DMZ緩存
『壹』 關於設成DMZ主機的安全問題
這個當然是設成DMZ主機好了!!!
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網路的安全,將這些需要對外開放的主機與內部的眾多網路設備分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網路。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網路級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網路和主機的安全通常並不如人們想像的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序伺服器和資料庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網路而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
三:DMZ網路訪問控制策略
當規劃一個擁有DMZ的網路時候,我們可以明確各個網路之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。在網路中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網路和其他提供訪問服務的網路分開,阻止內網和外網直接通信,以保證內網安全。
四:DMZ服務配置
DMZ提供的服務是經過了地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網路拓撲,確定DMZ區應用伺服器的IP和埠號以及數據流向。通常網路通信流向為禁止外網區與內網區直接通信,DMZ區既可與外網區進行通信,也可以與內網區進行通信,受安全規則限制。
1 地址轉換
DMZ區伺服器與內網區、外網區的通信是經過網路地址轉換(NAT)實現的。網路地址轉換用於將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網路的目的。DMZ區伺服器對內服務時映射成內網地址,對外服務時映射成外網地址。採用靜態映射配置網路地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。
2 DMZ安全規則制定
安全規則集是安全策略的技術實現,一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤,再好的防火牆也只是擺設。在建立規則集時必須注意規則次序,因為防火牆大多以順序方式檢查信息包,同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在後,防止在找到一個特殊規則之前一個普通規則便被匹配,避免防火牆被配置錯誤。
DMZ安全規則指定了非軍事區內的某一主機(IP地址)對應的安全策略。由於DMZ區內放置的伺服器主機將提供公共服務,其地址是公開的,可以被外部網的用戶訪問,所以正確設置DMZ區安全規則對保證網路安全是十分重要的。
FireGate可以根據數據包的地址、協議和埠進行訪問控制。它將每個連接作為一個數據流,通過規則表與連接表共同配合,對網路連接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有:源IP地址、目的IP地址、協議類型(IP、ICMP、TCP、UDP)、源TCP/UDP埠、目的TCP/UDP埠、ICMP報文類型域和代碼域、碎片包和其他標志位(如SYN、ACK位)等。
為了讓DMZ區的應用伺服器能與內網中DB伺服器(服務埠4004、使用TCP協議)通信,需增加DMZ區安全規則, 這樣一個基於DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。
DMZ無疑是網路安全防禦體系中重要組成部分,再加上入侵檢測和基於主機的其他安全措施,將極大地提高公共服務及整個系統的安全性。
『貳』 如何在192.168.1.1設置路由器,使BT下載速度提高
192.168.1.1是無法設置提高BT下載速度,需要使用到第三方工具。
1.首先單擊bitcomet工具欄[選項]。
『叄』 什麼是ARP
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到區域網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。
地址解析協議是建立在網路中各個主機互相信任的基礎上的,區域網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。
(3)DMZ緩存擴展閱讀:
RARP和ARP不同,地址解析協議是根據IP地址獲取物理地址的協議,而反向地址轉換協議(RARP)是區域網的物理機器從網關伺服器的ARP表或者緩存上根據MAC地址請求IP地址的協議,其功能與地址解析協議相反。與ARP相比,RARP的工作流程也相反。首先是查詢主機向網路送出一個RARP Request廣播封包,向別的主機查詢自己的IP地址。這時候網路上的RARP伺服器就會將發送端的IP地址用RARP Reply封包回應給查詢者,這樣查詢主機就獲得自己的IP地址了。
『肆』 我用IIS在自己的電腦做個網站了!也用花生殼動態域名了,可是為什麼只能在本地訪問呢外網的訪問
可以訪問啊,你是用APSCMS搭建的站,估計你剛不能訪問的原因可能有二,1、部分地區DNS還未生效,看清楚是部分地區,2、我多刷新幾次出現「目前訪問網站的用戶過多「,估計是你限制了IIS並發數
『伍』 可以通過設置192.168.1.1來提高上網速度嗎
網上關於內網用戶BT加速的方法有很多,方法不外乎兩類,一是開啟路由器埠映射功能,二是對BT客戶端進行優化,本文以bitcomet 0.56為例,對BT加速方法進行總結。
本人上網用的鐵通1M ADSL,和其他兩人一起用TPLINK TL-R402M SOHO路由器組成一個三人的內網。當沒有使用埠映射時,下載速度達不到1M帶寬的極限速度(120k/s),Bitcomet內顯示僅能連接內網用戶,無遠程用戶,如圖:
大家都應該清楚,用戶連接數可以說和BT下載速度成正比,內網用戶無遠程連接,所以用戶連接數少,自然下載速度也慢,所以,首先需要做的是讓本機和外網用戶(也就是遠程用戶)建立連接,獲得更多的用戶連接才能達到加快速度的目的,現在埠映射派上用場,以我的路由器為例,在此處設置:
如圖設置好後,再開啟UPNP功能,UPNP的全稱是Universal Plug and Play,UPnP規范基於TCP/IP協議和針對設備彼此間通訊而制訂的新的Internet協議,事實上,UPNP的制定正是希望所有聯入Internet中的設備能夠不受網關阻礙的相互通信,如圖:
設置好後,再來看看bitcomet用戶列表,哈哈,可以連接上遠程用戶了,下載速度也大大提高,達到了1M帶寬的理論速度,在全局日誌中也可以看到,埠映射生效了^_^
Default tracker optimization rules file loaded.
IP rules file: ipfilter.dat loaded, 0 entries.
Start Listening at TCP Port:8531
Windows XP ICF Status: InitializeSecurity failed.
Update Local IP: 127.0.0.1
Windows XP ICS Status: PortMapping Failed.
Windows XP UPnP Status: device not found!
Update Local IP: 192.168.1.100
Windows XP ICS Status: WAN IP: 222.72.3.xx
Windows XP ICS Status: PortMapping Successfully Added. →看這里,埠映射生效了!
Windows XP UPnP Status: Found WAN Connection Device [TP-LINK] [http://192.168.1.1:1900/]
Windows XP UPnP Status: WAN IP: 222.72.3.xx
Windows XP UPnP Status: Port Mapping Existed!
其實對於我所使用的TPLINK路由器,完全不必要這么麻煩,不用埠映射,直接開啟DMZ主機即可,可以達到相同的效果,關於DMZ的含義,路由器里講的很清楚,在正常情況下,NAT路由器是禁止廣域網直接訪問區域網里的計算機的。但是,有些時候我們又需要將區域網內的某台計算機開放給廣域網,以實現雙向通信,此時只要把該計算機設置為DMZ主機就可以實現了。(注意:設置DMZ主機之後,與該IP相關的防火牆設置將不起作用。)
路由器的設置基本上就是這些了,其它品牌的路由器雖然具體設置有所不同,但是原理是一樣的,帶路由功能的ADSL貓亦如此,大家可以效仿。
接下來要說的是BT客戶端的優化,以Bitcomet0.56為例(這里引用龍族djavadw
同志的文章),具體設置如下:
1.運行BitComet 0.56,打開自己的BitComet的\"選項\"一欄,點擊第一欄\"網路連接\"
全局最大下載速度 無限制 調整到1000(2M以下用戶1000是個不可達到的數字,所以可行)。
全局最大上傳速度 無限制 調整到40 (根據個人情況合理選擇,這是我的建議數)。
監聽埠 建議不要和6881-6889 16881-16889重復,個人感覺19770-22000之間比較好。
(當然你映射了埠,那麼就以你映射的監聽埠為准,不需改動),裝了防火牆的用戶在你的防火牆裡面打開你的監聽埠。
2.點擊任務設置,目前此項裡面的參數暫時保持不變,在後來的調整中需要用到其中的「每任務最大上傳速度」
3.點擊界面外觀
最多顯示peer數量 改到1000
4.點擊高級設置
如果多少分鍾之內不能連接則添加備用Tracker:30 30改到0
備用Tracker列表
5.點擊網路連接 每任務最大連接數:改到1000。
每任務保持連接數:改到50。
全局保證上傳連接數:改到10。
連接發起間隔: 改到150或100。
最大同時嘗試的TCP連接個數: 改到1000。
是否允許通過UDP實現內網互連:內網設定「允許」 公網設定「禁止」。
6.點擊IP規則 下載任務每IP最大允許連接數: 改到20
上傳任務每IP最大允許連接數: 改到5
內網的用戶把「允許向伺服器報告內網IP便於子網內連接」打上鉤
7.點擊磁碟緩存
256M內存配置
磁碟緩存最小值:6M
磁碟緩存最大值:30M
減小磁碟緩存當空閑物理內存低於:50M
在最大最小值范圍內自動調整緩存大小上打上鉤。
註:關於磁碟緩存的作用請看這里
為什麼說Bitcomet的磁碟緩存可以保護硬碟?
傳統BT高速下載時硬碟會響得很厲害,這是大量的隨機讀取造成的。舉個例子:100M的文件是被分成256K大小的Piece(塊),按最少存在原則隨機下載,而每個Piece再被分成16K的slice(片)順序請求,每次通訊就是以slice為單位的。因此總的說是隨機訪問,但相鄰slice的順次訪問幾率較大,因此可以以piece為單位在內存中建立緩存。BitComet可以由用戶設置緩存大小。下載上傳時通過統計標簽可以看出緩存的效率:讀/寫命中率、磁碟讀寫請求頻率和實際讀寫頻率,可以明顯地看出犧牲一小部分內存作緩存對硬碟的保護作用。
磁碟緩存應設置多少合適?
BitComet的磁碟緩存功能可以有效地保護硬碟,提高讀寫效率,緩存設置多大並無一定之規。如果下載或是上傳速度常常超過150KB/s,那麼就有必要增大BitComet默認的緩存設置以進一步保護硬碟了,請根據自己的一般下載速度和內存容量設置。BitComet允許設置緩存最小值、最大值、並且在分配之前檢測當前物理內存以確保一定空餘量,此外可以在全局統計中看到當前緩存分配狀態。一般500KB/s的速度下至少將緩存最大值設定為50M以上。
最後說幾點注意事項!
1.限制上傳的朋友下載完畢後,強烈要求取消全局上傳限製做種3個小時以上。
2.熱門種子下載時,盡量只下載一個文件,這樣才讓你享受到BitComet的飛速快感。
3.上傳參數的選取,要依據自己的網路情況,仔細調整,如果我說的參數不適合您,請您自己多琢磨,仔細進行微調。
4.如果在本文的幫助下您提高了下載速度,那麼請你在下載時不要限制上傳速度。
5.本文適合提高那些還沒有達到自己網路下載極限的朋友,(比如你是512k的想把速度從64kB/s提高到128kB/s,那麼請您不要看了,直接把自己的帶寬變的更寬就是
『陸』 什麼邊界緩沖區
緩沖區又稱中立區、中立地帶等,指的是兩地的交界處因為戰爭或其他因素,而劃定出的帶狀地區,是在國與國之間設定的軍事緩沖地帶,,此帶狀地區並不完全屬於兩方之中的一方,通常由兩方共管或是由第三方協助管理。
緩沖區它只允許少量的只能執行邊防巡邏等任務的有限的軍事力量的進入,這塊區域所部署的軍隊不能對他國造成威脅。在洲際導彈射程越來越遠以及空權、天權時代崛起下,當今緩沖區的重要意義已經遠遠小於陸權時代和出海口。
(6)DMZ緩存擴展閱讀:
緩沖區的產生情況
1、基於點要素的緩沖區,通常以點為圓心、以一定距離為半徑的圓。
2、基於線要素的緩沖區,通常是以線為中心軸線,距中心軸線一定距離的平行條帶多邊形。
3、基於面要素多邊形邊界的緩沖區,向外或向內擴展一定距離以生成新的多邊形。
『柒』 如何遠程訪問二級路由器下面的鐵威馬NAS
當鐵威馬NAS掛載在二級路由器或多級路由器下面時,每一級路由器的子網路地址(subnet)是不一樣的,導致鐵威馬NAS的地址無法識別,用戶不能遠程訪問,路由器需要重新設置鐵威馬NAS方可被遠程訪問。以下介紹二級路由器下的設置辦法。
第一步、設置第一級路由器。在第一級路由器的設置菜單中找到DMZ項目,請啟用DMZ,並在欄目中填入二級路由器的的IP地址,點保存。
第二步、設置第二級路由器。在第二級路由器的設置菜單中找到DMZ項目,請啟用DMZ,並在欄目中填入鐵威馬NAS的的IP地址,點保存。
『捌』 區域網BT下東東下不動
BitComet設置:(未加說明的參數,請保持原始設定值不變) 打開自己的BitComet的"選項"一欄,點擊第一欄"網路連接" 全局最大下載速度 無限制 調整到1000(2M以下用戶1000是個不可達到的數字,所以可行)。 全局最大上傳速度 無限制調整到40 (根據個人情況合理選擇,這是我的建議數)。 監聽埠 建議不要和6881-6889 16881-16889重復,個人感覺19770-22000之間比較好。 (當然你映射了埠,那麼就以你映射的監聽埠為准,不需改動),裝了防火牆的用戶在你的防火牆裡面打開你的監聽埠。 2.點擊任務設置,目前此項裡面的參數暫時保持不變,在後來的調整中需要用到其中的「每任務最大上傳速度」 3.點擊界面外觀 最多顯示peer數量 改到1000 4.點擊高級設置 如果多少分鍾之內不能連接則添加備用Tracker:30 30改到0 備用Tracker列表 5.點擊網路連接 每任務最大連接數:改到1000。 每任務保持連接數:改到50。 全局保證上傳連接數:改到10。 連接發起間隔: 改到150或100。 最大同時嘗試的TCP連接個數: 改到1000。 是否允許通過UDP實現內網互連:內網設定「允許」 公網設定「禁止」。 6.點擊IP規則 下載任務每IP最大允許連接數: 改到20 上傳任務每IP最大允許連接數: 改到5 內網的用戶把「允許向伺服器報告內網IP便於子網內連接」打上鉤 7.點擊磁碟緩存 256M內存配置 磁碟緩存最小值:6M 磁碟緩存最大值:30M 減小磁碟緩存當空閑物理內存低於:50M 在最大最小值范圍內自動調整緩存大小上打上鉤。 三、下載過程的參數調整 首先說說熱門種子: 1. 進行完上面的設置,請您下載一個熱門種子(種子數超過20,用戶連接數超過200),單獨開始這一個下載。 2. 下載時您可以看見連接的種子和用戶在不斷增加,上傳下載速度緩慢增加,等速度達到您平時正常下載速度的1/2,連接數大於50,種子數1個以上時(大約需要5-10分鍾),點擊「任務設置」把「每任務最大上傳速度」改到10-20之間一個數,繼續下載。 3. 2分鍾後,如果你的速度起來了,並且起伏不大相對穩定,請保持。如果你的速度沒有起來,可以用以下2種辦法: a.把每任務最大上傳繼續以每次2K的速度調小; b.a不起作用說明你的調整時間不對,把「每任務最大上傳速度」恢復到「無限制」過段時間再調小它。 冷門種子 冷門種子在您進行調小「每任務最大上傳速度」時可能效果不大,如果有效果,請保持。無效果,就不要設置「每任務最大上傳速度」或者設高點比如25-30。 注意事項: 1.想知道自己是內網還是外網的看自己的IP,10.x.x.x,192.168.x.x 都是內網,看不見遠程的基本也是內網。 2.外網用戶如果BitComet0.56下載效果不理想可以試用BC以前版本或者貪婪abc、比特精靈等。 3.限制上傳的朋友下載完畢後,強烈要求取消全局上傳限製做種3個小時以上。 4.熱門種子下載時,盡量只下載一個文件,這樣才讓你享受到BitComet的飛速快感。 5.上傳參數的選取,要依據自己的網路情況,仔細調整,如果我說的參數不適合您,請您自己多琢磨,仔細進行微調。
『玖』 如何才能讓內網用戶訪問到DMZ區的伺服器
1、那個不能算是假地址,只能說是我web伺服器的內網私有地址。
2、你的設置基本沒有什麼問題了,但是不同的路由器對這種情況的處理方法不盡相同。有的路由器有選項可以選擇是否可以訪問同一路由器下不同公網ip地址的服務,有的路由器則直接將你對web公網ip地址的請求轉換到DMZ中的訪問內網私有ip地址,有的則直接不提供上面的所有功能,也就是不能訪問。
3、你的這種情況建議你使用域名訪問來解決,在公網DNS上將域名解析到公網ip地址,在內網中建設一個DNS伺服器既可以做上網DNS緩存伺服器使用,也可以負責在內網解析web伺服器,同一個域名解析到內網私有地址,這種方法可以做到所有ip地址設置對最終用戶透明。