这里贴出微软网站上公布的用gpmc.msc和gpedit.msc管理组策略的不同

下表列出了常见的“组策略”任务。使用“组策略管理控制台”(GPMC) 执行这些任务的过程和过去没有“组策略管理”管理单元时执行这些任务的方法有所不同。以前管理员使用“Active Directory 用户和计算机”和“Active Directory 站点和服务”来管理“组策略”。现在您可以使用 GPMC 执行所有与“组策略”相关的任务。

服务器：IBM eServer x系列 235 服务器

阵列：IBM EXP300阵列柜，IBM ServerRaid卡

1， 硬件连接

关闭服务器，安装ServerRaid卡，用专用线缆连接ServerRaid卡与阵列柜。

启动顺序：先打开阵列柜电源，等阵列柜启动后，再启动服务器。

IBM ServerRAID提供几种级别：RAID 0，RAID 1，RAID 1E, RAID5，RAID5E。其中RAID 1E和RAID 5E是IBM自己定义的专有RAID级别。

RAID 0：条带化的磁盘阵列，没有容错能力，但可使用所有硬盘空间。

RAID 1: 两块硬盘的磁盘镜像,允许坏任一块，空间的利用率只有一半。

RAID 1E：条带化的磁盘镜像，支持两块以上硬盘，允许任意坏一块硬盘，空间的利用率只有一半。

RAID 5：带奇偶校验的条带化，支持三块以上硬盘，允许任意坏一块硬盘(2块以上将丢失数据)，空间利用率为(N-1)/N。

RAID 5E：相当于RAID 5加内置热备份盘， 支持四块以上硬盘，允许任坏两块(非同时) 硬盘，空间利用率为 (N-2)/N。

有关的文档
包管理
 设备驱动列表
 许可证管理
 Ping
 服务质量
 防火墙过滤
 Winbox
描述
MikroTik RouterOS可以把一台过时的表准PC变成一个强大的网络路由器.
仅仅标准的PC网络接口就可以扩充路由器的能力,远程windows(WinBox)应用程序时时控制.
 专业的质量控制和爆发式的支持
 完善的防火墙和P2P 协议过滤, 隧道和IPsec
 STP bridging with filtering capabilities
 超高速的 802.11a/b/g 无线网同 WEP
 WDS 和虚拟的 AP特征
 HotSpot 适于即插即用访问
 RIP, OSPF, BGP 路由协议
 支持千兆以太网
 V.35, X.21, T1/E1 同步支持
 异步 PPP 同 RADUIS AAA
 IP 电话
 远程 winbox GUI 管理
 telnet/ssh/并行控制台管理
 时时配置和监视
还有更多的 (请看详细的使用说明t)
这个向导描述了基本的安装步骤和配置一台专业的PC路由器的运行MikroTik RouterOS.
建立 MikroTik RouterOS
描述
下载并安装 MikroTik RouterOS
MikroTik RouterOS 的下载和安装是在下列图表中描述的:  
1. 下载基本的安装文件.
依靠你想要的介质用来作安装MikroTik RouterOS 请选择以下几种方式下载
 ISO image – 安装CD,如果你又一台可擦写的CDROM . 这个ISO 映象文件是MTcdimage_v2-8-x_dd-mmm-yyyy_(build_z).zip文档包含一张可引导的CD . CD 可以从一台标准的PC上引导安装到硬盘和flash设备上.
 Netinstall – 如果想从网络上安装 RouterOS,你需要LAN 和一张可引导导入软盘,或使用PXE支持网络引导的网卡两者可选其中之一,. 网络安装程序必须工作在Windows 95/98/NT4/2K/XP.
 MikroTik磁盘的创建-如果你想要创建3.5”的安装软盘,软盘的创建者是一个自解压的文件DiskMaker_v2-8-x_dd-mmm-yyyy_(build_z).exe,它应该是在你的windows95/98/NT4/2K/XP工作站上创建的安装软盘.安装软盘将被用于启动专用的PC并且在你的硬盘上或flash设备上安装MikroTik RouterOS.
2. 创建安装介质
使用适当的安装文件创建安装cd或软盘.
 把ISO 映象写入一张空的 CD.
就这张软盘,在你的windows工作站上运行 制造安装软盘制造的安装软盘.
把以下软盘按顺序插入你的软驱中.要求把磁盘1把他们标记2,3等等.
3.安装MikroTik RouterOS软件.
你专用的PC路由器的硬件应该有:
 CPU 和主板–更先进的地代的CPU (核心频率100MHz或更高), 新生产的(Intel Pentium, Cyrix 6X86, AMD K5 或兼容的)或更新的IntelIA-32 (i386)兼容(多样的处理器是不支持的)
 RAM – 最小的48 MB, 最大的1 GB; 推荐是64 MB或更高的
 Hard Drive/Flash – 标准的ATA接口控制器和设备(SCSI和USB控制器和设备是不支持的;RAID控制器和那些附加的设备是不支持的)和最小64MB空间,在安装路由器时选择的安装方法必须有下列硬件:
 Floppy-基于软盘的安装 – 标准的AT软盘控制器和3.5\'\'的磁盘作为第一个连接了的设备;AT, PS/2或USB键盘;VGA-兼容的视频控制卡和监视器.
 CD-基于CD的安装-标准的ATA/ATAPI接口控制器和CD驱动器支持"El Torito"可引导的CD盘(如果路由器的BIOS是否支持这个类型启动的介质时那你可能需要另外检查); AT, PS/2或USB 键盘;VGA-兼容的视频控制卡和监视器.
 Floppy-基于网络的安装-标准的AT软盘控制器和3.5\'\'软盘设备作为第一个软驱连接的设备;MikroTik RouterOS支持的PCI总线以太网咯接口卡(详见设备驱动列表)
 Full network-基于完全的网络安装- MikroTik RouterOS支持的PCI总线以太网咯接口卡((详见设备驱动列表)与PXE或可以引导网卡的ROM(如果你的路由器BIOS的列表支持启动你的网路卡你需要另外检查)注意如果你使用网络安装,你在安装期间必须有软件的安装许可(在下一节中有详细的描述怎么使用它).  

在专用的PC路由器从你创建的安装介质上启动你的安装并且在MikroTik RouterOS
的控制台屏幕上要求你的HDD是被重新格式化的.在成功安装了此软件后它提示你移除从你的CD盘或软盘并按下\'Enter\'重启你的路由器.
4. 软件的许可证.
但重新引导后, 这软件许可证允许你使用此软件所有功能只有24小时. 如果你在使用期间没有输入新的软件许可证,它将停止工作,直到你重新输入软件许可证.
RouterOS 许可证是以软件IDs认证为基础的. 为了得到许可证, 你必须知道软件的 ID号. 它是软件在安装期间被显示的, 你也可以通过系统控制台或Winbox. 去取得软件的ID .
从控制台的命令是: /system license print
(注意 t这个ID是记录到你的路由器中; 通过这个缺省的用户: admin 没有密码 (在passwrod提示符下键入 [Enter]键. 你能获得一个ID:看到这部分一旦你有个ID,可以在以下部分配置这台路由器,.
 你可以有一个和存在我们的服务器帐户上一样的帐号.如果你在 ww.mikrotik.com没有帐号, 你可以在MikroTik\'s 主页上创建一个帐户.
 根据你的需要选择合适的许可证. 请看License Manual 或Software price list. 注意 这有一个自由的许可证但有功能上的限制 (没有时间限制)  
 你可以在我们帐号服务器上用不同的方法取得软件许可证:
1.键入软件的 ID进入帐号服务器, 并通过 e-mail取得软件ID. 你可以上传文件到你路由器的FTP服务器, 或用Winbox
2. 你可以用一个编辑器来打开这个文件, 并复制内容. 粘贴这个文件到系统的控制台(你正好登陆到系统内的任一菜单中), 或你输入命令 system->License 的窗口中或 Winbox.
3. 如果这台路由器已连接到Internet, 你可以直接的从我这里获得软件许可协议. 这个命令描述是在 License Manual里. 注意
你肯定已经允许在网路安装时使用我的帐号和为你的帐号已启用了.你能将它放在帐号服务器者的主要屏幕上的信息链接由以后变化的用户
注意
在安装期间硬盘将全部被重新格式化并且在它上的所有数据将被删除丢失!MikroTik RouterOS在安装一个新的硬件设备将丢失一个软件许可证,但是你不能把RouterOS移动到不通的硬盘上你必须要重新购买另外的许可证(除了硬件有问题的状况).附加的信息可以些邮件到key-support@mikrotik.com.
注意!重新安装你的MikroTik路由器时不要使用MS-DOS操作系统形式的命令或另外的格式的磁盘! 这将引起改变你的软件-ID,因此你需要另外的许可证运行在你MikroTik路由器上
登陆到 MikroTik 路由器中
描述
当你通过一台终端登陆到路由器中, 将呈现出 MikroTik RouterOS 的登陆提示符.. 用户明是 \'admin\' 没有密码 (按\'Enter\') 在第一时间内登陆到路由器中.
实例:
MikroTik v2.8
Login: admin
Password:
使用这条命令来改变你密码 /password command.
[admin@MikroTik] > password
old password:
new password: ************
retype new password: ************
[admin@MikroTik] >

添加软件包
描述
最初的安装只包括系统软件包. 它包括基本的IP路由和路由器管理.
想得到更多的功能像 IP 电话, OSPF, 无线网等,你需要下载 添加软件包.
这附加的软件包必须是和系统软件包的版本是一样的. 如果不是, 这个包将不能安装. 请参考 MikroTik RouterOS 软件包的安装和更新手册 至于更夺得详细的安装说明请看安装附加的软件包.
升级路由器的软件包, 通过ftp上传简单的软件包, 使用二进制传输模式.你上传软件包以后, 重启你的路由器, 并且那些软件包提供的功能是可用的.(当然是关于你的许可证的类型).
终端控制台导航
描述
屏幕欢迎提示和命令提示符
以后你每次登陆到路由器这个 MikroTik RouterOS 屏幕欢迎提示和命令提示符都会呈现在你面前,实例:
MIKROTIK
MikroTik RouterOS 2.8 (c) 1999-2004 http://www.mikrotik.com/
Xterm 终端检测,使用多行输入模式
[admin@MikroTik] >
这个命令在你的路由器上和路由器菜单的级别提示符显示的是等同的用户名,
实例:
[admin@MikroTik] > ----------- 基本的菜单级别提示符
[admin@MikroTik] interface> Interface management
[admin@MikroTik] ip address> IP address manangement  
命令
输入””将列出当前提示符和菜单级别下所有你可获得使用的命令,
实例: 证书管理
设备驱动管理
当地路由器文件的存储.
导入,导出运行配置的脚本

[admin@MikroTik] >
Certificate----------证书管理
Driver---------------设备管理
File------------------当地路由器文件的存储
interface ------------接口配置
log ------------------系统记录
password ------------改变密码
ping ----------------发送,回送ICMP数据包
port -----------------串行端口
quit ----------------退出控制
radius---------------Radius客户机设置
redo------------------- Redo previosly undone action
setup ----------------基本的系统设置
snmp -----------------SNMP 设置
special-login-----------专用的登陆用户
undo----------------- 取先前的效果
user-------------------用户管理
ip--------------------- IP 选项
queue ----------------------带宽管理
system------------------- 系统信息和有效的程序
tool----------------------- 诊断工具
export --------------------显示或保存导出的脚本那是用来恢复的  

配置
[admin@MikroTik] >
[admin@MikroTik] ip>
accounting ------------------------交通统计
address ---------------------------地址管理
arp ---------------------------ARP 进入管理
dns ------------------------DNS 设置
firewall ------------------防火墙管理
neighbor ---------------------邻居
packing ---------------------数据打包设定
pool -------------------------IP地址池
route----------------------- 路由管理
service ---------------------IP 服务
policy-routing ----------------路由政策
upnp ------------------------- Universal 即插即用
vrrp------------------------虚拟路由沉余协议
socks ----------------------SOCKS 版本4代理
hotspot-------------------- HotSpot 管理
ipsec ------------------IP安全
web-proxy -----------------HTTP 代理
export------------------------显示或保存导出的脚本那是用来恢复的configuration
[admin@MikroTik] ip>
列出可用的命令和菜单并有简短的描述到下一个项目.
你可以移到你想到的那层菜单通过键入它的命令名和敲入这个 [Enter] ,
实例:
[admin@MikroTik] > 基层的菜单
[admin@MikroTik] > driver / 键入 \'driver\' 可以移动到设备这层菜单
[admin@MikroTik] driver> / 键入 \'/\' 从任一层返回基层的菜单
[admin@MikroTik] > interface /键入 \'interface\' 移动到接口这层菜单
[admin@MikroTik] interface> /ip /键入 \'/ip\'移动到IP这层菜单
[admin@MikroTik] ip>
一个命令或如果它是不完整的.
实例,
输入这个命令 interface你可以输入in 或 int. 然后按 [Tab]键即可自动输入完整的命令.这个命令可以从菜单层调用, 在它们位于的地方, 通过键入这个名字. 如果指令是在不同的菜单层,如果你想调用它要使用它的完整的路径,
例如:
[admin@MikroTik] ip route> print /显示路由表
[admin@MikroTik] ip route> .. /地址显示和显示这IP地址表
[admin@MikroTik] ip route> /IP地址显示和显示这IP地址表
这个命令可能有参数. 参数有它们的名字和价值.有些命令,可能会有参数但没有名字
摘要在执行命令和导航菜单
命令作用
command [Enter] 执行这个命令
[] 显示出所有可用的命令列表
command [] 在命令和列表参数显示帮助
command argument [] 命令参数显示帮助

[Tab] 完善命令/字符. 如果你不明确输入, 另一个 [Tab] 显示可能有选择
/ 移动到基本的菜单层
/命令字--------- 执行这层的命令
.. 移动到另一层
"" 指定空的字符串
"word1 word2"规定一串2个词或包含空的
你在这层可以用缩写名字.命令或参数像IP地址的配置, 而不是使用 \'address\'和\'netmask\' 参数,在多数情况下 你可以指定地址加上数字代理网络掩码, 没有必要分开指定 \'netmask\'. 因此,下面两种输入的方式是等同的:
/ip address add address 10.0.0.1/24 interface ether1
/ip address add address 10.0.0.1 netmask 255.255.255.0 interface ether1
注意
在地址参数中你必须指定网络掩码的大小, 即使它是32-bit 的子网, 使用 10.0.0.1/32 代替 address=10.0.0.1 netmask=255.255.255.255
基本的配置作业
描述
接口管理
以后配置这个 IP地址和路由请检查这个 /interface 菜单查看可用的接口列表.如果在路由器中安装了即插即用的网卡, 多数设备驱动都会自动载入系统中, 和有关的接口都会出现在 /interface print 命令列表中,
实例:
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running  
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
2 X wavelan1 wavelan 0 0 1500

3 X prism1 wlan 0 0 1500
[admin@MikroTik] interface>
如果你想使用它通讯,你必须打开这个接口.. 使用这个 /interface enable name 命令打开接口并给出名字,编号.
实例:
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 X ether1 ether 0 0 1500
1 X ether2 ether 0 0 1500
[admin@MikroTik] interface> enable 0
[admin@MikroTik] interface> enable ether2
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
[admin@MikroTik] interface>
用来改变一个或多个接口的名字使用 /interface set 命令:
[admin@MikroTik] interface> set 0 name=Local; set 1 name=Public
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Local ether 0 0 1500
1 R Public ether 0 0 1500
[admin@MikroTik] interface>  
使用这个 \'setup\'命令
通过这个初始设置就可以完成路由器的简单设置,这个 /setup 命令可以打开接口,分配地址/网路掩码,配置缺省的路由. 如果你没有使用 setup 命令, 而且需要修改/添加设定地址和路由,请使用以下几步描述.
注释
载入的设备是 NE2000 或兼容的 ISA 网卡你需要在/drivers 菜单下使用add 命令. 实例, 装入网卡的 IO 地址 0x280 和 IRQ 5, 输入完整的命令:
[admin@MikroTik] driver> add name=ne2k-isa io=0x280
[admin@MikroTik] driver> print
Flags: I - invalid, D - dynamic
# DRIVER IRQ IO MEMORY ISDN-PROTOCOL
0 D RealTek 8139
1 D Intel EtherExpressPro
2 D PCI NE2000
3 ISA NE2000 280
4 Moxa C101 Synchronous C8000
[admin@MikroTik] driver>
There are some other drivers that should be added manually.
请阅读手册的部分章节, 详细的说明请参照如何装载设备.
基本的实例
假定在以下的网络设置中你需要配置这台 MikroTik 路由器:在当前的实例中我们使用两快网卡:
 当地的网卡IP地址是 192.168.0.0 和24-bit 网络掩码: 255.255.255.0. 路由器地址是在 192.168.0.254 网络中.

 ISP\'s 网络地址是 10.0.0.0 和 24-bit网络掩码255.255.255.0. 路由器地址是在10.0.0.217 网络中 在以下命令中观察和使用这个地址是如何添加的:
[admin@MikroTik] ip address> add address 10.0.0.217/24 interface Public
[admin@MikroTik] ip address> add address 192.168.0.254/24 interface Local
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.217/24 10.0.0.217 10.0.0.255 Public
1 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
[admin@MikroTik] ip address>
这里, 这个地址参数的网络掩码的范围必须在指定的范围之内.
作为选择, 这个参数 \'netmask\' 这个值可以用 \'255.255.255.0\'代替. 这个网路和广播地址不用提前指定在你输入时因为它可以自动计算.
请注意路由器在不同的网路这个地址分配给不同的接口.
观察路由
你可以看到两个动态dynamic (D) and 已连接connected (C) 路由,
当地址已添加了上面那个会自己添加. 在上面的这个例子:
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,  
C - connect, S - static, R - rip, O - ospf, B - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE(目的地址 G-网关经过接口)
0 DC 192.168.0.0/24 r 0.0.0.0 0 Local
1 DC 10.0.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route> print detail (打印详情)
Flags: X – disabled(禁止), I – invalid(无效的), D – dynamic(动态的),

J - rejected,(丢弃)C – connect(连接), S – static(静态),
R - rip, O - ospf, B - bgp
0 DC dst-address=192.168.0.0/24 preferred-source=192.168.0.254
gateway=0.0.0.0 gateway-state=reachable distance=0 interface=Local
1 DC dst-address=10.0.0.0/24 preferred-source=10.0.0.217 gateway=0.0.0.0
gateway-state=reachable distance=0 interface=Public
[admin@MikroTik] ip route>
显示这些路由, 这些 IP数据包到达目的地址10.0.0.0/24是通过 Public 接口发送, 然而IP 数据包到达目的地址 192.168.0.0/24 是通过 Local 接口发送.
然而,你需要指定数据包应该向那个路由器转发,那个目的地不同的网络直接连接到这台路由器上.
添加缺省路由
在以下这个缺省的路由器 (destination 0.0.0.0 (any), netmask 0.0.0.0 (any)) 将要添加.
在这种情况下它是ISP\'s 网关 10.0.0.1, 通过这个 Public 接口到达.
[admin@MikroTik] ip route> add gateway=10.0.0.1
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, R - rip, O - ospf, B - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE  
0 S 0.0.0.0/0 r 10.0.0.1 1 Public
1 DC 192.168.0.0/24 r 0.0.0.0 0 Local
2 DC 10.0.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route>
在这,这个缺省的路由列表是 #0. 像我们看到的, 这个网关 10.0.0.1 可以通过这个 \'Public\' 接口到达.如果这个网关指定是不正确的, 这个值在这个参数\'interface\' 是不知的.
注意
你不能添加两条路由到相同的目的地, 目的地----地址/网路掩码! 它试用于缺省的路由.代替, 对于目的地你可以键入多条网关.至于更多的信息请在IP 路由中, 请阅读 Routes, Equal cost Multipath Routing, Policy Routing 手册.
如果你偶然的添加了不必要的静态路由, 使用这个 remove 命令删除一条不必要的路由. 你不能删除动态的(DC) 路由.
他们被自动的添加并描绘出路由器直接连接到这个网络中.
测试这个网路连接
从现在开始, 这个 /ping 命令可以在两者的端口测试网路的连通性.
在这个路由器连接的网络中你可以到达任一台主机.
/ping 命令工作的方式:
[admin@MikroTik] ip route> /ping 10.0.0.4
10.0.0.4 64 byte ping: ttl=255 time=7 ms
10.0.0.4 64 byte ping: ttl=255 time=5 ms
10.0.0.4 64 byte ping: ttl=255 time=5 ms

3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 5/5.6/7 ms
[admin@MikroTik] ip route>
[admin@MikroTik] ip route> /ping 192.168.0.1
192.168.0.1 64 byte ping: ttl=255 time=1 ms
192.168.0.1 64 byte ping: ttl=255 time=1 ms
192.168.0.1 64 byte ping: ttl=255 time=1 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 1/1.0/1 ms
[admin@MikroTik] ip route>
这台工作站和膝上型电脑能够达到 (ping)在本地地址192.168.0.254的路由器, 如果这路由器的地址192.168.0.254 是当作缺省网关必须在这台工作站和膝上型电脑的TCP/IP 配置中指定.
当你ping这台路由器:
C:\\>ping 192.168.0.254
Reply from 192.168.0.254: bytes=32 time=10ms TTL=253
Reply from 192.168.0.254: bytes=32 time<10ms TTL=253
Reply from 192.168.0.254: bytes=32 time<10ms TTL=253
C:\\>ping 10.0.0.217
Reply from 10.0.0.217: bytes=32 time=10ms TTL=253
Reply from 10.0.0.217: bytes=32 time<10ms TTL=253
Reply from 10.0.0.217: bytes=32 time<10ms TTL=253

C:\\>ping 10.0.0.4
Request timed out.
Request timed out.
Request timed out.
注意
你不能够接入到远程的路由器 (network 10.0.0.0/24 and the Internet),
除非你作了下列各向项之一:
 这使用MikroTik 路由器把你的你私人的LAN 192.168.0.0/24 (看下面的说明) \'hide\'翻译 (冒充)成源网络地址, 或
 在ISP\'s 网关 10.0.0.1添加静态的路由, 那指定的网咯主机 192.168.0.0/24 的网关是 10.0.0.217. 然后ISP上所有上的主机,包括服务器, 都能于这个LAN中的主机连通.

为要建立路由,它必须要求你懂得更多的TCP/IP 网路配置知识.如果你在配置你的网路计划中有困难,这http://www.private.org.il/tcpip_rl.html.有广泛的IP资源内容是由 Uri Raz 编译的.我们强烈的支持您获得更多的知识,.
高级的配置作业
描述
下一个我们讨论的情形是用 ISP给定的一个地址10.0.0.217.\'hiding\' 私人 LAN 192.168.0.0/24 \'behind\' .
应用实例 with Masquerading
如果你想用 ISP给定的一个地址10.0.0.217.\'hiding\' 私人 LAN 192.168.0.0/24 \'behind\' , 你应该使用MikroTik路由器的源网路地址翻译(masquerading) 特点. 如果你访问ISP的网络和Internet时在ISP的网络中出现的所有的请求都是来自主机 10.0.0.217, 冒充是有用的.当数据包通过网路192.168.0.0/24 到这个地址的 10.0.0.217 路由器时, 这个冒充将改变这个数据包的源 IP 地址和端口.伪装转换要求的全球的IP地址的数字并且它让整个的网路使用一个单个的IP地址连接到世界的网路.为了使用冒充, 和激活\'masquerade\'都必须添加一条源 NAT 规则到防火墙.
配置:
[admin@MikroTik] ip firewall src-nat> add action=masquerade out-interface=Public
[admin@MikroTik] ip firewall src-nat> print  
Flags: X - disabled, I - invalid, D - dynamic
0 out-interface=Public action=masquerade src-address=192.168.0.0/24
[admin@MikroTik] ip firewall src-nat>
注意
在使用冒充时更多的说明请参考 Network Address Translation.  

带宽管理实例
假如你想限制在LAN中所有的主机的带宽下载时128kbps上传是64kbps
带宽限制是在你的流量控制中稳妥的使用于输出接口队列.
它可以添加一条充足得队列到你的MikroTik路由器.
[admin@MikroTik] queue simple> add max-limit=64000/128000 interface=Local
[admin@MikroTik] queue simple> print
Flags: X - disabled, I - invalid, D - dynamic
0 name="queue1" target-address=0.0.0.0/0 dst-address=0.0.0.0/0
interface=Local queue=default priority=8 limit-at=0/0
max-limit=64000/128000
[admin@MikroTik] queue simple>
作为整体由缺省值的其他的另外参数.限制时到本地网的值近似128kbps(下载)和到达客户机的本地网64kbps(上传).
NAT的应用实例
假如 ,我们移动我们的服务器在我们私人的实例从公用的网路到我们当地的网路:
这个服务器的地址是192.168.0.4,并且我们运行web服务器它监听这个TCP的80端口 我们需要获得一个可以可到达的访问Internet的地址和端口10.0.0.217:80.
在MikroTik的路由器中他可以通过这种方法实现网路地址的翻译(NAT).这个Public的地址10.0.0.217:80 能够翻译成Local地址192.168.0.4:80任何目的NAT 规则都要求翻译成这个目标地址和端口:  
[admin@MikroTik] ip firewall dst-nat> add action=nat protocol=tcp \\
dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4
[admin@MikroTik] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=10.0.0.217/32:80 protocol=tcp action=nat
to-dst-address=192.168.0.4
[admin@MikroTik] ip firewall dst-nat>
注意
在网咯地址转换请参考 Network Address Translation 中更多的说明.

5．日志管理

1 路径：/system logging

2 功能

记录方式定义：facility，分为local，remote，none 三类，对应本地记录、远程记录、不记录。记录内容：facility，共分为16 种日志信息。[admin@RouerOS] system logging facility> pri # FACILITY LOGGING PREFIX REMOTE-ADDRESS REMOTE-PORT 0 Firewall-Log remote firewall 172.16.1.254 514 1 PPP-Account none 2 PPP-Info none 3 PPP-Error none 4 System-Info none 5 System-Error none 6 System-Warning none 7 Telephony-Info none 8 Telephony-Error none 9 Prism-Info none 10 ISDN-Info none 11 Hotspot-Account none 12 Hotspot-Info none 13 Hotspot-Error none 14 IPsec-Warning none 15 IKE-Info none

5.3 命令示例：  

/system logging set 0 logging=remote remote-address=172.16.1.254 remote-port=514

5.4 为了将日志信息分类，以便于LOG 服务器分析处理，可以设置log 信息的“prefix”

参数，对不同的日志信息进行标示。  

/ system logging facility set Firewall-Log logging=remote prefix="fw" remote-add=172.16.1.254 remote-p=514 set PPP-Account logging=remote prefix="pppoe" remote-add=172.16.1.254 remote-p=514  

日志信息一定不要设置成写在本地FLASH 中，否则，MT2 的性能将显著下降。  

6．机器名称管理

1 路径：/system identity

2 功能：设置/修改系统名  

6.3 示例：/system identity set name=gggggg

7．系统时间设置

1  路径：/system clock  

2  功能：设置系统时间和时区  

8. 系统热启动  

/system reboot

三．物理接口的配置管理

1．进入接口子路径：  

[admin@RouerOS] interface ethernet> enable  

2．端口使能与禁用：  

[admin@RouerOS] interface ethernet> enable <int_num>  

或使用命令：  

/int eth <int_num> disabled=yes(no)

1 禁用启动时检查网络端口状态：

2 修改端口名称

[admin@RouerOS] interface ethernet> set <numbers> disable-running-check=yes(no)  

[admin@RouerOS] interface ethernet> set <numbers> name=(int-name)  

网管截屏：

四．查看当前配置

4.1 查看全部配置

/export 或/print  

4.2 查看子项配置  

如查看ip 子项的配置：/ip export  

或

/ip print

五．IP 参数配置

1. 路径：  

[admin@RouerOS] IP Address>  

2. 功能：  

配置IPAddress 、Route、Policy-routing 、DHCPclient 、DNS、Firewall、Hotspot 、IPPool 、IP Service 等等。IP 参数配置命令：  

3. 配置IP 地址及路由  

3.1 配置IP Address：[admin@RouerOS] ip address>  

add addr=61.155.135.1 netm=255.255.255.252 int=eth3 删除IP Addr：ip address> remove <numbers> # numbers=执行print 命令后显示的内容中的“Flags”项。

3.2 路由配置

ip route> add dst-address=0.0.0.0/0 preferred-source=0.0.0.0 \ gateway=10.255.255.1 distance=1 comment="" disabled=no  

删除某条静态路由：  

ip route> remove <numbers>  

3.3 基于源地址的策略路由

假设某网络有3 个出口。主出口到吉通网，网关是10.255.255.1/24，PPPoE 源地址池为  

172.16.1.0/24；第二出口到网通网，网关是192.168.1.1/24，PPPoE 源地址池是172.16.1.0/24；[admin@RouerOS] ip policy-routing>  

a) 新建路由表名：

ip policy-routing> add name=jitong

可用print 命令查看结果：  

b) 进入路由表：  

[admin@RouerOS] ip policy-routing table jitong> 添加路由项（命令见上述第3.2 项）配置结果示例如下：

c) 配置策略路由规则：[admin@RouerOS] ip policy-routing rule> add dst-a=0.0.0.0 dst-n=0.0.0.0 src-a=172.16.2.0 src-netmask=255.255.255.0 act=lookup inte=all flow=wt table=wangtong  

配置结果示例：  

# 除Table main 外，其它路由表中的路由策略必须配置Flow 参数（见上表）。  

§策略路由也可用下面的方法配置：

ip policy-routing table jitong add dst-address=0.0.0.0/0 gateway=192.168.1.1 preferred-source=0.0.0.0 \ comment="" disabled=no / ip policy-routing table main add dst-address=0.0.0.0/0 gateway=10.255.255.1 preferred-source=0.0.0.0 \ comment="" disabled=no  

1 基于目的地址的策略路由

2 配置Firewall

建议用GUI 终端配置Firewall 。针对某种应用的更详细的配置参见本手册后面的“防火墙配置”章节。  

4.1 防火墙对包的处理方式

/ ip firewall
set input name="input" policy=accept comment=""
set forward name="forward" policy=accept comment=""
set output name="output" policy=accept comment=""

4.2 配置mangle（策略路由用到）

/ ip firewall mangle add src-address=172.16.1.0/24:0-65535 in-interface=all \ dst-address=0.0.0.0/0:0-65535 protocol=all tcp-options=any \ icmp-options=any:any flow="" src-mac-address=00:00:00:00:00:00 \ limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=ji \ tcp-mss=dont-change comment="" disabled=no add src-address=172.16.2.0/24:0-65535 in-interface=all \ dst-address=0.0.0.0/0:0-65535 protocol=all tcp-options=any \ icmp-options=any:any flow="" src-mac-address=00:00:00:00:00:00 \ limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow="" \ tcp-mss=dont-change comment="" disabled=yes  

4.3 开放防火墙端口

/ ip firewall service-port set ftp ports=21 disabled=no set irc ports=6667 disabled=yes  

4.4 配置NAT

/ ip firewall src-nat
add src-address=172.16.1.0/24:0-65535 dst-address=0.0.0.0/0:0-65535 \
out-interface=eth0 protocol=all icmp-options=any:any flow=ji \
limit-count=0 limit-burst=0 limit-time=0s action=masquerade \
to-src-address=172.16.1.3-172.16.1.254 to-src-port=0 comment="" \
disabled=no
add src-address=172.16.2.0/24:0-65535 dst-address=0.0.0.0/0:0-65535 \
out-interface=eth1 protocol=all icmp-options=any:any flow="" \
limit-count=0 limit-burst=0 limit-time=0s action=masquerade \
to-src-address=172.16.2.3-172.16.2.254 to-src-port=0 comment="" \
disabled=no

§src-nat（原地址转换）是将数据包中的原地址进行转换；  

§dst-nat（目的地址转换）是将数据包中的目的地址进行转换。它用于让互联网用户访问私网内部的服务器（如WEB server 、FTP server），对私网上的WEB 服务器IP 进行重定向。  

§如果action 选择masquerade （地址伪装），则to-src-address 不用设置！该选项是指将用户地址转换为该指定的地址，而不是public 端口的地址。  

5. 配置IP Service，限定远程管理RouerOS 的地址和方式  

/ ip service set telnet port=23 address=0.0.0.0/0 disabled=no set ftp port=21 address=0.0.0.0/0 disabled=no set www port=80 address=0.0.0.0/0 disabled=no set hotspot port=8088 address=0.0.0.0/0 disabled=no / ip policy-routing add name="jitong"  

6. 配置Hotspot（WEB 认证）  

/ ip hotspot  

set hotspot-address=(ip_addr) status-autorefresh=1m auth-mac=no \
auth-mac-password=no auth-http-cookie=no http-cookie-lifetime=1d
/ ip hotspot profile
set default name="default" session-timeout=0s idle-timeout=0s only-one=yes \
tx-bit-rate=0 incoming-filter="" outgoing-filter=""
/ ip hotspot radius-client
set enabled=no accou=yes primary-serv=(ip_addr) secondary-serv=(ip_addr)\
shared-secret="" authentication-port=1812 accounting-port=1813 \
interim-update=0s  

7. 配置IP Pool

/ ip pool add name="jitong" ranges=172.16.1.3-172.16.1.254 add name="dianxin" ranges=172.16.2.3-172.16.2.254

8. 启用NAT 后的策略路由配置

应用拓扑见下面的示意图。某校园网络有教育和电信两个出口，网关分别是：202.10.68.1 和

211.99.52.129。首先按正常情况配置好IP 地址、基本路由、防火墙、NAT 等。基本路由配置如下（即主路由表main）：[admin@RouerOS] ip route> pr Flags:X -disabled,I -invalid,D -dynamic,J -rejected,C -connect,S -static, r - rip, o - ospf, b -bgp

#
 DST-ADDRESS
 G GATEWAY
 DISTANCE
 INTERFACE
 
0
 S 0.0.0.0/0
 r 211.99.52.129
 1
 eth0
 
1
 S 10.10.4.0/24
 r 10.10.1.2
 1
 cdjw
 
2
 DC 211.96.0.0/14
 r 0.0.0.0
 0
 eth0
 
3
 DC 202.116.68.0/22
 r 0.0.0.0
 0
 eth1
 
4
 DC 10.255.254.0/29
 r 0.0.0.0
 0
 eth3
 
5
 DC 10.10.1.0/24
 r 0.0.0.0
  0
 cdjw
 
6
 DC 10.5.4.0/22
 r 0.0.0.0
 0
 v12
 

一个策略路由配置实例  

8.1 在/ip policy-routing 下建多个路由表  

其中“main”表为系统根据在/ip route 中配置的路由自动生成的。  

[leitcomm@RouerOS] ip policy-routing> add ?

Creates new item with specified property values. copy-from Item number name The name of the routing table  

[leitcomm@RouerOS] ip policy-routing> pri

Flags: D - dynamic
# NAME
0

jiaoyu 1 D main 这里“jiaoyu”表的配置如下：  

[leitcomm@RouerOS] ip policy-routing> tab jiao [leitcomm@RouerOS] ip policy-routing table jiaoyu> pri  

Flags: X - disabled, I - invalid, D - dynamic, R - rejected
 
# TYPE DST-ADDRESS G GATEWAY DISTANCE INTERFACE
 
0 static 0.0.0.0/0 r 202.116.68.1 1 eth1
 
8.2 建立策略路由规则
 
[leitcomm@RouerOS] ip policy-routing rule> add ？
 
Creates new item with specified property values.
 
action Rule action
 
comment Set comment for items
 
copy-from Item number
 
disabled Defines whether the rule is disabled or not
 
dst-address Destination address
 
dst-netmask Destination mask
 
flow Flow mask of the packet to be mached by this rule
 
interface The name of the interface
 
place-before Item number
 
src-address Source address
 
src-netmask Source mask
 
table Routing table
 
[leitcomm@RouerOS] ip policy-routing rule> pri
 
Flags: X - disabled, I - invalid
 
# SRC-ADDRESS DST-ADDRESS INTERFACE FLOW ACTION  
 TABLE
 
0 0.0.0.0/0 202.10.68.49/32 all lookup
 main
 
1 0.0.0.0/0 0.0.0.0/0 all jiaoyu lookup
 jiaoyu
 
2 0.0.0.0/0 0.0.0.0/0 all lookup
 main
 
注意为使用指定的路由表打上flow 标记。
 
 
8.3 在防火墙src-nat 中配置相应规则
 
 
[leitcomm@RouerOS] ip firewall src-nat> pri
 
 
Flags: X - disabled, I - invalid, D - dynamic 
 
0 src-address=172.16.0.0/22:0-65535 dst-address=0.0.0.0/0:0-65535 out-interface=eth0 protocol=all icmp-options=any:any flow="" connection="" content="" limit-count=0 limit-burst=0 limit-time=0s action=nat to-src-address=211.96.14.194 to-src-port=0-65535 1src-address=0.0.0.0/0:0-65535dst-address=0.0.0.0/0:0-65535out-interface=eth1 protocol=all icmp-options=any:any flow=jiaoyu connection="" content="" limit-count=0 limit-burst=0 limit-time=0s action=nat to-src-address=202.116.68.49 to-src-port=0-65535 注：action 选nat，到非缺省目的地的路由flow 要标记。并定义to-src-address。  

2 ;;; masquerade hotspot temporary network src-address=192.168.0.0/22:0-65535 dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=all icmp-options=any:anyflow=""connection=""content=""limit-count=0limit-burst=0 limit-time=0s action=nat to-src-address=211.96.14.194 to-src-port=0-65535 3 ;;; masquerade hotspot network src-address=10.5.4.0/22:0-65535 dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=all icmp-options=any:anyflow=""connection=""content=""limit-count=0limit-burst=0 limit-time=0s action=nat to-src-address=211.96.14.194 to-src-port=0-65535

8.4 配置防火墙mangle

[leitcomm@RouerOS] ip firewall mangle> pri Flags: X - disabled, I - invalid, D - dynamic 0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=202.116.68.49/32:0-65535 protocol=all tcp-options=any icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow="" tcp-mss=dont-change mark-connection="" 1 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=202.112.0.0/16:0-65535 protocol=all tcp-options=any icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=jiaoyu tcp-mss=dont-change mark-connection="" 2 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=116.111.0.0/16:0-65535 protocol=all tcp-options=any icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=jiaoyu tcp-mss=dont-change mark-connection="" 3 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=202.117.0.0/16:0-65535 protocol=all tcp-options=any icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=jiaoyu tcp-mss=dont-change mark-connection="" 4 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=202.116.0.0/16:0-65535 protocol=all tcp-options=any icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=jiaoyu tcp-mss=dont-change mark-connection="" 5 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=162.105.0.0/16:0-65535 protocol=all tcp-options=any icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=jiaoyu tcp-mss=dont-change mark-connection=""

注：必须针对每一目的地址段做mangle 策略。

我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计

我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行

3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.

8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.

我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.

本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.

实践篇

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw  
.ida  
.idq  
.htr  
.idc  
.shtm
.shtml
.stm  
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators  全部权限
system  全部权限
单独建立的用户(或者IUSER)  选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.

10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改    成功,失败
审核系统事件    成功,失败
审核帐户登陆事件    成功,失败
审核帐户管理    成功,失败

        你可曾遇到过使用Windows自带的UPDATE下载补丁速度非常慢，往往要等待3小时以上甚至更多呢？这还仅仅局限在关键更新上，要是把驱动和非关键更新也下载的话需要的时间会更长。如果公司只是在一个内网中员工计算机不容许上网的话你又是如何保证他们的补丁是最新的呢？恐怕使用默认的UPDATE都不能实现这些功能。
　　
　　微软替我们想出了一个办法——使用WSUS。通过WSUS我们可以建立一个内部的UPDATE服务器，让公司的计算机直接到这台UPDATE服务器上下载补丁，使得更新补丁时间大大缩短，提高了安全性。另外对于没有连到INTERNET的计算机只要在内网中可以访问这台UPDATE服务器也可以随时安装最新的补丁，有效的防止了漏洞型病毒在内网的传播。
　　
　　一、Windows Server Update Services介绍
　　
　　WSUS（Windows Server Update Services）是微软公司继SUS（Software Update Service）之后推出的替代SUS的产品。目前版本为2.0。想必有的网络管理员使用过SUS，那么WSUS具有哪些主要新特性呢？
　　
　　（1）支持对更多微软产品进行更新，除了Windows，还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布，而SUS只支持Windows系统。
　　
　　（2）支持更多的语言包括中文。
　　
　　（3）使用2.0版的后台智能传输服务，比SUS更好的利用了网络带宽。
　　
　　（4）对客户机的管理更加强大，可以对不同客户机分配不同的用户组，对不同组分配不同的下载规则。
　　
　　（5）在设置和管理上比SUS更加简单直观。
　　
　　如果你的网络要升级的客户端小于500台计算机的话需要WSUS服务器硬件最小是750MHz主频的处理器以及512MB内存，当然还需要有充足的硬盘空间来保存更新程序的安装文件。
　　
　　二、部署Windows Server Update Services
　　
　　理论上的说教效果不好，所以笔者将设定一个应用环境为大家讲解如何安装及配置WSUS服务器以及如何设置客户端通过这个WSUS服务器下载补丁。
　　
　　Windows Server Update Services　小档案：
　　软件版本：2.0正式版
　　软件大小：　 124MB
　　软件语言：多国语言
　　软件平台： Win2000/2003 Server
　　软件授权：共享软件
　　下载地址： http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
　　
　　实战：在企业内网建立WSUS服务器容许客户机通过这个服务器更新补丁
　　
　　任务描述：笔者所在公司的网络处于教育网，客户机连接微软官方的UPDATE站点速度很慢，更新补丁时间比较长，为了提高公司网络的安全，加快补丁更新速度选择一台服务器通过WSUS建立一个公司内部的UPDATE站点，让所有员工计算机到这个UPDATE站点更新补丁。服务器名称为softer。
　　
　　准备工作：由于软件需要很多必备组件,如果在Win2000server上安装WSUS则需要安装这些组件,而这些组件都是默认安装在Windows2003上的,所以笔者建议大家使用2003部署WSUS服务器。同时建议安装该服务器的服务器谨慎安装其它WEB网站。具体需求如图1。
　　

图1

　　实现方法：
　　
　　第一步：Win2003默认没有启用IIS服务，所以我们需要通过“控制面板->添加删除程序->添加删除Windows组件”，安装里面的“应用程序服务器”组件，安装的同时会把IIS添加到本地计算机。（如图2）
　　

图2

　　
　　第二步：下载WSUS并双击安装程序，程序将自动解压缩。（如图3）
　　

图3

　　
　　第三步：开始安装WSUS，所有步骤和安装普通软件一样。在出现选择安装路径的界面需要注意的是安装路径有6GB空间而且安装路径所在驱动器是NTFS格式的文件系统。（如图4）
　　

图4

　　
　　第四步：由于笔者的Win2003没有安装SQL SERVER，所以软件还会向计算机安装SQL SERVER桌面版。（如图5）
　　

图5

　　第五步：在网站设置窗口我们选择“使用现有IIS默认网站”即可，如果本地计算机还开启了其他站点服务，80端口被占用的话，选择下方的使用8530端口选项即可，不过实际中会造成使用的不方便。（如图6）
　　
　　

图6

　　
　　第六步：由于我们是独立的升级服务器而不是其他服务器的镜像站点，所以在镜像更新设置时不用选择。（如图7）
　　

图7

　　
　　第七步：开始安装WSUS到本地计算机。（如图8）
　　

图8

　　
　　第九步：接下来会出现输入正确的用户名和密码，我们直接输入Windows2003系统的管理员帐户和密码即可。
　　
　　第十步：第一次成功登录WSUS的界面后我们会在下方“待做事项列表”中看到“同步服务器，现在就开始”的显示信息。点该选项开始设置WSUS。（如图9）
　　
　　第八步：安装完毕后我们打开浏览器，使用http://localhost/wsusadmin访问WSUS的管理界面，当然直接输入计算机名或IP地址访问也是可以的，笔者输入http://softer/wsusadmin来访问。
　　
　　第九步：接下来会出现输入正确的用户名和密码，我们直接输入Windows2003系统的管理员帐户和密码即可。
　　
　　第十步：第一次成功登录WSUS的界面后我们会在下方“待做事项列表”中看到“同步服务器，现在就开始”的显示信息。点该选项开始设置WSUS。（如图9）
　　

图9

　　
　　第十一步：在同步选项设置界面可以提供给我们的参数比较多，由于篇幅有限这里不能详细讲解了。平常用到最多的是“计划”下的“手动同步”或“每天定时同步”。另外还有“产品和分类”下方的设置我们可以在产品处选择可供更新的产品种类，除了Windows，还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处也可以详细的设置提供下载的补丁类别，例如是否提供驱动程序的下载等信息。（如图10）
　　

图10

　　
　　第十二步：设置完“产品和分类”与“更新分类”后我们还需要选择更新的语言种类，在上面界面的最下方有一个“高级同步选项”，通过他我们可以设置更新的语言为中文（简体）。（如图11）
　　

图11

　　
　　第十三步：在图9界面左边点“开始同步”将启动服务器的同步功能，服务器将连接微软官方UPDATE服务器下载设置的补丁以便以后客户端更新用。（如图12）
　　

图12

　　
　　第十四步：大概等待2到3个小时就完成了补丁的更新，当然具体时间还是根据你选择的补丁数量决定的。由于笔者公司大部分都是Win2000操作系统，所以我只选择了更新2000补丁包及驱动程序。
　　
　　第十五步：仅仅下载完更新包还不能提供补丁更新服务，我们还需要对刚刚下载的安全和关键更新进行复查和批准。这时在待做事项列表中点“复查安全和关键更新”。（如图13）
　　

图13

　　
　　第十六步：在“更新”界面中我们将所有补丁选中，最简单的方法是按CTRL+A全选。选择完毕点左边“更新任务”下的“更改批准”。这样就会将刚刚下载的所有补丁进行批准安装。如果你不希望客户端下载某某更新则不选择该补丁名称即可。（如图14）
　　

图14

　　
　　第十七步：在“批准更新”窗口中我们在批准下拉选项中选择“安装”，然后确定即可。这样所有客户端就可以下载并安装刚刚批准的补丁了。至此服务器上的所有设置完毕。（如图15）
　　

图15

　　
　　第十八步：下面我们还需要对客户端的计算机进行设置，因为默认情况都是通过微软官方的UPDATE服务器下载补丁的。我们需要手动修改为刚刚建立的WSUS服务器的地址。首先通过“任务栏的开始->运行->输入gpedit.msc”启动组策略。
　　
　　小提示：如果公司内部使用的是域建立的网络，那么直接在域控制器上设置组策略即可。
　　
　　第十九步：在“本地计算机策略->计算机配置->管理模板”上点鼠标右键，选择添加删除模板。（如图16）
　　

图16

第二十步：通过“添加”按钮将Wuau模板加入到“当前策略模板”中。（如图17）
　　

图17

　　第二十一步：选择“本地计算机策略->计算机配置->管理模板->Windows组件->Windows update”，双击“配置自动更新”，然后选择自动更新补丁的类型。（如图18）
　　

图18

　　
　　第二十二步：在“本地计算机策略->计算机配置->管理模板->Windows组件->Windows update”中双击“指定Intranet Microsoft更新服务位置”，将刚刚建立的WSUS服务器地址进行添加，使用计算机名和IP地址都是可以的。（如图19）
　　

图19

　　
　　第二十三步：在客户机上通过“开始->运行->输入CMD”进入命令行模式。然后敲入wuauclt.exe /detectnow命令启动更新。（如图20）
　　

图20

　　
　　第二十四步：客户端启动了更新设置后我们就可以在服务器上通过管理界面看到这些客户端了。（如图21）当然所有的更新补丁安装补丁都是在后台进行的，我们在客户端上是不容易查觉的，要想了解客户端补丁安装情况只有通过服务器上的管理界面来查看。
　　

图21

　　
　　总结：经过这二十四步我们就完成了企业内部网络的Windows update服务器的建立，员工计算机可以连接这台服务器飞速下载并安装补丁了。只有补丁得到及时更新才能最大限度的防止漏洞病毒在内网的传播。

本文相关下载