网络实施
最近上班了,实在很懒。回来没事做,上班没做事,累嘛累的要死,天天跑来跑去。为了拿钱阿……
很久没写过blog了,最近也没有时间研究啥技术的。就把在单位里面实施的一个网络系统描述下,权当技术文好咯。
首先是原来状况。一个路由连接外面,路由密码没有更改(太扯淡了)。内部一个10M的大HUB(还不是交换机,我可以嗅探的哦),九台机器,其中两台本本,不定量的本本随时接入。台式win2k,本本XP,结构很干净,不过补丁一个没打(汗……)。有一个服务器,主要打印使用,别的也用。OK,下面着手实施整体网络。
首先别的不说,路由密码我会放着就是白痴了。然后是一个个打补丁(还要看人家机器空不空,头痛阿)。然后用SSS扫描内部,果然漏洞少了。下面修改每个机器的配置,禁止SMB连接中的不严格现象(里面开了SMB文件共享哦,贝壳改成了允许的话使用加密形式),然后禁止客户机器的空连接和guest用户。打印服务器要打印,关闭了guest管理不大方便。这样客户上面基本没有漏洞了。
然后主机上面转换一个空盘到NTFS,实施大共享,做成文件服务器。给每个客户机做一个映射,这样基本可以将零散的文件共享集中到主机上,方便共享和备份。然后主机上面做一个FTP,路由上面开启部分路由映射进来,这样做成了远程FTP。严格来说,这样的FTP是瑕疵的,因为贝壳没有申请外网域名映射。FTP在被动方式时候发送的连接字符中IP是内网IP。如果FTP软件严格照来的话是连接不上的。但是FlashFXP等软件在PASV模式的时候只要返回数据中的端口部分,这个被映射了,所以可以正常使用。
然后在集中共享上放了很多软件,声明要装软件能从这里拿就必须从这里拿。找不到的下载安装后要放这里备份。这样削弱了软件后门的隐患。同时推荐了Mozllia,防止网页木马。使用Iris检测网络,防止内部攻击。其实这里应该放IDS的,而且应该更换成交换机,增快速度,防止嗅探。基本实施就结束了,等大家把文件整理到集成共享中,就可以备份刻盘出来了。