Openwrt下设置端口映射 DMZ 访问控制 等

Openwrt下设置端口映射 DMZ 访问控制等

参考openwrt的wiki：https://www.wendangku.net/doc/7039985.html,/doc/uci/firewall

/etc/config/firewall

修改完以后请在终端窗口输入/etc/init.d/firewall restart来重启防火墙使设置生效

端口映射：来自internet的使用tcp协议访问路由80端口的请求映射到内网192.168.1.10的80端口

可以映射端口提高P2P效率

config redirect

option src wan

option src_dport 80

option proto tcp

option dest_ip 192.168.1.10

重定向：局域网访问10.55.34.85的请求将被重定向到63.240.161.99的123端口可以用来做网页重定向等通告功能

config redirect

option src lan

option dest wan

option src_ip 10.55.34.85

option src_dip 63.240.161.99

option dest_port 123

option target SNA T

访问控制：拦截局域网到123.45.67.89的访问请求

可以用来过滤某些网站

config rule

option src lan

option dest wan

option dest_ip 123.45.67.89

option target REJECT

基于MAC的访问控制，拦截局域网内MAC为00:00:00:00:00的机子访问互联网

config rule

option src lan

option dest wan

option src_mac 00:00:00:00:00

option target REJECT

设置DMZ:

config redirect

option src wan

option proto all

option dest_ip 192.168.1.2

网络安全设计方案.doc

目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来

2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即， 可用性：授权实体有权访问数据 机密性：信息不暴露给未授权实体或进程 完整性：保证数据不被未授权修改 可控性：控制授权范围内的信息流向及操作方式 可审查性：对出现的安全问题提供依据与手段 访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。 数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业网主要的安全威胁和安全漏洞包括以下几方面：（1）内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)，因此这种风险是必须采取措施进行防范的。 （2）搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲，由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。 （3）假冒 这种威胁既可能来自企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 （4）完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/

防火墙公网IP设置及端口映射方法

（一）防火墙初始配置 1.导入证书 打开目录“Admin Cert”，双击“SecGateAdmin.p12”，进行安装，密码是“123456”； 2.将电脑的网线与防火墙的WAN口相连，打开防火墙电源。 3.设置好电脑的IP地址为“10.50.10.44”后，用IE打开地址：https://10.50.10.45:8889。 输入用户名和密码进入管理界面。 防火墙的W AN口默认的IP是“10.50.10.45”， 防火墙默认的管理主机IP是：“10.50.10.44” 进入防火墙WEB界面用户名和密码是：“admin”-“firewall” 进入地址是：https://10.50.10.45:8889 4.导入“license许可证文件” 系统配置---升级许可，点如下图中的浏览 ，然后找到与防火墙相对应的lns许可文件，然后再“导入许可证”，导入许可文件后才能进行防火墙的管理。 5.增加管理主机（或改成“管理主机不受限制”） 管理配置—管理主机，增加管理主机的IP地址，或直接在“管理主机不受限制” 上打勾。记得“保存配置”。 6.增加LAN的接口地址：网络配置---接口IP，增加LAN的IP地址为：192.168.11.254， 子网掩码为：255.255.255.0 7.将硬盘录像机的IP改为”192.168.11.250”,子网掩码:”255.255.255.0”,网 关:”192.168.11.254” 8.记得在最上方点击”保存配置”,这样才会在重启后也生效。

（二）防火墙公网地址配置方法： 1.配置公网IP 网络配置---接口IP，增加WAN的IP地址为公网地址，子网掩码为电信或联通提供的子网掩码。 2.配置默认网关 网络配置---策略路由，点“添加”，然后选“路由”，只用在地址框里输入网关地址即可。 3.保存配置。

网御防火墙端口映射

网御防火墙端口映射 一、端口映射概念及用途 采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网部机器的特定端口服务的访问。例如，你所使用的机子处于一个连接到Internet的局域网，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。这是因为你机子的IP是局域网部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。所以可以通过应用端口映射技术来解决。 二、联想网域防火墙端口映射配置 单位使用的防火墙型号是联想网域power 3414，在防火墙上需要做设置的地方有三处： 1、资源定义>>地址>>服务器地址 2、资源定义>>服务>>基本服务 3、策略配置>>安全规则>>包过滤规则 4、策略配置>>安全规则>>端口映射规则 映射分为两种： 一种是将网服务器上相应服务的端口号映射的外网相同的端口号上； 另一种是将网服务器上相应服务的端口号映射到外网其他的端口号上； 两者相比，第二种方法更为安全，应为这种方法没有使用默认的端口号，相对提高了安全性。 三、端口映射配置实例 接下来我们就采用上述两种方法来做映射，将192.168.4.2上提供的FTP服务，映射到外网ip上，分别以FTP默认端口号21，和自行设置的端口号6789，来对外网映射FTP服务！ 一、端口映射概念及用途 采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网部机器的特定端口服务的访问。例如，你所使用的机子处于一个连接到Internet的局域网，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。这是因为你机子的IP是局域网部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。所以可以通过应用端口映射技术来解决。 二、联想网域防火墙端口映射配置 单位使用的防火墙型号是联想网域power 3414，在防火墙上需要做设置的地方有三处：

网络安全防护工作总结

通信网络安全防护工作总结 为提高网络通讯防护水平，从网络结构安全、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络安全稳定，总结如下： （1）网络冗余和备份 使用电信和网通双城域网冗余线路接入,目前电信城域网的接入带宽是20M,联通城域网的接入带宽是 20M.可根据日后用户的不断增多和务业的发展需求再向相关网络服务提供商定购更大的线路带宽。 （2）路由器安全控制业务服务器及路由器之间配置静态路由，并进行访问控制列 表控制数据流向。Qos保证方向使用金（Dscp32）,银（Dscp8）,铜（Dscp0）的等级标识路由器的 Qos 方式来分配线路带宽的优先级保证在网络流量出现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送。 （3）防火墙安全控制 主机房现有配备有主备 juniper 防火墙和深信服 waf 防火墙，juniper 防火墙具备 ips 、杀毒等功能模块，深信服 waf 防火墙主要用于网页攻击防护，可防止 sql 注入、跨站攻击、黑客挂马等攻击。 防火墙使用 Untrust,Trunst 和 DMZ 区域来划分网络 ,使用策略

来控制各个区域之间的安全访问。 （ 4）IP 子网划分 /地址转换和绑定 已为办公区域 ,服务器以及各个路由器之间划分 IP 子网段 , 保证各个子网的 IP 可用性和整个网络的 IP 地址非重复性。使用NAT,PAT,VIP,MIP 对内外网 IP 地址的映射转换 ,在路由器和防火墙上使用IP地址与MAC地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分 IP 子网划分 :172.16.0.0/16 （5）网络域安全隔离和限制 生产网络和办公网络隔离，连接生产必须通过连接 vpn 才能连接到生产网络。在网络边界部署堡垒机 ,通过堡垒机认证后才可以对路由器进行安全访问操作 ,在操作过程中堡垒机会将所有操作过程视频录像，方便安全审计以及系统变更后可能出现的问题，迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机IP地址对其登陆操作，在路由器中配置3A认证服务,通过 TACAS 服务器作为认证 ,授权。 （6）网络安全审记 网络设备配置日志服务 ,把设备相关的日志消息统一发送到日志服务器上作记录及统计操作 .日志服务器设置只允许网管主机的访 问 ,保证设备日志消息的安全性和完整性。 logging buffered 102400 logging trap debugging logging source-interface Loopback0

各种路由器设置端口映射

各种路由器，内网映射外网大全 2009-04-04 18:06 各种ADSL MODEM端口影射 端口映射技术是建站过程中一项关键技术，本次我们通过在论坛征集来自众多建站高手提供的各种不同品牌ADSL MODEM端口映射设置方法和相关应用参数介绍。整理成一份完整的文档资料供更多需要建站的用户参考。在此特别鸣谢提供资料及信息的朋友们！ 什么情况下需要做端口映射？ 如果网络情况是下面这样的： internet<--->adsl router<--->hub<--->web server internet<--->adsl modem<--->gateway<--->hub<--->web server 那么internet用户想浏览你的web server，80的请求只能到adsl router或gateway，就过不去了。你就要做一个转发，让80请求到adsl router或gateway 后，达到web server，那web server才有可能回应，并返回给你正确内容。这就是端口转发，也叫端口映射。 以下为部分路由器基于Web管理界面的访问地址： 1. DLINK出厂定义的路由器地址是19 2.168.0.1 2. Linksys出厂定义的路由器地址是192.168.1.1 3. 3com出厂定义的路由器地址是192.168.2.1 4. 微软出厂定义的路由器地址是192.168.2.1 5. Netgear出厂定义的路由器地址是192.168.1.1 6. asus出厂定义的路由器地址是192.168.1.1 上面几个是厂家定义地址，如果是带有猫的路由，地址不一定一样。不同厂商的产品也有可能有些差别。例如speedtouch的出厂定义是10.0.0.138，更多型号设备管理界面访问地址，用户可参考产品说明书或者登陆相关产品官方网站了解。 以下为在本介绍文档中出现的设备：TP-LINK TD-8800 TP-Link TD8830 TP-LINK TL-R410 Cyrix686 D-Link DI-704P D-Link DSL-500 阿尔卡特（ALCATEL） S6307KH 合勤 642R GREENNET 1500c 腾达（TENDA）TED 8620

网络安全实验-访问控制列表讲解

实验一访问控制列表（路由器的防火墙功能） 任务1 （标准访问控制列表） 网络拓扑结构见图1。请在packet tracert 软件中仿真实现该网络。自行设计分配IP地址，检查网络连通性。 设计实现访问控制列表，不允许计算机PC0向外网发送IP数据包，不允许计算机PC2向外网发送任何IP数据包。 图1 ACL访问控制列表实验网络拓扑结构图 报告要求： 1、IP地址分配表 2、路由器0的访问控制列表命令，并解释含义 3、路由器1的访问控制列表命令，并解释含义 4、测试及结果（加拷屏） 任务2（扩展访问控制列表） 网络拓扑结构见图1。要求实现只允许计算机PC0 访问web服务器，只允许计算机PC2访问FTP服务器。禁止其他一切网络间的数据通信。 报告要求： 1、IP地址分配表 2、路由器0的访问控制列表命令，并解释含义 3、路由器1的访问控制列表命令，并解释含义 4、测试方案及结果（加拷屏） 任务3 基于上下文的访问控制协议CBAC）的防火墙设置 基本原理 CBAC(context-based access control)即基于上下文的访问控制。通过检查通过防火墙的流量来发现&管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话返回流量和附加数据连接，临时打开返回数据通路。受允许会话是指来源于受保护的内部网络会话。另外CBAC在流量

过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面都能应用。 网络拓扑结构见图2。请在packet tracert 软件中仿真实现该网络。分配的IP地址如表１所示，请配置好地址和路由（要使用静态路由），并检查网络连通性。 设计实现访问控制列表，不允许外部网络与内部网络通信，但是允许内部网络使用ＨＴＴＰ, ICMP协议访问外部网络的资源。 图２ＣＢＡＣ实验网络拓扑结构 表１ＩＰ地址分配表 实验步骤： 第１步：搭建好网络平台，配置地址和路由信息，（要使用静态路由）检查网络的连通性。 用ＰＣ-Ｃping ＰＣ-A 用ＰＣ-A ping ＰＣ-Ｃ 用ＰＣ-Ｃ访问ＰＣ-AＷＷＷ服务器 用ＰＣ-Ｃ访问ＰＣ-A FTP服务器

小米路由器端口映射该怎么设置才好

小米路由器端口映射该怎么设置才好 路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络，也可以说，路由器构成了Internet的骨架。小米路由器上不了网，该怎么设置，在网上说要设置端口映射，但是不知道怎么设置，于是在学着设置的时候写了这篇文章，需要的朋友可以参考下 方法步骤 1、打开小米路由器的登陆界面，地址可以查看小米路由器背面的贴标。 2、查看IP地址：登陆进去之后，找到网络高级设置查看网络结构。一般就一级 3、找到上网设置---上网信息。查看公网地址是固定的还是动态的(动态的要借助花生壳做解析)

4、端口映射：点击高级设置---端口转发。添加规则开始设置映射 5、添加如图，端口信息和映射的端口(一般是11对应) 6、依次添加端口映射，比如邮件常见是25 110 143等端口。可以点击删除进行删除配置 7、应用规则：特别要注意提醒一下，设置好端口转发规则或者修改。都要点击一下【应用规则】 8、配置好端口映射之后，可以通过telnet或者站长工具扫描端口查看是否正常 相关阅读：路由器安全特性关键点 由于路由器是网络中比较关键的设备，针对网络存在的各种安全隐患，路由器必须具有如下的安全特性： (1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说，可靠性主要体现在接口故障和网络流量增大两种情况下，为此，备份是路由器不可或缺的手段之一。

当主接口出现故障时，备份接口自动投入工作，保证网络的正常运行。当网络流量增大时，备份接口又可承当负载分担的任务。 (2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。 (3)访问控制对于路由器的访问控制，需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。 (4)信息隐藏与对端通信时，不一定需要用真实身份进行通信。通过地址转换，可以做到隐藏网内地址，只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接，网外用户不能通过地址转换直接访问网内资源。 (5)数据加密 为了避免因为数据窃听而造成的信息泄漏，有必要对所传输的信息进行加密，只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密，即使在Internet上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。 (6)攻击探测和防范

openwrt防火墙如何设置

openwrt防火墙如何设置 openwrt 防火墙设置方法一： 这个在luci的web管理界面里会有啊，系统->防火墙设置 命令行要用iptables命令，具体应该是iptables -t (table 名) -a (匹配规则) -j allow openwrt 防火墙设置方法二： openwrt 可以被描述为一个嵌入式的 linux 发行版，(主流路由器固件有 dd-wrt,tomato,openwrt三类)而不是试图建立一个单一的 静态的系统。openwrt的包管理提供了一个完全可写的文件系统，从应用程序供应商提供的选择和配置 openwrt 防火墙设置方法三： luci_git-14.287.73426-3f5cf37-1_ar71xx.ipk luci-base_git-14.287.73426-3f5cf37-1_ar71xx.ipk luci-ssl_git-14.287.73426-3f5cf37-1_ar71xx.ipk luci-i18n-english_git-14.287.73426-3f5cf37-1_ar..> 最后这个是语言包，你要喜欢中文的可以选择多下一个chinese，但是英文的一定要有 uhttpd是提供网页服务器的，和luci不是一个系统 如果我没记错的话uhttpd在openwrt里是apache的精简版index of /snapshots/trunk/ar71xx/packages/packages/

叫apache_2.2.29-1_ar71xx.ipk 安装之后要/etc/init.d/uhttpd enable,/etc/init.d/luci enable,/etc/init.d/uhttpd start,/etc/init.d/luci start luci-ssl虽然是提供https的支持，但也要装，要不然http(不加密的)也打不开 相关阅读： openwrt 特点 openwrt是一个高度模块化、高度自动化的嵌入式linux系统，拥有强大的网络组件和扩展性，常常被用于工控设备、电话、小型机器人、智能家居、路由器以及voip设备中。同时，它还提供了100多个已编译好的软件，而且数量还在不断增加，而openwrt sdk 更简化了开发软件的工序。 openwrt不同于其他许多用于路由器的发行版，它是一个从零开始编写的、功能齐全的、容易修改的路由器操作系统。实际上，这意味着您能够使用您想要的功能而不加进其他的累赘，而支持这些功能工作的linux kernel又远比绝大多数发行版来得新。 [2] 优势 如果对 linux 系统有一定的认识, 并想学习或接触嵌入式linux 的话, openwrt很适合。而且openwrt支持各种处理器架构，无论是对arm，x86，powerpc或者mips都有很好的支持。其多达3000多种软件包，囊括从工具链(toolchain)，到内核(linux kernel)，到软件包(packages)，再到根文件系统(rootfs)整个体系，使得用户只需简单的一个make命令即可方便快速地定制一个具有特定功能的嵌入式系统来制作固件。

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

如何使用端口映射功能与 DMZ 主机设置

如何使用端口映射功能与 DMZ 主机设置 端口映射/触发 i. 当您希望向internet提供某些服务时，如FTP，IIS，POP3，将会用到端口映射。 ii. 若您是通过ADSL连接到internet的，某些应用在直接用电脑拨号时可以正常使用，如在线播放、网络游戏、财经软件等，而使用路由器后发现无法使用了，某些情形下，端口映射/触发也能解决。 您可以先咨询这些应用程序的开发商，让他们提供应用程序所使用的端口，然后在路由器上设置 相应端口的映射/触发。 『注』 ?设置端口映射即是使电脑的端口向internet开放，开放的端口越多，承担的安全风险越大，所以应当在有必要使用时才使用。 ?WGR614v5/WGR614v6可以设置20个端口映射服务，一般来说，这对于SOHO用户已足够了。 下面将以WGR614v5为例来陈述，且局域网网段没有使用WGR614v5的默认设置192.168.1.0，而是使用的192.168.6.0网段。 1. 登录路由器管理界面，找到并点击左边功能菜单中的端口映射/端口触发： 2. 此页面默认已选择了“端口映射”，在“服务名称”中列出了一些常用的服务，但下面我们以 建立一个此列表中没有的服务为例。点击页面下方的”添加自定义服务”：

3. 以eMule为例。当在局域网中使用eMule时，通常只能获得LowID，通过端口映射后即 可获得HighID了。在“服务名称”中添加您为此服务的命名，此处我们将其命名为eMule，“服务类型”选择TCP（或者TCP/UDP）： 4. “起始端口”和“结束端口”都设置为eMule所使用的端口，如在eMule-0.46c-VeryCD0913 中，默认使用的TCP端口是4662，此参数是在eMule的选项→连接→客户端口中定义的：

防火墙怎么做端口映射

防火墙怎么做端口映射 出差订酒店就用趣出差，单单有返现，关注微信小程序或下载APP立即领取100元返现红包 防火墙做端口映射是怎么样的呢,.那么防火墙又是怎么做端口映射的?下面是我收集整理的，希望对大家有帮助~~ 防火墙做端口映射的方法 工具/原料 路由器 方法/步骤 知道要供给外网访问的端口号 做了某某游戏服务器、网站、监控或财务软件主机等以下把这台电脑称为主机，这些如果要访问都需要开放端口号。首先你要清楚知道软件要开放哪些端口号? 举例：如建了个网站默认需要开放80端口，由于80端口一般被宽带提供商屏蔽了，所以要到iis换个端口号如8282如图。 注，如果不知道端口号，可以做DMZ主机。DMZ主机相当于把整台主机暴露在网络上，端口映射只是开通一条通道。

固定主机的IP地址 如图192.168.1.88 IP地址要改为不属于DHCP分配地址范围没并且和网内其他联网设置的IP 一样，防止冲突。 如果不会可参见下方链接。 1如何固定手机电脑IP 关闭主机防火墙或在防火墙添加须开放端口 打开控制面板--windows防火墙--设置关闭防火墙 注，防火墙添加须开放端口适合高手使用，新手建议关闭也方便后续排查错误。 路由器做端口映射 一般在转发规则下的虚拟服务器，点击添加条目，输入需要开放的端口和对应的的主机ip,协议可选TCP或UDP，保存。需开放多个端口可继续添加。 注，不通路由器叫法，位置都可能不一样，原理一样。 如果有主机接在下级路由器参考下方链接设置。 如果不知道端口号，可以做DMZ主机。DMZ设置就比较简单，只要输入要开放主机的内网IP即可。建议做端口映射。

openwrt无线路由器设置说明

openwrt无线路由器一线多拨设置说明 注意： 该路由器的默认用户名为：root 密码：a97a04 ，wan口变为了lan1口，所以外线应插到标有数字“1”的接口，其余端口为lan口，用于连接电脑。 1、将电脑与路由器的lan口连接(暂不插外线)，并把电脑的ip地址和dns设为自动获 取，在IE中输入，输入用户名和密码，开始进行如下配置。 2、进入“多wan设定”，如需3拨请设为3，4拨设为4，选择开启macvlan，并填入 生成wan口数量后保存应用。 3、点击“网络”分别设置wan、wan1、wan2…..的帐号密码（暂时不设置下图中的第 4步，等出现问题后再设置，请按图操作）。

4、点击“网络”下面的“无线”然后点击修改，设置无线的名称，和安全密码。

5、然后重新启动路由器，插上外线到标有数字“1”的接口，等待2分钟左右，进入 “状态”下面的“接口总览”查看多拨情况，下图为一线三拨连接的情况，图中wan口无法连接上网，此原因有两种可能：(1)、你的线路最多支持两拨。(2)、因为没有设置wan口的物理地址，所以不能连接，如出现此情况请返回重新第3条图中第4步设置wan中的物理地址。 6、打开360安全卫士，用里面的宽带测速功能看看自己的网速是不是提高了，360 仅作为测速参考，最好的办法是用迅雷多线程下载，进入“系统之家”网站同时下载几个大文件，然后看看迅雷窗口所显示的总下载速度，许多买家在测试带宽时进入一个误区，认为只要下载都能达到最高的速度，这点要提醒你，你的速度快，但是如果你下载文件的服务器慢，速度一样达不到，所以要选择资源多的文件进行下载，如果你是迅雷会员可以进入高速通道测试效果更佳（其实迅雷对非会员也有速度限制，你懂的）下载速度参考值：2M带宽最高下载约为200K左右。 7、常见故障处理方法。 （1）、在接口总览菜单中我的所有红色wan口都出现“需要重新连接”上不了网，出现这种可能有两

网络安全试题答案

网络安全试题 一、填空题 1、网络安全的特征有：保密性、完整性、可用性、可控性。 2、网络安全的结构层次包括：物理安全、安全控制、安全服务。 3、网络安全面临的主要威胁：黑客攻击、计算机病毒、拒绝服务 4、计算机安全的主要目标是保护计算机资源免遭：毁坏、替换、盗窃、丢失。 5、就计算机安全级别而言，能够达到C2级的常见操作系统有：UNIX 、 Xenix 、Novell 3.x 、Windows NT 。 6、一个用户的帐号文件主要包括：登录名称、口令、用户标识号、组 标识号、用户起始目标。 7、数据库系统安全特性包括：数据独立性、数据安全性、数据完整性、 并发控制、故障恢复。 8、数据库安全的威胁主要有：篡改、损坏、窃取。 9、数据库中采用的安全技术有：用户标识和鉴定、存取控制、数据分 级、数据加密。 10、计算机病毒可分为：文件病毒、引导扇区病毒、多裂变病毒、秘 密病毒、异性病毒、宏病毒等几类。 11、文件型病毒有三种主要类型：覆盖型、前后依附型、伴随型。 12、密码学包括：密码编码学、密码分析学 13、网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。 14、网络安全的技术方面主要侧重于防范外部非法用户的攻击。

15、网络安全的管理方面主要侧重于防止内部人为因素的破坏。 16、保证计算机网络的安全，就是要保护网络信息在存储和传输过程中的保密性、完整性、可用性、可控性和真实性。 17、传统密码学一般使用置换和替换两种手段来处理消息。 18、数字签名能够实现对原始报文的鉴别和防抵赖.。 19、数字签名可分为两类：直接签名和仲裁签名。 20、为了网络资源及落实安全政策，需要提供可追究责任的机制，包括：认证、授权和审计。 21、网络安全的目标有：保密性、完整性、可用性、可控性和真实性。 22、对网络系统的攻击可分为：主动攻击和被动攻击两类。 23、防火墙应该安装在内部网和外部网之间。 24、网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。 25、网络通信加密方式有链路、节点加密和端到端加密三种方式。 26、密码学包括：密码编码学、密码分析学 二、选择题 1、对网络系统中的信息进行更改、插入、删除属于 A.系统缺陷 B.主动攻击 C.漏洞威胁 D.被动攻击 2、是指在保证数据完整性的同时，还要使其能被正常利用和操作。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性 3、是指保证系统中的数据不被无关人员识别。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性

端口映射详解

端口映射详解 一、端口映射的定义 端口映射又称端口转发。端口映射过程就如同你家在一个小区里B栋2410室，你朋友来找你，找到小区门口，不知道你住哪层哪号？就问守门的保安，保安很客气的告诉了他你家详细门牌号，这样你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象说法。 二、为什么要进行端口映射 目前的网络接入主要有2种： 1.ADSL连接猫再直接连接主机，这种情况主机是直接进行ADSL宽带拨号，连接上网通过运行CMD执行ipconfig /all命令可以查看到，PPP拨号连接所获取到得是一个公网IP 地址，这种类型的网络是不需要做端口映射的（如下图所示） 2.ADSL通过路由器来进行拨号，主机通过路由器来进行共享上网，这种情况下主机获

取到得通常会是一个192.168.x.x类型的私有内网IP地址，这类情况下，是需要在路由器做端口映射，转发端口到对应的服务器上； 三、端口映射的设置方法 常见端口列表： 要进行端口映射，首先需要了解清楚服务程序所需要映射的端口是多少 以下列举了部分服务需要映射的默认服务端口号 turbomail邮件服务 SMTP TCP25 POP3 TCP110 turbomail （webmail）服务 HTTP 8080 以下讲解几款市面主流品牌路由器的端口映射 1）Tp-link R460+ 1、内网192.168.1.21是TurboMail服务器，TP-LINK系列路由器的默认管理地址为192.168.0.1，账号admin密码admin 登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添加新条目(如图)。

tp,link怎么设置端口映射

tp,link 怎么设置端口映射 篇一：Tp-link TL-WR841N 无线路由器端口映射到外网如何设置？ 这里针对 TP-LINK 的无线路由器进行演示如何设置端口映射和访问控制，演示使用的具 体型号是 TP-LINK TL-WR841N 3G 无线路由器如何设置端口映射。 什么是端口映射？ 端口映射又称端口转发，有的又称之为 NAT、虚拟服务器。端口映射过程就如同您家在 一个小区里 B 栋 2410 室，你朋友来找你，找到小区门口，不知道你住哪层哪号？就问守门的 保安，保安很客气的告诉了他您家详细门牌号码，这样你朋友很轻松的找到了你家。这个过程 就是外网访问内网通过端口映射的形象说法。 如我在内网架设了一台 WEB 服务器，对应的内 网 IP 为 192.168.1.101 是 WEB 服务器， TP-LINK 系列路由器的默认管理地址为 http://192.168.0.1， 账号 admin 密码 admin 登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添 加新条目， 端口映射的功能是用的比较多的， 比如可以使用端口映射的功能将内网的 WEB 服务器发 布到互联网上。 要实现这种功能， 首先登入无线路由器管理界面， 找到“转发规则-虚拟服务器”， 然后在右侧点击“添加新条目”来添加一条新的映射。 一般的步骤是添加一条端口映射规则 服务端口号：就是在无线路由器 WAN 口上打开的端口，这里以 HTTP 服务的 80 端口为 例。 IP 地址：是指映射到内网的主机 IP。 协议：可以选择 TCP 或者 UDP，如果你不知道是哪个，就选择 ALL。 状态：可以选择生效或者失效，默认是生效。 常用服务端口号： 可以选择常用的服务， 然后在服务端口号和协议的地方就会自动填写。 可以参阅 WINDOWS 下常用的服务以及对应的端口这篇文章来了解常用服务与对应的端口号。 设置完成之后，点击保存，一条端口映射的设置就算完成了，如下图所示： 以下讲解几 款市面主流品牌路由器的端口映射： 1）Tp-link 路由器（以 Tp-link R460 为例） 内 网 IP ： 192.168.1.101 是 WEB 服 务 器 ， TP-LINK 系 列 路 由 器 的 默 认 管 理 地 址 为 http://192.168.0.1，账号 admin 密码 admin 登录到路由器的管理界面，点击路由器的转发规则 —虚拟服务器—添加新条目，如图 3： 端口映射设置如下：服务端口号填写 80，如果填写为 80-82 则代表映射 80、81、82 端 口，IP 地址填写内网 WEB 服务器的 IP 地址 192.168.1.101，协议设置为 TCP,若对端口协议类型 不了解可以设置选择为 ALL，代表所有（包括 TCP 和 UDP），状态必须设置为生效。 注意：常用服务端口号，是作为一种帮助提示的作用，不需要选择，然后单击保存，映射 成功，如图 4： 2）D-link 路由器（以 D-LINK DI624+A 为例） 1 / 7

计算机安全访问控制

一、访问控制矩阵（Access Contro1 Matrix）

主体 用户a R、W、Own R、W、Own 用户b R、W、Own 用户c R R、W 用户d R R、W 图4.9访问控制矩阵 二、访问控制表（Access Control Lists，ACLs） 图4.10 访问控制表 访问控制表ACLs是以文件为中心建立访问权限表，如所示。表中登记了该文件的访问用户名及访问权隶属关系。利用访问控制表，能够很容易的判断出对于特定客体的授权访问，哪些主体可以访问并有哪些访问权限。同样很容易撤消特定客体的授权访问，只要把该客体的访问控制表置为空。 出于访问控制表的简单、实用，虽然在查询特定卞体能够访问的客体时，需要遍历查询所有客体的访问控制表，它仍然是一种成熟且有效的访问控制实现方法，许多通用的操作系统使用访问控制表来提供访问控制服务。例如Unix和VMS系统利用访问控制表的简略方式，允许以少量工作组的形式实现访问控制表，而不允许单个的个体出现，这样可以便访问控制表很小而能够用几位就可以和文件存储在一起。另一种复杂的访问控制表应用是利用一些访问控制包，通过它制定复杂的访问规则限制何时和如何进行访问，而且这些规则根据用户名和其他用户属性的定义进行单个用户的匹配应用。 三、能力关系表（Capabilities Lists） 能力关系表与ACL相反，是以用户为中心建立访问权限表，表中规定了该用户可访问的文件名及访问权限，如图4.11。 利用能力关系表可以很方便查询一个主体的所有授权访问。相反，检索具有授权访问特定客体的所有主体，则需要遍历所有主体的能力关系表。

图4.11能力关系表 访问控制机制是用来实施对资源访问加以限制的策略的机制，这种策略把对资源的访问只限于那些被授权用户。应该建立起申请，建立，发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。 为了获取系统的安全授权应该遵守访问控制的三个基本原则： 1、最小特权原则 最小特权原则是系统安全中最基本的原则之一。所谓最小特权（Least Privilege），指的是"在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。 最小特权原则使得用户所拥有的权力不能超过他执行工作时所需的权限。最小特权原则一方面给予主体"必不可少"的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体"必不可少"的特权，这就限制了每个主体所能进行的操作。 2、多人负责原则 即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。如将责任作分解使得没有一个人具有重要密钥的完全拷贝。 3、职责分离原则 职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相容的工作的风险。例如收款员、出纳员、审计员应由不同的人担任。计算机环境下也要有职责分离，为避免安全上的漏洞，有些许可不能同时被同一用户获得。

NAT设置之端口转发和端口映射和DMZ的区别

无线路由器——NAT设置 NAT(Network Address Translation，网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用NAT方法。 简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关(可以理解为出口，打个比方就像院子的门一样)处，将内部地址替换成公用地址，从而在外部公网(internet)上正常使用，NAT可以使多台计算机共享Internet 连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。 无线路由器的NAT设置，一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务，比如说网站服务器。 我以JCG JHR-N926R这款无线路由器为例跟大家分享分享NAT设置。通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL线口)，而访问不到内部服务器。要想让外面用户访问到局域网内的服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。这就是端口映射/端口转发。有时也称

为虚拟服务。 下面有三种NAT的设置方案。 第一步：设置服务器端口首先把服务器要开放的端口设置好，并把服务器的防火墙关闭，否则外网不能通过服务器。下面可以选择三种方案中的一种进行设置使用。 第二步：路由器的设置 第一方案：端口转发连接好路由器，进入路由器的设置界面——点击“高级设置”——点击“NAT”，出现如下界面 ： “IP地址”这里填入您给服务器指定的IP地址（这个IP必须的固定的，否则IP地址改变的话，您的端口转发就不能成功）。 “内部端口”这里填入服务器设置好的端口号，也就是局域网访问服务器时要使用的端口号。这里的端口号必须和服务器要开放的端口号一致。 “外部端口”这里填入外网访问服务器时使用的端口号，这里的端口号可以自己设定。“服务备注”这里主要是为了方便您知道这个开放端口的意思，随便自己填写，只要自己明白就好。 这些都填写完成之后，在后面的“启用”那里打上钩，最后点击“应用”按钮，那么整个端口转发就设置完成了。 第二方案：端口映射连接好路由器，进入路由器的设置界面——点

Juniper防火墙端口映射操作步骤

Juniper 防火墙端口映射操作步骤 注： 以下操作均通过WEB用户管理界面进行： 一、添加自定义服务端口 1、选择菜单Policy > Policy Elements > Services > Custom，进入自定义服务管理页面 2、点击右上角的New按钮进入自定义服务添加页面 在Service Name处填写自定义的服务名称，在Transport protocol处选择需要使用的协议，在Destination Port 处填写自定义服务的目的端口，点击OK按钮提交操作。在上图中，我们添加了了一个名为udp-3311的服务，它使用UDP协议，目的端口号为3311。 3、选择菜单Network > Interfaces(List)，找到Untrust Zone对应的端口名（图中Untrust Zone对应的端口为ethernet0/0），点击右边的Edit按钮进入端口编辑页面

4、点击Properties中的VIP按钮，切换到VIP管理页面 初次添加VIP设置时，如果你有多个外网IP地址，你可以选择填入你的Virtual IP Address，如果ISP只提供给你一个外网IP地址或者你通过PPPOE方式获得外网IP，你可以选择Same as the untrusted interface IP address，点击Add按钮提交。 5、点击New VIP Service按钮，进入VIP服务添加页面 6、添加VIP Service相关信息 A、在Map to Service 下拉列表中选择现有服务类型或者自定义的服务，图中我们选择了之前添加的udp-3311服务