户的真实性;通过对网络传递数据的加密确保了网络传输数据的机密性、真实性和完整性;通过对用户的分级管理和访问管理域的划分设定了不同类别的认证用户对OA办公区域、输变电生产管理区域、配网生产管理区域和市场营销管理区域等不同应用区域的访问权限,有效降低了企业信息资源的潜在风险。
2企业选择IPSec技术的主要原因企业选择IPSec技术的主要原因有以下几个方面:(1)经济。不用承担昂贵的固定线路的租费。DDN、帧中继和SDH的异地收费随着通信距离的增加而递增,分支越远,租费越高,而基于Internet则只承担本地的接入费用。(2)灵活。连接Internet的方式可以是10Mb/s、100Mb/s端口,也可以是2Mb/s 或更低速的端口,还可以是便宜的DSL连接,甚至可以是拨号连接。(3)广泛。IPSecVPN的核心设备扩展性好,一个端口可以同时连接多个分支,包括分支部门和移动办公的用户。(4)多业务。远程的IP话音业务和视频也可传送到远端分支和移动用户,连同数据业务一起,为现代化办公提供便利条件,节省大量长途话费。(5)安全。IPSecVPN的显著特点是其安全性,这是它保证内部数据安全的根本。在VPN交换机上,通过支持所有领先的通道协议、数据加密、过滤/防火墙以及通过Radius、LDAP 和SecurID实现授权等多种方式保证安全。同时,VPN设备提供内置防火墙功能,可以在VPN通道之外,从公网到私网接口传输流量。3系统的实现该大型企业采用北电的PP8606路由交换机,以提供不同应用安全域的网段划分和策略控制。同时,部署带VPN功能的NetEye防火墙,它集VPN网关、密钥管理中心和防火墙于一体,提供密钥的生成、管理与分发,完成认证区域的划分、用户的接入和认证、用户IP地址的分配与访问控制功能。3.1通信密钥的生成与管理VPN网络安全的关键是保证整个系统的密钥管理安全。NetEyeVPN采用基于PKI的密钥管理框架,实现安全可靠的密钥分发与管理。密钥管理中心设立在网络中心。登录密钥管
IP安全策略的设置
脚本语言的我还是建议不要使用IIS,因为IIS对非官方的东西的支持始终都不够好。下面是看图识字而已,跟着我来一切将变得很简单。 Here we go. IP安全策略的设置 IP安全策略设置方法 一、适用范围: 它适用于2000 以上Windows 系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP 安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。 二、找到“IP安全策略,在本地计算机”: “IP 安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法,除特殊情况下在上面说的“控制台”中添加外,主要采用以下两种方法来打开:1是点“开始”-“运行”-输入secpol.msc,点确定;2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。右击它,在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作,可先做也可以后做。先做呢,没有内容,只能建一个空的策略放在那里,等“筛选器列表”和“筛选器”有了内容,再添加进去;后做呢,就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做,这里也把它放到后
IP安全策略禁用网络端口
IP安全策略禁用网络端口 当木马悄悄打开某扇“方便之门”(端口)时,不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心,首先我们要切断它们与外界的联系(就是堵住可疑端口)。 在Win 2000/XP/2003系统中,Microsoft管理控制台(MMC)已将系统的配置功能汇集成配置模块,大大方便我们进行特殊的设置(以Telnet利用的23端口为例,操作系统为Win XP)。 操作步骤: 首先单击“运行”在框中输入“mmc”后回车,会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”,最后按提示完成操作。这时,我们已把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下。 现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”(注意:在点击“下一步的同时,需要确认此时“编辑属性”被选中),然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。 在寻址栏的源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。 新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,“指派”刚才制定的策略。 效果 现在,当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其它任何可疑的端口都封杀掉,不过有一些常用端口不能禁,比如80是web服务端口,21是FTP服务端口,25/110是收发邮件的pop和smtp默认端口,常用的端口要记住,就不会出现无法访问的情况。
如何远程唤醒并控制家中关机的电脑
如何远程唤醒并控制家中关机的电脑 有时我们可能会碰到这样的情况:在公司临时需要家里电脑中的资料,但又不可能马上跑回家打开电脑拷贝吧。此时如果能在公司就能远程打开家中的电脑,并能进行远程访问控制,不就一切迎刃而解了吗!那么,又该如何实现这种远程控制呢? 要实现这种远程控制,肯定需要软件帮忙,在这方面使用最普遍的莫过于PcAnywhere。不过大家也必须清楚,想通过PcAnyWhere控制远程计算机,必须知道被控端计算机IP地址,而一般家庭ADSL用户一般都没有固定IP地址,每次上网的IP地址都是由ISP态分配的。由于断电或路由器重启等原因,IP 地址就会发生变化;PcAnyWhere也就失去了用武之地,因此获取被控制端的IP地址是实现这种远程控制的前提。下面开始具体实战。 这里暂且将公司电脑称为主控端,家中电脑称为被控端。整个实现流程分为两大部分: 1、被控端准备。配置远程唤醒、获取网卡MAC地址、配置IP地址解析、安装远程控制软件。 2、主控制设置。安装远程开机软件、安装远程控制软件。 另外选用的是PcAnywhere 10.51简体中文正式版,下载地址: https://www.360docs.net/doc/db13982450.html,/2004/817.html 一、被控端准备篇。 当然,这里的被控端准备是指事先的准备,这一部分是关系到远程控制能否顺利实现的前提。 1、配置远程唤醒。 由于是要调用家里计算机中的资料,因此家里计算机肯定要处于开机状态;假设家里没人无法开启,那么就得想办法远程让这台计算机自动开机,这就需要被控计算机具备远程唤醒功能(WOL)。 首先是网卡必须支持WOL;其次还要查看主板是否支持Wake-Up On Internal Modem(WOM)或者Wake-up On LAN(WOL),如果支持就说明主板支持远程开机。除此以外,计算机还必须安装有符合ATX 2.03标准的ATX电源。以上条件缺一不可,如果你的被控端不支持这些功能,那你还是趁早打消这个“远程”念头。 接下来进入CMOS设置,选择划红线处电源管理一项(不同的BIOS版本可能位置不一样),敲回车键进入,如图1。 在接着出现的设置界面中,将红色方框内的两个选项“resume by Ring/LAN(有些版本是Wake Up On LAN/Ring)”和“Wake Up on PCI PME#”都设置为“enabled”,意为启用这两项功能,如图2所示,这样就启用了该计算机的远程唤醒功能。有些网卡需要通过跳线才能将“Wake-on-LAN”功能设置为“Enable”。 提示:如果主板不支持PCI 2.2标准,还需要将WOL电缆的两端分别插入网卡和主板的3芯插座中,将网卡与计算机主板连接起来。
设置远程管理权限
设置远程管理权限 如果服务器与客户端是下列的情形之一,则必须手动设置连接与管理的权限 两端在不同的工作组(都没有加入域) 两端在不同的Active Directory 域,而且没有信任关系 一端是在工作组中,另一端是在Active Directory域中 1.在运行的hyper-v的服务器上操作 step 1、首先建立一个用户账户(如Allen) step 2、在“windows防火墙”中打开WMI异常,可以使用命令或控制面板中的防火墙项目设置,命令方式设置如下: C:\Users\Administrator>netsh advfirewall firewall set rule group=“Windows Management Instrumentation(WMI)”new enable=yes 选择“开始” “管理工具”,选择“高级安全Windows防火墙”,选择“入站规则”可以在右侧看懂啊共启用3个规则:Windows Management Instrumentation (ASync-In)、Windows Management Instrumentation (DCOM-In)、Windows Management Instrumentation(WMI-In) 而在“出站规则”中启用了一个规则:分布式事务处理协调器(TCP-Out) hyper-v管理员需要开放防火墙通信端口 1、TCP/UDP 135(RPC)
2、TCP/UDP 2179(vmms的RDP端口) 3、TCP/UDP 49152-65535(Windows vista/2008默认的client outgoing dynamic port) Step3、给予用户“启动及启用”DCOM的权限。选择“开始”→“运行”命令,在打开的对话框中输入“dcomcnfg”,单击“确定”按钮。 Step4、在“组件服务”窗口中,展开“组件服务”→“计算机”,选择“我的电脑”,单击鼠标右键,在弹出的快捷菜单中选“属性”命令。 Step5、在打开的对话框中选择“COM安全”选项卡,在“启动和激活权限”区域中单击“编辑限制”按钮。 Step6、在“启动和激活权限”对话框中,给予Allen(建立的用户)有“远程启动”和“远程激活”的权限,然后单击“确定”按钮,再单击“确定”按钮。 Step7、选择“开始”→“管理工具”选择“计算机管理”。 Step8、展开“服务和应用程序”→“WMI控制”,单击鼠标右键,在弹出的快捷菜单中选择“属性”命令。 Step9、分别选择“Root”→“CIMV2”及“Root”→“virtualization”,单击“安全设置”按钮。 Step10、单击“添加”按钮,选择“Allen”用户账户,目的是要给予WMI控制权限,然后单击“高级”按钮。 Step11、在打开的对话框中,选择Allen用户账户,单击“编辑”
服务器的IP安全策略和关闭端口设置
操作要领:封闭端口,杜绝网络病毒对这些端口的访问权,以保障计算机安全,减少病毒对上网速 度的影响。 近日发现新的网络蠕虫病毒,该病毒使用冲击波病毒专杀工具无法杀除,需尽快升级计算机上的杀毒软件病毒库,在断开计算机网络连接的情况下扫描硬盘,查杀病毒。安装了防火墙软件的用户,请封闭TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口的出入连接,另外,你还可以封闭一些流行病毒的后门端口,如TCP 2745、3127、6129 端口,所以也可以暂时屏蔽访问这些 端口的传入连接。 操作步骤: 打开“控制面板”(打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到) 在“控制面板”中找到“管理工具”。 双击打开“管理工具”,找到“本地安全策略”。 双击打开“本地安全策略”,找到“IP 安全策略”如下图 用鼠标右键点击右方窗格的空白位置,在弹出的快捷菜单中选择“ 创建IP 安全策略” 如下图 在向导中点击“下一步”按钮,到第二页为新的安全策略命名,或者直接再点“ 下一步”。 到达“安全通信请求”处,默认选中了“激活默认相应规则”,请用鼠标点击一下这个选项框,将选中状 态改成未选中状态,如下图,再点击“下一步”。
点击“完成”按钮,“编辑属性”,如下图。 在“属性”对话框中,看看“使用添加向导”有没有选中,如果选中了,请用鼠标点击一下,使之变成未被选中的状态,然后点击“添加”按钮。如下图。
在“新规则属性”对话框中,点击“添加”按钮,如下图。 在IP 策略列表中,首先解除“使用添加向导”的选中状态,然后点击“ 添加”按钮。如下图。
最新最全USG6000安全策略配置(DOC41页)
配置反病毒 在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。 组网需求 某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。网络环境如图 1所示。 其中,由于公司使用Netease邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease邮箱的所有邮件。另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被NGFW判定为病毒而被阻断(病毒ID为8000),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。 图1 配置反病毒组网图 配置思路 1.配置接口IP地址和安全区域,完成网络基本参数配置。 2.配置两个反病毒配置文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响 应动作,并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。 3.配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实 现组网需求。
操作步骤 1.配置接口IP地址和安全区域,完成网络基本参数配置。 a.选择“网络> 接口”。 b.单击GE1/0/1,按如下参数配置。 c.单击“确定”。 d.参考上述步骤按如下参数配置GE1/0/2接口。 e.参考上述步骤按如下参数配置GE1/0/3接口。 2.配置反病毒配置文件。 a.选择“对象> 安全配置文件> 反病毒”。 b.单击“新建”,按下图完成针对HTTP和POP3协议的配置。
配置远程访问服务
配置远程访问服务 一、远程访问服务概述 远程访问服务(Remote Access Servic,RAS)允许客户端通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认,就可以访问网络资源,就好象客户机已经直接连接在局域网上一样。 1.远程访问连接方式 远程访问服务适合的环境是:在各地有分公司和出差的员工需要访问总部网络的资源。Windows Servic 2003 远程访问服务提供了两种远程访问连接方式: 拨号网络:通过使用电信提供商(例如电话、ISDN或)提供服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上,这时使用的网络就是拨号网络。例如:拨号网络客户端需要安装Modem,使用拨号网络拨打远程访问服务器某个端口的电话号码。 虚拟专用网(Virtual Private NetWork,VPN):VPN是穿越公用网络(如Internet)的、安全的、点对点连接。虚拟专用网客户端使用特定的,称为隧道协议的基于TCP/IP的协议,与虚拟专用网服务器建立连接。例如,虚拟网络客户端使用虚拟专用网连接(连接目标是IP地址)连接到与Internet相连的远程访问服务器上,验证呼叫方身份后,在虚拟专用网客户端和企业网络之间传送资料。 这两种连接比专线连接,提供了低成本远程访问服务。 拨号的远程访问是通过电话线传输资料,虽然传输速率不高,但是对于那些只有少数资料需要传输的用户,特别是在家庭中办公的用户来说是一个很好的技术方案。
使用虚拟专用连接不但提供了高的传输效率,而且降低了投资成本和维护成本。相对于拨号连接来说,它节约了通信费用,特别是对于外地的分公司来说,解决了一大笔长途电话的费用。 2.拨号网络组件 a、拨号网络客户端:拨号网络客户端,即远程访问客户端。 b、远程访问服务器:Windows Server 2003 远程访问服务器可以接收拨号连接,并且在远程访问客户机与远程访问服务器所在的网络之间进行资料传送。 c、WAN结构:RAS服务器与客户机之间可以建立不同类型的拨号连接,不同的连接类型提供了不同的速度。这些连接类型包括:公共交换电话网(Public Switch Telephone Network,PSTN)、综合业务数字网(Integrated Services Digital Network,ISDN)、非对称数字用户线(Asymmetric Digital Subscriber Line,ADSL)等。 d、远程访问协议:远程访问协议用来控制连接的建立以及资料在WAN链路上的传输。远程访问客户端与远程访问服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。Windows Server 2003远程访问支持3中类型的远程访问协议: 点到点协议(point-to-point Protocol,PPP)是一种应用非常广泛的工业规范协议,它支持多个厂商的远程访问软件并支持多种网络协议,可以提供最佳的安全性能、多协议访问以及互操作性。 串行线路网际协议(Serial Line Internet Protocol,SLIP)是一种在运行老式UNIX操作系统远程访问服务器上使用的协议。 Microsoft RAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。 e、LAN协议:LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。Windows Server 2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。 3.VPN组件 通俗地讲,VPN就是基于公共网络(如Internet),在两个或两个以上的局域网之间创建传输资料的网络隧道。当传输资料通过网络隧道时,进行安全的VPN资料加密,从而确保了用户资料的安全性、完整性和真实性。 要使用VPN远程访问,需将RAS服务用作VPN服务器。VPN服务器和客户机通过本地的Internet服务提供商(Internet Service Provider,ISP)在Internet上建立虚拟点到点的连接,就像是客户机直接连接到服务器的网络上一样。 a、VPN的组成要素有: VPN客户端:VPN客户端可能是一台单独的计算机,也可能是路由器。一般的,VPN客户端需要通过当地ISP连上公共网络(如Internet)以便和VPN服务器连接。 VPN服务器:接收VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络,有固定IP地址。 隧道:连接中封装资料的部分