端口概念

　　在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。

　　端口分类

　　逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

　　1. 按端口号分布划分

　　（1）知名端口（Well-Known Ports）

　　知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

　　（2）动态端口（Dynamic Ports）

　　动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。

　　不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

　　2. 按协议类型划分

　　按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

　　（1）TCP端口

　　TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

　　（2）UDP端口

　　UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。

　　查看端口

　　在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：

　　依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态（如图）。

　　小知识：Netstat命令用法

　　命令格式：Netstat －a －e －n －o －s

　　－a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。

　　－e 表示显示以太网发送和接收的字节数、数据包数等。

　　－n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。

　　－o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。

　　－s 表示按协议显示各种连接的统计信息，包括端口号。 

　　关闭/开启端口

　　在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

　　关闭端口

　　比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

　　开启端口

　　如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

　　提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。

　　常见网络端口

　　21端口

　　端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

　　在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

　　操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。

　　23端口

　　端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

　　操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

　　一、单纯的限制某些网站，不能访问，网络游戏（比如联众）不能玩，这类限制一般是限制了欲访问的IP地址。

　　对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的，一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。

　　二、限制了某些协议，如不能FTP了等情况，还有就是限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理。

　　这种情况可以用SOCKS代理，配合Sockscap32软件，把软件加到SOCKSCAP32里，通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏，可以考虑Permeo Security Driver 这个软件。如果连SOCKS也限制了，那可以用socks2http了，不会连HTTP也限制了吧。

　　三、基于包过滤的限制，或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN ，做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。

　　这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32，MSN就可以上了。 这类限制就不起作用了。

　　四、基于端口的限制，限制了某些端口，最极端的情况是限制的只有80端口可以访问，也就只能看看网页，连OUTLOOK收信，FTP都限制了。当然对于限制几个特殊端口，突破原理一样。

　　这种限制可以通过以下办法突破，1、找普通HTTP80端口的代理，12.34.56.78:80，象这样的，配合socks2http，把HTTP代理装换成SOCKS代理，然后再配合SocksCap32，就很容易突破了。这类突破办法中间走的代理未 加密。通通通软件也有这个功能。2、用类似FLAT软件，配合SocksCap32，不过所做的FLAT代理最好也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。

　　五、以上一些限制综合的，比如有限制IP的，也有限制关键字，比如封MSN， 还有限制端口的情况。

　　一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。

　　六、还有一种情况就是你根本就不能上网，没给你上网的权限或者IP，或者做IP与MAC地址绑定了。

　　两个办法：

　　1、你在公司应该有好朋友吧，铁哥们，铁姐们都行，找一个能上网的机器，借一条通道，装一个小软件就可以解决问题了，FLAT应该可以，有密钥，别人也上不了，而且可以自己定义端口。。其他能够支持这种方式代 理的软件也可以。我进行了一下测试，情况如下：局域网环境，有一台代理上网的服务器，限定了一部分IP， 给予上网权限，而另一部分IP不能上网，在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了，照样可以突破这个限制。

　　在局域网内设置一台能上网的机器，然后把我机器的IP设置为不能上网的，然后给那台能上网的机器装FLAT服务器端程序，只有500多K， 本机通过FLAT客户端，用SOCKSCAP32加一些软件，如IE，测试上网通过，速度很快，而且传输数据还是加密的，非常棒。

　　2、和网络管理员搞好关系，一切都能搞定，网络管理员什么权限都有，可以单独给你的IP开无任何限制的，前提是你不要给网络管理员带来麻烦，不要影响局域网的正常运转。这可是最好的办法了。

　　另外，在局域网穿透防火墙，还有一个办法，就是用HTTPTUNNEL，用这个软件需要服务端做配合，要运行httptunnel的服务端，这种方法对局域网端口限制很有效。

　　隐通道技术就是借助一些软件，可以把防火墙不允许的协议封装在已被授权的可行协议内，从而通过防火墙，端口转换技术也是把不允许的端口转换成允许通过的端口，从而突破防火墙的限制。这类技术现在有些软件可以做到，HACKER经常用到这类技术。

　　HTTPTunnel，Tunnel这个英文单词的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点， 就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包 括两个程序，htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.1.231，我本地的机器的IP是192.168.1.226，现在我本地因为防火墙的原因无法连接到 FTP上，现在用HTTPTunnel的过程如下：

　　第一步：在我的机器上（192.168.1.226）启动HTTPTunnel客户端。启动MS-DOS的命令行方式，然后执行htc -F 8888 192.168.1.231:80命令，其中htc是客户端程序，-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。

　　然后我们用Netstat看一下本机现在开放的端口，发现8888端口已在侦听。

　　第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令

　　“hts -f localhost:21 80”，这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

　　第三步：在我的机器上用FTP连接本机的8888端口，现在已经连上对方的机器了，快点去下载吧！

　　可是，人家看到的怎么是127.0.0.1而不是192.168.1.231的地址？因为我现在是连接本机的8888端口，防火墙肯定不会有反应，因为我没往外发包，当然局域网的防火墙不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控 制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。

　　需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口 在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的Web访问仍然走老路子，重定向的隧道服务也畅通无阻！

　　在IIS中，每个 Web 站点都具有唯一的、由三个部分组成的标识，用来接收和响应请求：

　　1、IP地址

　　2、端口号

　　3、主机头名。

　　在IIS中，在一个IP地址上建立多个独立的web站点，通常有两种方法，本文以以例子的形式介绍主机头法，使用这种方法可以建立起专业的虚拟主机。

　　环境:假设某公司用一台win2000服务器提供虚拟主机服务，地址是192.168.1.10。在这台服务器已经安装了Internet服务即IIS。

　　现在公司要求网络管理员在服务器上使用一个IP为A、B、C、D四个公司建立独立的网站,每个网站拥有自己独立的域名。四家网站域名分别为:www.a.com，www.b.com，www.c.com和www.d.com。

　　通过使用主机头，站点只需一个IP地址即可维护多个站点。客户可以使用不同的域名访问各自的站点，根本感觉不到这些站点在同一主机上。

　　具体操作如下：

　　1、在win2000服务器为四家公司建立文件夹，做为Web站点主目录。如下：

　　2、使用WEB站点管理向导,分别四家公司建立独立的WEB站点,四者最大的不同是使用了不同的主机头名。

　　以下是个表格：

　　在DNS中将这四个域名注册上，均指向同一地址:192.168.1.10.这样，客户端就可以通过分配指定目录：

　　www.a.com 访问A公司站点

　　www.b.com 访问B公司站点

　　www.c.com 访问C公司站点

　　www.d.com 访问D公司站点

　　3、每个站点的主机头名可以在WEB站点建立向导中设置，它与站点的IP地址，TCP端口在同一屏上。也可能通过该站点->“属性”->“WEB站点”标签->选IP地址右边的"高级"按钮，跳出“高级多WEB站点配置”进行配置。

　　 这种方法建立可以建立专业的虚拟主机，几乎所有使用IIS提供虚拟主机的公司都这样做的。

4、系统安装成功，系统会自动在系统盘新建网站目录，默认目录为：C:\Inetpub\wwwroot
5、打开控制面板－性能和维护－管理工具－Internet 信息服务：

6、在默认网站上点击右键－选择属性：

7、点击主目录：在本地路输入框后点击浏览可以更改网站所在文件位置，默认目录为：C:\Inetpub\wwwroot
   在执行权限后面点击配置－调试－教本错误信息，选中：向客户端发送文本错误信息：处理 URL 时服务器出错。请与系统管理员联系。 
   点击文档：可以设置网站默认首页，推荐删除iisstart.asp，添加index.asp和index.htm
   点击目录安全性：点击编辑可以对服务器访问权限进行设置
8、把凡人网络购物系统V7.0文件复制到你选择的网站目录下，假设你选择的目录为为默认目录：C:\Inetpub\wwwroot
9、把frshop.rar解压之后的文件复制到C:\Inetpub\wwwroot\shop下即可
10、您可以通过以下方式访问商城：
    http://localhost/shop/ 或 http://127.0.0.1/shop/ 或 http://计算机名/shop/ 或 http://本机IP地址/shop/ 访问
    其它人可以通过http://计算机名/shop/ 或 http://本机IP地址/shop/ 访问
11、如果您有域名，把域名解析到本地IP地址，即可通过http://域名/shop/
    注意一般机器为局域网上网，网站只能在局域网内部访问，外部一般访问不了，但是可以安装动态解析软件实现外网访问
    在此不做详细解释，可以去网上搜索“动态解析”可以找得到
12、个人服务器最经常遇到数据库无法更新的问题，解决办法请看http://www.venshop.com/book/list.asp?id=90

　　一、启用过期内容

　　启用过期内容就是指通过设置来保证自己的站点的过期信息不被发布出去。当用户的Web和FTP站点上的信息有很强的时效性时，进行过期内容设置是非常必要的，这不但有利于净化用户的Web和FTP站点，而且有利于访问者进行信息查找。在启用过期内容时，用户可直接为整个站点设置，也可为某个目录设置。下面简要介绍过期内容设置过程。

　　注释:启动过期内容之后，Web浏览器会在浏览时比较当前日期或者时间与设置的过期时间或者时间，以决定是显示原有信息还是更新的信息。

　　1. 单击“ HTTP标头”选项卡，如图1所示。在该选项卡中，启用“启用内容失效”复选框，激活“启用内容失效”选项区域中的选项。

　　2. 在“启用内容失效”选项区域中，用户可以设置内容的过期时间。选择“在此时刻以后过期”单选按钮，在其后的文本框中输入一个只值并在其后的下拉列表框中选择一个时间单位，例如， 2 0和天，则在2 0天以后，访问者就不能再访问该站点现在的信息；选择“在此时刻过期”单选按钮，从其后的下拉列表框中选择日期，并调节其后的时间微调器的值，用户可直接为过期内容设置过期时间，例如，所选择时间是1 9 9 9年1 2月3 1日1 2：0 0：0 0，那么该站点现在的信息将在1 9 9 9年1 2月3 1日1 2：0 0：0 0过期，不能再被访问；如果要将该站点现在的信息马上过期，选择“立即过期”单选按钮。

　　二、内容分级设置

　　如果用户站点的内容并不是针对所有的访问者，需要进行内容分级设置，以防止不具备分级要求的其他访问者查看站点内容。通过分级服务设置，用户可以在每一个Web页的HTTP标头插入一些描述性的标签。当访问者在对用户的站点进行访问时，他的Web浏览器能够先检查到每一个Web页的HTTP标头的分级服务要求，并根据浏览器的分级设置和站点的分级要求来决定哪些内容可以浏览哪些内容不可以浏览。

　　在预设的情况下，Windows 2000起用的是RSAC(Recreational Software Advisory Council)分级 服务系统进行分级 服务。该Internet分级是斯坦福大学的Donald F. Roberts博士研究的，它主要针对暴力、性、裸体和语言四个方面进行分级设置。在设置分级 服务内容之前，用户须要上网填写一个RSAC分级问卷，以获得一些推荐的内容分级，以便更好地进行分级设置。分级内容设置过程如下：

　　1. 在如图1所示的图中，单击“编辑分级”按钮，打开“内容分级”对话框，如图2所示。

图1 HTTP“ HTTP标头”选项卡

图2 "内容分级" 对话框

　　2. 在“分级 服务”选项卡中，单击“详细信息”按钮，查看到RSAC分级 服务的Internet页，单击“分级问卷”按钮，可连接到RSAC站点上，填写分级问卷。

　　3. 对RSAC系统有所了解之后，用户就可以设置分级服务的内容，以过滤公司的Web页的内容。单击“分级”选项卡，并选择“分级”选项卡中的“此资源启用分级”复选框，则该选项卡如图3所示。

图3 "分级"选项卡

　　4. 在“类别”列表框中，选择暴力、性、裸体和语言四个类别中的一种，分级滑块就会显示出来，调节该滑块，可改变所选类别的分级级别。

　　5. 如果希望对自己的电子邮件进行分级 服务，用户可以在“岁此内容分级人员的电子邮件名”文本框中输入自己的电子邮件地址。

　　6. 如果希望单独为分级 服务设置失效时间，可单击“失效于”下拉列表框中的下三角按钮，从弹出的电子日历中选择一个日期。

　　7. 设置好之后，单击“确定”按钮返回到属性对话框，再单击“确定”按钮，保存设置。

　三、添加网页页脚

　　在用户Web站点管理中,用户经常在每一个Web页的前面插入一个由HTML语言编写的脚本文件，作为网页页脚，以增加Web站点的内容。例如，一个用HTML语言编写的脚本文件为Web页增加一些简单的文本和标识图形，甚至包括用户Web站点管理和服务方向等内容。这些内容不但会大大地增加用户Web站点的可读性，而且还可引导访问者对用户Web站点以后内容的阅读。另外，网页页脚还可以减少Web服务器的执行的时间，如果用户的Web站点被其他访问者频繁的访问，使用文档页脚是非常有用的。要添加网页页脚，可参照下面的步骤：

　　1. 创建一个HTML网页页脚文件，并把它保存在自己的Web 服务器所在的硬盘上。

　　2. 在Internet服务管理器的控制台目录树中(如图4所示)，右击某一个Web站点或者目录子节点，例如，MSADC虚拟目录,从弹出的快捷菜单中，选择“属性”命令，打开“MSADC属性”对话框，单击“文档”选项卡，如图4所示。 

图4 "文档"选项卡

　　3. 在“文档”选项卡中，选择“启用文档页脚”复选框；在“启用文档页脚”文本框中输入页脚文件的完整路径。如果用户不知道页脚文件的完整路经，可单击“浏览”按钮，打开“打开”对话框进行选择。

　　4. 单击“确定”按钮，返回到属性对话框，再单击“确定”按钮保存设置。

　　注释：文档页脚文件并不是一个完整的HTML文档， 它仅仅包含那些HTML标签信息，说明如何安排页脚的内容的显示。例如，通过一个页脚文件，在每一个Web页的前面增加用户所在组织的名称，则该页脚文件应该包含文本内容和如何格式文本的字体及颜色。

　四、安全与权限设置

　　安全与权限设置是IIS保证其站点安全的最重要的保护措施，它可用来控制怎样验证用户的身份以及他们的访问权限。在权安全与限设置过程中，管理员不但可以设置权限和站点安全的继承关系，而且还可以选择要应用的设置，包括验证方法、访问许可、IP地址限制等设置。权限与安全设置过程如下：

　　1. 选择“所有任务” |“权限向导”命令，打开“权限向导”对话框。单击“下一步”按钮，打开“安全设置”对话框，如图5所示。

图5 "权限向导"对话框

　　2. 如果要从父站点或者虚拟目录继承安全性设置，应选择“继承所有的安全设置”单选按钮；如果需要选取新的安全性设置，应选择“请从模板选取新的安全设置。

　　3. 单击“下一步”按钮，打开“ Windows 目录和文件权限”对话框，如图6所示。

图6 "Windows 目录和文件权限"对话框
 

　　4. 如果要保持Windows 目录和文件权限，应选择“保持目录和文件权限”单选按钮；如果要保持原来Windows 目录和文件权限并加入新设置的权限，应选择“原封不动地保持当前的目录和文件许可配置，并加入推荐的许可权限”单选按钮。这里选择“推荐：替换全部的目录和文件访问权限”单选按钮，以新设置的权限替换原有的目录和文件权限。

　　5. 单击“下一步”按钮，打开如图7所示的“安全摘要”对话框，在设置列表框中选择要应用的设置，包括验证方法、访问许可、IP地址限制和文件ACL将不能被修改等设置。

图7 "安全摘要"对话框

　　6. 单击“下一步”按钮，打开“您已成功的完成IIS 5.0‘权限向导’”对话框，再单击“完成”即可完成设置。

　五、安全认证

　　在Windows 2000中，对于通过HTTP协议访问，Internet 信息 服务提供了三种登录认证方式，它们分别是匿名方式、明文方式和询问/应答方式。用户采用那种方式取决于用户建立Internet信息 服务器的的目的。

　　如果用户建立站点的目的是为了做广告，那么可以选择匿名方式。因为访问者中的大多数是第一次访问用户的站点，用户不可能也没有必要为他们建立帐户。如果希望通过自己的Internet信息 服务器为访问者提供电子邮件寄存或信息交付等网络服务，则需要选用明文方式。因为在这种方式下，访问者必须使用用户名和密码进行访问，可有效的保护私人邮件或信息的安全性。如果用户的Internet信息服务器的访问者主要是企业内部的员工，并且希望服务器中的信息受到最安全的保护，可选择询问/应答方式。这种方式要求访问者在访问之前先进行访问请求，在得到许可后才可进行访问；这样，访问者对用户服务器的访问在用户直接控制下进行。不过这种方式要求访问者使用的浏览器必须是InternetExplorer浏览器，因为其他浏览器不支持这种认证方式。

　　由于在许多Internet信息 服务器上，对Web、FTP及SMTP虚拟 服务器的访问都是匿名的，本节就以匿名访问为例介绍如何进行安全认证设置。

　　1. 在如图所示的对话框中，单击“目录安全性”选项卡，如图8所示。

图8 “目录安全性”选项卡

　　2. 在“匿名访问和验证控制”选项区域中，单击“编辑”按钮，打开“验证方法”对话框，如图9所示。

图9 设置匿名访问和验证控制

　　3. 要选择匿名认证方式，启用“匿名访问”复选框，并单击“编辑”按钮，打开如图10所示的“匿名账号”对话框进行设置。

图10 设置匿名账号

　　4. 在安装Internet信息 服务时，系统将自动创建一个匿名账号： IUSR计算机名，如果计算机名为LY，则匿名账号为： IUSR_LY。使用“IUSR 计算机名”账号可以将Web客户登录到 服务器上。允许匿名服务时，管理员可更改用户匿名请求的的用户账号，并可更改此账号的密码。在“用户名”文本框中直接输入用户账号名，或者单击“浏览”按钮，打开如图11所示的“选择Windows用户账号”对话框选择一个要添加的用户账号。

图11 选择Windows用户账号

　　5. 在“匿名用户账号”对话框中，启用“允许IIS控制 密码”复选框，或者在“ 密码”文本框中输入用户账号 密码。

　　6.单击“确定”按钮完成匿名访问设置，同时返回到“验证方法”对话框，再单击“确定”按钮返回到“默认Web站点属性”对话框，然后单击“确定”按钮关闭对话框。

　　注释:如果用户的Web和FTP服务禁用匿名访问或访问受NTFS访问控制列表限制时，系统会自动使用明文方式进行认证，需要访问者的用户名和密码。这时，就需要选择登录验证访问方法，Internet信息服务可选的验证方法有基本验证、Windows域服务器的简要验证和Windows验证。一般选择Windows验证，因为基本验证时是一种明文密码验证，可能会造成未经过加密的密码在网络上传输，想危害用户的系统的非法访问者可用协议分析器在验证过程中检查用户密码；Windows域服务器的简要验证是一种简要的身份验证，使Internet信息 服务与Windows 2000域账号管理器一起工作进行验证，仅要求用户账号并将账号 密码保存为加密明文文本；不利于验证信息的安全性。要使用Windows验证，在“验证方法”对话框中的“验证访问”选项区域中，启用“继承Windows验证”复选框。

　　六、IP地址及域名限制

　　通过IP地址及域名限制，用户可禁止某些特定的计算机或者某些区域中的主机对自己的Web和FTP站点及SMTP虚拟服务器的访问。当有大量的攻击和破坏来自于某些地址或者某个子网时，使用这种限制机制是非常有用的。不过，进行IP地址及域名限制的首要条件是用户必须知道网络黑客的计算机使用哪些IP地址或属于哪些网络区域，否则无法进行限制。对基于Internet的信息服务器，站点接受来自于各个方的访问，用户很难进行地址限制。一般，只有基于企业内部网络的信息服务器才使用IP地址及域名进行安全保护。下面就以Web站点为例介绍IP地址及域名限制的设置过程。

　　1. 在如图8所示的图中，在“ IP地址及域名限制”文本框中单击“编辑”按钮，打开“ IP地址及域名限制”对话框，如图12所示。

图12 设置IP地址及域名限制

　　2. 如果选择“授权访问”单选按钮，除了“例外”列表框中的计算机外，其他所有的计算机都可访问该Web站点上的内容。如果选择“拒绝访问”单选按钮，除了“例外”列表框中的计算机外，其他所有的计算机都不能访问该Web站点上的内容。这里选择“授权访问”单选按钮并添加没有访问权限的 计算机。

　　3. 单击“添加”按钮，打开“授权以下访问”对话框，如图13所示。

图13 授权访问

　　4. 如果要对单个 计算机进行限制，选择“单机”单选按钮，并在“ IP地址”文本框中输入要授权的 计算机的IP地址；或者单击“ DNS查找”按钮，打开“ DNS查找”对话框，选择某个DNS域中要授权的 计算机。如果要对一组 计算机进行限制，选择“一组计算机”单选按钮，在“网络标识”文本框中输入要授权的一组计算机中的任何一个计算机的IP地址，并在“子网掩码”文本框中输入子网掩码。如果要对某个域中的计算机进行限制，选择“域名”单选按钮，并在“域名”文本框中输入授权的域的域名。

　　5.单击“确定”按钮返回到“IP地址及域名限制”对话框。如果还要进行访问授权，可继续单击“添加”按进行添加。这样，被添加的单个 计算机、一组 计算机或者一个域的客户可访问 服务器，而其他的客户则没有访问权。

　　6. 单击“确定”按钮返回到“默认Web站点属性”对话框，再单击“确定”按钮保存设置。

　　七、停止、启动和暂定站点 服务

　　在站点维护中，停止、启动和暂定站点服务是经常要进行的工作。例如，当某个站点的内容和设置需要进行比较大的修改时，用户可将该站点的服务停止或者暂停，以便操作。当已经停止或暂停的站点需要启动自己的服务时，就启动它。

　　要停止、启动和暂定某个站点的信息 服务，在控制台目录树中，展开“ Internet信息服务”节点和 服务器节点，展开服务器节点。如果要暂停某个Web或者FTP站点服务，右击该站点，从弹出的快捷菜单中选择“暂停”命令即可；如果要停止某个Web或者FTP站点服务，右击该站点，从弹出的快捷菜单中选择“停止”命令即可；如果要启动某个已经暂停或者停止的Web或者FTP站点 服务，右击该站点，从弹出的快捷菜单中选择“启动”命令即可

　　使用局域网办公的用户，经常会使用网络来打印材料和访问文件。由于某种原因，网络访问的速度可能会不正常，这时我们往往会错误地认为导致网速降低的原因可能是网络中的某些设备发生了瓶颈，例如网卡、交换机、集线器等，其实对网速影响最大的还是服务器硬盘的速度。因此正确地配置好局域网中服务器的硬盘，将对整个局域网中的网络性能有很大的改善。 

　　按规则进行连线 

　　大家知道，连接局域网中的每台计算机都是用双绞线来实现的，但是并不是用双绞线把两台计算机简单地相互连接起来，就能实现通信目的，我们必须按照一定的连线规则来进行连线。笔者曾经试图把两台相距100米以外的计算机用双绞线连接起来，从而实现通信，但无论怎么努力都没有连接成功，后来经行家指点，双绞线的连接距离不能超过100米。另外，我们如果需要连接超过100米的两台计算机时，必须使用转换设备。在连接转换设备和交换机时，我们还必须进行跳线。这是因为以太网中，一般是使用两对双绞线，排列在1、2、3、6的位置，如果使用的不是两对线，而是将原配对使用的线分开使用，就会形成串扰，对网络性能有较大影响。10M网络环境这种情况不明显，100M的网络环境下如果流量大或者距离长，网络就会无法联通。 

　　正确使用“桥”式设备 

　　“桥”式设备通常是用于同一网段的网络设备，而路由器则是用于不同区段的网络设备。笔者所在单位曾经安装一套微波联网设备，物理设备联通以后上网调试，服务器上老是提示当前网段号应是对方的网段号。将服务器的网段号与对方改为一致后，服务器的报警消失了。啊！原来这是一套具有桥接性质的设备。后来与另外一个地点安装微波联网设备，换用了其他一家厂商的产品，在连接以前我们就将两边的网段号改为一致，可当装上设备以后，服务器又出现了报警：当前路由错误。修改了一边的网段以后，报警消失了。由此可见，正确区分“路由”设备和“桥式”设备，在设置网络参数方面是很重要的。 

　　严格执行接地要求 

　　由于在局域网中传输的都是一些弱信号，如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话，就可能在联网中出现干扰信息，严重的能导致整个网络不通。特别是一些网络转接设备，由于涉及到远程线路，它对接地的要求非常严格，否则该网络设备将达不到规定的连接速率，从而在联网的过程中产生各种莫名其妙的故障现象。笔者曾经无意将路由器的电源插头插在了市电的插座上，结果128K DDN专线就是无法和互联网联通。电信局来人检查线路都很正常，最后检查路由器电源的零地电压，发现不对，换回到UPS的插座上，一切恢复正常。另外一次，路由器的电源插头接地端坏掉，从而造成数据包经常丢失，做Ping连接时，时好时坏，更换电源线后一切正常。由此可见，我们在使用网络设备时，一定要在设备规定的条件下进行，否则将会给我们的工作带来很大的麻烦。 

　　使用质量好、速度快的网卡 

　　在局域网中，计算机与计算机之间不能通信是很正常的事情，引起的故障原因可能有很多。笔者曾经统计，局域网中出现的故障大部分与网卡有关，或者是网卡没有正确安装好，或者是网络线接触不良，也有可能是网卡比较旧，不能被计算机正确识别，另外也有的网卡安装在服务器中，经受不住大容量数据的冲击，最终报废等。因此，为了避免上述的现象发生，我们一定要舍得投资，如果网卡是安装在服务器中，一定要使用质量好的网卡，因为服务器一般都是不间断运行，只有质量好的网卡才能长时间进行“工作”，另外由于服务器传输数据的容量较大，因此我们购买的网卡容量必须与之匹配，这样才能实现“好马配好鞍”。 

　　合理设置交换机 

　　交换机是局域网中的一个重要的数据通讯设备，正确合理地使用交换机也能很好地改善网络中的数据传输性能。笔者曾经将交换机端口配置为100M全双工，而服务器上安装了一块型号为Intel100M EISA网卡，安装以后一切正常，但在大流量负荷数据传输时，速度变得极慢，最后发现这款网卡不支持全双工。将交换机端口改为半双工以后，故障消失了。这说明交换机的端口与网卡的速率和双工方式必须一致。目前有许多自适应的网卡和交换机，按照原理，应能正确适应速率和双工方式，但实际上，由于品牌的不一致,往往不能正确实现全双工方式。明明服务器网卡设为全双工，但交换机的双工灯就是不亮，只有手工强制设定才能解决。因此，我们在设置网络设备参数时，一定要参考服务器或者其他工作站上的网络设备参数，尽量能使各个设备匹配工作

　　IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

　　ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式

图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。

    硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

    当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

二、模拟环境:ARP捕包分析
　　
　　比较简单，所以没有画拓朴图。

　　思路：使用两台带WEB管理的路由（A和B），设同一IP（192。168。22。1），用一台PC（192。168。22。5）接入其中一台，打开WEB管理介面。然后立即切换到另一台路由（就是野蛮的把网线拔下换到别一台），再接着打开WEB管理，看会有什么现像发生。

　　（1）接入A，打开WEB管理。捕包如下：

由上图我们可以看到，再进行通讯之前，会先进行ARP请求，然后再是HTTP连接的建立。上面所捕的目标MAC地址是FF：FF：FF：FF：FF：FF，目标IP是：192。168。22。1。其意义就是这是一个广播包，主机192。168。22。5希望得到192。168。22。1的MAC地址。

 三: ARP地址表的作用,清空ARP缓存的作用

　　（2）立即把网线拔下接入到B，再打开WEB管理。可是我却发现，立即就能访问。也就是说没有出现刚才所说，需要清空ARP缓存的情况。怎么回事？看下面我们捕包的截图：

图蓝色部分是A的包，为了明显区分，我把B上的WEB访问端口改了下，这样我们就看到是褐色的了，并被omnipeek识别为使用了代理。我们发现蓝色和褐色之间，并没有ARP的请求与获取（SMB不用管），也就是说没有做任何动作，就可以访问B了。为什么呢？换了一个设备MAC地址应该是不同的啊！大家看上面有个蓝色选中区域，是一个从Draytek:27:9A:25 发出来的请求192。168。22。6的ARP请求包，而这个MAC地址的IP是192。168。22。1（即是我们设置给AB路由的IP），请大家看上图的解码部分。由此我们便非常清楚了，在我们进行HTTP的连接之前，路由器已经把自己的MAC地下送过来了（因为俺在B上把syslog服务器设给了192。168。22。6，当时这台机器不在线），所以我们没有任何感觉，就可以正常打开B的WEB管理了。

　　目的没有达到，我们得继续。

　　
   （3）我们再把网线拔出来，重新接回A，再立即访问A的WEB管理介面。终于不能打开了。看捕包截图：

由上图我们看到，我们发出的HTTP请求没有得到回应，于是，我立即打开CMD，输入ARP –D ，清空ARP缓存。接着就看到出现新的ARP请求，完了后HTTP也可以访问了。

   目标完成！

   总结：

   局域网的通信是基于MAC地址的，而更多的程序都是基于IP地址，这就要有IP到MAC的映射了。一般情况，当机器在完成了映射的学习之后，都会在缓存中保存一段时间，所以这个时候更换了网络设备，也就更换了MAC地址，而映射却没有更新，便造成了不能访问的假像。而我们只须把这缓存清空让机器重新学习一次即可。