网关及DNS服务器

1、默认网关一个用于TCP/IP 协议的配置项，是一个可直接到达的IP 路由器的IP 地址。配置默认网关可以在IP 路由表中创建一个默认路径。赋予路由器IP 地址的名称,与本地网络连接的机器必须把向外的流量传递到此地址中以超出本地网络,从而使那个地址成为本地子网以外的IP 地址的"网关".也就是最近常用的网关,当主机路由表目或网络输入不存在于本地主机的路由表时数据包发送到那里 .网关( Gateway )就是一个网络连接到另一个网络的“关口 ”。按照不同的分类标准，网关也有很多种。TCP/IP 协议里的网关是最常用的，在这里我们所讲的“ 网关”均指 TCP/IP 协议下的网关。

2、那么网关到底是什么呢？网关实质上是一个网络通向其他网络的IP 地址。比如有网络 A和网络 B,网络 A的IP地址范围为 192. 168.1.254"，子网掩码为 ； 网络 B 的 IP 地址范围为“54”， 子网掩码为 。 在没有路由器的情况下，两个网络之间是不能进行TCP/IP 通信的，即使是两个网络连接在同一台交换机(或集线器)上，TCP/IP 协议也会根据子网掩码( )判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的

3、通信，则必须通过网关。如果网络A 中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B 的网关，网络 B 的网关再转发给网络B 的某个主机(如附图所示)。 网络 B 向网络 A 转发数据包的过程也是如此。所以说，只有设置好网关的IP 地址， TCP/IP 协议才能实现不同网络之间的相互通信。那么这个IP 地址是哪台机器的IP 地址呢？网关的IP 地址是具有路由功能的设备的IP 地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。什么是默认网关如果搞清了什么是网关，默认网关也就好理解了。就

4、好像一个房间可以有多扇门一样，一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。如何设置默认网关一台电脑的默认网关是不可以随随便便指定的，必须正确地指定，否则一台电脑就会将数据包发给不是网关的电脑，从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。1. 手动设置手动设置适用于电脑数量比较少、TCP/IP 参数基本不变的情况，比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“ 默认网关”，非常费劲，一旦因为迁移等原因导致必须修改默认网关的I

5、P 地址， 就会给网管带来很大的麻烦，所以不推荐使用。在 Windows 9x 中，设置默认网关的方法是在“网上邻居”上右击，在弹出的菜单中点击“属性 ”，在网络属性对话框中选择“TCP/IP 协议 ”，点击 “属性 ”，在 “默认网关选项卡中填写新的默认网关的IP 地址就可以了。需要特别注意的是：默认网关必须是电脑自己所在的网段中的IP 地址，而不能填写其他IP 地址。和默认网关2. 自动设置DHCP 服务器来自动给网络中的电脑分配IP 地址、子网掩码。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了器中默认网关的设置，那么网络中所有的电脑均获得了新的默认网关的种方法适用于网络规模较

6、大、TCP/IP 参数有可能变动的网络。另外一种自动获得网关的办法是通过安装代理服务器软件（如DHCP 服务IP 地址。这MS Proxy ）的客户端程序来自动获得，其原理和方法和DHCP 有相似之处。由于篇幅所限，就不再详述了。如果开始看路由知识的话，就会容易明白了，进入命令行模式：c:>route print会有一条路由： 默认网关的IP 接口（机器的IP ） 跳数比如我的机器： 54 33 1意思是：所有的需要转发的数据包，都经过默认网关的IP （接口）发送出去，当然返回

7、也是从那里经过使用多个默认网关1如果您有多个接口并为每个接口配置了一个默认网关，那么默认情况下TCP/IP 将根据接口速度自动计算接口跃点数。此接口跃点数将成为所配置的默认网关的路由表中的默认路由的跃点数。最高速度的接口具有默认路由的最低跃点数。这样，只要在多个接口上配置多个默认网关，就会使用最快速度的接口将通信转发到其默认网关。如果相同速度的多个接口具有相同的最低接口跃点数，那么根据绑定顺序，将使用第一个网络适配器的默认网关。如果第一个网络适配器不可用，则使用第二个网络 适配器的默认网关。在 TCP/IP 的早期版本中，多个默认网关都具有设置为1的默认路由跃点数，并且使用的默认网关将取决于接

8、口顺序。有时，这会给确定TCP/IP 协议正在使用哪一个默认网关带来一些困难。默认情况下，接口跃点数的自动确定已经通过“ Internet 协议（ TCP/IP ） ”协议高级属性的“ IP 设置 ”选项卡上的“自动跃点计数”复选框启用。可以禁用接口跃点数的自动确定并键入新的接口跃点数。子掩码子掩码算法2007/10/12 16:20为了提高IP 地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得 IP 地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP 地址分配和管理。它的使用关

9、键在于选择合适的层次结构-如何既能适应各种现实的物理网络规模，又能充分地利用 IP 地址空间（即：从何处分隔子网号和主机号）。子网掩码的作用简单地来说，掩码用于说明子网域在一个IP 地址中的位置。子网掩码主要用于说明如何进行子网的划分。掩码是由32位组成的，很像IP 地址。对于三类IP 地址来说，有一些自然的或缺省的固定掩码。如何来确定子网地址如果此时有一个I P 地址和子网掩码，就能够确定设备所在的子网。子网掩码和IP 地址一样长，用 32bit 组成，其中的1 表示在IP 地址中对应的网络号和子网号对应比特，0表示在IP 地址中的主机号对应的比特。将子网掩码与IP 地址逐位相“与 ”，得全

10、0部分为主机号，前面非0部分为网络号。要划分子网就需要计算子网掩码和分配相应的主机块，尽管采用二进制计算可以得出结论，但采用十进制计算方法看起来要比二进制方法简单许多，经过一番观察和总结，我终于得出了子网掩码及主机块的十进制算法。首先要明确一些概念：类范围：IP地址常采用点分十进制表示方法X.Y.Y.Y,在这里X=1-126 时称为 A 类地址 ;X=128-191 时称为B 类地址;X=192-223 时称为C 类地址;如30因为X=10在1-126范围内所以称为 A类地址类默认子网掩码：A 类为 B 类为C 类为255.255.

11、255.0当我们要划分子网用到子网掩码M 时，类子网掩码的格式应为A 类为255.M.0.0B 类为255.255.M.0C 类为255.255.255.MM 是相应的子网掩码如：40十进制计算基数：256，等一下我们所有的十进制计算都要用256来进行。几个公式变量的说明：Subnet_block :可分配子网块大小，指在某一子网掩码下的子网的块数。Subnet_num：实际可分配子网数，指可分配子网块中要剔除首、尾两块，这是某一子网掩码下可分配的实际子网数量，它等于Subnet_block-2。IP_block :每个子网可分配的IP地址块大小。IP_num：每个子

12、网实际可分配的IP地址数，因为每个子网的首、尾 IP地址必须保留（一个为网络地址，一个为广播地址），所以它等于IP_block-2 ， IP_num 也用于计算主机段M ：子网掩码（net mask）。它们之间的公式如下：M=256-IP_blockIP_block=256/Subnet_block ，反之 Subnet_block=256/IP_blockIP_num=IP_block-2Subnet_num=Subnet_block-22的冥数：要熟练掌握2A8 （256）以内的2的冥代表的十进制数，如 128=2人7、64=2人6，这可使我们立即推算出Subnet_block 和 IP_

13、block 数。现在我们举一些例子:1、 已知所需子网数12，求实际子网数解：这里实际子网数指Subnet_num,由于12最接近2的冥为16 （2人4）,即Subnet_block=16 ,那么Subnet_num=16-2=14 ,故实际子网数为 14。2、 已知一个B类子网每个子网主机数要达到60x255（约相当于X.Y.0.1-X.Y .59.254的数量）个，求子网掩码。解： 1、 60接近2的冥为64（ 2A6） ，即， IP_block=642、子网掩码M=256-IP_block=256-64=1923、子网掩码格式B 类是： 255.255.M.0.所以子网掩码为：255.2

14、55.192.03、 如果所需子网数为7，求子网掩码（仔细看这里，和我们考试的差不多）解： 1 、 7最接近2的冥为8，但8个Subnet_block 因为要保留首、尾2个子网块，即8-2=6<7, 并不能达到所需子网数，所以应取2的冥为 16，即 Subnet_block=162、 IP_block=256/Subnet_block=256/16=163、子网掩码M=256-IP_block=256-16=240 。4、 已知网络地址为，要有4个子网，求子网掩码及主机段。解： 1、 211.y.y.y 是一个 C 类网，子网掩码格式为255.255.255.M2

15、、 4个子网，4接近2的冥是8（ 2A3） ，所以 Subnet_block=8Subnet_num=8-2=63、 IP_block=256/Subnet_block=256/8=324、子网掩码M=256-IP_block=256-32=2245、所以子网掩码表示为246、 因为子网块（ Subnet_block） 的首、 尾两块不能使用，所以可分配6个子网块 （ Subnet_num） ，每块 32个可分配主机块（IP_block）即：32-63、 64-95、 96-127、 128-159、 160-191 、 192-223首块（ 0-31 ）和尾块（22

16、4-255）不能使用7、每个子网块中的可分配主机块又有首、尾两个不能使用（一个是子网网络地址，一个是子网广播地址），所以主机段分别为：33-62、 65-94、 97-126、 129-158、 161-190、 193-2228、所以子网掩码为24主机段共 6段为：3-25-47-2629-5861-909

17、3-22可以任选其中的4段作为4个子网。DNS!艮务器口DNS的全称和作用什么是DNS服务器简单来说，DNS 服务器是 Domain Name System 或者 Domain Name Service （域 名系统或者域名服务）。域名系统为 Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过 DNS服务器来应答域名服务白查询。 1DNS服务器是干什么的？DNS服务器在互联网的作用是：把域名转换成为网络可以识别的ip地址。首先，

18、要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS ,他可以把我们输入的好记的域名转换为要访问的服务器的IP地址.简单的说，就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。DNS的配置方法DNS服务器是一个 Windows NT Server 内置的 DNS服务器配置工具。我们依次选取

19、 开始”/程序”/管理工具（公用）”/ “DNS管理器”，就会出现 域名服务管理器 ” 主窗口。这里要做的第一件事是添加DNS服务器以进行配置。打开“DNS ”菜单，选择 新建服务器”，在对话框中输入DNS服务器的主机名或IP地址： ,然后单击 确定”按钮。操作完成，刚添加的服务器就会出现 在服务器列表中。对于今后要保存任何的设置变化到服务器的数据文件，则右键单击 服务器列表中的服务器主机名或IP地址，再单击更新服务器数据文件”即可。DNS解析服务的方式及出错解决方式如何做好你的2003 服务器安全1. 将 mysql 运行在普通用户权限下，这是最重要的一点，大部分的入侵

20、都是利用数据库的权限进行的。MYSQ的降权运行新建立一个用户比如mysqlstartnet user mysqlstart fuckmicrosoft /addnet localgroup users mysqlstart /del不属于任何组如果MYSQ装在d:mysql ,那么，给 mysqlstart完全控制的权限然后在系统服务中设置,MYSQ的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码，确定。重新启动MYSQL®务，然后MYSQ就运行在低权限下了。2. 使用附件里的IP 策略关闭所有没用的端口管理工具 本地安全策略IP 安全策略 所有任务 - 导

21、入策略 然后指派.3. 所有盘的根目录都不能有everyone,users 的读与运行权限。C盘只给 administrators 和 system 权限其他的盘也可以这样设置Windows目录要力口上给users的默认权限，否则 AS所口 ASP)#应用程序就无法运行另外在 c:/Documents and Settings/ 这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘名a administrators 权限，而在All Users/Application Data 目录下会出现 everyone 用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本

22、或只文件，再结合其他漏洞来提升权限；譬如利用serv-u 的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。4. 加强PHP的安全关闭危险函数如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看 php 信息的phpinfo() 等函数，那么我们就可以禁止它们：disable_functions = system,passthru,exec,shell_e

23、xec,popen,phpinfo关闭PHP版本信息在http头中的泄漏我们为了防止黑客获取服务器中php 版本的信息，可以关闭该信息斜路在http 头中：expose_php = Off比如黑客在telnet 80的时候，那么将无法看到PHP的信息。(1) 关闭注册全局变量在PHP中提交的变量，包括使用POS侦者GET®交的变量，都将自动注册 为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：register_globals = Off当然， 如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET交的变量v

24、ar,那么就要用$_GET'va门来进行获取，这个php程序员要注意。(2)打开 magic_quotes_gpc 来防止 SQL注入SQL&入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini 中有一个设置：magic_quotes_gpc = Off这个默认是关闭的，如果它打开后将自动把用户提交对sql 的查询进行转换，比如把 ' 转为 ' 等， 这对防止sql 注射有重大作用。所以我们推荐设置为：magic_quotes_gpc = On(3) 错误信息控制一般 php 在没有连接到数据库或者其他情况下会有提示错误，一

25、般错误信息中会包含php 脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安 全的，所以一般服务器建议禁止错误提示：display_errors = Off如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：error_reporting = E_WARNING & E_ERROR当然，我还是建议关闭错误提示。(4) 错误日志建议在关闭display_errors 后能够把错误信息记录下来，便于查找服务器运行的原因：log_errors = On同时也要设置错误日志存放的目录，建议根apache的日志存在一起：error_log =

26、D:/usr/local/apache2/logs/php_error.log注意：给文件必须允许apache 用户的和组具有写的权限。如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是 system 权限，这很恐怖，这让人感觉很不爽. 那我们就给apache 降降权限吧。net user apache fuckmicrosoft /addnet localgroup users apache /delok. 我们建立了一个不属于任何组的用户apche。我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on, 选择 this accou

27、nt ，我们填入上面所建立的账户和密码，重启apache服务，ok, apache运行在低权限下了。实际上我们还可以通过设置各个文件夹的权限，来让apache 用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。.不要装PCanywhere或Radmin因为它们本身就存在安全问题，可以直接用 windows 2003 自带的3389，它比任何远程控制软件都安全。. 不要在服务器上双击运行任何程序，不然你中了木马都不知道。. 不要在服务器上用IE 打开用户的硬盘中的网页，这是危险的行为

28、。.不要在服务器上浏览图片，以前 windows就出过GDI+勺安全漏洞。. 确保你自己的电脑安全，如果你自己的电脑不安全，服务器也不可能安全。. 检查 sytem32 目录的 net.exe ， cmd.exe， tftp.exe ， netstat.exe ， regedit.exe ， at.exe ， attrib.exe ， cacls.exe 只能有 adms,system 的全权权限.网站目录也要用普通用户运行，附件和头像目录不能有执行权限。在网上邻居右键属性把打印和共享卸载掉打开组策略编辑器，依次展开“计算机配置fWindows设置-安全设置-本地策 略-安全选项”，在右侧窗口

29、中找到“网络访问：可远程访问的注册表路径”， 然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下:打开“组策略编辑器”的方法为：依次点击“开始运行”，在“运行”对话框中键入“gpedit.msc ”命令并回车， 即可打开“组策略编辑器”窗口。 然后依次打开“组策略控制台-用户配置-管理模板-系统”中的“只运行许可的W1 n d o w s应用程序”并启用此策略然后点击下面的“允许的应用程序列表”边的“显示”按钮， 弹出一个“显示内容”对话框， 在此单击“添加”按钮来添加允许运行的应用程序即可， 以后一般用户只能运行“允许的应用程序列表”中的程序PS:关于ASP目前比较流行的AS冰马主要通过三种技术来进行对服务器的相关操作。开始 运行 regedit.exe 进行下面的操作一、使用FileSystemObject 组件FileSystemObject 可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROO