思唯网络安全配置

㈠ iFix 提示未给该节点配置网络 两台电脑iFix C/S模式连接不成功。

不太明白

㈡ 如何配置校园网络

1. 找到右下角的网络标志，点击“打开网络和共享中心”，找到“设置新的连接或网络”，点击“连接到工作区”。

(2)思唯网络安全配置扩展阅读：

特点

编辑

1、高速的局域网连接――校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，并且网络信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求；

2、信息结构多样化――校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入、FTP服务、联网游戏等)三大部分内容。数据类型复杂，不同类型数据对网络传输有不同的质量需求；

3、安全可靠――校园网中同样有大量关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失；

4、操作方便，易于管理――校园网面积大、接入复杂，网络维护必须方便快捷，设备网管性强，方便网络故障排除。

5、认证计费――学校对学生上网必须进行有效的控制和计费策略，保证网络的利用率。

校园网网络系统从结构层次上分为核心层、汇聚层和接入层；从功能上基本可分为校园网络中心、教学子网、办公子网、宿舍区子网、图书馆子网等。根据校园网用户数量的多少和网络应用的情况，可以分为大型校园网、中型校园网、小型校园网三种。基于上述校园网的特点，我们在设计校园网络时必须充分考虑网络的先进性、标准化和开放性、可靠性和可用性、灵活性和兼容性、实用性和经济性、安全性和保密性、扩展性和网络的灵活性等特性，充分利用有限的投资，建设一个性价比比较高的综合性网络。

随着经济的发展和国家科教兴国战略的实施，校园网络建设已逐步成为学校的基础建设项目，更成为衡量一个学校教育信息化、现代化的重要标志。目前，大多数有条件的学校已完成了校园网硬件工程建设。然后，多年来都对校园网的认识不够全面，甚至存在很大的误区。例如：认为网络建设越高档越好，在建设中盲目追求高投入，对校园网络建设的建设缺乏综合规划及开发应用；认为建好了校园网络，连接了Internet，就等于实现了教学和办公的自动化和信息化，而缺乏对校园网络的综合管理、技术人员和教师的应用培训，缺乏对教学资源的开发与积累等等。所有这些，都极大地阻碍了校园网络在学校管理、教育教学中所应发挥的实际效益。

最近几年，我国远程教育发展迅猛。统计数据显示，教育部已批准67所普通高校开展现代远程教育试点工作，开设了覆盖工学、管理学、医学、文学、理学、农学、经济学、教育学、法学、哲学10大学科门类共140多种专业，设立了近2000个现代远程教育校外学习中心（点），累计注册网络教育学生160多万人。此外，我国有近70%的高校建立了校园网，并利用校园网开展了网络教学、数字图书馆、网络课程和教学资源开发等应用项目。

㈢ 如何解决网络设备配置的复杂度问题

现在技术发展很快，硬件很快就会升级。
但是，对于一些客户来说，在几年后升级交换机和路由器的时候，也许会因为新硬件、软件特性增加新配置。但是通常情况下，很多老配置都是需要保留的，除非说是思路彻底变了。
即使很多厂商会说软件兼容、硬件兼容，但是实际上大家都知道很难做到，做了成本也很高。

现在的虚拟服务器软件发展很快，有些就可以在系统迁移的时候直接将老的系统过来，就可以运行。操作系统屏蔽了新的硬件、软件，而是形成一个shell，让老的配置和软件能够平滑的使用起来。不知道类似的功能在新一代的路由器和交换机上是否有？
今天的网络通信界已经进入一个新的时代，每次创新都要兼顾以往的遗留问题，有的时候一个创新的技术和产品可能会被老东西羁绊着无法前行。
那些对网络设备配置自动化感兴趣的网络消费者，需要密切关注SDN领域的新兴技术。API的重要性继续增长，提供对于SDN控制器的访问，软件 模块插入控制器和网络设备，位于这些控制器的下面。配置工作可以由一个Python程序或完成(在某些情况下可以)，通过软件定义的应用程序与网络控制器 进行沟通，完成规定的网络设备。
事实上，一些SDN平台执行网络设备的配置工作完全不用人工手动操作。例如，网络工程师在NEC程序流上所做的唯一的工作便是将交换机指向控制器的IP地址。剩下的配置工作完全是交由控制器本身完成的。
换句话说，本文中所描述的自动化的网络设备的配置是真正使用增量工具的。人为操作仍然需要负责诸如阐明VLAN编号和路由的配置等细节问题，但可以比使用CLI或GUI工具能够更好的生成和安装所需的配置。
最终，SDN旨在满足企业各种各样的要求，允许企业表达他们在安全性和应用程序的重要性等相关政策需求。这些抽象的策略能够帮助企业实现软件定 义的网络设备的配置，以满足业务需求，确保用户体验和合规性要求。而行业内目前的挑战在于抽象性的复杂度到底应该如何表现，并通过编程来实现。而现在，企 业使用功能强大的工具实现自动化网络配置便是一个很好的开始。

㈣ 一台接入Internet(互联网)的电脑，必须配置的网络参数有那些

一台接入Internet(互联网)的电脑必须配置的网络参数如下：

IP地址，子网掩码，网关及DNS。

IP地址：IP是网络内数据用来寻址的 就好比你要寄信给别人 你光写别人姓名没用 因为无法定位 如果写上地址 就有了唯一的标识 信就不会寄错地址 同时你留下你的地址 对方就可以回信给你 网络内IP地址也是这么一个唯一的标识 所以数据就有了准确的定位 即使你访问美国的服务器 数据也能送达 对方也能准确的将你所要的数据传回。

子网掩码：IP地址是以网络号和主机号来标示网络上的主机的，只有在一个网络号下的计算机之间才能"直接"互通，不同网络号的计算机要通过网关（Gateway）才能互通。但这样的划分在某些情况下显得并十分不灵活。为此IP网络还允许划分成更小的网络，称为子网（Subnet），这样就产生了子网掩码。子网掩码的作用就是用来判断任意两个IP地址是否属于同一子网络，这时只有在同一子网的计算机才能"直接"互通。

网关按功能大致分三类：
1）协议网关：顾名思义，此类网关的主要功能是在不同协议的网络之间的协议转换。

2）应用网关：主要是针对一些专门的应用而设置的一些网关，其主要做用将某个服务的一种数据格式转化为该服务的另外一种数据格式，从而实现数据交流。这种网关常做为某个特定服务的服务器，但是又兼具网关的功能。最常见的此类服务器就是邮件服务器了。

3）安全网关：最常用的安全网关就是包过滤器，实际上就是对数据包的原地址，目的地址和端口号，网络协议进行授权。通过对这些信息的过滤处理，让有许可权的数据包传输通过网关，而对那些没有许可权的数据包进行拦截甚至丢弃。

DNS：把域名解析成IP地址
网络通信实际上是靠IP地址作为目标地址来进行转发的，域名就是为了解决IP地址的记忆难度而诞生的。
所以，电脑需要把域名换成它自己能懂的编号——IP地址来进行实际通讯
道理就像是我们把电话号码存到手机里的时候一样，我们只要看到名字，通讯录就会把相应的电话号码弄出来，DNS在网络上，就相当于我们的电话号码通讯录一样，把名字和相应的的电话对应起来，当然，我们打电话的时候不可能拨名字来呼叫对方，只能靠电话号码来让对方的通讯设备响起来

㈤ 网络安全的技术原理

网络安全性问题关系到未来网络应用的深入发展，它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技 术。
“防火墙”是一种形象的说法，其实它是一种计算机硬件和软件的组合，使互联网与内部网之间建立起 一个安全网关，从而保护内部网免受非法用户的侵入。
能够完成“防火墙”工作的可以是简单的隐蔽路由器，这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信，起到一定的过滤作用。 由于隐蔽路由器仅仅是对路由器的参数做些修改，因而也有人不把它归入“防火墙”一级的措施。
真正意义的“防火墙”有两类，一类被称为标准“防火墙”；一类叫双家网关。标准”防火墙”系统包括一个Unix工作站，该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网。标准“防火墙”使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关，它是一个单个的系统，但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。
随着“防火墙”技术的进步，在双家网关的基础上又演化出两种“防火墙”配置，一种是隐蔽主机网关，另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的“防火墙”配置。顾名思义，这种配置一方面将路由器进行隐藏，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之后，它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之后的保护软件来进行的。一般来说，这种“防火墙”是最不容易被破坏的。
与“防火墙”配合使用的安全技术还有数据加密技术。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码字与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。
这些网络安全和数据保护的防范措施都有一定的限度，并不是越安全就越可靠。因而，看一个内部网是否安全时不仅要考虑其手段，而更重要的是对该网络所采取的各种措施，其中不仅是物理防范，而且还有人员素质等其他“软”因素，进行综合评估，从而得出是否安全的结论。
安全服务
对等实体认证服务
访问控制服务
数据保密服务
数据完整性服务
数据源点认证服务
禁止否认服务
安全机制
加密机制
数字签名机制
访问控制机制
数据完整性机制
认证机制
信息流填充机制
路由控制机制
公证机制

㈥ 确保网络安全 企业路由器如何设置

随着网络的普及，路由器已经成为了企业公司的必备，它配置是否安全，对于企业来说非常重要。但并不是每一个公司都会有专职的网管去管理，可能有些朋友还不了解路由器配置的具体步骤和方法，没有关系，看完了本文之后，相信能让你获益良多。 一、广域网WAN端口设置 WAN端口是路由器配置对外接到网络运营商的线路。WAN线路是宽带接入的主要路径，如果发生掉线或是拥塞，就会造成企业的宽带接入中断，这就会对企业造成很大的困扰。因此，WAN端口在安全的首要思维，就是如何确保线路的稳定，维持企业在各种情况下的运作。 大部份中小企业，由于上网人数较小、或是经费有限，因此大多采用单线ADSL即可。企业对带宽的需要较大，或是对于网络要求较高的，例如服务业或是外贸行业，则可能采用相对费用较高的光纤。根据Qno侠诺支持用户的经验，发现以下情况，较倾向采用多WAN线路的配置：偶而需要大量上/下载：由于信息化的结果，很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时，需要上传销售报告及存货数据，需要较多的时间。又例如位于宁波的某民营企业，经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时，网管一般都不希望受到一般用户上网或下载影响，因此可申请两条线路：一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时，则可加以管制，保留特定的线路给大量上下载的工作，以确保重要的数据能准时传送。采用多WAN配置后，网管加班在办公室等待数据传送的情况，就可大大减少了。 跨网问题，例如某企业在湖南设有公司机构，常常需要和在北京的总部建立VPN联机，但是不知道为什么，联机总是很不稳定，常常数据还没传完，又得重新联机。这种情况，很可能就是VPN建立跨过不同的运营商网络所产生的不稳定问题，例如总部采用网通的线路，而分支采用电信的线路，跨网带宽不足，而产生的现象。这种情况，也可采用多WAN路由器解决，即总部同时接入网通及电信的线路，属于网通线路的外点从网通的入口建立VPN，电信的外点则从电信线路建VPN，这样即可解决跨网带宽小或不稳定的情况。 需要备援时：多WAN线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户ADSL线路，这时就可以光纤配合ADSL作备援，在前者发生故障时，以ADSL先顶着用。有的用户则希望用不同运营商的线路，这样在A运营商线路或机房发生问题时，可以B运营商线路替代。对于某些行业，例如媒体行业，需要随时可以上网，这个功能就显得尢为重要。 当ADSL带宽不足时：一般企业用ADSL来的多，根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小，例如64K/64K的线路，对于企业应用显然不足，不过申请光纤又比几条ADSL还来得贵，在这种情况下，利用多WAN路由器配置汇聚多条ADSL线路，不失为一可行又省钱的方法。由于广域网端为企业上网唯一的路线，因此对于企业上网有决定性的重要。 二、局域网LAN端口设置 LAN端口是对内接到企业用户的线路，有些路由器配置本身有局域网端口，可下接交换机；有的网管则会将路由器配置先接到骨干交换机，再向下接到一般的交换机。以上这两种作法均可，后者适合较大的吞吐量的应用情况，一般的企业应用，路由器配置的局域端口是可以随着带宽转发的。因此在硬件配置，这是较为简单的。Qno侠诺技术服务人员的经验指出，要进行一个好的安全网络的配置，IP的管理是顶重要的。IP就是计算机在互联网的地址，因此要能有效管理地址，才能预防攻击或针对有问题的计算机加以管制。对于网管而言，在IP管理方面要注意的事项，主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目，以下分别进行说明： 计算机采用固定IP地址：计算机采用固定IP地址，是最严密的配置方式。这个作法，必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定，没有事先指定的IP，则无法上网，外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言，必须要设定固定IP，到其它场合又要重新设定，对于部份常需要移动的用户，例如业务人员或是高阶主管，造成不小的困扰。DHCP服务器发放固定IP：DHCP服务器的好处是用户无需在计算机上作任何设置，对于用户较方便。但是DHCP的缺点是若不加以管制，随便一个用户也能进入企业的网络，也容易发动对内部的攻击，造成影响。因此对于企业而言，较好的方式是通过DHCP发放IP地址，但同时限定计算机能取得的IP地址，以便进行管理。Qno侠诺路由器配置的IP/MAC绑定功能，即可以根据网管的配置，认明计算机的MAC地址发放特定的IP，这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP，以取得较高权限问题，错误的MAC/IP组合，将会被路由器“封锁错误MAC地址”阻挡，这个功能也可防止ARP攻击。 防止未允许的计算机上网：对于网管而言，未被管制的计算机，经常引发安全问题。有些用户会自行带入中毒的计算机，甚至其它楼层用户通过无线网络进入公司网络。这样的情况，可通过防止未允许的计算机上网来解决。

㈦ 网络安全的主要内容是什么

网络安全包含网络设备安全、网络信息安全、网络软件安全。

【网络安全】（Network Security）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性。从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯。从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。

想了解更多关于网络安全的知识,可以关注达内教育。达内教育是中国首家上市职业教育公司，它的IT类课程穿插大厂真实项目讲解并由经验丰富的实战讲师授课，它独创的TTS8.0教学系统，包含多种班型，任你选择。达内教育采用理论知识+学习思维+实战操作的闭环形学习方式，1v1督学的跟踪式学习。对于想转行IT行业的人士是非常不错的选择。

㈧ 网络安全怎么入门

入门
然而当你掌握了Web基础知识时，你才会残酷的发现你还远远没有入门。 这里给出一些我的建议：
1. 多看书
阅读永远是最有效的方法，尽管书籍并不一定是最好的入门方式，但书籍的理解需要一定的基础；但是就目前来看，书籍是比较靠谱的入门资料。
例如
《黑客攻防---web安全实战详解》《Web前端黑客技术揭秘》《安全之路：Web渗透技术及实战案例解析（第2版）》
现在Web安全书籍比较多，因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难，那就找自己能看得进的 Web 安全的书。
当然纸上谈兵终觉浅，不实践一下怎么好呢。
2.常用工具的学习
1.Burpsuite学习 Proxy 抓包改包学习 Intruder 爆破模块学习实用 Bapp 应用商店中的插件2.Nmap使用 Nmap 探测目标主机所开放的端口使用 Nmap 探测目标主机的网络服务，判断其服务名称及版本号3.SQLMap对 AWVS 中扫描出的 SQL 注入漏洞使用 SQLMap 进行数据获取实践常见漏洞类型的挖掘与利用方
3.学习开发
1.书籍《细说 PHP》2.实践使用 PHP 写一个列目录的脚本，可以通过参数列出任意目录的列表使用 PHP 抓取一个网页的内容并输出使用 PHP 抓取一个网页的内容并写入到Mysql数据库再输出

㈨ 设计一个网络安全方案 完全没有思路，不懂为什么会出这样的题目，对linux，防火墙，和服务器都不熟

防火墙应用方案
时间：2007-4-21 15:53:27 点击：191
核心提示：防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。由于防火墙处于网络系统中的敏感位置，自身还要面对各种安全威胁，因...
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。

由于防火墙处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此，通过防火墙构建一套安全、稳定和可靠的网络访问控制机制，其重要性不言而喻。

建立安全、稳定和可靠的防火墙访问控制系统必须考虑以下内容：

· 防火墙自身安全、可靠

· 内部系统运行稳定

· 内部处理性能高效

· 功能灵活、满足不同用户需求

· 防火墙配置方便

· 支持多种管理方式

· 防攻击能力强

· 多种用户鉴别方法

· 具有可扩展性、可升级性

方案设计

典型的防火墙访问控制方案拓扑如图。该方案能够提供内部网络用户通过防火墙作地址转换访问外部网，公开的WEB服务器和邮件服务器通过防火墙的端口映射对外提供网页浏览和邮件收发功能。网络的所有合法有效地址都设置在防火墙上，进出的数据包通过防火墙的规则校验以及攻击检验后提交给实际访问主机，内部网络配置对外部网络透明。

通常，防火墙提供三个连接端口，分别连接边界路由器、内部主干交换机和对外服务器交换机上，通过串联提供网 络之间互相访问的唯一通道。对外服务区通过在防火墙上限定开放特定的端口，只对允许的网络访问方式进行授权并建立连接，并通过日志系统对访问进行监控，杜绝系统的非法访问和安全漏洞。内部网对外部不提供网络服务，通过在防火墙上限定单向内部到外部的访问模式，确保内部网络访问的安全性、可靠性。

防火墙的所采用的网络安全技术
防 火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时 也承担着繁重的通信任务。为了提供一个安全、稳定和可靠的防火墙防护体系，采用了多种的安全技术和措施：

· 专有系统平台以及系统冗余

在安全的操作系统基础上开发的自主版权产品保证了系统自身的安全性，硬件采用专用硬件平台对电源等关键部件提供硬件冗余，保证系统硬件的稳定运行，通过双机热备保证防火墙在电信、证券等关键性业务领域保证不间断工作。

· 高效的数据包转发性能

防火墙通过采用优化的专有操作系统内核，摒弃了与安全访问控制无关的系统进程，通过专有硬件平台使系统的处理能力达到最大。采用状态检测技术使防火墙的安全与性能达到最优化，在国家信息安全测评认证中心测试中，百条规则加载时系统性能下降不超过4%。

· 系统配置灵活、适应用户不同网络需求

防火墙在网络中可以配置为网桥模式、路由模式、网桥和路由混合模式、代理模式，多种网络模式的灵活搭配使安装防火墙对用户原有系统的影响降到最低。可根据双向IP地址对IP数据包进行转换，并可以对外部地址提供针对主机的地址映射和针对服务的端口映射，满足用户的网络需求。

· 强大的访问控制功能

可以根据IP地址、地址转化、应用代理、登录用户、用户组、时间等多种手段对访问进行控制，通过应用代理可以对常用高层应用（HTTP、SMTP、FTP、POP3、NNTP）做具体命令级的详细访问控制。

· 支持流量和带宽管理

防火墙对用户的访问连接除了传统的允许、拒绝、日志记录处理方式外，还可以控制用户的网络流量大小以及用户的访问带宽，保障网络资源的合理使用。

· 配置简单、方便

采用面向对象的管理方式，极大地提高了防火墙配置的简易性，通过配置文件的上传、下载，使系统出现故障后能快速修复。基于OPT机制的一次性口令认证系统以及远程管理加密机制保障了远程管理的安全可靠。

· 多种访问身份鉴别方式

通过IP与MAC地址绑定，防止内部计算机IP地址盗用。远程用户通过一次性口令认证确认用户身份，提供基于广域网的用户访问控制。

· 针对多种攻击行为的防御能力

防火墙支持针对********、DOS攻击、源路由攻击、IP碎片包攻击、JAVA脚本等多种攻击手段的识别和防御，并可以和专业的入侵检测系统联动联防，保证系统在遭受攻击时正常工作。实时监控和报警功能使管理员在入侵出现时可以最快的对入侵作出反应和应对措施，WEB页面自动保护功能通过对WEB服务器的定时监控和修复，降低由于网站页面被修改对政府、企业造成的不良影响。

· 模块化设计、可升级性、可扩展性好

模块化设计使系统升级和加载新的系统模块（计费、VPN等）更加方便，防火墙采用多接口设计，最大可扩展12个接口模块。

评述
防火墙作为系统的网关设备，是安全防护的第一道屏障，也是内部网络和外部网络数据交换的通道。采用防火墙对访问请求进行控制，能够挡住大多数的网络攻击行为。通过将公共服务区和内部网分开，即使公共服务器破坏，也能够很好的保护内部网络，采用防火墙是实现网络安全防护最有效的手段。

㈩ OSI7层模型中，各层的安全策略是什么

1.检查Guest用户是否已经启用
在默认情况下，Win2000和WinXP中的Guest用户是禁用的。要启用Guest用户可以到“控制面板/管理工具/计算机管理/本地用户和组/用户”中去掉“账户已停用”前面的小勾（图4）。此用户最好不要设密码，并选中“用户不能更改密码”和“密码永不过期”，这样可以方便用户访问并减少出现麻烦的可能性。但前提是必须设置好Guest用户的权限和所属组，否则后患无穷。

2.检查是否拒绝Guest用户从网络访问本机
在WinXP中默认情况下是拒绝Guest用户从网络访问本机的。可以到“控制面板/管理工具/本地安全策略/本地策略/用户权限指派/拒绝从网络访问这台计算机”查看，若其中包括Guest用户便将其删除（图5）。如果是在建有域的Win2000 Server或WinXP.net服务器上，还必须在“域安全策略”的相应项目中将Guest用户删除，需要注意的是删除后要等几分钟才能奏效。

3.为Guest用户设置密码
若Guest 用户设有密码，其它Windows工作站访问WinXP计算机时会提示输入密码，此时输入Guest用户的密码也可以进入WinXP计算机。输入密码时可选中下面的“请将密码保存到密码列表”项，下次进入时便不再提示密码（除非该用户密码已更改，图6）。当然，若是在Windows工作站上已经设置为登录域，并以某一域用户登录到域中则不会受到为Guest用户密码的影响。

二：特别是XP互访 如果设置没问?那基本上是 策略 的事了

在安装了Windows XP的计算机上，即使网络连接和共享设置正确(如IP地址属于同一子网，启用了TCP/IP上的NetBIOS，防火墙软件没有禁止文件共享需要的135、137、138、139等端口)，使用其他系统(包括Windows 9X/Me/2000/XP等)的用户仍然无法访问该计算机。我们应该怎样解决这一问题呢?

默认情况下，Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时，在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决。

方法一 解除对Guest账号的限制

点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”，打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略 →用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用 Windows XP系统的计算机了。

方法二 更改网络访问模式

打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾—本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。

现在，当其他用户通过网络访问使用Windows XP的计算机时，就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。

当该策略改变后，文件的共享方式也有所变化，在启用“经典：本地用户以自己的身份验证”方式后，我们可以对同时访问共享文件的用户数量进行限制，并能针对不同用户设置不同的访问权限。

不过我们可能还会遇到另外一个问题，当用户的口令为空时，访问还是会被拒绝。原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。

处理网络故障的步骤：

大家首先要有个排查故障的思路， 利用OSI七层模型 从低到高依次处理问题。

一： 不用说是 ping 了，只要没有禁用它的话，它永远是最好的最开始的武器。
（确定物理上的连通性，如果通了 基本上OSI下三层没有问题）

二： 不通 查线路 查网卡 查机器 查防火墙 查IP地址设置 查路由

三： 通，那就可以测试网络邻居的访问 或者直接在地址栏敲 //*.*.*.* 直接访问

四：ping是通的，但是访问就是不可以 那可以在会话层上考虑
一般的windows解决方式是 最好装个 netbeui 虽然它的安全性。。。
同时仔细检查你的设置
IP地址 工作组 打印机和网络共享服务 网关 用户名 共享用户名 共享文件夹

五： 还是不通 这时如果能看到文件夹但是进不去提示权限
一般是在应用层了 用户名（开guest，或者在 这台机器上有对方机器的同样名字的用户）
策略
第一部分：使用网上邻居步骤，如果你的网上邻居有问题，请参看以下步骤（同样适用于打印机的共享）：

1.1.网线。双机互连不使用HUB或交换机，用交叉线连接两机；如果使用HUB或者交换机，均用直连线连接至HUB或交换机，保证交换机、网卡状态灯正常。

1.2.IP协议。WIN98及以后的机器在安装时会默认安装TCP/IP协议，WIN95需要另 外安装。在网上邻居－>属性（WIN9X/Me）或者网上邻居－>属性－>本地连接－>属性（WIN2K/XP）里可以查看是否 安装了TCP/IP协议。

1.3.IP地址。在TCP/IP属性里设置IP地址、子网掩码和网关，如果有需要可以设置 DNS和WINS服务器地址。IP地址推荐设置：192.168.X.X，子网掩码：255.255.255.0。如果你的局域网中有DHCP服务器，选 择自动获取地址即可。
验证方法：在DOS提示符下使用ping x.x.x.x（对方IP地址），如返回如下信息，说明IP设置成功：

Reply from x.x.x.x（对方IP地址）:bytes=32 time<1ms TTL=128

1.4.NetBIOS over TCP/IP。网上邻居的浏览和通讯要使用NetBIOS协议，该协议是无法被路由器转发的，因此WIN2K及以后的操作系统均提供将NetBIOS协议 封装在TCP/IP中的功能。在Win9X/Me系统中，打开网上邻居－>属性可以参看是否安装了NetBIOS协议，在Win2K/XP中，打开 TCP/IP属性－>高级－>WINS－>NetBIOS设置，选择“启用TCP/IP上的NetBIOS”。

验证NetBIOS名称解析：使用ping XXXX（对方机器名），如果返回如1.3中的信息，说明NetBIOS协议解析正常。

1.5.HOST文件。如果在1.4中无法正确解析机器名，可以修改host文件，在WINDOWS目录中搜索HOST关键字，找到后，使用记事本打开host（有的系统为host.sam），在末尾加入如下内容：

x.x.x.x（对方的IP地址）使用Tab键跳到下一制表列XXXX（对方的机器名）
存盘退出，注意，如果原文件带有.sam扩展名，要去掉扩展名，才能生效。使用与1.4.同样的方法验证。

1.6.启用打印与文件共享。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证：如果在网上邻居中看不到自己的机器，说明你没有安装打印机与文件共享。

1.7.启用GUEST用户：WIN2K/XP在工作组模式下要使用Guest用户来 允许网络访问，因此要启用Guest用户。打开控制面板－>用户帐户或者在管理工具－>计算机管理－>本地用户和组中打开Guest帐 户，如果使用域管理模式，可以忽略这一步。

1.8.启用计算机浏览服务。WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理－>服务和应用程序－>服务，确保“Computer Browser”没有被停止或禁用。

1.9.防火墙：确保WINXP自带的防火墙没有开启，打开本地连接属性－>高 级，关掉Internet连接防火墙。如果使用了第三方的防火墙产品，参考其使用手册，确保防火墙没有禁止以下端口的通讯：UDP－137、UDP－ 138、TCP－139、TCP－445（仅WIN2K及以后的操作系统）。

1.10.设置共享文件夹和打印机。

经过以上步骤，你的网上邻居应该可以正常工作了，如果有疑问，请看下面的有关网上邻居的FAQ。

重 申一句，微软的网上邻居由于其工作方式是基于Netbios的广播查找邻居的，所以很多情况下很不稳定。在运行里输入"\\对方机器名“，如果无法访问提 示找不到网络路径，说明你的或对方的Netbios解析有问题，遇到这种情况试着重启机器，要想较好解决只能在局域网中建立WINS服务器来帮助客户端做 Netbios解析。

第二部分：网上邻居FAQ
2.1.F：为什么在网上邻居访问对方提示没有权限？
Q：两台机器都要打开Guest帐户（WIN2K/XP）。

2.2.F：为什么点击对方机器显示无法连接？
Q：确保ping对方IP和机器名都能够正常返回信息。

2.3.F：为什么在网上邻居看不到对方的机器或者能看到却访问不了？
Q：按照微软的解释，这种现象有时是正常的，这需要了解网上邻居及其使用的协议NetBIOS的工作原理，参见后面的原理部分。

2.4.F：有的机器开机或关机，别的机器就用不了网上邻居了？
Q：同2.3.。

2.5.F：如果不使用网上邻居，还有其它办法方便的访问其它机器？
Q：可以不打开网上邻居，直接在搜索中搜索对方的IP或者机器名，也可以在运行中输入\\x.x.x.x（对方 IP） or XXXX（对方机器名）。（同样会用到NetBIOS协议）

2.6.F：两台机器不在一个工作组中是否可以使用网上邻居？
Q：可以。

2.7.F：两台机器经过路由器连接，是否可以在网上邻居看到，又是否可以访问呢？
Q：不能看到，因为路由器不会转发广播（经过设置UDP透传可以），可以使用FAQ2.5.的方法互相访问，但仅限于WIN2K/XP。

2.8.F：为什么Win9X/Me访问不了或者看不到Win2K/XP，而反过来却没有问题呢？
Q：确认WIN2K/XP打开了Guest 帐户，启用了“浏览服务”；Win9X/Me安装了“打印机和文件共享”，NetBIOS解析没有问题，并且双方没有防火墙的阻挡。

2.9.F：为什么访问需要密码？
Q：确认对方打开了Guest帐户，或者对方没有登陆到域模式。Win9x/Me如果需要登陆到域，不要按Esc取消进入系统。

如果你的网上邻居有问题，请参看以下步骤（同样适用于打印机的共享）：

1.1.网线。双机互连不使用HUB或交换机，用交叉线连接两机；如果使用HUB或者交换机，均用直连线连接至HUB或交换机，保证交换机、网卡状态灯正常。

1.2.IP 协议。WIN98及以后的机器在安装时会默认安装TCP/IP协议，WIN95需要另外安装。在网上邻居－>属性（WIN9X/Me）或者网上邻居－>属性－>本地连接－>属性（WIN2K/XP）里可以查看是否安装了TCP/IP协议。

1.3.IP地址。在TCP/IP属性里设置IP地址、子网掩码和网关，如果有需要可以设置DNS和WINS服务器地址。IP地址推荐设置：192.168.X.X，子网掩码：255.255.255.0。如果你的局域网中有DHCP服务器，选择自动获取地址即可。

验证方法：在DOS提示符下使用ping x.x.x.x（对方IP地址），如返回如下信息，说明IP设置成功：

Reply from x.x.x.x（对方IP地址）:bytes=32 time<1ms TTL=128

1.4.NetBIOS over

TCP/IP。网上邻居的浏览和通讯要使用NetBIOS协议，该协议是无法被路由器转发的，因此WIN2K及以后的操作系统均提供将NetBIOS协议封装在 TCP/IP中的功能。在Win9X/Me系统中，打开网上邻居－>属性可以参看是否安装了NetBIOS协议，在Win2K/XP中，打开 TCP/IP属性－>高级－>WINS－>NetBIOS设置，选择“启用TCP/IP上的NetBIOS”。

验证NetBIOS名称解析：使用ping

XXXX（对方机器名），如果返回如1.3中的信息，说明NetBIOS协议解析正常。

1.5.HOST文件。如果在1.4中无法正确解析机器名，可以修改host文件，在WINDOWS目录中搜索HOST关键字，找到后，使用记事本打开host（有的系统为host.sam），在末尾加入如下内容：

x.x.x.x（对方的IP地址）使用Tab键跳到下一制表列XXXX（对方的机器名）

存盘退出，注意，如果原文件带有.sam扩展名，要去掉扩展名，才能生效。使用与1.4.同样的方法验证。

1.6.启用打印与文件共享。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证：如果在网上邻居中看不到自己的机器，说明你没有安装打印机与文件共享。

1.7. 启用GUEST用户：WIN2K/XP在工作组模式下要使用Guest用户来允许网络访问，因此要启用Guest用户。打开控制面板－>用户帐户或者在管理工具－>计算机管理－>本地用户和组中打开Guest帐户，如果使用域管理模式，可以忽略这一步。

1.8.启用计算机浏览服务。WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理－>服务和应用程序－>服务，确保“Computer

Browser”没有被停止或禁用。

1.9. 防火墙：确保WINXP自带的防火墙没有开启，打开本地连接属性－>高级，关掉Internet连接防火墙。如果使用了第三方的防火墙产品，参考其使用手册，确保防火墙没有禁止以下端口的通讯：UDP－137、UDP－138、TCP－139、TCP－445（仅WIN2K及以后的操作系统）。

1.10.设置共享文件夹和打印机。

经过以上步骤，你的网上邻居应该可以正常工作了

局域网中无法访问的解决方法
在局域网内安装了Windows XP的电脑不能与安装了Windows 98的电脑互相访问，安装了Windows XP的电脑与安装了Windows XP的电脑也不能互相通信。在工作站访问服务器时，工作站的“网上邻居”中可以看到服务器的名称，但是点击后却无法看到任何共享内容,或者提示找不到网络径、无权访问等问题，归纳为以下几点：

在XP首次使用的时候要在网上邻居的属性里面新建一个网络连接进行网络安装向导。

1、检查计算机之间的物理连接。

网卡是网络连接的基本设备，在桌面计算机中，每个网卡后面的指示灯应该是亮的，这表示连接是正常的。如果不亮，请检查集线器或交换机是打开的，而且每个客户端连接的指示灯都是亮的，这表示链接是正常的。接下来检查网线的水晶头是否接触良好。

2、确保所有计算机上都安装了TCP/IP，并且工作正常。

在Windows XP中默认安装了TCP/IP。但是，如果出了网络问题想卸载后重新安装TCP/IP就不容易了：在“本地连接”属性中显示的此连接使用下列项目列表中单击Internet协议(TCP/IP)项，您将发现卸载按钮不可用(被禁用)。
这是因为传输控制协议/Internet协议(TCP/IP)堆栈是Microsoft XP/ 2003的核心组件，不能删除。在这种情况下，如果需要重新安装TCP/IP以使TCP/IP堆栈恢复为原始状态。可以使用NetShell实用程序重置 TCP/IP堆栈，使其恢复到初次安装操作系统时的状态。方法是：在命令提示符后键入以下命令，然后按ENTER键：netsh int ip reset c:\resetlog.txt，其中，Resetlog.txt记录命令结果的日志文件，一定要指定，这里指定了Resetlog.txt日志文件及完整路径。运行此命令的结果与删除并重新安装TCP/IP协议的效果相同。

3、使用ping命令测试网络中两台计算机之间的连接：

ping其它计算机IP，在命令提示处，键入ping x.x.x.x(其中x.x.x.x是另一台计算机的IP地址)，然后按ENTER键。应该可以看到来自另一台计算机的几个答复，如：

Reply from x.x.x.x:bytes=32 time<1ms TTL=128

如果没有看到这些答复，或者看到"Request timed out"，说明本地计算机可能有问题。如果ping命令成功执行，那么您就确定了计算机可以正确连接，可以跳过下一步。如果没有看到这些答复，或者看到"Request timed out"，说明本地计算机可能有问题。PING本地IP，如果看到"Request timed out"，说明本地计算机可能有问题。

4、使用ping命令测试网络中名称解析是否正常

ping computername，其中computername是远程计算机的名称。通过ping命令用名称测试计算机连接。确定计算机的名称的方法是：在命令提示处，输入SYSTEMINFO。或者在桌面上右击我的电脑-属性，然后单击计算机名称选项卡。如果看到该命令的成功答复，说明您在计算机之间具有基本连接和名称解析。名称解析跟NETBIOS密切相关，看下面的步骤。

5、正确安装网络组件

首先右击网上邻居-属性，选择要共享的网卡。把IP设置在局域网的同一个网段上。比如192.168.1.X网段。然后看一下TCP/IP的高级属性中，是否开启NETBIOS。

在利用WINNT4.0构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名，系统是利用WINS服务、信息广播方式及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。

在内部网络系统中(也就是通常我们所说的局域网中)，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上对一台主机的唯一标识信息是它的FQDN格式的域名(163.com)，在Internet是利用DNS标准来实现将域名解析为相应IP地址，WIN2K支持动态DNS，运行活动目录服务的机器可动态地更新DNS表。

WIN2K网络中可以不再需要WINS服务，但是WIN2K仍然支持WINS，这是由于向后兼容的原因。目前，大多数网络是混合网，既有Win98等系统，又有WINXP/WIN2K等系统，因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。

查看是否选定“文件和打印服务”组件，如果已将其取消选中，“浏览服务”将不绑定到NetBIOS接口。成为备份浏览器并且没有启用“文件和打印共享” 的基于Windows的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。

6、启用打印与文件共享。

在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证：如果在网上邻居中看不到自己的机器，说明你没有安装打印机与文件共享。

7、启动"计算机浏览器"服务

计算机浏览器"服务在网络上维护一个计算机更新列表，并将此列表提供给指定为浏览器的计算机。如果停止了此服务，则既不更新也不维护该列表。

WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理－>服务和应用程序－>服务，在右窗中确保“Computer Browser”没有被停止或禁用。

8、运行网络标识向导

我的电脑选择“属性”，然后单击“计算机名”选项卡单击“网络 ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。

9、Win2k安装NetBEUI协议

在Win2k中NetBEUI协议是一个高效协议在局域网中使，因此必须安装此协议：

网上邻居－>属性－>本地连接－>属性---->安装------>协议------->NetBEUI Protocol

10、起用Guest(来宾)帐户

Windows XP的Guest帐户允许其他人使用你的电脑，但不允许他们访问特定的文件，也不允许他们安装软件。对Windows XP Home Edition计算机或工作组中的Windows XP Professional计算机的所有网络访问都使用来宾帐户。使用net user guest确保为网络访问设置了来宾帐户，如果该帐户是活动的，命令输出中会出现一行类似下面这样的内容：Account active Yes；如果该帐户不是活动的，请使用下面的命令授予来宾帐户网络访问：

net user guest /active:yes

或者打开控制面板－>用户帐户或者在管理工具－>计算机管理－>本地用户和组中打开Guest帐户

11、允许Guest(来宾)帐号从网络上访问。

在运行里输入gpedit.msc，弹出组策略管理器，在‘计算机配置-Windows设置-本地策略-用户权利指派’中，有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机，如果其中有GUEST帐号,解决办法是删除拒绝访问中的GUEST帐号。

12、防火墙：

确保WINXP自带的防火墙没有开启，打开本地连接属性－>高级，关掉Internet连接防火墙。如果使用了第三方的防火墙产品，参考其使用手册，确保防火墙没有禁止以下端口的通讯：UDP－137、UDP－138、TCP－139、TCP－445（仅WIN2K及以后的操作系统）。

Windows XP最新的SP2补丁对ICF做了很大的改进，功能更强大了，ICF有了自己的设置项，安装SP2后，默认情况下，启用ICF防火墙，不允许任何外部主动连接，即使是本地的应用程序要访问网络也需要在许可列表中做设置。

但是防火墙阻断正常的网络浏览服务通讯，结果是别人在网上邻居中看不到你的计算机，有没有两全其美的办法在开启防火墙的前提下允许浏览服务。

办法是，如果开启了ICF，打开属性，在服务这栏，选择添加，添加服务的对话框共有四个编辑框，最上边是描述服务名称，以便于记忆，从上到下第二个是应用服务的IP地址或名称，输入127.0.0.1表示本机。

下面连个是内外端口号，旁边的tcp/udp标示这个端口是udp连接还是tcp连接。

按照下面的表格输入3个服务

名称 协议 端口

NetBIOS Name Service UDP 137

NetBIOS Datagram Service UDP 138

NetBIOS Session Service TCP 139

137/UDP -- NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。

138/UDP -- NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于网络登录和浏览。

139/TCP -- NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于服务器消息块(SMB)、文件共享和打印。

13、检查RPC、Plug and Play服务已启动，检查相应的系统文件夹的权限，重新注册以下的动态链接库：

regsvr32 netshell.dll

regsvr32 netcfgx.dll

regsvr32 netman.dll

14、设置帐号和密码

由于WinNT内核的操作系统，在访问远程计算机的时候，好像总是首先尝试用本地的当前用户名和密码来尝试，可能造成无法访问，在这里把用户密码添加进去就可以了。

15、多种方法访问“网络计算机”

例如要打开网络中名为“Killer”的计算机，其IP地址为192.168.1.8，如果你不清楚其它机器的IP地址，你可以使用“PING计算机名”来获得它的IP地址。

用计算机名访问，NETBIOS提供的服务。点击“开始”菜单，单击“运行”，在地址栏输入“\Killer”，单击“确定”。

用IP地址访问，在地址输入栏中输入“\192.168.1.8”，单击“确定”。

用搜索计算机的方法访问，计算机更新列表需要时间，搜索计算机可以加快更新列表。点击“网上邻居”右键中的“搜索计算机”，输入计算机名，点击“立即搜索”，就可以看到你要访问的计算机。直接双击右边计算机名就可以打开它了。

用映射驱动器的方法访问，进入DOS方式，输入“NET VIEW \killer”，回车�这是查看计算机Killer上有哪些共享文件夹，如D。再输入NET USE Z:\Killer\D�将计算机IBM-ZB共享的文件夹D映射为H：盘，在命令提示符下键入“Z:”。你会发现你已经连到Killer计算机上了。

WINDOWS共享所需基本设置：

1、安装Microsoft 网络文件和打印机共享并启用
2、WIN2K\WINXP\WIN2003必须保证SERVER服务正常启动
3、WIN2K\WINXP\WIN2003必须保证IPC$被正常共享
4、NTFS访问权限设置正确
5、共享访问权限设置正确
6、要有至少一个共享
7、guest用户开启或者添加别的用户来登陆共享访问

[ZT]
Windows 98/2000/XP/2003访问XP的用户验证问题

首先关于启用Guest为什么不能访问的问题：

1、默认情况下，XP 禁用Guest帐户
2、默认情况下，XP的本地安全策略禁止Guest用户从网络访问
3、默认情况下，XP的 本地安全策略 -> 安全选项 里，"帐户：使用空密码用户只能进行控制台登陆"是启用的，也就是说，空密码的任何帐户都不能从网络访问只能本地登陆，Guest默认空密码......

所以，如果需要使用Guest用户访问XP的话，要进行上面的三个设置：启用Guest、修改安全策略允许Guest从网络访问、禁用3里面的安全策略或者给Guest加个密码。

有时还会遇到另外一种情况：访问XP的时候，登录对话框中的用户名是灰的,始终是Guest用户，不能输入别的用户帐号。

原因是这个安全策略在作怪（管理工具 -> 本地安全策略 -> 安全选项 -> "网络访问：本地帐户的共享和安全模式"）。默认情况下，XP的访问方式是"仅来宾"的方式，那么你访问它，当然就固定为Guest不能输入其他用户帐号了。

所以，访问XP最简单的方法就是：不用启用Guest，仅修改上面的安全策略为"经典"就行了。别的系统访问XP就可以自己输入帐户信息。

至于访问2003，默认情况下2003禁用Guest，但是没有 XP 那个讨厌的默认自相矛盾的来宾方式共享，所以可以直接输入用户名密码访问。