⑴ 公司區域網中的電腦如何設置防火牆
這種情況並不能統一防護,沒有部署企業防病毒伺服器,只能單機各自防護
⑵ 關於防火牆和公司網路的連接和配置
一般會遇到以下N種情況,你看有沒有你的那種:
數據機不工作。
原因: 數據機不兼容。
解決方案: 如果有另一台計算機可以訪問 Internet,那麼請查看兼容數據機的列表。要查找由 Windows 操作系統支持的硬體,請訪問 Microsoft 網站上的 Windows 目錄。
原因: 數據機沒有正確連接或已關閉。
解決方案: 驗證數據機是否適當地連接到了計算機上的正確埠。如果數據機是外置的,那麼請驗證電源是否已打開。
無法連接到 Internet 服務提供商 (ISP)。
原因: ISP 伺服器沒有運行。
解決方案: 詢問 ISP 以驗證遠程訪問伺服器是否正在運行。
原因: 沒有有效的用戶帳戶,或者沒有遠程訪問許可權。
解決方案: 詢問 ISP 是否已建立您的用戶帳戶以及您是否具有遠程訪問許可權。
原因: 撥打的號碼不對,或者撥打了正確的號碼但卻忘記撥打外線訪問號碼,例如 9。
解決方案: 驗證所撥的號碼是否正確。
原因: 數據機無法與伺服器的數據機協商。
解決方案: 嘗試使用與伺服器使用的類型相同的數據機。
原因: 數據機電纜有故障。
解決方案: 不要使用大多數滑鼠硬體所帶的 9 到 25 針轉換器,因為其中有一些不能傳輸數據機信號。為安全起見,應該使用專用的轉換器。
原因: 電話線(例如,在旅館的房間內)不適應數據機的速度。
解決方案: 選擇較低的速率 (bps)(或者向旅館經理申請一條直撥線)。
另請參閱: 更改數據機埠的最大速度。
原因: 嘗試使用的線路是數字的。
解決方案: 大多數的數據機只能使用模擬電話線。請驗證是否安裝了模擬電話線,或者如果安裝了數字電話線,請驗證伺服器和客戶端是否具備數字數據機。
嘗試連接時,收到 ISP 伺服器沒有響應的消息。
原因:
速率較高時,數據機與伺服器的數據機不兼容。
電話線路上存在許多干擾,這會阻止數據機以較高的 bps 速率進行連接。
在客戶端和伺服器之間有某種切換設備,會阻止兩個數據機以較高的 bps 速率協商。
解決方案: 將數據機調到較低的速率 (bps)。
另請參閱: 更改數據機埠的最大速度。
原因: ISP 伺服器沒有運行。
解決方案: 詢問您的 ISP 以驗證伺服器是否在運行。
數據機總是以比指定速率 (bps) 低的速率連接。
原因: 數據機和電話線路運行不正常。電話線上過多的干擾會導致會話中斷。
解決方案: 您可以使用數據機診斷程序來確認數據機是否操作正常。
原因: 線路質量不夠好。
解決方案: 詢問電信公司以驗證線路的質量。
原因: 正在撥打的線路影響速度。
解決方案: 如果可以使用多個號碼連接到 ISP,那麼請嘗試其他號碼,看速度是否有所提高。
原因: 數據機軟體需要更新。
解決方案: 請與數據機的製造商聯系,以獲得數據機軟體的更新版本。
網路上與 ISP 的會話經常斷開。
原因: 呼叫等待在干擾您的連接。
解決方案: 驗證電話是否有呼叫等待功能。如果有,請禁用呼叫等待並嘗試再次呼叫。
原因: 由於不活動,ISP 斷開了與您的連接。
解決方案: 請嘗試再次呼叫。
原因: 有人接聽電話。拿起電話時,連接將自動斷開。
解決方案: 請嘗試再次呼叫。
原因: 數據機電纜被斷開。
解決方案: 驗證數據機電纜連接正確。
原因: 數據機軟體需要更新。
解決方案: 請與數據機的製造商聯系,以獲得數據機軟體的更新版本。
原因: 因為 ISP 更改了伺服器上的設置,所以您需要更改自己的數據機設置。
解決方案: 請與 ISP 系統管理員聯系以驗證數據機的設置。
連接異常斷開。
原因: ISP 伺服器沒有運行。
解決方案: 詢問 ISP 系統管理員以驗證伺服器是否正在運行。
原因:
數據機無法與 ISP 伺服器的數據機正確協商。
計算機的串列埠無法跟上您選擇的速度。
解決方案: 請嘗試用較低的初始埠速度進行連接。
原因: 數據機軟體需要更新。
解決方案: 請與數據機的製造商聯系,以獲得數據機軟體的更新版本。
嘗試連接時接到硬體錯誤。
原因: 數據機已關閉。
解決方案: 驗證數據機是否已經打開。如果數據機被關閉,請將其打開並重新撥號。
原因: 數據機工作不正常。
解決方案: 啟用數據機日誌記錄來測試連接。
原因: 電纜不兼容。
解決方案: 如果您的數據機是通過「終端」而不是「網路連接」進行通訊,那麼連接數據機與計算機的電纜可能不兼容。您需要安裝兼容的電纜。
串列埠之間的沖突導致連接問題。
原因: 串列埠沖突。
解決方案: Com1 和 Com3 共享中斷請求 (IRQ) 4。Com2 和 Com4 共享 IRQ 3。因此,對於串列通信,不能同時使用 COM1 和 COM3,也不能同時使用 COM2 和 COM4。例如,不能在 COM1 上使用「網路連接」的同時在 COM3 上使用「終端」。
該規則同樣適用於在使用其他串列通訊程序(例如「網路連接」或「終端」程序)的同時使用滑鼠的情況。如果使用智能串列適配器(如 DigiBoard 串列卡),那麼此規則不適用。
試圖使用 ISDN 連接時,收到「無應答」的消息。
原因: ISP 伺服器沒有應答,因為伺服器已關機或者數據機沒有連接。
解決方案: 請與系統管理員聯系。
原因: 線路忙。
解決方案: 稍後再嘗試呼叫,或與您的系統管理員聯系。
原因: 硬體有問題。
解決方案: 驗證是否正確安裝和配置了 ISDN 適配器。
原因: 電話號碼配置不正確。
解決方案: 在某些情況下,ISDN 線路上的每個 B 信道都有自己的號碼,而在其他的情況下,兩個 B 信道共用一個號碼。電信公司可以告訴您 ISDN 線路有多少個號碼。
原因: 如果是在美國或加拿大,那麼服務配置文件標識符 (SPID) 的配置不正確。SPID 通常由開頭、結尾或兩頭附加數字的電話號碼組成。SPID 幫助交換機了解連接到線路上的設備的類型,以及對線路上適當設備的路由呼叫。如果 ISDN 信道需要 SPID,但是沒有正確輸入,那麼設備將無法進行呼叫或接受呼叫。
解決方案: 驗證是否正確地輸入了 SPID。
原因: 線路條件不好(例如,過多的干擾)導致連接中斷。
解決方案: 等幾分鍾再嘗試撥號。
原因: 您沒有啟用線路類型協商,或不能使用所選擇的線路類型進行連接。
解決方案: 啟用線路類型協商。
原因: ISDN 交換設備正忙。
解決方案: 稍候再試。
原因: DigiBoard 卡太舊。
解決方案: 如果沒有最新的 PCIMAC-ISA DigiBoard 卡(序列號為 A14308 或更高),那麼請與 DigiBoard 聯系進行更換。
使用 X.25 進行連接失敗。
原因: 撥號 PAD 配置了錯誤的 X.3 參數或串列設置。
解決方案: 如果遠程訪問伺服器正在運行,而您不能通過 X.25 智能卡或外部 PAD 直接連接到它,那麼請修改撥號 PAD X.3 參數或串列設置。詢問系統管理員正確的設置是什麼。
原因: 新建的 Pad.inf 項不正確。
解決方案: 您可以檢查用於直接連接和外部 PAD 的其他 Pad.inf 項,並查看其注釋。可能需要線路分析器或終端程序才能看到 PAD 的響應。對於撥號 PAD 項,可以使用 Pad.inf 中的項作為範例,同時注意範例所附的注釋。
原因: 數據機不兼容。
解決方案: 如果連接到撥號 PAD 的數據機在連接時的速度低於其應有的速度,那麼請使用兼容的數據機替換它。
原因: 遠程訪問伺服器的線路擁擠。如果已經建立連接,但是網路驅動器會斷開,而且您的會話會被斷開或遇到網路錯誤,那麼原因可能是遠程訪問伺服器的租用線路上出現擁擠。
例如,若四個客戶端以 9600 bps 的速率進行連接(通過撥號 PAD),則要求伺服器端的租用線路為 38,400 bps(四倍於 9600)。如果租用線路沒有足夠的帶寬,則可能會造成超時並降低已連接客戶端的性能。此例假定「路由和遠程訪問」使用了全部帶寬。如果路由和遠程訪問共享帶寬,那麼可以建立的連接會更少。
解決方案: 您的系統管理員需要驗證所租用線路的速度能夠支持所有 COM 埠以客戶端撥入時使用的各種速度進行連接。
通過 PPTP 連接失敗。
原因: TCP/IP 連接問題阻止您連接到 PPTP 伺服器。
解決方案: 您或您的系統管理員可以使用 ipconfig 和 ping 命令來驗證到伺服器的連接。
原因: Winsock 代理客戶端處於活動狀態。
解決方案: 當 Winsock 代理客戶端處於活動狀態時,VPN 連接不能工作。在虛擬網路連接對數據包進行封裝處理之前,Winsock Proxy 已經將數據包重定向到代理伺服器。請要求系統管理員禁用 Winsock 代理客戶端。
原因: 您在遠程訪問伺服器上沒有適當的連接和域訪問許可權。
解決方案: 請與系統管理員聯系。
原因: 如果使用的是 TCP/IP 協議,那麼說明沒有唯一的 TCP/IP 地址。
解決方案: 請與系統管理員聯系。
原因: 名稱解析問題阻止您將名稱解析為 IP 地址。
解決方案: 在連接中指定完全合格的域名和 IP 地址。
使用 PPP 或 TCP/IP 實用程序進行的連接失敗。
原因: 伺服器不支持 LCP 擴展。
解決方案: 如果您不能使用 PPP 連接到伺服器,或者遠程計算機終止您的連接,那麼伺服器可能不支持 LCP 擴展。請在「網路連接」中,清除「啟用 LCP 擴展」復選框。
原因: IP 報頭壓縮阻止 TCP/IP 實用程序的運行。如果已使用 PPP 成功地連接到遠程伺服器,但是 TCP/IP 實用程序不運行,那麼問題可能是 IP 報頭壓縮。
解決方案: 在關閉 IP 報頭壓縮以後,嘗試重新連接。
特定的程序遇到 Internet 連接問題,而且 Internet 連接共享、Windows 防火牆或者兩者同時被啟用。
原因: Windows 防火牆、Internet 連接共享或者這兩者阻止程序或者禁止程序成功建立跨 Internet 的完全雙向通訊。
解決方案: 從程序製造商那裡獲取 Internet 連接共享和 Windows 防火牆插件。Internet 連接共享和 Windows 防火牆插件可以在啟用 Internet 連接共享 (ICS) 或 Windows 防火牆時解決特定程序遇到的任何 Internet 連接問題。插件是在磁碟或者 Internet 上作為可執行文件提供的。因為 Internet 連接共享和 Windows 防火牆插件可能使您的網路不安全,所以只有當它們的來源可信時才應該安裝。詳細信息,請參閱使用 Internet 連接共享和 Windows 防火牆插件。
使用 Internet 連接共享建立的連接失敗。
原因: 共享了錯誤的 LAN 網路適配器。
解決方案: 有 Internet 連接共享的計算機需要兩個連接。一個連接通常是網路適配器,連接到家庭或小型辦公網路上的計算機,而另一個連接則將家庭或小型辦公網路連接到 Internet。需要確保在將家庭或小型辦公網路連接到 Internet 的連接上啟用 Internet 連接共享。
原因: 家庭或小型辦公網路沒有安裝 TCP/IP。
解決方案: 默認情況下,運行 Windows XP、Windows 2000、Windows Millennium Edition、Windows 98 和 Windows NT 4.0 的計算機上安裝了 TCP/IP 協議。如果家庭或小型辦公網路上的用戶運行的是其他操作系統,那麼請檢查計算機上是否安裝了 TCP/IP 協議。
原因: 如果家庭或小型辦公網路上的用戶無法連接 Internet,那麼可能是計算機上的 TCP/IP 配置不正確。
解決方案: 確保在本地連接上建立了下列 TCP/IP 設置:
IP 地址:自動獲取 IP 地址(通過 DHCP)
DNS 伺服器:自動獲取 DNS 伺服器地址
默認網關:未指定
對於運行 Windows 95、Windows 98、Windows Millennium 或 Windows NT 4.0 的計算機,可以在「控制面板」的「網路」中找到 TCP/IP 設置。
原因: 如果家庭或小型辦公網路用戶不能連接 Internet,那麼需要修改其 Internet 選項。
解決方案: 必須修改 Internet 連接共享的 Internet 選項。詳細信息,請參閱配置 Internet 連接共享的 Internet 選項。
原因: 沒有啟動 Internet 連接共享服務。
解決方案: 使用事件查看器確認是否已啟動 Internet 連接共享服務。
原因: 沒有正確配置 Internet 連接共享計算機的名稱解析。
解決方案:您可能需要在計算機上配置 WINS 或 DNS 名稱解析服務。如果家庭或小型辦公網路中的計算機無法將名稱解析為 IP 地址,那麼可以使用 ipconfig 命令檢查 Internet 連接共享計算機的名稱解析配置。ISP 配置名稱解析的方法有兩種:
靜態分配的名稱伺服器
必須用 ISP 提供的名稱伺服器的 IP 地址來手動配置 TCP/IP 協議。如果您擁有靜態分配的名稱伺服器,那麼就可以隨時使用 ipconfig 命令來獲取您的已配置名稱伺服器的 IP 地址。
動態分配的名稱伺服器
不需要手動配置。只要一撥打 ISP,就會動態分配 ISP 提供的名稱伺服器的 IP 地址。如果名稱伺服器是動態分配的,那麼必須在連接到 ISP「之後」運行 ipconfig 命令。
原因: 如果不能通過 Internet 玩游戲,那麼此應用程序使用的協議是不可轉換的。
解決方案: 嘗試從 Internet 連接共享計算機運行該程序。如果程序在那裡能正常運行,而在家庭或小型辦公網路的其他計算機上卻不能,那麼說明該程序可能是不可轉換的。
原因: 如果無法在 Internet 上玩游戲,那麼可能沒有在運行 Internet 連接共享的計算機上配置該程序。
解決方案: 驗證是否正確配置了該程序,包括埠號。
原因:如果 Internet 用戶不能看到家庭或小型辦公網路上的服務(如 Web 伺服器),那麼該服務沒有正確配置。
解決方案: 驗證已正確配置了該服務,包括埠號和 TCP/IP 地址。
原因:如果家庭網路上的用戶不能使用友好名稱訪問 Internet 站點,那麼存在 DNS 解析問題。
解決方案: 當訪問 Internet 資源時,請讓您的家庭或小型辦公網路上的用戶使用完全合格的域名或 IP 地址。
使用本地連接時,沒有響應。
原因: 網路適配器可能有問題。
解決方案:嘗試以下操作:
檢查本地連接圖標的外觀。根據本地連接的狀態,「網路連接」文件夾中本地連接圖標的外觀會有所不同。而且,如果本地連接媒體斷開(例如,電纜被拔掉),那麼通知區域將顯示一個狀態圖標。詳細信息,請參閱本地連接。
使用 設備管理器驗證您的網路適配器工作是否正常。
原因: 本地連接電纜可能沒有插入網路適配器。
解決方案: 檢查並確保本地連接電纜已插入網路適配器。
使用筆記本電腦連接到 ISP 時,部分或所有程序運行不正常。
原因: 當使用 ISP 連接時,WinSock 代理客戶端可能會阻止程序正常運行。
解決方案: 如果您是移動用戶,並且是在公司環境中使用筆記本電腦,那麼當您使用同一台計算機撥號連接到 ISP 或其他網路時,可能需要禁用 Microsoft WinSock 代理客戶端(「控制面板」中的 WSP 客戶端)。例如,如果在辦公室使用筆記本電腦,並且在家中使用同一台計算機連接到 ISP 或其他網路,那麼當您使用 ISP 連接時,可能會在運行各種應用程序時遇到問題。(例如,您的程序可能無法找到需要的資源或伺服器。)如果是這種情況,請禁止 Microsoft WinSock 代理客戶端(「控制面板」中的 WSP 客戶端)運行那些您在公司辦公室里使用筆記本電腦時經常運行的程序。
傳入連接客戶端看不到傳入連接計算機之外的資源。
另外,站長團上有產品團購,便宜有保證
⑶ 企業路由器防火牆應該怎麼設置
你能聯線應該就不是防火牆的問題了,即使是防火牆的問題,那也是你電腦中的軟體防火牆,家用的路由器的功能比較少沒什麼防火牆,只有簡單的過濾功能.請在軟體那裡設置或網速慢造成的.
⑷ 求助:我所在的公司設置了防火牆使得我不能上網聊天.我怎麼才能解決這個問題啊!!!快來幫幫我吧.
遵守公司要求好好乾活
如果工作需要用又上不了就反映情況
⑸ 怎樣設置防火牆控制公司員工上外網
這個簡單啊 流量控制設置為0, 或者禁止外網連接 其實你可以看看說明書,完全禁止很簡單,就是怕部分禁止,呵呵
⑹ 網路防火牆設置流程
第一:進入防火牆(目前主流進入防火牆有:http;https;console;ssl;等)最常用的是https通過加密形式管理安全方便。 第二:對介面配置(暫時不要做什麼策略,先保證大眾能上網才說安全)有些防火牆會叫你定義wlan和lan口意思是說wlan口要接電信拉過來的線;而lan是要接你交換機的線。 第三:保證了物理上通了現在就要對其做路由;保證你路由可達,記得要添一條回程路由(有些防火牆自動生成默認路由;之前最好了解清楚);一般都是0.0.0.0網關是電信給你的網關即可 第四:就是NAT,這個也是必須的,保證你的地址轉換正確。最好做條內網地址0.0.0.0表示任意地址轉換給你的公網地址(這兒一般是可以選擇wlan口的,就是你剛剛定義的那個口子) 第五:最後才是策略問題,首先做條源地址any到目的地址any的any服務放行。(這樣做就可以先保證所有用戶正常上網了) 第六:保證能正常上網了現在就可以對調整安全策略了,比如伺服器的映射;對某些ip的網路訪問限制;以及現在的防火牆自帶的功能VPN;流控;ips等等 這里是簡單介紹,防火牆太專業的東西,用一兩句是說不清楚的。有什麼疑問再說吧!
⑺ 公司想把公網IP設置到伺服器上,如果中間加個防火牆,應該怎麼設置呢
如果你們的目的就是將伺服器對外網開放服務的話,那麼你只需要在防火牆上把伺服器的服務發布到外網就可以了,沒必要添加一個外網地址,這是不安全也是不合理的設置
⑻ 公司門店防火牆已經做了設置,為何部分軟體還是能聯網呢
因為有些程序,防火牆是不屏蔽的。自己在防火牆設置,設置成不允許例外,
⑼ 企業應部署怎樣的防火牆
在管理規模較大的網路環境時,網路安全往往是花費精力最多的一環。就拿配置Windows XP SP2的防火牆來說,如果讓網管為網內計算機逐一進行配置的話,工作量會非常大,而且在細節配置上也容易出錯。那麼,如何才能提高規模化環境內的防火牆配置效率呢? Windows防火牆是Windows XP SP2中一個極為重要的安全設計,它可以有效地協助我們完成計算機的安全管理。今天,筆者將為大家介紹如何使用組策略(Group Policy)在機房中集中部署Windows防火牆,提高為網內計算機配置防火牆的效率。 為什麼要集中部署 首先,我們要了解組策略對Windows防火牆的作用是什麼。組策略可以決定本地管理員級別的用戶是否可以對Windows防火牆進行各種設置,可以決定Windows防火牆的哪些功能被“禁用”或“允許”…… 顯然,上述幾個功能正好能夠配合域功能進行機房的安全管理,這就為組策略能夠批量化部署機房的Windows防火牆打下了基礎。此時,所有客戶機的 Windows防火牆的應用許可權將統一歸域管理員管理,本地管理員對Windows防火牆的任何設置要在域管理員的“批准”下方可進行。此外,域管理員還可使用組策略來完成所有客戶機的Windows防火牆配置,而不必逐台進行了。 用組策略部署防火牆 在明白了集中部署的好處後,現在讓我們一步步實現。請大家先了解一下本文的測試環境“Windows Server 2003域伺服器+Windows XP SP2客戶機”。本文將介紹如何在Windows Server 2003域伺服器管理的機房中的客戶機(Windows XP SP2)上,對所有安裝了Windows XP SP2的客戶機進行Windows防火牆的集中部署。 提示:為什麼不是在域伺服器中進行組策略的新建與配置,而是在客戶機上運行?其實這很容易理解,Windows Server 2003操作系統(中文版)中還沒有Windows防火牆,所以無法進行配置。但是,這一點將會隨著Windows Server 2003 SP1中文正式版的推出而得到徹底解決。 OK!現在讓我們開始實際操作。首先,在Windows XP SP2客戶機的“運行”欄中輸入“MMC”命令並回車,在打開的“控制台”窗口中,依次單擊“文件→添加/刪除管理單元”,添加“組策略對象編輯器”。 在彈出的“歡迎使用組策略向導”界面中,點擊“瀏覽”按鈕並在“瀏覽組策略對象”窗口中的空白處單擊滑鼠右鍵,在彈出的菜單中選擇“新建”,並命名為“firewall”即可返回控制台窗口。 提示:客戶機的當前登錄賬戶必須具有管理員許可權,方可新建GPO(組策略對象)。因此,臨時解決這個問題的方法就是在DC中將客戶機的賬戶添加到Administrators組,接著客戶機臨時使用管理員賬戶登錄系統並進行GPO配置即可 返回控制台窗口後,在“firewall”策略集中可以看到“域配置文件”和“標准配置文件”兩個策略子集(圖1)。其中,域配置文件主要在包含域DC的網路中應用,也就是主機連接到企業網路時使用;標准配置文件則是用於在非域網路中應用。 圖1 顯然,我們需要在域配置文件中進行策略的設置。下面簡單地說說如何對其中的子策略進行安全配置: 保護所有網路連接:已啟用;這樣才能強制要求客戶機啟用Windows防火牆,不受客戶機本地策略的影響。 不允許例外:未配置;這個可以讓客戶機自行安排。 定義程序例外:已啟用;即按照程序文件名定義例外通信,這樣可以集中配置機房中允許運行的網路程序等。 允許本地程序例外:已禁用;如果禁用則Windows防火牆的“例外”設置部分將呈灰色。 允許遠程管理例外:已禁用;如果不允許客戶機進行遠程管理,那麼請禁用。 允許文件和列印機共享例外:已禁用;如果某些客戶機有共享資源需要應用,那麼應該啟用。 允許ICMP例外:已禁用;如果希望使用Ping命令,則必須啟用。 允許遠程桌面例外:已禁用;即關閉客戶機可以接受基於遠程桌面的連接請求功能。 允許UPnP框架例外:已禁用;即禁止客戶機接收垃圾的UPnP方面的消息。 阻止通知:已禁用。 允許記錄日誌:未配置;允許記錄通信並配置日誌文件設置。 阻止對多播或廣播請求的單播響應:已啟用;即放棄因多播或廣播請求消息而收到的單播數據包。 定義埠例外:已啟用;按照TCP和UDP埠指定例外通信。 允許本地埠例外:已禁用;即禁止客戶機管理員進行埠的“例外”配置。 現在,讓我們通過“定義埠例外”項來介紹一下如何進行具體配置。首先,在“域配置文件”設置區域中,雙擊“Windows防火牆:定義埠例外”項,在彈出的屬性窗口中單擊“已啟用→顯示”,並進行“添加”。接著,使用“port:transport:scope:status:name”的格式輸入要阻止或啟用的埠信息(如“80:TCP:*:enabled:Webtest”)。 提示:port是指埠號碼;transport是指TCP或UDP;scope中的“*”表示用於所有系統或允許訪問埠的計算機列表;status是已啟用或已禁用;name是用作此條目標簽的文本字元串。 完成上述設置後,保存策略為“firewall”文件。現在,就得進行非常重要的一步操作,在“命令提示符”窗口中運行“Gpupdate /force”命令強制組策略設置應用到域網路中已經登錄的計算機 驗證部署效果 完成組策略的刷新後,先來看看本機中的Windows防火牆是否響應了策略。由於前面已經定義了“允許本地程序例外”項的狀態為“已禁用”,根據這個定義,Windows防火牆的“例外”設置部分應變為灰色。現在,讓我們打開本機中的Windows防火牆,可以看到被禁用的部分已經呈灰色,這說明本機已響應組策略設置了。 接著,再來看看DC是否響應了組策略。在DC伺服器的“運行”欄中輸入“dsa”(請根據實際情況選擇)的屬性窗口。在“組策略”選項卡部分可以看到保存的 firewall已經自動出現在列表中了。如果沒有出現可以手工添加(圖2)。 圖2 到了這一步,可以看出整個設置是成功的。而此後,域中任何一台使用Windows XP SP2的計算機只要登錄到域,那麼該計算機就會自動下載Windows防火牆的設置並開始應用。至此,整個機房的Windows 防火牆配置操作就成功完成了。 利用組策略集中部署SP2防火牆的操作並不復雜,但是它的效果卻是一勞永逸的。大家會發現組策略對於集中管理網路安全來說實在是一個不可多得的好助手
⑽ 公司裡面網路網監伺服器是防火牆嗎
是的,是防火牆。一般的大公司都需要安裝的。
一、按照組成結構劃分,伺服器防火牆的種類可以分為硬體防火牆和軟體防火牆。
硬體防火牆本質上是把軟體防火牆嵌入在硬體中,硬體防火牆的硬體和軟體都需要單獨設計,使用專用網路晶元來處理數據包,同時,採用專門的操作系統平台,從而避免通用操作系統的安全漏洞導致內網安全受到威脅。也就是說硬體防火牆是把防火牆程序做到晶元裡面,由硬體執行伺服器的防護功能。因為內嵌結構,因此比其他種類的防火牆速度更快,處理能力更強,性能更高。
軟體防火牆,顧名思義便是裝在伺服器平台上的軟體產品,它通過在操作系統底層工作來實現網路管理和防禦功能的優化。軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。
硬體防火牆性能上優於軟體防火牆,因為它有自己的專用處理器和內存,可以獨立完成防範網路攻擊的功能,不過價格會貴不少,更改設置也比較麻煩。而
軟體防火牆是在作為網關的伺服器上安裝的,利用伺服器的CPU和內存來實現防攻擊的能力,在攻擊嚴重的情況下可能大量佔用伺服器的資源,但是相對而言便宜得多,設置起來也很方便。
二、除了從結構上可以把伺服器防火牆分為軟體防火牆和硬體防火牆以外,還可以從技術上分為「包過濾型」、「應用代理型」和「狀態監視」三類。一個防火牆的實現過程多麼復雜,歸根結底都是在這三種技術的基礎上進行功能擴展的。
1. 包過濾型
包過濾是最早使用的一種防火牆技術,它的第一代模型是靜態包過濾,工作在OSI模型中的網路層上,之後發展出來的動態包過濾則是工作在OSI模型的傳輸層上。包過濾防火牆工作的地方就是各種基於TCP/IP協議的數據報文進出的通道,它把這網路層和傳輸層作為數據監控的對象,對每個數據包的頭部、協議、地址、埠、類型等信息進行分析,並與預先設定好的防火牆過濾規則進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為「阻止」的時候,這個包就會被丟棄。
基於包過濾技術的防火牆的優點是對於小型的、不太復雜的站點,比較容易實現。但是其缺點是很顯著的,首先面對大型的,復雜站點包過濾的規則表很快會變得很大而且復雜,規則很難測試。隨著表的增大和復雜性的增加,規則結構出現漏洞的可能性也會增加。其次是這種防火牆依賴於一個單一的部件來保護系統。如果這個部件出現了問題,或者外部用戶被允許訪問內部主機,則它就可以訪問內部網上的任何主機。
2. 應用代理型
應用代理防火牆,實際上就是一台小型的帶有數據檢測過濾功能的透明代理伺服器,但是它並不是單純的在一個代理設備中嵌入包過濾技術,而是一種被稱為應用協議分析的新技術。應用代理防火牆能夠對各層的數據進行主動的,實時的監測,能夠有效地判斷出各層中的非法侵入。同時,這種防火牆一般還帶有分布式探測器, 能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。
應用代理型防火牆基於代理技術,通過防火牆的每個連接都必須建立在為之創建的代理程序進程上,而代理進程自身是要消耗一定時間,於是數據在通過代理防火牆時就不可避免的發生數據遲滯現象,代理防火牆是以犧牲速度為代價換取了比包過濾防火牆更高的安全性能。
3. 狀態監視型
這種防火牆技術通過一種被稱為「狀態監視」的模塊,在不影響網路安全正常工作的前提下採用抽取相關數據的方法對網路通信的各個層次實行監測,並根據各種過濾規則作出安全決策。狀態監視可以對包內容進行分析,從而擺脫了傳統防火牆僅局限於幾個包頭部信息的檢測弱點,而且這種防火牆不必開放過多埠,進一步杜絕了可能因為開放埠過多而帶來的安全隱患。
由於狀態監視技術相當於結合了包過濾技術和應用代理技術,因此是最先進的,但是由於實現技術復雜,在實際應用中還不能做到真正的完全有效的數據安全檢測,而且在一般的計算機硬體系統上很難設計出基於此技術的完善防禦措施。
三、主流伺服器軟體防火牆推薦
在選擇軟體防火牆的時候,應該注意軟體防火牆本身的安全性及高效性。同時,要考慮軟體防火牆的配置及管理的便利性。一個好的軟體防火牆產品必須符合用戶的實際需要,比如良好的用戶交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我們推薦幾款比較知名的軟體防火牆供大家參考:
1. 卡巴斯基軟體防火牆 Anti-Hacker
這是卡巴斯基公司出品的一款非常優秀的網路安全防火牆,它和著名的殺毒軟體AVP是同一個公司的產品。所有網路資料存取的動作都會經由它對用戶產生提示,存取動作是否放行都由用戶決定,而且可以抵擋來自於內部網路或網際網路的黑客攻擊。此軟體的另一特色就是病毒庫更新的及時。卡巴斯基公司的病毒資料庫每天更新兩次,用戶可根據自己的需要任意預設軟體的更新頻率。此款產品唯一不足的是,其無論是殺毒還是監控,都會佔用較大的系統資源。
2. 諾頓防火牆企業版
諾頓防火牆企業版,適用於企業伺服器、電子商務平台及VPN環境。此款可以提供安全故障轉移和最長的正常運轉時間等。這款軟體防火牆採用經過驗證的防火牆管理維護、監測和報告來提供細致周到的周邊保護,其靈活的服務能夠支持任意數目的防火牆,既可以支持單個防火牆,也可以支持企業的全球范圍防火牆部署。同時,軟體還提供了包括 Windows NT Domain、Radius、數字認證、LDAP、S/Key、Defender、SecureID 在內的一整套強大的用戶身份驗證方法,使管理員可以從用戶環境中靈活地選擇安全數據。
3. 伺服器安全狗
伺服器安全狗是為IDC運營商、虛擬主機服務商、企業主機、伺服器管理者等用戶提供伺服器安全防範的實用系統。是一款集DDOS防護、ARP防護、查看網路連接、網路流量、IP過濾為一體的伺服器安全防護工具。具備實時的流量監測,伺服器進程連接監測,及時發現異常連接進程監測機制。同時該防火牆還具備智能的DDOS攻擊防護,能夠抵禦 CC攻擊、UDP Flood、TCP Flood、SYN Flood、ARP等類型的伺服器惡意攻擊。該防火牆還提供詳盡的日誌追蹤功能,方便查找攻擊來源。
4. KFW傲盾伺服器版
KFW傲盾防火牆系統是一套全面、創新、高安全性、高性能的網路安全系統。它根據系統管理者設定的安全規則(Security Rules)把守企業網路,提供強大的訪問控制、狀態檢測、網路地址轉換(Network Address Translation)、信息過濾、流量控制等功能。提供完善的安全性設置,通過高性能的網路核心進行訪問控制。
5. McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高級功能如應用程序監控、基於信譽的全球情報、自動化的威脅更新、加密流量檢測、入侵防護、病毒防護以及內容過濾等,能夠及時攔截攻擊使其無法得逞。
6. 冰盾專業抗DDOS防火牆軟體
冰盾防火牆軟體具備較好的兼容性、穩定性和增強的抗DDOS能力,適用於傳奇伺服器、奇跡伺服器、網站伺服器、游戲伺服器、音樂伺服器、電影伺服器、聊天伺服器、論壇伺服器、電子商務伺服器等多種主機伺服器。該防火牆軟體能夠智能識別各種DDOS攻擊和黑客入侵行為。在防黑客入侵方面,軟體可智能識別Port掃描、Unicode惡意編碼、SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為。