INTERNET共享資源的方式越來越多�����,就大多數(shù)而言�����,DDN專線以其性能穩(wěn)定����、擴(kuò)充性好的優(yōu)勢(shì)成為普遍采用的方式,DDN方式的連接在硬件的需求上是簡單的�,僅需要一臺(tái)路由器(router)、代理服務(wù)器(proxy server)即可��,但在系統(tǒng)的配置上對(duì)許多的網(wǎng)絡(luò)管理人員來講是一個(gè)比較棘手的問題����。下面以CISCO路由器為例,筆者就幾種比較成功的配置方法作以介紹����,以供同行借鑒:
一�����、直接通過路由器訪問INTERNET資源的配置
1. 總體思路和設(shè)備連接方法
一般情況下�����,單位內(nèi)部的局域網(wǎng)都使用INTERNET上的保留地址:
10.0.0.0/8:10.0.0.0~10.255.255.255
172.16.0.0/12:172.16.0.0~172.31.255.255
192.168.0.0/16:192.168.0.0~192.168.255.255
在常規(guī)情況下,單位內(nèi)部的工作站在直接利用路由對(duì)外訪問時(shí)�����,會(huì)因工作站使用的是互聯(lián)網(wǎng)上的保留地址��,而被路由器過濾掉��,從而導(dǎo)致無法訪問互聯(lián)網(wǎng)資源����。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT(Network Address Translation)地址轉(zhuǎn)換功能,將內(nèi)部網(wǎng)的私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)上的合法地址����,使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet��。這樣做的好處是無需配備代理服務(wù)器�����,減少投資���,還可以節(jié)約合法IP地址,并提高了內(nèi)部網(wǎng)絡(luò)的安全性��。
NAT有兩種類型:Single模式和global模式���。
使用NAT的single模式�,就像它的名字一樣����,可以將眾多的本地局域網(wǎng)主機(jī)映射為一個(gè)Internet地址。局域網(wǎng)內(nèi)的所有主機(jī)對(duì)外部Internet網(wǎng)絡(luò)而言��,都被看做一個(gè)Internet用戶��。本地局域網(wǎng)內(nèi)的主機(jī)繼續(xù)使用本地地址����。
使用NAT的global模式��,路由器的接口將眾多的本地局域網(wǎng)主機(jī)映射為一定的Internet地址范圍(IP地址池)��。當(dāng)本地主機(jī)端口與Internet上的主機(jī)連接時(shí)�����,IP地址池中的某個(gè)IP地址被自動(dòng)分配給該本地主機(jī)����,連接中斷后動(dòng)態(tài)分配的IP地址將被釋放�,釋放的IP地址可被其他本地主機(jī)使用�����。
下面以我單位的網(wǎng)絡(luò)環(huán)境為例����,將配置方法及過程列示出來,供大家參考��。
我單位利用聯(lián)通光纜(V.35)接入INTERNET的�,路由器是CISCO2610,局域網(wǎng)采用的是INTEL550百兆交換機(jī)���,聯(lián)通向我們提供了下列四個(gè)IP地址:
211.90.137.25(255.255.255.252) 用于本地路由器的廣域網(wǎng)端口
211.90.137.26(255.255.255.252) 用于對(duì)方(聯(lián)通)的端口
211.90.139.41(255.255.255.252) 供自己支配
211.90.139.42(255.255.255.252) 供自己支配
2. 路由器的配置
(1) 網(wǎng)絡(luò)連接示意圖:
說明:校內(nèi)所有的工作站都與交換機(jī)連接���,路由器也通過以太口連接在內(nèi)部交換機(jī)上�����,路由器上以太口使用內(nèi)部私有地址��,光纖的兩端分別使用了聯(lián)通分配的兩個(gè)有效IP地址����。在這種連接方式下��,只要在路由器內(nèi)部設(shè)置NAT�����,便可以使得單位內(nèi)部的所有工作站訪問INTERNTE了��,在每臺(tái)工作站上只需設(shè)置網(wǎng)關(guān)指向路由器的以太口(192.168.0.3)即可上網(wǎng)�,無需設(shè)代理,并節(jié)省了兩個(gè)有效IP地址可供自己自由支配(如建立單位自已的WEB和E-MAIL服務(wù)器)�����。但也存在缺點(diǎn):不能享受代理服務(wù)器提供的CACHE服務(wù)來提高訪問速度。所以本配置方案適合工作站數(shù)量較少的單位�,對(duì)于單位內(nèi)部工作站數(shù)量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下:
(2)路由器的配置
en
config t
ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
(定義一個(gè)地址池c2601����,其內(nèi)包含了兩個(gè)空閑的合法IP地址,供NAT轉(zhuǎn)換時(shí)使用)
int e0/0
ip address 192.168.0.3 255.255.255.0
ip nat inside
exit
(設(shè)置以太口的IP地址�����,并設(shè)置其為連接內(nèi)部網(wǎng)的端口)
interface s0/0
ip address 211.90.137.25 255.255.255.252
ip nat outside
exit
(設(shè)置廣域網(wǎng)端口的IP地址�����,并設(shè)置其為連接外部網(wǎng)的端口)
ip route 0.0.0.0 0.0.0.0 211.90.137.26
(設(shè)置動(dòng)態(tài)路由)
access-list 2 permit 192.168.0.1 0.0.0.255
(建立訪問控制列表)
! Dynamic NAT
!
ip nat inside source list 2 pool c2610 overload
(建立動(dòng)態(tài)地址翻譯)
line console 0
exec-timeout 0 0
!
line vty 0 4
end
wr
(保存所作的設(shè)置)
3. 工作站的配置
要求使用靜態(tài)IP地址����,在TCP/IP屬性中進(jìn)行設(shè)置��,并設(shè)置關(guān)網(wǎng)為192.168.0.3(路由器以太口IP地址)�����,設(shè)置DNS為接入商提供的地址�,瀏覽器等上網(wǎng)工具中無需作任何特殊設(shè)置���。
二、 通過代理服務(wù)器訪問INTERNET資源的配置
1. 總體的思路和設(shè)備連接方法
利用代理服務(wù)器方式訪問INTERNET資源�����,優(yōu)點(diǎn)是可以利用代理服務(wù)器提供的CACHE服務(wù)來提高INTERNET的訪問速度和效率�。比較適合工作站較多的單位使用。缺點(diǎn)是需要專門配備一臺(tái)計(jì)算機(jī)作為代理服務(wù)器���,增加了投資成本��;且較第一種法方還需多占用兩個(gè)合法IP地址���,網(wǎng)絡(luò)安全性不高。
采用這種方案來訪問互聯(lián)網(wǎng)�,設(shè)備連接方法如下:
代理服務(wù)器上安裝兩塊網(wǎng)卡,一塊連接內(nèi)部網(wǎng)�,設(shè)置內(nèi)部私有地址;另一塊連接路由器以太口���,設(shè)置聯(lián)通分配的合法地址(211.90.139.42)���,并設(shè)置其網(wǎng)關(guān)為211.90.139.41(路由器以太口)
路由器以太口也設(shè)置聯(lián)通分配的合法IP地址(211.90.139.41)
這樣�,將設(shè)備連接好后�,在代理服務(wù)器上安裝代理軟件,并在工作站上設(shè)置代理即可訪問INTERNET�。
2. 路由器的配置
(1) 網(wǎng)絡(luò)連接示意圖:
說明:在上圖中,單位內(nèi)的所有計(jì)算機(jī)通過交換機(jī)直接與代理服務(wù)器上的內(nèi)部網(wǎng)網(wǎng)卡(192.168.0.4)通訊��,然后在代理服務(wù)軟件的控制之下經(jīng)過路由器訪問INTERNET�����。
(2)路由器的配置
en
config t
int e0/0
ip address 211.90.139.41 255.255.255.252
exit
(設(shè)置以太口的IP地址)
interface s0/0
ip address 211.90.137.25 255.255.255.252
exit
(設(shè)置廣域網(wǎng)端口的IP地址)
ip route 0.0.0.0 0.0.0.0 211.90.137.26
ip routing
(設(shè)置動(dòng)態(tài)路由,并激活路由)
end
wr
(保存所作的設(shè)置)
3. 代理服務(wù)器的設(shè)置
代理服務(wù)器必須按裝兩塊網(wǎng)卡����,一塊用于連接內(nèi)部局域網(wǎng),設(shè)IP地址為內(nèi)部私有地址(如:192.168.0.4 netmask 255.255.255.0)無需設(shè)網(wǎng)關(guān)��。另一塊用于連接路由器�����,設(shè)置聯(lián)通分配的合法地址(211.90.139.42 netmask 255.255.255.252)���,并設(shè)置其網(wǎng)關(guān)為:211.90.139.41(路由器以太口)。
按照上面的方法設(shè)置好網(wǎng)卡后,再安裝一套代理軟件即可�。(如:MS PROXY SERVER 2.0、WINGATE等���,代理軟件的安裝調(diào)試方法請(qǐng)參閱其它資料)
4. 工作站的設(shè)置
(1) INTERNET EXPLORER設(shè)置
工具菜單->internet選項(xiàng)->連接->局域網(wǎng)設(shè)置->使用代理服務(wù)器->地址:192.168.0.4端口:80->確定
(2)其他軟件的設(shè)置請(qǐng)參閱軟件說明��。
三���、 直接訪問與代理訪問并存的配置
1. 總體思路和設(shè)備連接方法
通過上面介紹的兩種方法進(jìn)行配置,都能順利地實(shí)現(xiàn)INTERNET的訪問����,但每種方法即有優(yōu)點(diǎn),又存在一定的缺點(diǎn)���,且兩種方法的優(yōu)點(diǎn)是互補(bǔ)的���。哪能不能將兩種方法的優(yōu)點(diǎn)合二為一,方法三就是一種魚和熊掌能夠兼得的方案�。集成了一、二兩種方法的優(yōu)點(diǎn)����,即節(jié)省了IP地址����,又能通過代理服務(wù)器提供的CACHE來提高INTERNET的訪問效率�。
采用這種方案來訪問互聯(lián)網(wǎng),設(shè)備連接方法如下:
代理服務(wù)器上安裝兩塊網(wǎng)卡��,兩塊網(wǎng)卡均連接在交換機(jī)上�����,在設(shè)置IP地址時(shí)���,兩塊網(wǎng)卡均設(shè)置內(nèi)部私有地址���,但這兩個(gè)地址應(yīng)不屬于一個(gè)網(wǎng)絡(luò)(即IP地址的網(wǎng)絡(luò)地址不同),一塊用于與內(nèi)部網(wǎng)通信(網(wǎng)卡1)����,一塊用于與路由器通信(網(wǎng)卡2),否則代理無法實(shí)現(xiàn)���。
在代理服務(wù)器上不要安裝NETBEUI協(xié)議���,僅安裝TCP/IP協(xié)議。(注意:這一步必須要做��,否則會(huì)因?yàn)榇矸⻊?wù)器與交換機(jī)之間連接線路冗余而導(dǎo)致代理服務(wù)器NETBIOS計(jì)算機(jī)名沖突而影響正常通信)
路由器以太口也設(shè)置一個(gè)內(nèi)部私有地址��,該地址因與網(wǎng)卡2的地址在同一個(gè)網(wǎng)絡(luò)(即IP地址的網(wǎng)絡(luò)地址與網(wǎng)卡2相同)
2. 路由器的設(shè)置
(1) 網(wǎng)絡(luò)連接示意圖
(2)路由器的配置
en
config t
二十世紀(jì)九十年代末出現(xiàn)的INTERNET標(biāo)志著人類社會(huì)已經(jīng)進(jìn)入了信息化時(shí)代,在這個(gè)時(shí)代��,越來越多的人已經(jīng)開始離不開Internet網(wǎng)絡(luò)�。然而在現(xiàn)有的Internet的環(huán)境中,君子風(fēng)度和信任感已經(jīng)所剩無幾了。社會(huì)上能找到的所有的兇險(xiǎn), 卑鄙和投機(jī), Internet上應(yīng)有盡有���。從Internet誕生之日起, 特別是自90年代它向公眾開放以來, 它已經(jīng)成為眾矢之的����。尤其是在一些電子商務(wù)網(wǎng)站進(jìn)行購物�,或者希望注冊(cè)成為某些網(wǎng)站的會(huì)員的時(shí)候,我們要特別注意保護(hù)自己個(gè)人信息在網(wǎng)上的安全�。這是因?yàn)槲覀兺ㄟ^表格來注冊(cè)和提交個(gè)人信息時(shí),程序會(huì)把這些信息打包發(fā)送到目的地�,在傳送到目的地的過程中需要經(jīng)過一系列的網(wǎng)站中轉(zhuǎn),當(dāng)然被傳送的信息就很容易在所經(jīng)過的網(wǎng)路上留下自己的蹤跡����,如果這些蛛絲馬跡不幸被某些別有用心的人截獲并加以利用,麻煩可就大了--雖然這種幾率比較低�����,但面對(duì)如今一無法規(guī)二無規(guī)則、尚顯無序的網(wǎng)絡(luò)�����,總應(yīng)該多加小心���。下面�����,筆者就為各個(gè)用戶提供一些保護(hù)網(wǎng)上信息安全的方法措施���,希望能夠?qū)Ω魑挥脩簟?
1、不輕易運(yùn)行不明真相的程序
如果你收到一封帶有附件的電子郵件����,且附件是擴(kuò)展名為EXE一類的文件,這時(shí)千萬不能貿(mào)然運(yùn)行它�,因?yàn)檫@個(gè)不明真相的程序,就有可能是一個(gè)系統(tǒng)破壞程序�����。攻擊者常把系統(tǒng)破壞程序換一個(gè)名字用電子郵件發(fā)給你,并帶有一些欺騙性主題���,騙你說一些:“這是個(gè)好東東,你一定要試試”�����,“幫我測(cè)試一下程序”之類的話�。你一定要警惕了!對(duì)待這些表面上很友好����、跟善意的郵件附件,我們應(yīng)該做的是立即刪除這些來歷不明的文件���。
2���、屏蔽小甜餅信息
小甜餅就是Cookie,它是Web服務(wù)器發(fā)送到電腦里的數(shù)據(jù)文件��,它記錄了諸如用戶名��、口令和關(guān)于用戶興趣取向的信息���。實(shí)際上����,它使你訪問同一站點(diǎn)時(shí)感到方便,比如�,不用重新輸入口令。但Cookies收集到的個(gè)人信息可能會(huì)被一些喜歡搞“惡作劇”的人利用����,它可能造成安全隱患,因此����,我們可以在瀏覽器中做一些必要的設(shè)置,要求瀏覽器在接受Cookie之前提醒您�,或者干脆拒絕它們。通常來說�,Cookie會(huì)在瀏覽器被關(guān)閉時(shí)自動(dòng)從計(jì)算機(jī)中刪除,可是�����,有許多Cookie會(huì)一反常態(tài)��,始終存儲(chǔ)在硬盤中收集用戶的相關(guān)信息,其實(shí)這些Cookie就是被設(shè)計(jì)成能夠駐留在我們的計(jì)算機(jī)上的���。隨著時(shí)間的推移�����,Cookie信息可能越來越多���,當(dāng)然我們的心境也因此變得越來越不踏實(shí)����。為了確保萬無一失,對(duì)待這些已有的Cookie信息應(yīng)該從硬盤中立即清除���,并在瀏覽器中調(diào)整Cookie設(shè)置�����,讓瀏覽器拒絕接受Cookie信息�����。屏蔽Cookie的操作步驟為:首先用鼠標(biāo)單擊菜單欄中的“工具”菜單項(xiàng)�,并從下拉菜單中選擇“Internet選項(xiàng)”;接著在選項(xiàng)設(shè)置框中選中“安全”標(biāo)簽�����,并單擊標(biāo)簽中的“自定義級(jí)別”按鈕���;同時(shí)在打開的“安全設(shè)置”對(duì)話框中找到關(guān)于Cookie的設(shè)置���,然后選擇“禁用”或“提示”。
3�、不同的地方用不同的口令
對(duì)于經(jīng)常上網(wǎng)的用戶,可能會(huì)發(fā)現(xiàn)在網(wǎng)上需要設(shè)置密碼的情況有很多��。有很多用戶圖方便記憶�����,不論在什么地方�,都使用同一個(gè)口令,殊不知他們已不知不覺地留下了一個(gè)安全隱患��。因?yàn)楣粽咭话阍谄偏@到用戶的一個(gè)密碼后�,會(huì)用這個(gè)密碼去嘗試用戶每一個(gè)需要甬道口令的地方!想想看�,別人用一個(gè)口令慢慢地盜用你的帳號(hào)上網(wǎng);再去偷看與冒發(fā)你的E-mail;也許還會(huì)用你的身份去聊天室損害你的形象��;還有.....����,想想看那后果該有多嚴(yán)重呀!所以筆者強(qiáng)烈建議各位用戶��,每個(gè)不同的地方用不同的密碼����,一定不能不同,同時(shí)要把各個(gè)對(duì)應(yīng)的密碼記下來�,以備日后查用����。另外一點(diǎn)就是我們?cè)谠O(shè)定密碼時(shí),不應(yīng)該使用字典中可以查到的單詞�,也不要使用個(gè)人的生日,最好是字母��、符號(hào)和數(shù)字混用�,多用特殊字符,諸如%��、&、#��、和$,并且在允許的范圍內(nèi)��,越長越好�����,以保證你的密碼不易被人猜中�����。
4�、 屏蔽ActiveX控件
由于ActiveX控件可以被嵌入到HTML頁面中,并下載到瀏覽器端加以執(zhí)行����,因此會(huì)給瀏覽器端造成一定程度的安全威脅。目前已有證據(jù)表明�����,在客戶端的瀏覽器中���,如IE中插入某些ActiveX控件����,也將直接對(duì)服務(wù)器端造成意想不到的安全威脅。同時(shí)�,一些其他技術(shù),如內(nèi)嵌于IE的VB Script語言����,用這種語言生成的客戶端可執(zhí)行的程序模塊,也同 Java小程序一樣�����,有可能給客戶端帶來安全性能上的漏洞����。此外,還有一些新技術(shù)���,如ASP(Active serv er Pages)技術(shù),由于用戶可以為ASP的輸出隨意增加客戶腳本��、ActiveX控件和動(dòng)態(tài)HTML�,因此在ASP腳本中同樣也都存在著一定的安全隱患。所以���,用戶如果要保證自己在因特網(wǎng)上的信息絕對(duì)安全�����,可以屏蔽掉這些可能對(duì)計(jì)算機(jī)安全構(gòu)成威脅的ActiveX控件�����,具體操作步驟為:首先用鼠標(biāo)單擊菜單欄中的“工具”菜單項(xiàng)�����,并從下拉菜單中選擇“Internet選項(xiàng)”����;接著在選項(xiàng)設(shè)置框中選中“安全”標(biāo)簽,并單擊標(biāo)簽中的“自定義級(jí)別”按鈕�;同時(shí)在打開的“安全設(shè)置”對(duì)話框中找到關(guān)于ActiveX控件的設(shè)置,然后選擇“禁用”或“提示”����。
5、定期清除緩存�����、歷史記錄以及臨時(shí)文件夾中的內(nèi)容
我們?cè)谏暇W(wǎng)瀏覽信息時(shí),瀏覽器會(huì)把我們?cè)谏暇W(wǎng)過程中瀏覽的信息保存在瀏覽器的相關(guān)設(shè)置中����,這樣下次再訪問同樣信息時(shí)可以很快地達(dá)到目的地,從而提高了我們的瀏覽效率��。但是瀏覽器的緩存�、歷史記錄以及臨時(shí)文件夾中的內(nèi)容保留了我們太多的上網(wǎng)的記錄,這些記錄一旦被那些無聊的人得到�,他們就有可能從這些記錄中尋找到有關(guān)個(gè)人信息的蛛絲馬跡。為了確保個(gè)人信息資料的絕對(duì)安全�,我們應(yīng)該定期清理緩存、歷史記錄以及臨時(shí)文件夾中的內(nèi)容�。清理瀏覽器緩存并不麻煩,具體的操作方法如下:首先用鼠標(biāo)單擊菜單欄中的“工具”菜單項(xiàng)�,并從下拉菜單中選擇“Internet選項(xiàng)”;接著在選項(xiàng)設(shè)置框中選中“常規(guī)”標(biāo)簽����,并單擊標(biāo)簽中的“刪除文件”按鈕來刪除瀏覽器中的臨時(shí)文件夾中的內(nèi)容;然后在同樣的餓對(duì)話框中單擊“清除歷史記錄”按鈕來刪除瀏覽器中的歷史記錄和緩存中的內(nèi)容�����。
6�、不隨意透露任何個(gè)人信息
在網(wǎng)上瀏覽信息時(shí),經(jīng)常會(huì)發(fā)現(xiàn)需要用戶注冊(cè)自己個(gè)人信息資料的表單���。這些站點(diǎn)通過程序設(shè)計(jì)達(dá)到一種不填寫表單就不能獲取自己需要的信息的目的��。面對(duì)這種強(qiáng)迫用戶注冊(cè)個(gè)人信息的情況��,我們最好的辦法是不要輕易把自己真實(shí)的信息提交給他們��,特別是不要向任何人透露你的密碼�。還有�����,在使用ICQ�����、OICQ等網(wǎng)絡(luò)軟件以及注冊(cè)免費(fèi)E-mail信息的時(shí)候���,我們都需要填寫一些個(gè)人資料�����。某些資料是必須填寫的�,自然無法略過。但是對(duì)于可填可不填但又涉及自己隱私的資料�����,還是能免就免����,您有權(quán)利保持沉默,否則您所說的一切��,有可能在網(wǎng)絡(luò)上被黑客利用���。這一沉默原則同樣適用于聊天室���,在弄清楚聊天室的環(huán)境和各個(gè)人物之前,使用虛擬的網(wǎng)名應(yīng)該是明智的選擇�����。你應(yīng)該注意你常去的地方是不是把你的IP地址顯示了出來���,特別是在一些聊天室里�,你一定要小心了!可能攻擊你的人就是這樣才能控制你的�����。因?yàn)槲覀儞芴?hào)上網(wǎng)的用戶IP是動(dòng)態(tài)的���,你每次上網(wǎng)的IP是服務(wù)器隨機(jī)分配給你的,所以自己的IP如果不讓人知道��,是不會(huì)遭到襲擊的�����。
7�、突遇莫名其妙的故障時(shí)要及時(shí)檢查系統(tǒng)信息
上網(wǎng)過程中,突然覺得計(jì)算機(jī)工作不對(duì)勁時(shí)��,仿佛感覺有人在遙遠(yuǎn)的地方遙控你���。這時(shí)�����,你必須及時(shí)停止手中的工作����,立即按Ctrl+Alt+Del復(fù)合鍵來查看一下系統(tǒng)是否運(yùn)行了什么其他的程序,一旦發(fā)現(xiàn)有莫名其妙的程序在運(yùn)行���,你馬上停止它�,以免對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)有更大的威脅���。但是并不是所有的程序運(yùn)行時(shí)出現(xiàn)在程序列表中���,有些程序例如Back Orifice(一種黑客的后門程序)并不顯示在Ctrl+Alt+Del復(fù)合鍵的進(jìn)程列表中,所以如果你的計(jì)算機(jī)中運(yùn)行的是WIN98或者WIN2000操作系統(tǒng)���,最好運(yùn)行“附件”/“系統(tǒng)工具”/“系統(tǒng)信息”�,然后雙擊“軟件環(huán)境”�,選擇“正在運(yùn)行任務(wù)”,在任務(wù)列表中尋找自己不熟悉的或者自己并沒有運(yùn)行的程序����,一旦找到程序后應(yīng)立即終止它,以防后患����。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
