提到"系統安全"這樣的字眼，相信多數人會條件反射地想到各種防火墻工具、防病毒軟件等，并且會片面認為只要在系統中有了它們的存在，系統安全就會高枕無憂。其實，系統的安全單純靠"防"是防不住的，還需要你有足夠的安全意識。你對系統進行操作的一舉一動都可能在系統"暗角"留下訪問痕跡，這些痕跡要是不 及時被清理的話，就很有可能會招來安全麻煩，甚至帶來安全傷害；為了保證系統絕對安全，你平時就應該著重細處，及時對系統"暗角"的各種隱私痕跡進行清 理，以防止這些隱私給你帶來安全威脅。當然，如何利用各種防火墻、防病毒軟件等工具保護自己的系統安全也是需要略知一二的。

技術門診是51CTO社區品牌欄目，每周邀請一位客座專家，為廣大技術網友解答疑問。從熱門技術到前沿知識，從技術答疑到職業規劃。每期一個主題，站在最新最熱的技術前沿為你引航

本期門診邀特請MCSE、微軟企業護航專家韓立剛與大家交流系統安全問題。大家可以就系統安全的防護與管理以及企業級網絡安全等問題與專家進行探討。

姓　　名：韓立剛

[[9120]]
 

擅長領域：系統管理、網絡安全

河北師范大學軟件學院講師，微軟認證講師、微軟企業護航專家、MCSE、MCDBA。精通微軟Windows、SQLServer、Exchange、 ISA 2006等產品。國內第一批通過微軟最新Windows Seryer 2008認證--MCITP。從2005年至今負責河北、河南兩省微軟正版客戶的技術支持，服務于政府、傳媒、聯通、移動、銀行、學校等IT部門，包括網 絡規劃、安全、高可用性設計、活動目錄設計以及實施。 著有《 計劃、實現和維護Windows Server 2003活動目錄結構》、《Windows Server 2008系統管理之道 》等

查看本期門診精彩實錄：http://doctor.51cto.com/develop-161.html

參與最新技術門診：http://doctor.51cto.com/

精選本期網友提問與專家解答，以供網友學習參考。

Q：請問韓老師，要保證系統安全。我們應該做到那幾點，應該具體如何操作，平時的維護需要注意什么，注意哪個地方，具體應該如何操作？

A：1.保護服務器安全 只開必要端口 禁用不必要的服務打開本地連接 只打開必要的端口 比如Web站點 只打開TCP的80端口關閉不必要的端口實現服務安全賬號安全，操作系統和殺毒軟件及時更新。最好不用服務器訪問Web站點或下載文件。不要將多種重要服務裝到一個服務器上，做好重要數據的備份。

2.保護工作站（辦公用的計算機）安全

啟用Windows 防火墻，系統和殺毒軟件及時更新，使用普通用戶上網辦公。如果發現系統有問題可以使用msconfig 查看可疑的自動啟動項和服務。

Q：想問下韓老師，企業的WINDOWS服務器要做的安全工作都有哪些？

A：1.先將服務器做安全評估，也就是根據服務器的角色定安全等級。指定相應的安全策略。比如域控制器的安全級別要比普通服務器設置的要高一些。數據庫的安全級別要比Web站點的高。

2.根據評估結果針對不同的服務器采用不同安全措施。

a.數據安全 NTFS權限 共享權限在命令提示符下輸入gpedit.msc完成以下設置（適用于Windows 2003  2008 windows 7 和 xp的professional版）

     b.帳戶安全 密碼策略 帳戶鎖定策略

     c.本地安全策略 設置用戶權限 安全選項

     d.軟件限制策略 使用軟件限制策略禁止某些軟件執行

     e.受限制的組 可以控制某些組的成員，比如administrators組的成員

     f.網絡層安全 只打開必要的端口

     g.數據傳輸安全 使用IPSec或高級安全Windows防火墻配置數據通信安全

     h.對服務器的安全使用 不要使用服務器下載未知安全的文件

     i.及時更新系統和病毒庫

Q：請問韓老師：我個人習慣使用windows操作系統，默認賬戶是administrator。聽很多人說這樣并不是很安全。請問我們在設置系統賬戶的時候有什么特別需要注意的安全問題嗎？謝謝！

A： administrator是系統內置的管理員賬號，該賬號不能刪除，但可以禁用和重命名。從安全角度考慮，可以將該用戶帳戶禁用或重命名，別人就沒有辦法猜administrator的密碼了。提示： 在禁用administrator帳戶之前，最好先創建另外一個用戶帳戶，將其添加到administrators組。用戶的密碼最好復雜一些，8位以上，比如 P@ssw0rd 之類的密碼，其中包括了大小寫字符數字特殊符號。尤其是具有管理員權限的用戶的密碼更得設置復雜一些。平時上網或辦公，最好使用普通用戶。需要管理了再使用管理員登錄。

Q：ISA 我自己一直在用，想問下專家有發現有高人攻破ISA 服務器嗎？

A： 我目前沒有沒有發現。建議及時升級安裝ISA的操作系統和ISA。微軟的系統更新能夠及時消除安全隱患。

Q：系統一般都會開啟默認共享，就是那種C$,D$之類的，這樣安全嗎，是否有必要關閉？

A： 默認共享是為具有管理員權限的用戶準備的，且共享權限也不能被更改，普通用戶沒有權限訪問默認共享。控制好系統的管理員數量，確保管理員帳戶的安全就可以了。如果還是不放心，就可以通過修改注冊表刪除默認共享。在刪除默認共享之前要確保你的系統上沒有應用使用默認共享。

Q：對于使用IWNDOWS2003系統架構的WEB服務器,如果配置才能使其安全風險最低?

A： 從應用層設置安全

 一、 帳戶管理

    1.重命名管理員 administrator ，設置復雜密碼 控制administrators組的成員

    2.刪除多余用戶 禁用guest用戶

    3.停止不必要的服務

  二、審核策略

     1.審核帳戶管理策略

     2.審核登錄敗策略

 三、實用msconfig 禁用可疑的服務和自動啟動項

 四、網絡層安全

 設置IPSec 只允許TCP協議目標端口為80的數據包進入網卡，TCP源端口為80的數據包出網卡。這樣只要你的Web沒有漏洞，入侵者就沒有辦法入侵。萬一你的服務器中了木馬，木馬也不能和外界建立通信，不能對你產生什么威脅。

Q：能推薦幾款在vista和windows7下方便、實用、功能強大的手殺工具嗎？冰刃、Wsyscheck都是針對XP的，vista和windows7下的表現并不太好。

A：我還沒有發現專門針對Vista或Windows 7的手剎工具

Q：剛裝完系統之后系統是最不安全的，比如好多補丁沒打，還有就是系統還默認開了3389，就是裝完系統之后我們首先要做的幾點是什么，可能WIN7,XP是有不同的地方的，請指出，謝謝！

A：公司重要服務器最好使用帶最新補丁的安裝盤安裝系統，為了安全起見，不要將系統聯機更新，可以將補丁和更新下載下來 拷貝到新裝的系統中，安裝更新。設置系統本地安全策略，比如禁用默認共享，設置軟件限制策略，IPSec等，創建用戶規劃用戶密碼策略，加固系統。然后就是安裝殺毒軟件，更新病毒庫。如果是工作站，別忘了備一份以下系統盤。

Q：目前各種盜號技術頻出，自己使用的各種賬號密碼很擔心被盜。請問專家在設置賬號密碼的時候有什么小技巧或者需要特別注意的地方嗎？謝謝！

A：重點防范盜號木馬，安裝木馬查殺工具，如果懷疑中了木馬，開機之后，什么也別干，在命令行下輸入netstat -nb來查看是否有莫名其妙的會話，注意，確保系統沒有更新，殺毒軟件沒有更新。因為木馬對外進行聯系，終會建立會話的。-b參數還能看到建立會話的進程。木馬大多是服務形式存在，運行MSConfig 打開系統配置工具，點擊"隱藏微軟服務"，查看可疑服務。有些木馬將自己設置為"禁用"狀態。

Q：平時維護系統時候，經常用到PE。PE目前現在有幾個核心版本??？網上一會說是XP核心、一會是vista、win7核心都搞暈了。是不是核心版本越高，越好用，還是……？順便討要幾個在PE下能使用的安全工具。專家能推薦幾個嗎？謝謝了

A：目前用的最多的是Windows PE 2.0。Windows PE 2.0 與以前版本的 Windows PE 的對比首先，Windows PE 2.0 基于 Windows Vista 組件，而早期版本的 Windows PE 則是基于 Windows XP 或 Microsoft Windows Server 2003。因此，Windows PE 2.0 支持 Windows Vista 驅動程序并受益于許多 Windows Vista 的改進（包括通過 Windows 防火墻提供的防網絡攻擊方面的改進）。如前所述，Windows PE 2.0 現在支持驅動程序注入，這使您在啟動 Windows PE 之前或之后都可以加載驅動程序?，F在，如果您啟動 Windows PE 并發現它缺少一個必需的驅動程序，您就可以從可移動媒體加載非標準驅動程序，并立即使用該硬件而無需重新啟動計算機。為了更具靈活性，尤其是在創建預安裝腳本時，Windows PE 2.0 現在包含已增加內容的"Windows 管理規范"(WMI) 支持。使用 WMI，您可以通過腳本或命令提示符執行大多數配置或管理任務。

過去，許多應用程序不能在 Windows PE 1.0 中運行，因為這些程序需要臨時存儲空間，并且 Windows PE 經常從不可寫入的媒體（如 CD）啟動。現在，通過在計算機的 RAM 中提供 32 MB 刻錄空間，Windows PE 2.0 可支持大部分需要對臨時文件執行寫操作的應用程序。每當應用程序試圖對臨時文件（無論哪個文件夾）執行寫操作時，Windows PE 都會將更改內容重定向到內存中的刻錄空間，以模擬硬盤。當然，當您重新啟動計算機后，所有更改都將丟失。

#p#

Q：怎么樣在格式化的時候防止數據被恢復，是在磁盤上全部寫0，還是低格的方法，還有沒有其他的好方法，最好就是不怎么損害硬盤的方法

A：在格式化之前先 使用文件粉碎軟件將文件粉碎，再格式化?？梢詮木W上下載，瑞星 就有文件粉碎軟件。

Q：哎，最近發生在我身上一件事，無意中我把域用戶全部給刪了。我想問一下老師，是否這種災難也在系統安全的范疇之內叫？有無很好的辦法預防？

A：安全的范疇很廣，大家都把注意力放到了技術上面，其實用戶的安全意識也很重要。作為一個企業的IT管理人員，應該是未雨綢繆，考慮到潛在的風險，比如公司重要數據應該放到多個服務器上，使用DFS技術，實現冗余，避免硬件故障造成數據丟失。應該及時備份，避免誤操作造成數據丟失。域控制器應該指定備份計劃備份系統狀態，來備份活動目錄。你的問題就能解決，如果沒有備份誰也沒辦法。

Q：專家您好，在如今社會，作為網管，我們還是比較擔心內網安全，歷史證明，從03年開始比較流行的SQL注入，震蕩波等網絡手段的新起，使得我們在做內網的時候考慮的因素也多了，如何更好的發揮內網安全技術也是考驗管理人員的一個標準，但是比較頭疼的是，我在這里做的比較差，所以想問問專家，在面對客戶端和服務器端我們如何操作實施？

A： 對內外的服務器和計算機進行安全評估，在易用性和安全性之間取得平衡。評估每種風險對公司帶來的損失大小，采取相應的措施避免。比如硬盤故障造成數據丟失，將會為公司帶來100萬的損失，你可以考慮花費2萬購買數據熱備系統。從網絡安全角度考慮將安全性要求一致服務器放置到特定VLAN  按部門劃分VLAN 比如將能夠訪問Internet的計算機放到一個VLAN。安裝網絡監視工具，監控網絡中異常的廣播和多播包。搭建域環境創建組織單元，將安全性要求一致的服務器和計算機防止到相應的組織單元，設置相應的安全策略安裝MOM軟件監控操作系統的異常并創建警報。比如磁盤空間不足，CPU利用率高于某個指標。

Q：如何進行域環境下的共享，請詳細說明，或者給我一份資料，謝謝大師了！

A： 首先搭建域環境 將計算機加入域 然后就可以為域用戶授權共享資源了。

Q：網上所謂的影子系統，能真正做到系統安全嗎？

A：使用影子系統，可以進行一些危險的操作，比如從網上下載未知的軟件安裝，即便是中了病毒也無所謂。退出影子系統一切將不存在。不能保存任何東西，退出影子系統 你編輯的文檔和存儲的數據都將丟失。如果你正常辦公，給領導編輯發言稿肯定要保存的，不能進入影子系統編輯，因為你需要保存編輯的文檔?？梢姷接白酉到y是安全的，因為退出后不保存任何數據，這也是其局限性。

Q：韓老師你好：請問下WINDOWS系統默認情況下會開啟來賓用戶，這樣會帶來不必要的安全問題。但是關閉后又會阻礙一些共享功能，鑒于這個問題該如何解決呢？？？另外為什么插上還原卡（硬件）后系統盤會消耗很大容量呢？？謝謝??！

A：如果你的服務器只需要對其他計算機提供匿名訪問功能，就啟用guest用戶。共享權限設置為只讀。禁用guest用戶，不會影響共享的。訪問共享資源時需要用戶輸入服務器上的帳戶密碼。插上還原卡，就會記錄你對磁盤的所有操作，比如刪除文件和添加文件，肯定占用磁盤空間，以便還原時用上。

Q：20來臺pc的小型局域網，現在連工作組都沒建。我打算建成一個win2008 下的 AD域，然后在域下統一部署防火墻/殺毒軟件，應該用哪種防火墻/殺毒軟件比較好呢？

A：防火墻就是用Windows XP 或Windows 7高級安全Windows防火墻即可。殺毒建議使用瑞星，為了統一管理，可以考慮購買網絡版的。構建Windows 2008 活動目錄域的參考文件可以從以下鏈接找到，http://hanligang.blog.51cto.com/400469/275684

Q：單位內所有電腦都是通過一臺華為防火墻上網，部分電腦無法上微軟，華為賽門鐵克，瑞星，卡巴斯基 這個4個網站。如在瀏覽器里輸入www.rising.com.cn或 www.microsoft.coms 時經常會自動跳轉到百度搜索結果頁面。點擊搜索結果會出現無法顯示該頁。也有直接出現無法顯示該頁的情況。用nslookup 能夠解析到網站地址。HOST文件沒有被篡改。懷疑是dns解析問題以排除殺毒軟件原因和防火墻。但是所有電腦dns指向都相同的情況下部分不能上，用360安全衛士修復IE也不行。

A：這種情況極有可能你的瀏覽器中了惡意插件，安裝IE8.0 使用IE重置修復。

Q：韓老師：您好，我是一個剛畢業出來的學生，現在在某公司IDC工作最近公司要搬遷機房拓撲所有東西要自己做過，所以我想問問老師怎么樣去系統的把整個IDC邊緣的安全策略制定呢？在防火墻方面怎么樣去設置呢？？在IDC需要去考慮哪些安全方面問題呢？希望老師百忙中解答一二。學生很迷惑。先謝謝老師了。

A：從以下幾方面考慮：指定數據訪問安全策略 設置NTFS權限 EFS加密 共享權限系統安全策略 制定審核策略 帳戶策略 用戶權利指派（比如哪些用戶能夠登錄） 安全選項 軟件限制策略 去掉默認共享等網絡安全策略 使用IPSec保護服務器通信安全 只允許和必要的服務器通信比如SQL Server服務器只允許Web站點訪問防病毒木馬 部署網絡版殺毒軟件 設置病毒庫更新策略劃分VLAN 將安全性要求相同的服務器放置到同一VLAN

Q：請教一個問題：我們單位的域控是2003，用戶是xp，最近用戶登錄時總是出現"本地策略不允許你交互式登錄"，這個問題，改怎么解決？謝謝!

A：點擊"開始"-->"運行"，輸入secpol.msc 打開本地安全策略，點開 本地策略-->用戶權利分配-->允許在本地登錄，查看是否有普通用戶組，點開 本地策略-->用戶權利分配-->拒絕在本地登錄 是否有用戶。

Q：網絡通道有木馬 ping有時候總是丟包~  怎么處理呢？

A： 首先ping本網段地址比如網關 查看延遲

來自 10.7.10.1 的回復: 字節=32 時間=5ms TTL=255

如果丟包或 時間 大于 50 ms 則有可能是內網堵塞，使用捕包工具 抓包查看是否有較多的多播或廣播包。如果ping網關不丟包，而ping Internet上的計算機丟包，則有可能是你到網通或電信接入Internet的鏈路堵塞。

Q：韓老師，你好，我有兩個問題請教：

一、我主要是做防病毒的，現在很多企業考慮到數據安全及網絡安全都做了網絡隔離，斷開了與互聯網的鏈接，但是企業網絡內部仍然有大量病毒感染事件導致電腦故障甚至影響網絡通信，從我個人統計來看，傳播方式基本上是通過U盤、文件共享和系統漏洞傳播，前邊兩個倒是好處理，這個漏洞卻不好辦?？紤]到資金問題，準備用微軟的WSUS來為電腦打補丁，但這個內網無法連接微軟的更新服務器啊，有沒有什么好的辦法來更新補丁。

二、有啥免費的軟件可以給服務器做安全評估??？謝謝！

A：公司兩個網絡，一個能上internet的網絡中部署一個個WSUS服務器S1，不能上internet的網絡部署一個WSUS服務器S2，兩個網絡物理隔離，步驟：

1。更新元數據（Metadata）：使用wsusutil.exe導出/導入元數據。

2。更新數據（Update）：復制wsuscontent

Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer (MBSA) 是專為 IT 專業人員設計的一個簡單易用的工具，可幫助中小型企業根據 Microsoft 安全建議確定其安全狀態，并根據結果提供具體的修正指南。使用 MBSA 檢測常見的安全性錯誤配置和計算機系統遺漏的安全性更新，改善您的安全性管理流程。

Q：請問一下，以現有的操作系統Windows XP 能否對對于TCP/udp協議的sys flood、DDOS攻擊進行有效防治，起碼使本機不會對網絡能信產生破壞，提高網絡的穩定性，如果不能Windows 7操作系統是否能解決這個問題呢？

A：TCP/udp協議的sys flood、DDOS攻擊與操作系統無關，如果想有效防治，也只能在有入侵檢測的防火墻上設置。類似DDOS這種攻擊，沒有辦法防止的。這些也是正常的網絡行為的，沒有辦法。什么系統也沒有辦法的

 不管XP、Linux、Windows7,都沒有辦法

Q：您好,我想問一下像公司內網或者外網用的windows2003服務器裝好系統后應該用什么方法打補丁?用360好像不太專業?但系統自帶的update好像有點麻煩,而且360里提示很多補丁是不推薦打的,不知道用update會不會出問題.謝了！

A： 打系統補丁是非常慎重的事，不建議直接給服務器打補丁，我遇到過服務更新完系統后，某些服務啟動不了的事情（雖然很少發生）。應該搭建和生產環境一模一樣的測試環境，現在測試環境中的服務器打上補丁，正常運行1 、2周，然后再在生產環境中的服務器應用補丁。如果公司的服務器多，最好使用WSUS和組策略將計算機分組，管理員批準服務器安裝哪些補丁。

Q：WIN2003操作系統，怎么做才算是相對安全？大致需要注意哪些方面的（物理的除外）？

A：1.數據存儲和訪問安全 NTFS和共享權限設置的最恰當 磁盤冗余 重要數據備份

2.系統加固 設置用戶賬戶策略 密碼策略 用戶權限分配 審核策略 軟件限制策略

3.網絡層安全 使用IPSec嚴格控制好進出服務器的流量 Windows防火墻只能控制主動進入系統的瀏覽 不能控制服務器主動出去的流量。

4.系統及時更新，病毒庫及時更新，設計完整的病毒掃描和系統升級計劃

具體步驟看以下文章：http://hanligang.blog.51cto.com/400469/279815

Q：您好 我是剛才問了您windows打補丁的事情 你說的WSUS是多是內網用的吧?要是放在idc的公網服務器怎么及時打補丁呢?您說搭建和生產機一樣的環境先測試,這的確是好辦法,但生產機的數據都是時刻變化的,不好搭建一模一樣的環境,而且這太耗時耗力了.

A： 你也可以在IDC的公網部署一臺WSUS，配置IDC的公網服務器使用你的WSUS下載補丁。我說的軟件環境相同，并不意味著數據相同。只對關鍵業務服務器搭建測試環境，并不是所有服務器。

Q：韓老師你好，我所接觸的系統就是windows系統，也是大多是用戶常用的系統，針對這樣的用戶系統，我們應該注意什么？該做到那些防范措施？如何檢測我們的系統所存在的漏洞？僅僅是打補丁就可以嗎？

A： 使用普通用戶登錄系統，進行日常工作。如果使用管理員登錄，訪問Internet，如果有病毒或惡意腳本執行的話，就可以以管理員的身份運行，向系統目錄植入病毒。普通用戶由于沒有管理員權限，病毒以當前用戶運行，也不能破壞系統。使用360安全衛士檢測系統安全。服務器不要輕易訪問Internet，下載文件。除了管理服務器，不要使用服務器辦公。

Q：韓老師,您好!主要想問一下關于在DOS下使用命令來查看網絡進程方面的內容.一般來說,用netstat -abn或其它命令可以偵測到那些端口的流量與所發送數據包的大小.而使用tracert XX可是用來查看數據包所跳過的路由,突然有種想法:有沒有哪條命令可以查看數據包通過哪些交換設備. 一般來說城域網中若能知道所經交換與路由,對其整體網絡的拓撲將會有一個更好理解?不知道這樣想法對嗎?

A：pathping 或 突然側讓他 能夠跟蹤數據包經過的路由。我還沒有發現能夠跟蹤數據包經過二層設備的命令。

Q：韓老師，您好，我想問一下針對WINDOWS 2003及WINDOWS2008服務器的管理的學習，有什么好的書或者視頻？能否推薦一下？

A：系統學習Windows Server 2008的教材 均有詳盡的視頻教程

清華出版社 Windows Server 2008視頻突擊 系列教材

《Windows Server 2008系統管理之道》

《貫徹WindowsServer2008網絡基礎架構》

《掌控WindowsServer2008活動目錄》

《WindowsServer2008安全內幕》

WindowsServer2003的學習 盡快從 ftp://ftp.hebeijd.com 下載 就不要購買WindowsServer2003的教材了，視頻操作比書面的要詳盡的多。

或者訪問我的博客 http://hanligang.blog.51cto.com/

#p#

Q：韓老師好，我們日常難免將一些個人信息泄露出去，而這些個人信息有可能被不法分子所利用，因此我想詢問的是在網絡中如何有效的防止個人信息的泄露。

A：在網上注冊個人信息時輸入電子郵件 家庭住址 郵編 電話 手機等要謹慎。

Q：請問高職學生往系統管理方面發展怎么樣？就業前景如何？要重點掌握哪些方面的內容？有哪些證書可以考??？謝謝！

A：如果定位自己的職業為IT管理，可以分三步走。 就業前景取決于你學的知識是否成體系，是否實用、還有你掌握的知識深度和廣度，以及你解決問題的能力。

我的學生畢業之后月薪變化：第一年石家莊1500/月-->第二年北京3000/月-->第四年北京跳槽7000/月?？傊畯氖翴T行業，前提是喜歡從事的職業，你要找準自己的方向不斷的學習，經驗積累，最終成為某一領域的專家，能人之不能，會人之不會。

1.網絡方面的學習

       學習Cisco網絡工程師課程（CCNA），這是進入IT領域的必經之路，然后在學習CCNP課程，重點學習多層交換和安全。

2.系統管理方面

    微軟的Windows 在企業中應用很是廣泛，因此需要系統學習Windows服務器的管理。Windows Server 2003管理 Windows Server 2008服務器管理 Windows網絡基礎架構，Windows 活動目錄 對的認證（MCSE和MCITP）。 Linux redhat 5.0 企業版在大型服務器應用較多。

 3. 數據庫

    中小企業數據庫 SQL 2005 SQL 2008 （MCDBA）。大型數據庫 Oracle

Q：韓老師！您好！在我們使用Linux或Unix組建服務器時，為了方便遠程維護和管理，基本上都會開放sshd服務。雖然ssh將聯機的封包通過加密的技術來進行資料的傳遞，能夠有效地抵御黑客使用網絡偵聽來獲取口令和秘密信息，但是仍然不乏大量入侵者進行密碼嘗試或其他手段來攻擊ssh服務器以圖獲得服務器控制權。如何才能使自己的服務器更安全可靠呢？如何對對ssh服務器的配置略加以調整，從而降低網絡入侵的風險？

A：這就要換一個思路解決問題，不要設置SSHD服務的安全性了，通過網絡層安全保證應用層安全，即使用iptables實現。設置iptables，添加一個INPUT規則，只允許管理員使用的計算機的地址或網段能夠使用SSH訪問Linux，這樣來自其他網段的入侵者就不能使用SSH連接Linux了。

Q：普通用戶有沒有必要安裝HIPS系統？哪些HIPS好用？

A：這取決與你單位的對計算機的安全管理標準和用戶的水平而定。當某進程或者程序試圖偷偷運行的時候總是會調用系統的一些其他的資源，這個行為就會被hips檢測到然后彈出警告詢問用戶是否允許運行，用戶根據自己的經驗來判斷該行為是否正確安全，是則放行允許運行，否就不使之運行，一般來說，在用戶擁有足夠進程相關方面知識的情況下，裝上一個hips軟件能非常有效的防止木馬或者病毒的偷偷運行。

Q：您好,請教一個問題,我有一個備份的數據庫文件和日志文件,如何將數據恢復到某個時間點？

A： 是SQL Server 么？ 備份之前數據庫的還原模型必須設置成"完全還原模型"有完整數據庫備份 日志備份，使用完整數據庫備份還原 帶參數norecovery，然后在使用日志備份還原 帶參數 stopat='2005-04-05 14:11:38.000'

restore database northwind from mybackupfile1,mybackupfile2 with file=1,replace ,norecovery

--restore log northwind from mybackupfile1,mybackupfile2 with file=2,norecovery

restore database northwind from mybackupfile1,mybackupfile2 with file=3,norecovery

restore log northwind from mybackupfile1,mybackupfile2 with file=4,recovery, stopat='2005-04-05

14:11:38.000'

使用企業管理器還原 日志備份還原時也可以指定時間。

Q：您好，韓老師，為了防止病毒傳播，公司對域內U盤等存儲設備進行訪問限制，但是公司里有一套系統采用一種USB的軟件加密狗（類似鑒權密鑰），我如果通過注冊表封鎖USB口，怎么保證此種軟件加密狗能夠繼續使用？？

A：清揚內網管理軟件 或其他內網管理軟件

Q：韓老師您好~我是一名即將畢業的大專生，我學習的是網絡安全專業也很喜歡網絡安全，目前學習了ccnp 和ccsp，我總覺得以后找工作HR只看你是否有相關工作經驗，對于踏出校園的第一步，我們想從事網絡安全的學生應該怎么走這條路呢？應該先找個什么樣的工作呢？我怕我做了1年網管，等面試網絡安全工程師的時候hr說我沒有相關工作經驗。希望得到韓老師解答~謝謝您！

A： 騎著驢招馬 先就業再擇業 先解決生存問題再考慮發展，短期目標解決生存，長期目標解決發展?？傊凶约旱姆较?，不畏學習中的艱難，且能夠享受學習的樂趣，經過3年就能成為某個領域的專家。到那個時候就可以鷹擊長空，鵬程萬里了。再就是找的工作最好和自己的長期發展有聯系，比如學網絡的，找了個門衛的工作，或找了個平面設計的工作，都對自己的長期目標聯系不大。你做1年的網管，做網管也要考慮安全方面的事情，同時也能提高你分析網絡故障解決網絡問題的能力，對你的網絡安全方向不沖突。

Q：尊敬的韓老師您好，在此您能不能給學生提供一個中小型網絡的安全策略；或給我講一講安全實施的方案，在此謝過！

A：看這篇文章http://hanligang.blog.51cto.com/400469/279815

Q：有些人說使用WINDOWS操作系統的服務器常要重啟，而LINUX就要好點，不知道您是如何看待這個現像的

A：Windows Server 2003 和 2008不需要經常重啟，Windows NT聽說需要經常重啟。Linux配置好了較為穩定，當然對Linux高手來說的。

Q：請問韓老師：我使用的是windows操作系統，來賓賬戶guest我進控制面板不啟用。但是很多檢測軟件都說guest沒有禁用，就想請問一下不啟用和禁用的區別是什么？

A：不啟用就是禁用，沒什么區別，那你就給guest用戶設置一個復雜的密碼 然后禁用。

Q：韓老師：您好，就網絡管理來說，網絡監視工具、網絡流量分析以及服務器性能監測，現有哪些軟件可實現這些功能，能給我列幾款嗎？謝謝！??！

A：捕包工具ethereal-setup-0.99.0.exe和SnifferProv4.90.102都是網絡流量監視工具。如果將這些工具裝在網關或算機能夠查看內網訪問Internet的流量，或配置交換機一個的端口為監視端口，在連接監視端口的計算機上安裝捕包工具監控流量。如果在接在普通交換機端口的計算機上安裝捕包工具，只能捕獲本網段的多播或廣播，以及該計算機發送和接受的數據包。服務器性能監視，我一般使用系統內置的性能監視工具。

Q：網絡專家，您好！我有一個德國朋友的網站，在國內打不開，網站名是www.reckhorn.com. 這個網站在其他國家都能打開，通過代理服務器也能打開。請問這是什么原因，該怎么解決？謝謝！

A：

C:\Users\han>ping www.reckhorn.com

正在 Ping www.reckhorn.com [81.169.145.67] 具有 32 字節的數據:

Control-C

^C

C:\Users\han>telnet www.reckhorn.com 80

正在連接www.reckhorn.com...無法打開到主機的連接。 在端口 80: 連接失敗

C:\Users\han>

這是我測試的結果，我也訪問不了，域名解析沒問題，telnet 80端口失敗，這種情況可能是我國的國際出口路由器加了訪問訪問控制列表拒絕訪問該服務器的TCP的80端口。使用國外的代理服務器能夠訪問，是因為你能夠訪問國外的代理服務器，而代理服務器又能夠訪問該網站。你的計算機沒有直接訪問該網站。所以就能夠繞過國內路由器的封鎖。

Q：請問韓老師，我想學windows系統，但是現在社會上用的有  2000 2003 xp  vista現在 又有  2008 和 win7 ，感到很迷茫的，不知道能不能推薦幾本實用的學習系統的好書，還有就是系統學會大概要功多久，是不是系統學會了，系統安全就業會了。

A：Windows 工作站 包括 Windows 95 Windows 98 Windows XP Vista Windows7這些都是辦公人員用的操作系統Windows服務器 Windows NT、 Windows Server 2000、Windows Server 2003、 Windows Server 2008。服務器和工作站的系統是不同的，服務器操作系統可以做DNS服務器 DHCP服務器 WINS服務器 證書頒發機構（CA）服務器 遠程訪問服務器（RAS） Web和FTP服務器等等，作為IT專業人員必須掌握服務器的配置，當然XP Vista Windows7的管理和使用也是必須的。系統方面的學習 我建議重點學習Windows Server 2008 ，目前市面上系統全面講解WindowsServer2008的書，是清華出版社的WindowsServer2008視頻突擊系列教材。適合國人學習，都隨書帶有50小時的視頻教學。

《WindowsServer2008系統管理之道》

《貫徹WindowsServer2008網絡基礎架構》

《掌控WindowsServer2008活動目錄》

《WindowsServer2008安全內幕》

WindowsServer2003的系統學習6各月+WindowsServer2008的系統學習大概6個 月

安全是在掌握了系統知識后，才能領悟的知識和技能，否則就是空中樓閣

 

【編輯推薦】

1. [第147期] 為你的企業網絡把脈，構建健康通暢企業網
2. [第146期] 學習紅帽Linux虛擬化 探索KVM內核
3. [第144期]“萬能遙控器”讓企業數據管理更輕松