“别动不动就凶我”通过精心收集,向本站投稿了8篇微软杰作,给桌面配个“保险箱”WEB安全,下面是小编帮大家整理后的微软杰作,给桌面配个“保险箱”WEB安全,希望对大家有所帮助。
- 目录
篇1:微软杰作,给桌面配个“保险箱”WEB安全
我想在座的大多数朋友都曾在电脑中保存过重要文件吧,在这些文件中,有的涉及资金账户,有的涉及公司机密,可以说件件都是马虎不得,要是在以前,我们还可以将重要的文件保存在保险柜中,可这些全部由数字组成的电子文件又该怎么保存呢?其实,我不说大家可能也想到了 ―― 加密。不过,虽说连Windows XP都提供了一项加密功能(如图1所示),但它一来需要被加密的文件保存在NTFS分区,二来又好像与我们意识里的那种“加密步骤”不太一样。因此,这个加密功能实际上并没有得到广泛的利用。不过,前几天微软新发布了一个小软件,装上它就如同给我们的桌面配了个“保险箱”,而它的名字就叫 ―― “Microsoft Private Folder”。
图1
软件小档案 ――
* 软件名称:Microsoft Private Folder(以下简称:保险箱)
* 软件大小:1.5 MB
* 软件版本:1.0
* 软件类型:免费软件(要求您的系统能够通过微软WGA验证)
* 适用系统:Windows XP Home Edition / Professional Edition / Media Center Edition
* 下载地址:download.pchome.net/utility/encrpt/583.html
一、建立“保险箱”密码
当我们安装完毕,第一次启动“保险箱”时,它便会提示我们输入一个密码。值得称赞的是,这个软件会随着我们密码的输入实时进行检测,如果密码不符合相应的安全要求,它会以红字做出提示,同时禁止我们继续下一步的操作。这样,我们就能轻易地设置好一个安全的“保险箱”密码了,如图2所示。
图2
【小提示】 在“保险箱”安装完成后,它会提示我们重启一次计算机,在这里请大家不要自认为没事儿而不重启电脑,因为这样的话,你存入“保险箱”里的文件将无法正常读取,望大家切记,
二、开始使用“保险箱”
1. 加密文件
双击桌面上的保险箱图标以后,它就开始启动了,等输入好正确的密码,一个和资源管理器一模一样的界面便弹了出来。我们可以用鼠标直接将文件拖拽到“保险箱”中来完成对文件的加密,当然,您也可以在“保险箱”中自由地建立一套文件夹结构。而所有的这些操作都会被软件自动加密,使用起来非常方便。如图3所示
图3
2. 关闭保险箱
当然,作为一个“保险箱”来说,总让它敞着“大门”自然不行。我们在将文件存入保险箱之后就应该通过右击任务栏图标再执行“锁定我的密码箱”命令关闭保险箱了,如图4所示。
图4
不过,这种方法虽然方便,却保不齐哪天您一忙起来就忘了这步“关门”操作了。别急,我们还可以为它设置一个“自动关门”的时限来解决这个问题。方法很简单,仍旧右击任务栏图标,然后执行“选项”菜单→“自动锁定设置”命令调出如图5所示的对话框,最后设定一个时间限制后确定即可。这样,到了限定时间以后,无论您作不作操作,保险箱的“大门”都会自动关闭了。
图5
三、删除桌面“保险箱”
当然,介绍了这么多,总会有一些朋友觉得这个“保险箱”不适合自己,而打算删除它。不过,由于“保险箱”里面保存的数据都非常重要,因此,微软也通过了一些技术手段来防止它被意外删除。所以,我们要想成功地删除“保险箱”,就必须通过右击任务栏图标,“选项”→“移除我的密码箱”这个命令来完成删除操作,当然,在删除之前,它也会弹出密码提示框来确认删除者身份的,如图6所示。
图6
篇2:限制程桌面登录IP的方法WEB安全
,
第三种方法:DOS命令限制远程桌面的登陆IP
添加端口号为8081的远程IP限制
netsh firewall add portopening ALL 8081 DNS ENABLE CUSTOM 157.60.0.1,172.16.0.0/16,10.0.0.0/255.0.0.0
为端口号8081设置可防问的远程IP
netsh firewall set portopening ALL 8081 远程桌面 ENABLE CUSTOM 157.61.0.1,172.17.0.0/255.255.255.0
删除端口号为8081的远程限制
netsh firewall delete portopening TCP 8081
篇3:19个Web安全字体网页设计
在Web编码中,CSS默认应用的Web字体是有限的,虽然在新版本的CSS3,
我们可以通过新增的@font-face属性来引入特殊的浏览器加载字体,但多数情况下,
考虑各个因素的影响我们还是在尽量充分利用这些默认调用的字体实现CSS的编写,
这里整理了19个Web安全字体,让你无需任何顾虑的情况下畅快使用,
1.Arial
CSS写法:font-family: Arial, Helvetica, sans-serif;
2.Arial Black
CSS写法:font-family: ‘Arial Narrow’, sans-serif;
3.Arial Narrow
CSS写法:font-family: ‘Arial Narrow’, sans-serif;
4.Verdana
CSS写法:font-family: Verdana, Geneva, sans-serif;
5.Georgia
CSS写法:font-family: Georgia, serif;
6.Times New Roman
CSS写法:font-family: ‘Times New Roman’, Times, serif;
7.Trebuchet MS
CSS写法:font-family: ‘Trebuchet MS’, Helvetica, sans-serif;
8.Courier
CSS写法:font-family: Courier, monospace;
8.Courier New
CSS写法:font-family: ‘Courier New’, Courier, monospace;
9.Impact
CSS写法:font-family: Impact, Charcoal, sans-serif;
10.Comic Sans MS
CSS写法:font-family: ‘Comic Sans MS’, cursive;
11.Tahoma
CSS写法:font-family: Tahoma, Geneva, sans-serif;
12.Lucida Sans Unicode
CSS写法:font-family: ‘Lucida Sans Unicode’, ‘Lucida Grande’, sans-serif;
13.Lucida Console
CSS写法:font-family: ‘Lucida Console’, Monaco, monospace;
14.Garamond
CSS写法:font-family: Garamond, serif;
15.MS Sans Serif
CSS写法:font-family: ‘MS Sans Serif’, Geneva, sans-serif;
16. MS Serif
CSS写法:font-family: ‘MS Serif’, ‘New York’, sans-serif;
17. Palatino Linotype
CSS写法:font-family: ‘Palatino Linotype’, ‘Book Antiqua’, Palatino, serif;
18. Symbol
CSS写法:font-family: Symbol, sans-serif;
19. Bookman Old Style
CSS写法:font-family: ‘Bookman Old Style’, serif;
本文来自:www.cssbox.net/19-web-safe-fonts.html
篇4:来自微软专家的SQL注入防范方法WEB安全
自去年下半年开始,很多网站被恶意代码说困扰,攻击者在动态网页的SQL数据库中注入恶意的HTML < SCRIPT.>标签,这种脚本攻击行为在第一季度开始加速传播,并继续影响有漏洞的Web应用。
这些Web应用存在以下几点共性:
使用ASP作为编程代码;
使用SQL Server数据库;
应用程序代码根据URI请求字符串生成动态SQL查询(consoto.com/widgets.asp?widget=sprocket)。
这代表了一种新的SQL注入(SQL injection)途径(msdn.microsoft.com/en-us/library/ms161953.aspx)。在过去,SQL注入攻击的目标通常是具有安全漏洞或特殊数据库结构的Web应用。如今这种攻击的不同在于,攻击能够利用任何URI请求字符串来创建动态SQL查询,进而攻击任何存在的漏洞。在blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx可以找到更多技术详情和代码。
这种攻击并非利用了Window、IIS、SQL Server或者其他底层代码漏洞,相反地它利用了在这些基础平台上运行的WEB应用漏洞。Microsoft已经对这些攻击进行了彻底的调查,并发现这些攻击和以往微软产品的补丁和0-day漏洞无关。更多信息访问blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx。
正如上面所指出的,SQL注入攻击在近年来呈现一种增长的趋势。至少两点重要因素促使其增长:
一方面,自动化的恶意攻击工具。SANS在isc.sans.org/diary.html?storyid=4294讨论了这类工具。恶意攻击工具使用搜索引擎来寻找存在漏洞站点并进行SQL注入。
另一方面,网络中存在的僵尸计算机正在进行SQL注入攻击,并以此来广泛传播僵尸主机。SecureWorks上对此案例进行了分析。www.secureworks.com/research/threats/danmecasprox/
一旦某台服务器被该漏洞所攻击,它将 入 < SCRIPT.>标签来指向某个恶意的JS文件。虽然这些文件的内容不同,但都尝试利用已经被修复的Micfosoft漏洞以及第三方ActiveX控件漏洞,对用户计算机发动攻击。由于这些脚本相对独立存在,这些脚本可以被快速修改,从而利用新的客户端漏洞。
IT/数据库管理员建议
有很多措施是IT管理员或者数据库管理员应该在其管理的基础坏境中必须采取的,通过这些措施可以帮助管理员以减少风险并对可能出现的威胁进行及时响应。
* 检查IIS日志和数据表
由于攻击程序是通过URI请求字符串来触发,管理员们可以检查IIS日志中的异常请求。具体实施参考微软technet中相关文章 blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.asp。在codeplex 网站上有自动化攻击工具的实例演示。www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=WSUS&ReleaseId=13436
如果IIS日志表明服务器可能已经被利用,那么下一步要检查相应的Web应用所使用的数据库中的表格,并找出附加在文本内容中的 < SCRIPT.>标签。
提示:IIS服务器绝不应当在工作环境中关闭日志功能。存储并管理IIS产生的日志是十分必要的,缺少IIS日志对于响应安全事件将造成巨大的危害。
* 如果在后端数据库运行了第三方代码,用户有必要考虑独立软件开发商(ISV,Independent Software Vendors)所可能造成的SQL注入影响。
在使用第三方ASP Web程序的情况下,管理员应当联系第三方应用程序提供商,来确定他们的产品不受SQL注入攻击的影响。
* 确保使用数据库的Web应用程序最少访问权限。
管理员确保需要使用Web应用的SQL用户具有最小权限是十分必要的。Web应用程序不应当给予以诸如”sysadmin”的服务器管理员权限或者”db_owner”的数据库权限。SQL安全配置白皮书《best practices for setting up and maintaining security in SQL Server 2005》提供了关于SQL Server安全的多方面建议。: download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc 提供了关于SQL Server安全的多方面建议。
Web开发者建议
这里有一些论述在编码时如何防御SQL注入的优秀文档。由于攻击行为通常影响有漏洞的Web应用程序代码,所以完全防御他们的唯一方法是避免在代码中存在的漏洞。开发代码中任何需要使用外部资源(一般指从URI请求字符串)数据来动态生成SQL请求的地方都应当被重点关注。一旦代码漏洞被缺人,开发者需要谨慎去解决它。
* 解释-SQL注入、ASP.NET和ADO.NET :
msdn.microsoft.com/en-us/library/bb671351.aspx
上面的文档同时包含如下相关主题《How To: Protect From SQL Injection in ASP.NET》 msdn.microsoft.com/en-us/library/ms998271.aspx(同样适用于ASP)。
这里有一个非常有用的视频(链接可能无效):channel9.msdn.com/wiki/default.aspx/SecurityWiki.SQLInjectionLab,
* 实施SQL注入相关信息:
msdn.microsoft.com/en-us/library/ms161953.aspx
* ASP代码中的SQL注入(不同与ASP.NET):
msdn.microsoft.com/en-us/library/cc676512.aspx
如何在ASP中执行SQL Server存储: support.microsoft.com/kb/q164485
* Microsoft SDL(The Microsoft Security Development Lifecycle)给出了防御SQL注入指南。指南中提供了三种策略来根除SQL注入攻击:
1. 使用SQL参数查询
2. 使用存储策略
3. 使用SQL单一执行许可
Michael Howard在BLOG中谈论如何执行这些安全策略。
blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx
同时,《Writing Secure Code(第二版)》指导了如何防御此类攻击(详见399-411页)。
* 减轻SQL注入:使用参数查询。使用参数化查询的好处是它将执行代码(例如SELECT语句)和数据(由程序使用者提交的动态信息)分开。这种方法可以防对由用户执行而产生的恶意代码。
Part 1:
blogs.technet.com/neilcar/archive/2008/05/21/sql-injection-mitigation-using-parameterized-queries.aspx
Part 2:
blogs.technet.com/neilcar/archive/2008/05/23/sql-injection-mitigation-using-parameterized-queries-part-2-types-and-recordsets.aspx
在ASP代码中过滤SQL注入(或者黑名单关键字),我们认为可作为临时的替代方法,因为在现实中并不修复错误的根源。(例如,代码仍然是有漏洞的,仍有可能绕过过滤机制)
来自IIS团队的Nazim解释了如何过滤的细节信息:blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx。
如果你仍然不清楚该如何下手,所有使用特定ASP代码访问数据库,尤其是使用由用户提交的数据代码应首先被检测。
最终用户建议
最终用户应复查这些关键信息(www.microsoft.com/protect/default.mspx)。另外,这里也有一些特殊步骤来帮助用户保护自身。
* 有鉴别选择的访问网站——用户需要意识到,即使是信任度高的网站同样也会被漏洞所影响。
有选择的访问网站有助于减少了用户暴露在漏洞下的风险。必须留意一场行为,了解面临的风险,并实施本部分提供的其他建议。
* 及时更新安全补丁
由于恶意代码通常利用了已知的漏洞,因此用户应当确保系统中的微软和第三方软件已经打好了最新的安全补丁。微软安全更新可以通过浏览update.microsoft.com;更多信息可浏览www.microsoft.com/protect/computer/updates/OS.aspx 。
* 禁用不必要的ActiveX控件和IE加载项目。
用户应禁用所有不必要的ActiveX控件和IE加载项目。根据KB883256(support.microsoft.com/kb/883256)的方法在Windows XP Service Pack2或者更新版本中来实施本步骤:
1. 打开IE。
2. 在“工具”菜单下点击“管理加载项”。
3. 选择加载项名称。
4. 执行如下方法:
* 点击更新ActiveX来更新控件,本方法并不必适用于所有的加载项。
* 点击”启用”,而后点击”确定”,来启用加载项。
* 点击”禁用”,而后点击”确定”,来禁用加载项。
以上步骤,可能需要用户重启IE来确保启用/禁用插件操作完成执行。
对于更早的操作系统,根据KB154036(support.microsoft.com/kb/154036)的说明进行操作。
* 减少第三方浏览器受攻击风险的步骤。
如果你使用了IE之外的浏览器,那么用户应当确保你安装的是最新版本,同时应当禁用不必要的扩展和加载项。目前流行的浏览器信息可以在如下链接找到:
Firefox - support.mozilla.com/en-US/kb/Firefox+Support+Home+Page
Opera - www.opera.com/support/
Safari - www.apple.com/support/safari/
* 更新反恶意程序软件
终端用户应当确保安装了最新的杀毒软件和反间谍软件,并且保持他们的更新。用户可以在www.microsoft.com/protect/computer/antivirus/OS.aspx和www.microsoft.com/protect/computer/antispyware/OS.aspx找到更多信息。同时用户可以在 onecare.live.com/standard/en-us/install/install.htm申请90天的Windows Live OneCare免费使用。
篇5:给网络设备个安全管理
如何保障网络安全设备的安全,是网络管理员必须考虑的一个问题,换句话说,除了网络性能因素之外,网络设备的安全是网络管理员最关心的一个话题。思科网络设备在这方面比其他公司的产品更加具有远见。如果大家有异议,或许听过我的讲述之后,会有所转变。
一、HTTP安全性
为了使得网络设备的管理与维护更加的便利,许多网络设备厂商都在自己的产品中实现了HTTP服务器,以建立一个交叉平台的、易于管理的图形化解决方案。用户可以通过WEB图形化界面对网络设备进行管理。思科在这方面当然也有类似的处理机制。
不过思科在这方面比其他厂商走先了一步。多数的思科网络设备,拥有一整套机制来进行认证和限制HTTP远程访问。网络管理员必须牢记,嵌入到网络基础设施设备的HTTP客户机和服务器之间的通信应当是安全的。思科为此提供了一整套解决方案。如果网络管理员能够通过合理的配置,那么思科设备的安全性是毋庸置疑的。
1、在必要的时候开启HTTP服务器。其实对于大部分有经验的网络管理员来说,都不习惯利用WEB界面来管理网络设备。如笔者,现在都是通过命令行来进行配置。因为这不仅安全,而且,还可以提高管理的效率。所以通常情况下,思科大部分产品默认情况下,都关闭了HTTP服务器。可见,思科专家们也不是很鼓励我们网络管理员通过WEB形式来管理他们的网络设备。一般情况下,只有刚接触思科网络设备的“菜鸟”才会通过图形化的管理界面来熟悉思科的网络设备。
2、若实在需要开启HTTP服务器的话,则需要进行相关的安全配置,来保障HTTP连接的准确性。
虽然思科不建议我们通过HTTP协议来管理思科网络设备,但是,我们网络管理员仍然可以使用WEB浏览器来发布绝大部分的IOS命令。通过使用WEB浏览器界面可以访问思科的大多数管理功能。思科网络设备的大部分管理功能都可以通过HTTP协议来配置。
思科HTTP服务器程序它是思科IOS管理软件的一个嵌入式组件,他允许特权级别(或其他任何配置的优先级别)为15用户通过浏览器来访问思科设备。若要启用HTTP服务器来管理思科网络设备,需要通过如下步骤。
(1)启用HTTP服务。上面笔者已经说过,思科不少的网络设备,默认情况下都没有开启HTTP服务。所以,网络管理员若需要采用这个服务的话,则必须手工的启动它。如我们网络管理员需要通过利用“http server”命令来启用它。
(2)相关的权限控制。若思科设备启用了HTTP服务器之后,网络管理员就可以通过WEB浏览器访问路由器并进行相关的管理。默认情况下,思科的IOS管理软件通常只允许特权级别为15的用户访问路由器预先定义的主页或者访问服务器。如果用户的访问级别不是15,则用户没有完全管理路由器的权限。在网页上只显示出与这个用户所对应的功能。另外需要注意一个版本之间的差异。在IOS11.3之前的版本,只有特权为15的用户才能够使用HTTP功能,并且唯一的认证机制就是启用Enable口令。不过在现在的IOS版本中,除了特权级别为15的用户可以通过HTTP来管理路由器。而且,还可以给其他用户进行授权,让其叶具有类似的管理功能。
(3)若要给某个用户授予某些HTTP管理的功能,只需要通过简单的两步就可以授予。一是在WEB浏览器中输入网络设备的地址,并以特权用户的口令登陆管理系统。二是通过HTTP authentication enable命令来给某个特定级别的用户启用HTTP功能。HTTP访问只对特定的用户级别开放,启用密码是认证HTTP服务器用户的方法。所以,网络管理员需要注意,授权不是针对具体的用户,而是通过对用户级别进行授权实现的。
二、对于密码管理的一些建议
为了给Cisco网络设备一个安全的管理环境,往往还需要注意一些密码设置的技巧。对于不同的设备往往需要配置不同的密码,所以,密码管理是一件非常令人头疼的工作。在实际工作中,我们可以通过AAA机制可以极大的减轻管理的工作量。因为当前思科许多软件版本都支持AAA认证和授权,
所以,通过AAA机制是密码管理的一个很不错的选择。
与此同时,在条件允许的情况下,还可以遵循如下的建议。
一是特权密码最好与其它密码不同。在思科设备中,任何用户都有普通用户与特权用户两个基本的级别。普通用户只能够对路由器的配置进行查看,而无法对其进行任何的配置,包括命名等等。当网络出现故障时,我们往往会先利用普通用户级别的角色去查看网络设备的基本情况。等到发现问题的原因,再利用特权模式进行维护。为此,若把特权密码与其它用户密码设置为不同,则可以在很大程度上提高网络设备的安全性。
二是定期的更改特权密码,并保障密码的复杂性。有时候,不怕一万,就怕万一。特群用户密码有时候会在网络管理员不经意之间泄露。如在输入密码的时候别人偷窥或者被窃取等等。所以,笔者建议,网络管理员应该养成定期更改特权密码的习惯。同时,在更改时,尽量要保障密码的复杂性。
三是要更改设备的默认密码。当设备一连入企业网络后,管理员就要更改设备的网络密码。思科的网络设备往往都会有默认的管理员密码,而且,可惜的是,任何网络设备的管理员密码都是相同的。
三、利用SNMPv2 协议来代替SNMPv1 协议。
简单网络管理协议(SNMP)是一个搜集统计信息并远程监视网络基础设施设备的协议。他是一个非常简单地协议。在V1版本中,其实根本没有提供任何的安全措施。那时,SNMP协议都是通过明文传输的。包括密码在内,在网络内的传输都是明文的。所以,是非常不安全的。
为此,笔者建议,应该采用V2版本,而不要采用V1版本。因为V2解决了V1版本中的一些漏洞。特别值得强调的是,在V2种,采用了MD5算法来验证SNMP管理器和代理器之间传递信息。在思科网络设备中,有SNMP两个选项,分别为只读与读写两个模式。
只读模式下往往只能够读取SNMP MIB对象;而读写模式则指定SNMP管理员可以读取并更改MIB对象。另外在实际工作中,要结合IP地址来管理网络设备的访问权限。通常情况下,用户都应该配置过滤器并且只允许某些特定的IP地址拥有设备的SNMP访问权。另外,在平时的管理中,如果只是收集一些统计信息,则最好只采用只读模式。对于读写模式的管理选项,要慎用。并且启用读写模式时,一定要做好相关的安全配置。如笔者在日常配置中,最好只允许自己的IP地址来启用读写模式,以保障管理的安全性。
另外,在最新的思科管理软件中,还采用了SNMPv3版本。这个版本在V2 的基础上,安全性更高。如增加了更多的认证方式,同时,机密性也得到了进一步提高。在对于网络稳定性与安全性有特殊要求的企业,可以考虑采用V3版本的SNMP协议来管理思科网络设备。
四、SSH与Telnet远程管理协议
笔者在实际工作中,还是喜欢通过一些远程管理协议来远程管理网络设备。如果用户需要远程管理的话,则有SSH与Telnet两种协议可以选择。不过在选择的时候,需要注意一个问题。Telnet与SSH在安全上是相差很大的。
Telnet属于一种远程管理协议,但是,其跟SNMPv1版本一样,基本上没有提供可以使用的安全机制。其无论是代码,还是用户名与口令,在网络上都是明文传输的。所以,其是非常危险的。所以,思科网络设备在通常情况下,都是没有启用这个功能的。若网络管理员需要的话,要先开启这个功能。不过向HTTP协议一样,思科网络管理专家一般不建议大家通过这种方式对网络设备进行管理。若用户真的需要采用这个协议的话,则笔者建议网络管理员,结合Ipsec等安全工具来加强其安全性。
笔者更倾向于SSH来管理思科网络设备。因为SSH比起Telnet协议来说,提供了更高的安全性。如其口令与代码在网络中都是通过密文来传输的。所以,相对来说,其安全性要比Telent安全的多。若用户采用的是Linux操作系统,则其自身就带有SSH功能。若用户采用的是微软操作系统的话,则其只有Telent工具,而没有SSH远程连接工具。若此时用户需要SSH来管理的话,则可以从网络免费下载SSh协议客户端。这是一个大小只有几十K的软件包,使用起来非常的方便。而且其还是免费的。
笔者认为,在维护思科网络设备时,其性能、安全性、灵活性是我们日常管理工作中的三个主要目标。故对于安全性来说,大家可以借鉴我以上的三个建议,为思科网络设备提供一个安全的管理环境。
篇6:全面地学习防火墙应具备的17个特性WEB安全
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:
1、安全、成熟、国际领先的特性,
2、具有专有的硬件平台和操作系统平台。
3、采用高性能的全状态检测(Stateful Inspection)技术。
4、具有优异的管理功能,提供优异的GUI管理界面。
5、支持多种用户认证类型和多种认证机制。
6、需要支持用户分组,并支持分组认证和授权,
7、支持内容过滤。
8、支持动态和静态地址翻译(NAT)。
9、支持高可用性,单台防火墙的故障不能影响系统的正常运行。
10、支持本地管理和远程管理。
11、支持日志管理和对日志的统计分析。
12、实时告警功能,在不影响性能的情况下,支持较大数量的连接数。
13、在保持足够的性能指标的前提下,能够提供尽量丰富的功能。
14、可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯。
15、支持在线升级。
16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能。
17、防火墙能够与入侵检测系统互动。
篇7:教你妙用SSL 给IIS也加一把锁WEB安全
由于NT系统的易维护性,越来越多的中小企业在自己的网站上和内部办公管理系统上采用它,而且很多都是用默认的IIS来做WEB服务器使用,当然不能否认近来威胁NT系统的几个漏洞都是由于IIS配置不当造成的,而且可以预见,未来IIS还会被发现很多新的漏洞和安全问题,但只要我们做好合理的安全配置,还是可以避免很多安全隐患的。本文并没有系统的去讲如何全面安全的配置IIS,我只是从利用SSL加密HTTP通道来讲如果加强IIS安全的。
一、建立SSL安全机制
IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证,就是通过SSL(Security Socket Layer)安全机制使用数字证书。SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入 ,而不是,
简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的,所有的消息全部都是以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大,对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动,对于使用交换机来组网的网络来说虽然安全威胁性要小很多,但很多时候还是会有安全突破口,比如没有更改交换机的默认用户和口令,被人上去把自己的网络接口设置为侦听口,依然可以监视整个网络的所有活动。
所以全面加密整个网络传输隧道的确是个很好的安全措施,很可惜的是现在网络上有关于具体给IIS配置SSL的文章并不是很多,我简单的摸索了下把我的经验拿出来给大家分享。
二、操作办法
以WIN2000服务器版本的来做例子讲解的,我们首先需要在控制面板里的填加删除WINDOWS组件中去安装证书服务,这个服务在默认安装中是没有安装在系统里的,需要安装光盘来安装。
由于我们是第一次配置,所以选择创建一个新的证书。用默认的站点名称和加密位长设置就可以了。颁发成功以后我们在颁发的证书里找到刚才颁发的证书,双击其属性栏目然后在详细信息里选择将证书复制到文件。我们需要把证书导出到一个文件,这里我们把证书导出到c: sql.cer这个文件里。重新回到IIS的WEB管理界面里重新选择证书申请,这个时候出来的界面就是挂起的证书请求了。
篇8:引 入瓮给Linux系统蒙上Windows面纱WEB安全
网络上的计算机很容易被 利用工具或其它手段进行扫描,以寻找系统中的漏洞,然后再针对漏洞进行攻击,
通过伪装Linux系统,给 设置系统假象,可以加大 对系统的分析难度,引诱他们步入歧途,从而进一步提高计算机系统的安全性。下面以Red Hat Linux为例,针对几种 常用的途径介绍一些常用的Linux系统伪装的方法。
针对HTTP服务
通过分析Web服务器的类型,大致可以推测出操作系统的类型,比如,Windows使用IIS来提供HTTP服务,而Linux中最常见的是Apache。
默认的Apache配置里没有任何信息保护机制,并且允许目录浏览。通过目录浏览,通常可以获得类似“Apache/1.3.27 Server at apache.linuxforum.net Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”的信息。
通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以实现替换里面的提示内容。
以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define AP_SERVER_BASEPRODUCT “Apache””为“#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/5.0””。编辑os/unix/os.h文件,修改“#define PLATFORM. “Unix””为“#define PLATFORM. “Win32””。修改完毕后,重新编译、安装Apache。
Apache安装完成后,修改httpd.conf配置文件,将“ServerTokens Full”改为“ServerTokens Prod”;将“ServerSignature On”改为“ServerSignature Off”,然后存盘退出。重新启动Apache后,用工具进行扫描,发现提示信息中已经显示操作系统为Windows。
针对FTP服务
通过FTP服务,也可以推测操作系统的类型,比如,Windows下的FTP服务多是Serv-U,而Linux下常用vsftpd、proftpd和pureftpd等软件。
以proftpd为例,修改配置文件proftpd.conf,添加如下内容:
存盘退出后,重新启动proftpd服务,登录到修改了提示信息的FTP服务器进行测试:
这样从表面上看,服务器就是一个运行着Serv-U的Windows了。
针对TTL返回值
可以用ping命令去探测一个主机,根据TTL基数可以推测操作系统的类型。对于一个没有经过任何网关和路由的网络,直接ping对方系统得到的TTL值,被叫做“TTL基数”。网络中,数据包每经过一个路由器,TTL就会减1,当TTL为0时,这个数据包就会被丢弃。
通常情况下,Windows的TTL的基数是128,而早期的Red Hat Linux和Solaris的TTL基数是255,FreeBSD和新版本的Red Hat Linux的TTL基数是64。比如,ping一个Red Hat系统,显示如下:
用以下命令修改Red Hat Linux的TTL基数为128(本来为64):
若想使设置永久生效,可以修改/etc/sysctl.conf配置文件,添加如下一行:
保存退出后,再ping 192.168.0.1,TTL基数就变为128了,
针对3389端口和22端口
有时通过扫描3389端口和22端口,也可以推测操作系统的类型。Windows下一般利用TCP协议的3389端口进行远程控制,而Linux可能会用TCP协议的22端口,提供带有加密传输的SSH服务。
为了安全,可以利用iptables来限制22端口的SSH登录,让非授权的IP扫描不到TCP 22端口的存在:
利用iptables,将本机的TCP 3389端口转移到其它开有3389端口的计算机上,给Linux系统伪装出一个提供服务的TCP 3389端口。命令如下:
第一条命令表示允许数据包转发;第二条命令表示转发TCP 3389到xx.xx.xx.xx;第三条命令表示使转发数据包实现“双向通路”,给数据包设置一个正确的返回通道。若想使转发永久生效,可以把以上命令添加到/etc/rc.local文件中。
这样,当 扫描服务器所开端口的时候,就找不到22号端口,而是看到一个伪装的3389端口,从而不能正确判断出操作系统的类型。
针对netcraft
netcraft是一个很厉害的扫描引擎,它通过简单的TCP 80,就可以知道所测服务器的操作系统、Web服务程序和服务器开机时间(Uptime)等信息。
上面介绍的几种方法对netcraft来说,均不奏效。针对netcraft,可利用iptables进行系统伪装,使netcraft错误判断操作系统:
由于通过抓包发现,netcraft的服务器不止一台,所以需要对它所在网段进行转发欺骗处理。
小结
以上方法只能从某种角度上防止和阻挠 对系统漏洞的分析,在一定程度上可减少计算机被攻击的可能性,但仍然是“防君子,不防小人”,仅是给大家提供一个活学活用的新思路。
★ 我的杰作
★ 杰作的近义词
★ 桌面工作安排
★ 桌面游戏随笔
★ 微软实习报告
微软杰作,给桌面配个“保险箱”WEB安全(共8篇)
