第9讲：计算机网络故障诊断与 及排除 其他业务故障诊断与 及排除 计算机网络故障诊断与 及排除（第2版） .ppt

添加或者删除完毕，重新启动机器以后，服务器就被保护起来。 最后，提醒个人用户，若只上网浏览，可以不添加任何端口。但是若要利用一些网络联络工具，如OICQ，就要打开4000端口。同理，发现某个常用的网络工具不能起作用时，应搞清主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。 9.4.8 常用的防火墙 9.4.9 防火墙的缺陷 防火墙的缺陷主要有： ● 防火墙不能防范不经过防火墙的攻击； ● 防火墙不能防止感染了病毒的软件或文件的传输； ● 防火墙不能防止数据驱动式攻击； ● 防火墙需要其他的安全策略配合。 9.5 有关包过滤规则的几个概念 在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务不允许通过，并将这些规定翻译成有关的包过滤规则，但对包的内容不予以关心。例如，允许站点接收来自于因特网的邮件，而该邮件是由什么工具制作的，具体内容则与我们无关。路由器只关注包中的“包头”一小部分内容。为了便于叙述，下面介绍将服务翻译成包过滤规则时几个非常重要的概念。 1. 协议总是双向的 协议总是双向的，协议包括一方发送一个请求而另一方回送一个应答。在指定包过滤规则时，要注意包是从两个方向来到路由器的。例如，只允许向外的Telnet包将我们的输入信息送达远程主机而不允许返回的显示信息包通过相同的连接，这种规则是不正确的。同时，拒绝半个连接往往也是不起作用的。在许多攻击中，入侵者往内部网发送包，他们甚至不用返回信息就可完成对内部网的攻击，因为他们可以对返回信息进行推测。 2. 准确理解“往内”与“往外”的语义 在制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。一个往外的服务(如上面提到的Telnet)同时包含往外的包(输入的信息)和往内的包(屏幕显示的信息)。虽然大多数人习惯于用“服务”来定义规则，但在实际制定包过滤规则时也一定要弄清“往内”与“往外”的包和“往内”与“往外”的服务这几个词之间的区别。 9.6 地址过滤常见问题 2. 不允许对通信进行单向 IPSec 保护 IPSec 策略不允许采用 IPSec 对通信进行单向保护。如果创建一条规则以保护主机 A 和 B 的 IP 地址之间的通信，那么必须在同一筛选器列表中指定从 A 到 B 之间的通信和从 B 到 A 之间的通信。可以在同一筛选器列表中创建两个筛选器来完成这件事。或者，可以到 IPSec 管理单元的筛选器规范属性对话框中选择镜像框。此选项在默认情况下是选中的，因为保护必须双向协商，即使大部分情况下数据通信本身只向一个方向流动。 可以创建单向筛选器以闭锁或允许通信，但不能用来保护通信安全。要保护通信安全，必须手工指定筛选器镜像或使用镜像复选框让系统自动生成。 3. 计算机证书必须有私钥 若获取证书不当，就可能导致这样一种情况，即，证书存在，且被选择用于 IKE 身份验证，但无法发挥作用。因为在本地计算机上与证书的公钥对应的私钥不存在。 4. 验证证书是否有私钥 (1) 在“开始”菜单上，单击“运行”，然后在文本框中输入“mmc”。单击“确定”按钮。 (2) 在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”按钮。 (3) 在“管理单元列表”中，双击证书。单击“关闭”按钮，然后单击“确定”按钮。 (4) 展开证书-用户(本地计算机)，然后展开个人。 (5) 单击“证书文件夹”按钮。 (6) 在右窗格中，双击想检查的证书。 (7) 在“常规”选项卡中，应看到这样的文字：您有一个与该证书对应的私钥。如果看不到此消息，那么系统就不能顺利地将此证书用于 IPSec。 这取决于该证书的申请方式，以及在主机的本地证书存储中的填充方式，此私钥值可能不存在，或可能在 IKE 协商期间不可用。如果个人文件夹中的证书没有对应的私钥，那么证书注册失败。如果证书是从 Microsoft Certificate Server 中获得，且设置了强私钥保护选项，则每次使用私钥在 IKE 协商中给数据签名时，都必须输入 PIN 号码以访问私钥。由于IKE协商是在后台由系统服务执行的，服务没有窗口可用来提示用户。因此，以此选项获得的证书不能用于 IKE 身份验证。 5. 建立和测试最简单的端对端策略 大多数问题，特别是互操作性问题，都可以通过创建最简单的策略而不是使用默认策略来解决。当创建新策略时，不要启用 IPSec 隧道，或默认响应规则。在“常规”选项卡上编辑策略，编辑密钥交换，以便只有一个选项目标计算机可以接受。例如，使用RFC2049要求的DES选项SHA1和Low(1) 1 Di