重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
look'n'stop防火墙使用心得
创新互联公司主要从事网站设计制作、成都网站制作、网页设计、企业做网站、公司建网站等业务。立足成都服务漾濞,十多年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575
使用look`n`stop(以下简称lns)防火墙已经有一段时间了,我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后,被lns的小巧内核和强大功能所吸引,而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐,很多人是刚装上lns就卸载了,正是这点吸引我去研究这个只有633kb的软件。
二、安装:
本来安装没什么好说的,但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙,最好还是看一看。比如我,在安装lns时候不是那么顺利,出了点问题。
我在3台不同的电脑上安装lns,3台都出现了问题。第一台的问题是:安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯一的可能是我的mcafee virusscan enerpriese8.0i的设置问题(这是麦咖啡锁定系统文件不让修改的原因,注:水云深浪按)。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是:进安全方式安装lns,重启后再进安全方式,安装lns驱动。第三次重启后lns工作正常。
第二台的问题是:安装正常,不过只能导入一条规则,导入第二条规则铁定跳启,比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题,不具普遍性。
第三台的问题是:安装后,重启,结果死活找不到lns驱动,运行lsn就提示“找不到设备”。后来发现是lns和mdf(mcafee desktopfire 8.0zh)冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他,有他没我,独霸一处的。
三、使用补遗:
在看本段使用补遗之前,建议大家先拜读一下zeus首发龙族,后被多处转载的帖子——《 look`n`stop防火墙中级使用指南(7月19日更新)》。指南很详尽地介绍了lns的设置和使用技巧,正是这个帖子才使我对lns有更深入和全面的了解。
1、不能上网的补遗
有些adsl用户反应装了lns后就不能上网。很不幸,我也遇到了,我在家里的一台电脑装了lns后就不能上网了,不过可以进行pppoe拨号并建立连接,可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度,我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个,一个是不要指定网卡的ip,另一个是在lns的选项标签页中,勾除自动选择网络接口的选项,手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip(不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外)
2、优化补遗
在zeus《look`n`stop防火墙中级使用指南(7月19日更新)》这个帖子的末尾,有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns,并不允许svchost.exe调用其他程序连接。这个设置的思路是对的:是让svchost.exe只访问一个ip的特定端口,阻止一些利用svchost.exe进行调用,并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标,就不能连上网,一些浏览器的跳转也被阻止。所以还是把[禁止启动其他连接]给恢复成[允许]吧。
3、rules—规则补遗
a、新建一条针对特定应用程序才启动的规则时,必须重启该应用程序才能生效。比如,你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则,要让该规则生效(就是暗红的钩子变绿色)必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行,这个规则还是暗红的没有启用。
b、很多高手为我们定制了现成的规则表,直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手,逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴,其监听端口都是不一样的。有些规则不指定ip和端口,只要特定程序运行,就开放所有端口通信,这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制,了解程序访问网络的手续和步骤,还可以锻炼你创建规则和分析问题的能力,虽然麻烦了点,但好处多多。
c、lns对不同的用户建立不同的应用程序过滤列表(网络过滤列表是全局的),如果你嫌麻烦让不同的用户去逐个授权,可以打开注册表,找到hkey_current_user\software\soft4ever\looknstop\applis这里保存着当前用户的应用程序列表,dll过滤列表也保存在这里哦。以后重装lns就不用授权应用程序了,导入就可以了。
4、漏洞检测补遗
大家可以自己去试试防火墙的可靠性。
漏洞检测:英文为leak test比较著名的检测站点有:
1:诺顿
... fkpxkbqwbhcp=1
2:天网
;;sortid=17
3.sygatetech
4.pcflank
使用LNS防范arp攻击
关於防范arp攻击(也就是P2P终结者使用的arp原理)
1.首先需要获得网关MAC和本机MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应,用ipconfig -all可以得到本机MAC
2.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;
3.在所有规则的最上面,添加一条规则:1.以太网类型:arp,2.来源等於本机MAC,3.目的等於ff:ff:ff:ff:ff:ff,4.方向为传出
4.在上述规则的下面面,添加一条规则:1.以太网类型:arp,2.来源等於网关MAC,3.目的等於本机MAC,4.方向为传入
5.允许3,4两个规则
应用,保存设置
安装时选择的什么键盘?
Linux 开始很多系统都有一个键盘设置的,中国的计算机要用“美国”,或者“美式键盘”,不要选择别的什么键盘。很多新装的就跑这里去找别的键盘以为是什么特殊设置的东西。语言选择中文就行,语言和键盘是两个不同的东西,这个键盘就是指的键盘布局,中国用的就是美国的键盘布局,欧洲国家都有自己特有的键盘布局(最典型的某些水货全键盘手机 AZ 互相调换就是如此),日本也有自己的键盘布局。所以,键盘布局不要选错。如果是水货日本笔记本电脑,那么就去选择日本键盘。语言依然选择中国即可。
alt+F2可以打开命令行工具,然后在里面输入相应的控制命令。
关机是:shutdown -h now (注:可以加数字格式为:+2表示在两分钟后关机)
重启是:shutdown -r now
建议:去下载一本Ubuntu linux的教材,百度下应该可以找到。
【DataGuard高可用性】
DataGuard确保企业数据的高可用性,数据保护以及灾难恢复。在主数据库故障无法修复时启动DataGuard的备份库,可以像主库一样继续对外提供服务而不影响业务的持续运行。
主备数据库之间通过日志传输实现数据库数据同步。
日志传输过程
1、在主系统中利用LNS进程(日志传输进程)将日志传输到备用系统
2、备用系统利用RFS(日志接收进程)接收主库传输过来的日志并利用MRP(日志恢复进程)同步数据
3、DataGuard环境中必须保证3个进程正常工作,否则此DataGuard环境将不能满足灾备需要。
【DG可以解决的问题】
1、在主库停机维护时,备份库顶上,使业务应用影响最小
(1)主库安装OS补丁或Oracle补丁
(2)主库进行数据整理
2、一个新的数据迁移项目,将数据迁移同型号更高端IBM服务器与存储中,主库数据2T,并且此迁移操作必须停机时间控制在30分钟以内(此次时间远远适于迁移数据库文件所需时间),怎么办?
(1)把备份库顶上去
3、由于主库(仓库)数据量非常巨大(50T),所以没有常规备份,但此系统存在DataGuard灾备系统,如果主库某数据文件由于某种原因导致介质故障,你将如何对其进行恢复。
4、异地归档日志
------------------------------------------------------------------------------
主库:18.150 备库:18.160
1、主库和备库:开启归档模式
archive log list;-----------查看归档启动否
shutdown immediate;---------开启归档前要正常关库
startup mount;-------------启动Mount状态
alter database archivelog;-------开启归档模式
alter database open;--------开启数据库
2、确认主库强制写日志
select force_logging from v$database;
(所有sql语句nologging操作时 也会强制写日志)
SQL alter database force logging;
3、修改主备数据库的参数文件
【主】
SQLcreate pfile from spfile;
cd /oracle/app/oracle/product/10.2.0/db_1/dbs/
vi initTEST.ora
DB_UNIQUE_NAME=TEST
LOG_ARCHIVE_CONFIG='DG_CONFIG=(DB150,DB160)'
LOG_ARCHIVE_DEST_1='LOCATION=/home/oracle/archive VALID_FOR=(ALL_LOGFILES,ALL_ROLES) DB_UNIQUE_NAME=TEST'
LOG_ARCHIVE_DEST_2='SERVICE=DB160 LGWR ASYNC VALID_FOR=(ONLINE_LOGFILES,PRIMARY_ROLE) DB_UNIQUE_NAME=TEST'
FAL_SERVER=DB150
FAL_CLIENT=DB160
STANDBY_FILE_MANAGEMENT=AUTO
【备】
SQLcreate pfile from spfile;
cd /oracle/app/oracle/product/10.2.0/db_1/dbs/
vi initTEST.ora
DB_UNIQUE_NAME=TEST
LOG_ARCHIVE_CONFIG='DG_CONFIG=(DB150,DB160)'
LOG_ARCHIVE_DEST_1='LOCATION=/home/oracle/archive VALID_FOR=(ALL_LOGFILES,ALL_ROLES) DB_UNIQUE_NAME=TEST'
LOG_ARCHIVE_DEST_2='SERVICE=DB150 LGWR ASYNC VALID_FOR=(ONLINE_LOGFILES,PRIMARY_ROLE) DB_UNIQUE_NAME=TEST'
FAL_SERVER=DB160
FAL_CLIENT=DB150
STANDBY_FILE_MANAGEMENT=AUTO
4、主库和备库
都配置“监听”、“传输文件”,并开启监听
5、主库和备库
都创建“归档日志”目录:mkdir /home/oracle/archive
6、主库和备库
cd /oracle/app/oracle/product/10.2.0/db_1/dbs/
rm -rf spfileTEST.ora
sqlplus / as sysdba
SQL startup force;
SQLcreate spfile from pfile;
7、备库
SQL shutdown immediate
[oracle@sq18 admin]$ sqlplus sys/lipengfei as sysdba
(连接成功)
SQL startup nomount force;
8、主库
SQL show parameter ARCHIVE(查看到刚才配置的值生效了)
9、备库
(报错没有相应目录)
[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/adump
[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/bdump
[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/cdump
[oracle@sq18 admin]$ mkdir -p /oracle/app/flash_recovery_area
[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/udum
保证数据库两边的密码文件中的密码一致(主备数据库sys用户密码必须相同,如果备库中没有orapwTEST,从主库中拷贝到来)
10、主库
mkdir /home/oracle/db_bak/
rman target /
RMAN backup full database format='/home/oracle/db_bak/%U' include current controlfile for standby;
(别退出RMAN,第12步用)
11、备库
mkdir /home/oracle/db_bak/
12、主库(把全库备份的文件拷贝到备库)
cd /home/oracle/db_bak/
scp 备份文件 oracle@192.168.18.160:/home/oracle/db_bak/
RMANconnect auxiliary sys/lipengfei@DB160
RMAN duplicate target database for standby nofilenamecheck;----异机(备库)恢复,保证主备库的数据和状态一样
13、备库
cd /oracle/app/oradata/TEST
ls --------查看有没有文件
sqlplus / as sysdba
SQLselect open_mode from v$database;----------mount状态
14、主库
SQL select process from v$managed_standby;
(没有灾备的进程)
SQL alter system switch logfile;
SQL select process from v$managed_standby;
PROCESS
---------
ARCH
ARCH
LNS
已经有了进程,lns传输进程)
15、备库
SQL select process from v$managed_standby;
PROCESS
---------
ARCH
ARCH
RFS
RFS
(已经有了进程,rfs接收进程)
SQL alter database recover managed standby database disconnect from session;
SQL select process from v$managed_standby;
PROCESS
---------
ARCH
ARCH
RFS
RFS
MRP0
16、主库
SQLcreate table haha as select * from dba_objects;
SQLinsert into haha select * from haha;
SQLalter system switch logfile;
17、备库
SQL alter database recover managed standby database cancel;
(备库上,只有把恢复日志进程MRP0取消,才可以打开数据库)
SQL alter database open;
SQL select count(*) from haha
【注意】
(1)备用数据库在日志恢复过程中(MRP进程存在期间)数据库处于MOUNTED状态,此时备用数据库无法打开供读取使用
(2)打开备用数据库
停止备用库的日志恢复进程MRP
alter database recover managed standby database cancel;
open备用数据库,备用数据库默认打开为只读方式
alter database open;
(3)重新启动备用数据库的MRP进程,数据库自动从OPEN状态转换到MOUNT 状态
alter database recover managed standby database disconnect from session;
(4)mrp进程停止期间,只要RFS进程存在,那么不影响日志的接收
兄弟,以上就是关于oracle DG构架的实验材料,希望可以帮到你!
由 1 号inode 读取到连结档的内容仅有档名,根据档名链接到正确的目录去取得目标文件的inode ,
最终就能够读取到正确的数据了。
创建软连接,从下图可以看出软连接的大小是11个字节,对比/etc/passwd和passwdlns可知他们不是同一个文件。
对指向文件的的软连接 :使用cp oldfilename newfilename ,是对软连接指向的文件进行复制,属性和大小都和指向文件相同。
如果只是想复制软连接可以使用:cp -d filename1 filename2
复制指向目录的软连接 :
使用cp -r dir1 dir2 可以看出对于指向目录的软连接的复制是对软连接复制的。
如果我就是相同过软连接复制目录下的全部文件,该如何呢?
使用rm删除文件结果如下,可以看到删除的是软连接文件。
使用rm删除软连接指向的源文件,赶紧将备份的passwd文件还原。
对于目录的删除是对软连接进行删除还是目标目录:
在目录后不加/是对软连接进行操作:
在目录后加上/是对连接目录进行删除:下图可以看出/tmp/testdir的大小已经变成了6了,删除了目录里的全部文件。
对软连接改变权限会对源文件有什么样的影响 :不管是文件软连接还是目录软连接,对软连接进行修改权限,修改的是目标文件和目录的权限
1、Ctrl+Alt+F2启动字符提示界面
2、pwd查看当前目录
3、ls
4、ls -a
5、man ls
6、mkdir test
7、ls
8、cd test进入目录 pwd查看当前工作目录
9、touch newfile
10、cp /etc/profile .
11、mv profile profile.bak
12、ll
13、输入less profile //按p键和空格键向下翻页,按b键向上翻页,按/后输入then关键
字后按回车键,可以对then关键字查找
14、grep "then" profile
15、软连接 ln-s profile lnsptofile 硬链接 ln porfile lnhptofile
16、ll
17、rm -f profile
18、less lnsprofile
19、less lnhprofile
20、删除文件rm -f lnsprofile 显示当前目录下的文件列表ls 回到上层目录cd ..
21、tar -cvf test.tar test
22、gzip test.tar
23、mv test.tar.gz back.tar.gz
24、ls
25、mv back.tar.gz ./test
26、ls
27、cd test显示ls
28、tar -zxvf back.tar.gz
29、ls cp -r test test.bak
30、find / -name newfile
31、rm -f *
32、rmdir test删除
回到上层目录cd ..
利用rm命令删除目录test和其他下所有文件rm -rf test