DMZ缓存
‘壹’ 关于设成DMZ主机的安全问题
这个当然是设成DMZ主机好了!!!
在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护,可以构建一个DMZ区域,DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非DMZ系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给Internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
三:DMZ网络访问控制策略
当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
四:DMZ服务配置
DMZ提供的服务是经过了地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,DMZ区既可与外网区进行通信,也可以与内网区进行通信,受安全规则限制。
1 地址转换
DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
2 DMZ安全规则制定
安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。
DMZ安全规则指定了非军事区内的某一主机(IP地址)对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置DMZ区安全规则对保证网络安全是十分重要的。
FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有:源IP地址、目的IP地址、协议类型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其他标志位(如SYN、ACK位)等。
为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004、使用TCP协议)通信,需增加DMZ区安全规则, 这样一个基于DMZ的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。
DMZ无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。
‘贰’ 如何在192.168.1.1设置路由器,使BT下载速度提高
192.168.1.1是无法设置提高BT下载速度,需要使用到第三方工具。
1.首先单击bitcomet工具栏[选项]。
‘叁’ 什么是ARP
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
(3)DMZ缓存扩展阅读:
RARP和ARP不同,地址解析协议是根据IP地址获取物理地址的协议,而反向地址转换协议(RARP)是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议,其功能与地址解析协议相反。与ARP相比,RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包,向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者,这样查询主机就获得自己的IP地址了。
‘肆’ 我用IIS在自己的电脑做个网站了!也用花生壳动态域名了,可是为什么只能在本地访问呢外网的访问
可以访问啊,你是用APSCMS搭建的站,估计你刚不能访问的原因可能有二,1、部分地区DNS还未生效,看清楚是部分地区,2、我多刷新几次出现“目前访问网站的用户过多“,估计是你限制了IIS并发数
‘伍’ 可以通过设置192.168.1.1来提高上网速度吗
网上关于内网用户BT加速的方法有很多,方法不外乎两类,一是开启路由器端口映射功能,二是对BT客户端进行优化,本文以bitcomet 0.56为例,对BT加速方法进行总结。
本人上网用的铁通1M ADSL,和其他两人一起用TPLINK TL-R402M SOHO路由器组成一个三人的内网。当没有使用端口映射时,下载速度达不到1M带宽的极限速度(120k/s),Bitcomet内显示仅能连接内网用户,无远程用户,如图:
大家都应该清楚,用户连接数可以说和BT下载速度成正比,内网用户无远程连接,所以用户连接数少,自然下载速度也慢,所以,首先需要做的是让本机和外网用户(也就是远程用户)建立连接,获得更多的用户连接才能达到加快速度的目的,现在端口映射派上用场,以我的路由器为例,在此处设置:
如图设置好后,再开启UPNP功能,UPNP的全称是Universal Plug and Play,UPnP规范基于TCP/IP协议和针对设备彼此间通讯而制订的新的Internet协议,事实上,UPNP的制定正是希望所有联入Internet中的设备能够不受网关阻碍的相互通信,如图:
设置好后,再来看看bitcomet用户列表,哈哈,可以连接上远程用户了,下载速度也大大提高,达到了1M带宽的理论速度,在全局日志中也可以看到,端口映射生效了^_^
Default tracker optimization rules file loaded.
IP rules file: ipfilter.dat loaded, 0 entries.
Start Listening at TCP Port:8531
Windows XP ICF Status: InitializeSecurity failed.
Update Local IP: 127.0.0.1
Windows XP ICS Status: PortMapping Failed.
Windows XP UPnP Status: device not found!
Update Local IP: 192.168.1.100
Windows XP ICS Status: WAN IP: 222.72.3.xx
Windows XP ICS Status: PortMapping Successfully Added. →看这里,端口映射生效了!
Windows XP UPnP Status: Found WAN Connection Device [TP-LINK] [http://192.168.1.1:1900/]
Windows XP UPnP Status: WAN IP: 222.72.3.xx
Windows XP UPnP Status: Port Mapping Existed!
其实对于我所使用的TPLINK路由器,完全不必要这么麻烦,不用端口映射,直接开启DMZ主机即可,可以达到相同的效果,关于DMZ的含义,路由器里讲的很清楚,在正常情况下,NAT路由器是禁止广域网直接访问局域网里的计算机的。但是,有些时候我们又需要将局域网内的某台计算机开放给广域网,以实现双向通信,此时只要把该计算机设置为DMZ主机就可以实现了。(注意:设置DMZ主机之后,与该IP相关的防火墙设置将不起作用。)
路由器的设置基本上就是这些了,其它品牌的路由器虽然具体设置有所不同,但是原理是一样的,带路由功能的ADSL猫亦如此,大家可以效仿。
接下来要说的是BT客户端的优化,以Bitcomet0.56为例(这里引用龙族djavadw
同志的文章),具体设置如下:
1.运行BitComet 0.56,打开自己的BitComet的\"选项\"一栏,点击第一栏\"网络连接\"
全局最大下载速度 无限制 调整到1000(2M以下用户1000是个不可达到的数字,所以可行)。
全局最大上传速度 无限制 调整到40 (根据个人情况合理选择,这是我的建议数)。
监听端口 建议不要和6881-6889 16881-16889重复,个人感觉19770-22000之间比较好。
(当然你映射了端口,那么就以你映射的监听端口为准,不需改动),装了防火墙的用户在你的防火墙里面打开你的监听端口。
2.点击任务设置,目前此项里面的参数暂时保持不变,在后来的调整中需要用到其中的“每任务最大上传速度”
3.点击界面外观
最多显示peer数量 改到1000
4.点击高级设置
如果多少分钟之内不能连接则添加备用Tracker:30 30改到0
备用Tracker列表
5.点击网络连接 每任务最大连接数:改到1000。
每任务保持连接数:改到50。
全局保证上传连接数:改到10。
连接发起间隔: 改到150或100。
最大同时尝试的TCP连接个数: 改到1000。
是否允许通过UDP实现内网互连:内网设定“允许” 公网设定“禁止”。
6.点击IP规则 下载任务每IP最大允许连接数: 改到20
上传任务每IP最大允许连接数: 改到5
内网的用户把“允许向服务器报告内网IP便于子网内连接”打上钩
7.点击磁盘缓存
256M内存配置
磁盘缓存最小值:6M
磁盘缓存最大值:30M
减小磁盘缓存当空闲物理内存低于:50M
在最大最小值范围内自动调整缓存大小上打上钩。
注:关于磁盘缓存的作用请看这里
为什么说Bitcomet的磁盘缓存可以保护硬盘?
传统BT高速下载时硬盘会响得很厉害,这是大量的随机读取造成的。举个例子:100M的文件是被分成256K大小的Piece(块),按最少存在原则随机下载,而每个Piece再被分成16K的slice(片)顺序请求,每次通讯就是以slice为单位的。因此总的说是随机访问,但相邻slice的顺次访问几率较大,因此可以以piece为单位在内存中建立缓存。BitComet可以由用户设置缓存大小。下载上传时通过统计标签可以看出缓存的效率:读/写命中率、磁盘读写请求频率和实际读写频率,可以明显地看出牺牲一小部分内存作缓存对硬盘的保护作用。
磁盘缓存应设置多少合适?
BitComet的磁盘缓存功能可以有效地保护硬盘,提高读写效率,缓存设置多大并无一定之规。如果下载或是上传速度常常超过150KB/s,那么就有必要增大BitComet默认的缓存设置以进一步保护硬盘了,请根据自己的一般下载速度和内存容量设置。BitComet允许设置缓存最小值、最大值、并且在分配之前检测当前物理内存以确保一定空余量,此外可以在全局统计中看到当前缓存分配状态。一般500KB/s的速度下至少将缓存最大值设定为50M以上。
最后说几点注意事项!
1.限制上传的朋友下载完毕后,强烈要求取消全局上传限制做种3个小时以上。
2.热门种子下载时,尽量只下载一个文件,这样才让你享受到BitComet的飞速快感。
3.上传参数的选取,要依据自己的网络情况,仔细调整,如果我说的参数不适合您,请您自己多琢磨,仔细进行微调。
4.如果在本文的帮助下您提高了下载速度,那么请你在下载时不要限制上传速度。
5.本文适合提高那些还没有达到自己网络下载极限的朋友,(比如你是512k的想把速度从64kB/s提高到128kB/s,那么请您不要看了,直接把自己的带宽变的更宽就是
‘陆’ 什么边界缓冲区
缓冲区又称中立区、中立地带等,指的是两地的交界处因为战争或其他因素,而划定出的带状地区,是在国与国之间设定的军事缓冲地带,,此带状地区并不完全属于两方之中的一方,通常由两方共管或是由第三方协助管理。
缓冲区它只允许少量的只能执行边防巡逻等任务的有限的军事力量的进入,这块区域所部署的军队不能对他国造成威胁。在洲际导弹射程越来越远以及空权、天权时代崛起下,当今缓冲区的重要意义已经远远小于陆权时代和出海口。
(6)DMZ缓存扩展阅读:
缓冲区的产生情况
1、基于点要素的缓冲区,通常以点为圆心、以一定距离为半径的圆。
2、基于线要素的缓冲区,通常是以线为中心轴线,距中心轴线一定距离的平行条带多边形。
3、基于面要素多边形边界的缓冲区,向外或向内扩展一定距离以生成新的多边形。
‘柒’ 如何远程访问二级路由器下面的铁威马NAS
当铁威马NAS挂载在二级路由器或多级路由器下面时,每一级路由器的子网络地址(subnet)是不一样的,导致铁威马NAS的地址无法识别,用户不能远程访问,路由器需要重新设置铁威马NAS方可被远程访问。以下介绍二级路由器下的设置办法。
第一步、设置第一级路由器。在第一级路由器的设置菜单中找到DMZ项目,请启用DMZ,并在栏目中填入二级路由器的的IP地址,点保存。
第二步、设置第二级路由器。在第二级路由器的设置菜单中找到DMZ项目,请启用DMZ,并在栏目中填入铁威马NAS的的IP地址,点保存。
‘捌’ 局域网BT下东东下不动
BitComet设置:(未加说明的参数,请保持原始设定值不变) 打开自己的BitComet的"选项"一栏,点击第一栏"网络连接" 全局最大下载速度 无限制 调整到1000(2M以下用户1000是个不可达到的数字,所以可行)。 全局最大上传速度 无限制调整到40 (根据个人情况合理选择,这是我的建议数)。 监听端口 建议不要和6881-6889 16881-16889重复,个人感觉19770-22000之间比较好。 (当然你映射了端口,那么就以你映射的监听端口为准,不需改动),装了防火墙的用户在你的防火墙里面打开你的监听端口。 2.点击任务设置,目前此项里面的参数暂时保持不变,在后来的调整中需要用到其中的“每任务最大上传速度” 3.点击界面外观 最多显示peer数量 改到1000 4.点击高级设置 如果多少分钟之内不能连接则添加备用Tracker:30 30改到0 备用Tracker列表 5.点击网络连接 每任务最大连接数:改到1000。 每任务保持连接数:改到50。 全局保证上传连接数:改到10。 连接发起间隔: 改到150或100。 最大同时尝试的TCP连接个数: 改到1000。 是否允许通过UDP实现内网互连:内网设定“允许” 公网设定“禁止”。 6.点击IP规则 下载任务每IP最大允许连接数: 改到20 上传任务每IP最大允许连接数: 改到5 内网的用户把“允许向服务器报告内网IP便于子网内连接”打上钩 7.点击磁盘缓存 256M内存配置 磁盘缓存最小值:6M 磁盘缓存最大值:30M 减小磁盘缓存当空闲物理内存低于:50M 在最大最小值范围内自动调整缓存大小上打上钩。 三、下载过程的参数调整 首先说说热门种子: 1. 进行完上面的设置,请您下载一个热门种子(种子数超过20,用户连接数超过200),单独开始这一个下载。 2. 下载时您可以看见连接的种子和用户在不断增加,上传下载速度缓慢增加,等速度达到您平时正常下载速度的1/2,连接数大于50,种子数1个以上时(大约需要5-10分钟),点击“任务设置”把“每任务最大上传速度”改到10-20之间一个数,继续下载。 3. 2分钟后,如果你的速度起来了,并且起伏不大相对稳定,请保持。如果你的速度没有起来,可以用以下2种办法: a.把每任务最大上传继续以每次2K的速度调小; b.a不起作用说明你的调整时间不对,把“每任务最大上传速度”恢复到“无限制”过段时间再调小它。 冷门种子 冷门种子在您进行调小“每任务最大上传速度”时可能效果不大,如果有效果,请保持。无效果,就不要设置“每任务最大上传速度”或者设高点比如25-30。 注意事项: 1.想知道自己是内网还是外网的看自己的IP,10.x.x.x,192.168.x.x 都是内网,看不见远程的基本也是内网。 2.外网用户如果BitComet0.56下载效果不理想可以试用BC以前版本或者贪婪abc、比特精灵等。 3.限制上传的朋友下载完毕后,强烈要求取消全局上传限制做种3个小时以上。 4.热门种子下载时,尽量只下载一个文件,这样才让你享受到BitComet的飞速快感。 5.上传参数的选取,要依据自己的网络情况,仔细调整,如果我说的参数不适合您,请您自己多琢磨,仔细进行微调。
‘玖’ 如何才能让内网用户访问到DMZ区的服务器
1、那个不能算是假地址,只能说是我web服务器的内网私有地址。
2、你的设置基本没有什么问题了,但是不同的路由器对这种情况的处理方法不尽相同。有的路由器有选项可以选择是否可以访问同一路由器下不同公网ip地址的服务,有的路由器则直接将你对web公网ip地址的请求转换到DMZ中的访问内网私有ip地址,有的则直接不提供上面的所有功能,也就是不能访问。
3、你的这种情况建议你使用域名访问来解决,在公网DNS上将域名解析到公网ip地址,在内网中建设一个DNS服务器既可以做上网DNS缓存服务器使用,也可以负责在内网解析web服务器,同一个域名解析到内网私有地址,这种方法可以做到所有ip地址设置对最终用户透明。