可以实现对虚拟服务器的配置,举例说明了新增

2019-10-05 作者:小鱼儿玄机30码姐妹   |   浏览(87)

虚拟服务器:对外它是单一的入口,对内有很多台计算机为它服务。对使用它的人来说,它是一台机器,有单一的入口点。具体的实现技术包括两种: 应用层的虚拟服务器,网络层的虚拟服务器。
一、应用层的虚拟服务器是利用应用层的转发实现的,相当于一台代理服务器,这正是经常提到的虚拟服务器。
实现方式:利用apache的 ProxyPass 可以实现对虚拟服务器的配置。(httpd.conf中)
如某公司的WWW服务器为 在httpd.conf中作如下设置:
ProxyPass /sales
ProxyPass /rd
ProxyPass /head
如上设置生效了以后,对.
对,
客户不直接同 192.168.0.x交互,所有的请求都通过www.abc.com来转发。
过程如下: client () <--> www.abc.com <--> 192.168.0.1 `

一 本文目的

笔者在使用客户端连接Windows 2000 Server终端服务器时,出现无法成功连接的问题,系统显示“终端服务器已结束连接”的提示,笔者反复尝试连接,故障依旧存在。但此时Windows 2000 Server服务器提供的Web和FTP服务均能正常工作,这说明此问题并不是因网络故障而产生的,于是笔者决定在终端服务上寻找问题的解决办法。

基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server 2003发布后,IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系统的稳定性都有很大的增强。

二、ip层的虚拟服务器。它是利用ip层的反向masq来实现的。 实现方式:通过对ip包头的目的地址的改写来实现的。linux kernel 2.2.x中带的ip port forward 就是实现的方式。你需要一个管理工具来管理这个方式。此种方式也称为反向NAT。
设置方法:

本文主要是探讨 Linux 2.4 内核中的iptables 的各种新增功能和使用方法,如何有效地使用这些新增的功能设置企业的防火墙规则,举例说明了新增功能在企业中的应用。

在Windows 2000 Server服务器中,多次重新启动系统,问题无法得到解决。笔者在“事件查看器”中查看日志记录,发现一条描述信息为“RDP 的 "DATA ENCRYPTION" 协议组件在协议流中检测到一个错误并且中断了客户机”的日志记录。难道是终端服务的加密级别设置过高所致?但笔者发现加密级别使用的是默认值,并没有随意改动。笔者再根据日志记录中的描述信息进行分析,终于找到了原因,原来是注册表中的“Certificate”子键被损坏,才导致用户无法与终端服务进行正常通信。

在Windows Server 2003下,应用程序的级别低中高级变更为了程序池,这样我们就可以对一个池进行设置对内存和CPU进行保护。在 Windows 2000 Server中,目录权限都是Everyone,很多服务都是以SYSTEM权限来运行的,如Serv-U FTP 这款出色的FTP服务器平台曾经害苦了不少人,它的溢出漏洞可以使入侵者轻松的获取系统完全控制权,如果做到呢?就是因为Serv-U FTP服务使用SYSTEM权限来运行,SYSTEM的权利比Administrator的权利可大的多,注册表SAM项它是可以直接访问和修改的,这样入侵者便利用这一特性轻松在注册表中克隆一个超级管理员账号并获取对系统的完全控制权限。

  1. 内核编译中选择 ip_port_forward(??)
  2. 利用ipmasqadm 来设置 ip_port_forward.
    ipmasqadm -A www.abc.com:80 -R 192.168.0.1:80
    具体用法请参考man..这里不对。
    ipmasqadm -A www.abc.com:80 -R 192.168.0.2:80
    3.设置ipchains
    ipchains -A forward -j MASQ -s 192.168.0.0/24
    ipchains -A forward -j MASQ -d 192.168.0.0/24
  3. OK..
    三、测试:
    1 现在你访问
    2 你访问的ip包发到www.abc.com然后目标地址改为192.168.0.x, x为1或2可以由系统的负载平衡算法来选定。
    3 处理完毕,请求包发回www.abc.com,然后在发回给客户。
    这样,机器就可以扩充了.....你的www服务器负载太大,利用以上两种方式均可以实现。你的telnet服务器负载太大,可以用方法2实现。

二 操作环境

这是因为Certificate子键负责终端服务通信中数据信息的认证和加密,它一旦被损坏,终端服务的协议组件就会检测到错误,中断客户机与终端服务器之间的通信。导致Certificate子键损坏的原因很多,如管理员安装和卸载某些系统软件、对终端服务参数的不合理配置等。这时我们需要重置该键值中的内容,才能修复终端服务。

目标:加固WEB服务器系统,使之提高并完善其稳定性及安全性。

...

Redhat Linux 7.1自带的模块化内核,专线连接互联网,两块网卡的防火墙,内部网段为10.0.0.0/255.255.255.0, 防火墙外部网卡接口地址为1.2.3.4。

进入注册表编辑器窗口,展开“HKEY_LOCAL_MA CHINESYSTEMCurrentCon trolSetServicesTermService Parame ters”,找到名为“Cer tificate”的子键,将它删除,重新启动Windows 2000 Server服务器,系统就会重新生成“Certificate”子键,这样客户端就能正常连接到终端服务器了。

系统环境:Windows Server 2003 Enterprise Edition With Service Pack 1以下简称W2k3SP1),WEB平台为IIS6,FTP平台为Serv-U FTP Server

三 iptables与ipchains的不同之处

总结:在终端服务器出现无法连接的问题后,我们首先要判断这是不是网络故障引起的,检测远程客户端和Windows 2000 Server服务器是否能够正常连接到网络;然后就要检查终端服务器的加密级别是否设置过高。排除上述原因后,就有可能是“Certificate”子键损坏了。此外,“HKEY_LOCAL _MACHINESYSTEMCur rentControlSetServicesTerm ServiceParameters”下的“X509 Certificate”和“X509 Certificate ID”损坏了也有可能导致终端服务出现问题,它们的修复方法与“Certificate”子键损坏后的修复方法是相同的。

装配置操作系统

  1. 内置规则的重新定义,简单化规则管理Linux 内核中内置的INPUT,OUTPUT,FORWARD规则在新的iptables中,任何一个包仅仅只在这三个规则中的任何一个上应用,或者被INPUT规则击中,或者被FORWARD规则或者OUTPUT规则击中,不象在ipchains中任何一个包如果是穿过这台防火墙总要同时击中三个规则。

2000 Server终端服务器时,出现无法成功连接的问题,系统显示“终端服务器已结束连接”的提示,笔者反复尝试...

安装操作系统,在安装前先要先去调整服务器的BIOS设置,关闭不需要的I/O,这样节省资源又可以避免一些硬件驱动问题。务必断开服务器与网络的连接,在系统没有完成安全配置前不要将它接入网络。在安装过程中如果网卡是PNP类型的,那么应当为其网络属性只配置允许使用TCP/IP协议,并关闭在 TCP/IP上的NETBIOS,为了提供更安全的保证,应该启用TCP/IP筛选,并不开放任何TCP端口。完成操作系统的安装后,首次启动 W2K3SP1,会弹出安全警告界面,主要是让你立刻在线升级系统更新补丁,并配置自动更新功能,这个人性化的功能是W2K3SP1所独有的,在没有关闭这个警告窗口前,系统是一个安全运行的状态,这时我们应当尽快完成系统的在线更新。
修改Administrator和Guest这两个账号的密码使其口令变的复杂,并通过组策略工具为这两个敏感账号更名。修改位置在组策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下,这样做可以避免入侵者马上发动对此账号的密码穷举攻击。
服务器通常都是通过远程进行管理的,所以我使用系统自带的组件 “远程桌面”来对系统进行远程管理。之所以选择它,因为它是系统自带的组件缺省安装只需要去启用它就可以使用,支持驱动器映射、剪切板映射等应用,并且只要客户端是WindowsXP PRO都会自带连接组件非常方便,最主要还有一点它是免费的。当然第三方优秀的软件也有如:PCAnyWhere,使用它可以解决Remote Desktop无法在本地环境模式下工作的缺点。为了防止入侵者轻易地发现此服务并使用穷举攻击手段,可以修改远程桌面的监听端口:

为了说明这种改变,请看下面的代码。

  1. 运行 Regedt32 并转到此项:
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
    注意:上面的注册表项是一个路径;它已换行以便于阅读。
  2. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
    要更改终端服务器上某个特定连接的端口,请按照下列步骤操作: 运行 Regedt32 并转到此项:
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsconnection
    注意:上面的注册表项是一个路径;它已换行以便于阅读。
  3. 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
    注意:由于在终端服务器 4.0 版中尚未完全实现备用端口功能,因此只是“在合理的限度内尽量”提供支持,如果出现任何问题,Microsoft 可能要求您将端口重设为 3389。
    原文来源:微软知识库KB187623。当然为了达到更加安全的访问,还可以采用IPSec来保护远程桌面的连接访问。
    禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性。下面列出了可以禁用的服务:
    Application Experience Lookup Service
    Automatic Updates
    BITS
    Computer Browser
    DHCP Client
    Error Reporting Service
    Help and Support
    Network Location Awareness
    Print Spooler
    Remote Registry
    Secondary Logon
    Server
    Smartcard
    TCP/IP NetBIOS Helper
    Workstation
    Windows Audio
    Windows Time
    Wireless Configuration
    打开服务器本地计算机策略gpedit.msc),参考以下选择和修改对服务器进行加固:
    1. 设置帐号锁定阀值为5次无效登录,锁定时间为30分钟;
    2. 从通过网络访问此计算机中删除Everyone组;
    3. 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
    4. 为交互登录启动消息文本。
    5. 启用 不允许匿名访问SAM帐号和共享;
    6. 启用 不允许为网络验证存储凭据或Passport;
    7. 启用 在下一次密码变更时不存储LANMAN哈希值;
    8. 启用 清除虚拟内存页面文件;
    9. 禁止IIS匿名用户在本地登录;
    10. 启用 交互登录:不显示上次的用户名;
    11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;
    12. 禁用活动桌面。
    强化TCP协议栈:

Incoming / Outgoing
-->[Routing ]--->|FORWARD|------->
[Decision] _____/ ^
| |
v ____
___ /
/ Linux防火墙 |OUTPUT|
|INPUT| ____/
___/ ^
| |
----> Local Process ----

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
安装和配置IIS

本文由小鱼儿玄机30码发布于小鱼儿玄机30码姐妹,转载请注明出处:可以实现对虚拟服务器的配置,举例说明了新增

关键词: 小鱼儿玄机30码