不可小看TCP/IP筛选
前几天接连遭遇客户的服务器被入侵,面对这一切我确实为他们感到惋惜。不重视技术,统统拿来主义怎么能行,从网上找个IPSec就套用根本无法解决问题。
说到IPSec,我承认他所带来的安全性还是值得承载的,但是微软为什么要将TCP/IP筛选和IPSec分开当然是有他的道理。在我个人认为IPSec是建立在TCP/IP筛选上的,没有合理的配置TCP/IP筛选而直接去做IPSec等同于虚设。而目前很多技术人员过多地只依赖于IPSec,认为只要将它设置好就可以保证服务器的安全,在我看来这点见解我不敢苟同。
就像之前提过的IPSec是建立在TCP/IP筛选上的这个说话,实际仔细揣摩还是能够理解它的意思!通常我的做法都是先对服务器当前运营程序作评估和统计,得出端口使用明细后会首先设置TCP/IP筛选,比如一台网站服务器,上面运行着IIS、FTP、MSSQL以及邮件系统,并允许RemoteDektop。他所涉及到的端口为:80、20、21、1433、25、110、3389,另外如果FTP要求被动模式,还应该添加被动端口段。为此,在TCP/IP筛选中添加以上这些端口。这样网站服务器就基本安全了。这时,可能要考虑到1433和3389的安全性,希望能够加固此端口,这时就可以利用IPSec来实现更加安全的配置。比如限制哪些IP可以访问3389和1433。
IPSec确实也可以实现以上的目标,但是现在我们来假设一个情景。单独使用IPSec实现了以上的目标,此时网站运营程序出现漏洞,导致黑客上传后门程序,在服务器上开放了一个后门端口5666,后果可想而知!而使用TCP/IP筛选就可以有效避免这个问题,因为之前已经配置了筛选,只允许特定端口开放,那么当后门程序开放了一个端口后,它也只是在回环IP上起作用,也就是127.0.0.1或者Localhost上!那么这个黑客后门程序实际上已经无法构成威胁!就像一个Public的主机,通常这类主机是虚拟主机,需要开放很多权限以满足客户的需要,主要的安全就涉及到FSO!所以面对这类主机,我通常会肯定的说明他不是绝对的安全。为什么会这样讲呢?因为我可以保障服务器的主要目录不受到威胁,但最终客户目录却无法保障。扯得有些远了!此篇备忘主要记录关于TCP/IP筛选的问题。
WinSrv2003下单网卡实现NLB(网络负载平衡)
微软官方强烈建议在实施网络负载平衡(已经称NLB)时最好为服务器配置两块网卡,一块用来发布(Public),一块作为心跳(HeartBeat)。并且不论是MSCS还是NLB都属于企业级的应用,而在IDC部署方面更多采用的是硬件方式。不论怎样,技术学习和实验还是要做的。强化自己,提高自己的能力才能适应当前的竞争环境。
今天是2005年的最后一天了,至于放假啦发工资啦发奖金啦什么的我都没想过,也许我已经适应当前这个环境,唯一的解决办法就是等待~~~~~~等待结束!
言多必失,还是进入主题,中午我决定做一次单网卡的NLB实验。为了方便实验我使用VirtualPC来虚拟两台节点(因为之前做了母盘,所以两个系统的建立非常的快)。
NLB必须使用静态IP,并且在单网卡的服务器节点上实施NLB需要配置为多播模式,因为公共接口和心跳接口都承载在这块单一网卡之上。
操作步骤:
1.打开“管理工具”中的“网络负载平衡管理器”,创建一个新的群集,按照提示填写各项数据。注意:一定要选择网卡的多播模式!然后下一步;
2.群集 IP 地址配置下,如果不准备为群集分配多个IP,那么直接下一步略过;
3.端口规则中设置要NLB的端口应用,如80端口。筛选模式可以根据自己的需要来设定;
4.连接设置中,添加节点的名称或IP之后可用接口列表中会显示当前节点可用的接口及IP,因为此次实验的是单网卡的NLB,所以这里只会显示一个接口信息(晕,没法现我怎么这么废话又不是挣稿费!)。
5.主机参数设置中可以设置当前主机节点的优先级别,其他的没什么需要设置的,之后完成NLB的建立,等待一段时间因为NLB需要初始化和配置主机节点。到此就完成了NLB的建立!
6.添加第二个主机节点,单击选择这个群集,右键选择添加主机到群集。按照屏幕向导完成第二个节点的添加;
自我感觉NLB的实施还是非常简单的,也感谢微软在2003系统中添加了NLB的管理工具——网络负载平衡管理器,有效的简化了NLB的安装和配置及管理。当然NLB也可以通过手工设置实施,NLB组件被包含在网络属性中,这里就不再叙述。
结尾,此次实验还是很顺利的,不过我在NODEA上建立好NLB后添加NODEB时遇到了问题,说无法打开接口一类的信息,我当时没有在意。直接又登录到NODEB上完成了NLB的建立反而就正常了,没有去多想为什么!
完全修复系统在线更新功能
系统的在线功能确实给我们带来了很大的方便,但是在某些情况下如误操作或系统升级可能导致此功能失效,我的几台2000服务器就有这个问题,其中的一台已经很长时间不能正常地通过web在线检测更新系统补丁,今天无意中看到了ITECN上的一篇关于如何完全修复Automatic Update的Blog,特备忘到自己这里,以备后用!
步骤1:恢复两个键值
===================
如果以下两个键被破坏掉,这个问题可能会发生。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUAUSERV
请尝试下面的步骤
1. 点击开始,点击运行,输入Inf 按确认. Inf文件夹会被打开,
2. 找到au.inf文件,右击选择安装。
注视:.inf的文件是隐藏的,您可能会看不到au文件。
3. 这样Automatic Update 就会重新被安装. 某些情况,可能某些文件不能被自动找到,您将收到提示选择安装源,那就点击browse按钮,找到下面路径:
C:\Windows\ServicePackFiles\i386
如果上面的文件夹不存在,请选择C:\Windows\System32.
4. 重启系统看看问题是否还存在
如果问题还是存在,请继续尝试下面的步骤:
步骤2:重试注册以下系统文件
====================
如果Windows Update使用到的系统文件没有被注册的话,这个问题也可能发生。
1. 点击开始,点击运行,输入notepad C:\register.bat按确认. 选择是的.
2. 请拷贝以下内容到register.bat这个记事本中
regsvr32 comcat.dll /s
regsvr32 shdoc401.dll /s
regsvr32 shdoc401.dll /i /s
regsvr32 asctrls.ocx /s
regsvr32 oleaut32.dll /s
regsvr32 shdocvw.dll /I /s
regsvr32 shdocvw.dll /s
regsvr32 browseui.dll /s
regsvr32 browseui.dll /I /s
regsvr32 msrating.dll /s
regsvr32 mlang.dll /s
regsvr32 hlink.dll /s
regsvr32 mshtmled.dll /s
regsvr32 urlmon.dll /s
regsvr32 plugin.ocx /s
regsvr32 sendmail.dll /s
regsvr32 scrobj.dll /s
regsvr32 mmefxe.ocx /s
regsvr32 corpol.dll /s
regsvr32 jscript.dll /s
regsvr32 msxml.dll /s
regsvr32 imgutil.dll /s
regsvr32 thumbvw.dll /s
regsvr32 cryptext.dll /s
regsvr32 rsabase.dll /s
regsvr32 inseng.dll /s
regsvr32 iesetup.dll /i /s
regsvr32 cryptdlg.dll /s
regsvr32 actxprxy.dll /s
regsvr32 dispex.dll /s
regsvr32 occache.dll /s
regsvr32 occache.dll /i /s
regsvr32 iepeers.dll /s
regsvr32 urlmon.dll /i /s
regsvr32 cdfview.dll /s
regsvr32 webcheck.dll /s
regsvr32 mobsync.dll /s
regsvr32 pngfilt.dll /s
regsvr32 licmgr10.dll /s
regsvr32 icmfilter.dll /s
regsvr32 hhctrl.ocx /s
regsvr32 inetcfg.dll /s
regsvr32 tdc.ocx /s
regsvr32 MSR2C.DLL /s
regsvr32 msident.dll /s
regsvr32 msieftp.dll /s
regsvr32 xmsconf.ocx /s
regsvr32 ils.dll /s
regsvr32 msoeacct.dll /s
regsvr32 inetcomm.dll /s
regsvr32 msdxm.ocx /s
regsvr32 dxmasf.dll /s
regsvr32 l3codecx.ax /s
regsvr32 acelpdec.ax /s
regsvr32 mpg4ds32.ax /s
regsvr32 voxmsdec.ax /s
regsvr32 danim.dll /s
regsvr32 Daxctle.ocx /s
regsvr32 lmrt.dll /s
regsvr32 datime.dll /s
regsvr32 dxtrans.dll /s
regsvr32 dxtmsft.dll /s
regsvr32 WEBPOST.DLL /s
regsvr32 WPWIZDLL.DLL /s
regsvr32 POSTWPP.DLL /s
regsvr32 CRSWPP.DLL /s
regsvr32 FTPWPP.DLL /s
regsvr32 FPWPP.DLL /s
regsvr32 WUAPI.DLL /s
regsvr32 WUAUENG.DLL /s
regsvr32 ATL.DLL /s
regsvr32 WUCLTUI.DLL /s
regsvr32 WUPS.DLL /s
regsvr32 WUWEB.DLL /s
regsvr32 wshom.ocx /s
regsvr32 wshext.dll /s
regsvr32 vbscript.dll /s
regsvr32 scrrun.dll mstinit.exe /setup /s
regsvr32 msnsspc.dll /SspcCreateSspiReg /s
regsvr32 msapsspc.dll /SspcCreateSspiReg /s
exit
3. 拷贝完毕后,请关闭这个记事本。选择是的保存这个文件。
4. 点击开始,点击运行,输入C:\register.bat 运行这个文件
