|
三、如何通过使用 Windows Server 2003 来配置网络地址转换 (NAT) 服务器。Windows Server 2003“路由和远程访问”服务包括 NAT 路由协议。如果将 NAT 路由协议安装和配置在运行“路由和远程访问”的服务器上,则使用专用Internet协议(IP) 地址的内部网络客户端可以通过 NAT 服务器的外部接口访问 Internet。
1、如何配置路由和远程访问 NAT 服务器? 当内部网络客户端发送要连接 Internet 的请求时,NAT 协议驱动程序会截取该请求,并将其转发到目标 Internet 服务器。所有请求看上去都像是来自 NAT 服务器的外部IP 地址。这样就隐藏您的内部 IP 地址配置。 2、配置“路由和远程访问”NAT 服务器? 在管理工具 菜单中,单击“路由和远程访问”。 在“路由和远程访问”MMC 中,展开您的服务器名称(其中服务器名称 是您要配置服务器的名称,然后展开左窗格中的IP 路由 。 右键单击常规,然后单击新建路由协议。 单击NAT/基本防火墙 复选框,将其选中,然后单击确定。 右键单击左窗格中的NAT/基本防火墙 ,然后单击新建接口。 单击表示内部网络接口的接口,然后单击确定。 在“网络地址转换”属性中,单击“专用接口连接到专用网络”,然后单击 确定。 右键单击左窗格中的NAT/基本防火墙 ,然后单击新建接口。 单击表示外部网络接口的接口,然后单击确定。 在“网络地址转换”属性中,单击“公用接口连接到 Internet”。 单击“在此接口上启用 NAT”复选框,将其选中,然后单击确定。 NAT 服务器可以自动为内部网络客户端分配 IP 地址。如果您没有已给内部网络上的客户端分配了地址信息的 DHCP 服务器,则可能会需要使用此功能。 3、如何配置路由和远程访问 NAT 服务器以分配 IP 地址和执行代理 DNS 查询? NAT 服务器还可以代表 NAT 客户端执行域名系统 (DNS) 查询。“路由和远程访问”NAT服务器对包括在客户端请求中的 Internet 主机名进行解析,然后将该 IP 地址转发给该客户端。 要配置“路由和远程访问”NAT 服务器来分配 IP 地址并且代表内部网络客户端执行代理 DNS 查询,请按以下步骤xx作: 右键单击左窗格中的NAT/基本防火墙 ,然后单击属性。 单击地址分配 选项卡,然后单击“使用 DHCP 自动分配 IP 地址”复选框,将其选中。 在 IP 地址 框中,键入网络 ID。 在掩码 框中,键入子网掩码。 单击名称解析 选项卡,然后单击“使用域名系统 (DNS) 的客户端”复选框,将其选中。 如果您使用请求拨号接口连接到 Internet,请单击“当名称需要解析时连接到公用网络”复选框,将其选中。 在请求拨号接口 框中,单击要拨号的接口。 单击应用,然后单击确定。 备注:完成这些基本配置步骤之后,内部网络客户端就可以访问 Internet 上的服务器了。 4、如何配置基于 Windows Server 2003 的计算机以使用 NAT 服务器 单击开始,指向控制面板,指向网络连接,然后单击本地连接。 单击属性。 单击 Internet 协议 (TCP/IP)。 单击属性。 在“默认网关”框中,键入 NAT 服务器的内部 IP 地址。 备注: 如果计算机从“动态主机配置协议”(DHCP) 服务器接收它的 IP 地址,请单击高级,单击IP 设置 选项卡,单击网关 下的添加,键入 NAT 服务器的内部 IP 地址,单击添加,单击确定,然后继续进行第 6 步。 单击确定,单击确定,然后单击关闭。 请注意,前提的NAT是建立在 -----------路由和远程访问 这个组件的安装上 第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS 网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。 2. 账户安全 首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不? 创建2个管理员用账号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限账号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理 3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样,出错了自动转到首页 4. 安全日志 我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义 5. 运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙 6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码 7.设置ip筛选、用blackice禁止木马常用端口 一般禁用以下端口 135 138 139 443 445 4000 4899 7626 8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值. 打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中. 在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old". 启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上. 右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开". 当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开". 如果系统提示"拒绝访问数据库",不管他. 你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功. |
|
|
