求教朋友指教：lns防火墻的的設(shè)置和使用問題？

look'n'stop防火墻使用心得

創(chuàng)新互聯(lián)公司主要從事網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站制作、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)漾濞,十多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

使用look`n`stop（以下簡(jiǎn)稱lns）防火墻已經(jīng)有一段時(shí)間了，我以前一直是用windows防火墻+自定義ipsec組策略作為網(wǎng)絡(luò)安全方案的。使用lns是因?yàn)橛^察比較了幾款墻后，被lns的小巧內(nèi)核和強(qiáng)大功能所吸引，而且lns 2005sp3版的和windows安全中心完全兼容。還有一個(gè)原因是lns的靈活帶來了配置的煩瑣，很多人是剛裝上lns就卸載了，正是這點(diǎn)吸引我去研究這個(gè)只有633kb的軟件。

二、安裝：

本來安裝沒什么好說的，但是如果你在安裝lns的時(shí)候已經(jīng)安裝過防病毒軟件和其他防火墻，最好還是看一看。比如我，在安裝lns時(shí)候不是那么順利，出了點(diǎn)問題。

我在3臺(tái)不同的電腦上安裝lns，3臺(tái)都出現(xiàn)了問題。第一臺(tái)的問題是：安裝好lns后每次重啟都會(huì)發(fā)現(xiàn)硬件、安裝。似乎是lns的某個(gè)文件不能被寫入并存盤。分析了一下機(jī)器環(huán)境。感覺唯一的可能是我的mcafee virusscan enerpriese8.0i的設(shè)置問題（這是麥咖啡鎖定系統(tǒng)文件不讓修改的原因，注：水云深浪按）。不過搞了半天沒確定是哪條資源保護(hù)規(guī)則出了問題。后來的解決方案是：進(jìn)安全方式安裝lns，重啟后再進(jìn)安全方式，安裝lns驅(qū)動(dòng)。第三次重啟后lns工作正常。

第二臺(tái)的問題是：安裝正常，不過只能導(dǎo)入一條規(guī)則，導(dǎo)入第二條規(guī)則鐵定跳啟，比按機(jī)箱上的reset還靈。后來分析了一下日志說是驅(qū)動(dòng)或內(nèi)存引起的問題。這個(gè)應(yīng)該是我個(gè)人比較特殊的問題，不具普遍性。

第三臺(tái)的問題是：安裝后，重啟，結(jié)果死活找不到lns驅(qū)動(dòng)，運(yùn)行l(wèi)sn就提示“找不到設(shè)備”。后來發(fā)現(xiàn)是lns和mdf（mcafee desktopfire 8.0zh）沖突所致。因?yàn)閘ns和mdf都會(huì)在安裝后試圖接管windows安全中心并獲取高級(jí)的排他權(quán)限。所以大多數(shù)和windows安全中心兼容的防火墻產(chǎn)品都是有我沒他，有他沒我，獨(dú)霸一處的。

三、使用補(bǔ)遺：

在看本段使用補(bǔ)遺之前，建議大家先拜讀一下zeus首發(fā)龍族，后被多處轉(zhuǎn)載的帖子——《 look`n`stop防火墻中級(jí)使用指南（7月19日更新）》。指南很詳盡地介紹了lns的設(shè)置和使用技巧，正是這個(gè)帖子才使我對(duì)lns有更深入和全面的了解。

1、不能上網(wǎng)的補(bǔ)遺

有些adsl用戶反應(yīng)裝了lns后就不能上網(wǎng)。很不幸，我也遇到了，我在家里的一臺(tái)電腦裝了lns后就不能上網(wǎng)了，不過可以進(jìn)行pppoe撥號(hào)并建立連接，可就是不能上網(wǎng)。后來發(fā)現(xiàn)是lns沒有正確選擇網(wǎng)絡(luò)接口引起的。原因是為了加快winxp啟動(dòng)后載入adsl連接的速度，我手動(dòng)指定了網(wǎng)卡ip地址。這導(dǎo)致lns不能自動(dòng)辨別正確的網(wǎng)絡(luò)接口。解決的方法有兩個(gè)，一個(gè)是不要指定網(wǎng)卡的ip，另一個(gè)是在lns的選項(xiàng)標(biāo)簽頁中，勾除自動(dòng)選擇網(wǎng)絡(luò)接口的選項(xiàng)，手動(dòng)指定網(wǎng)絡(luò)接口為wan。小區(qū)寬帶用戶如fttx的lan接入在選擇網(wǎng)絡(luò)接口時(shí)也要注意?？傊趌ns的歡迎標(biāo)簽頁上能看到正確的ip（不是全零或類似10.x.x.x內(nèi)網(wǎng)型的就對(duì)了。當(dāng)然局域網(wǎng)內(nèi)用戶除外）

2、優(yōu)化補(bǔ)遺

在zeus《look`n`stop防火墻中級(jí)使用指南（7月19日更新）》這個(gè)帖子的末尾，有一段關(guān)于如何對(duì)應(yīng)用程序過濾進(jìn)行設(shè)置的技巧。是把svchost.exe設(shè)置為只允許53端口訪問dns，并不允許svchost.exe調(diào)用其他程序連接。這個(gè)設(shè)置的思路是對(duì)的：是讓svchost.exe只訪問一個(gè)ip的特定端口，阻止一些利用svchost.exe進(jìn)行調(diào)用，并試圖連網(wǎng)的病毒或木馬。不過這樣設(shè)置有有一個(gè)問題。就是很多通過svchost調(diào)用的合法服務(wù)或程序也被阻止了。比如你在msn上點(diǎn)hotmail的圖標(biāo)，就不能連上網(wǎng)，一些瀏覽器的跳轉(zhuǎn)也被阻止。所以還是把[禁止啟動(dòng)其他連接]給恢復(fù)成[允許]吧。

3、rules—規(guī)則補(bǔ)遺

a、新建一條針對(duì)特定應(yīng)用程序才啟動(dòng)的規(guī)則時(shí)，必須重啟該應(yīng)用程序才能生效。比如，你在運(yùn)行比特精靈的時(shí)候針對(duì)比特精靈的監(jiān)聽端口建立了一個(gè)開放端口的規(guī)則，要讓該規(guī)則生效（就是暗紅的鉤子變綠色）必須關(guān)閉比特精靈后再啟動(dòng)才行。否則你會(huì)發(fā)現(xiàn)即便比特精靈已經(jīng)運(yùn)行，這個(gè)規(guī)則還是暗紅的沒有啟用。

b、很多高手為我們定制了現(xiàn)成的規(guī)則表，直接導(dǎo)入就可以了。不過我還是建議每個(gè)人都從lsn提供給你的enhancedrulesset.rls入手，逐步建立個(gè)性化的規(guī)則表。比如每個(gè)人使用的bt客戶端和電驢，其監(jiān)聽端口都是不一樣的。有些規(guī)則不指定ip和端口，只要特定程序運(yùn)行，就開放所有端口通信，這其實(shí)有安全隱患。另外這么做可以讓你了解防火墻的運(yùn)行機(jī)制，了解程序訪問網(wǎng)絡(luò)的手續(xù)和步驟，還可以鍛煉你創(chuàng)建規(guī)則和分析問題的能力，雖然麻煩了點(diǎn)，但好處多多。

c、lns對(duì)不同的用戶建立不同的應(yīng)用程序過濾列表（網(wǎng)絡(luò)過濾列表是全局的），如果你嫌麻煩讓不同的用戶去逐個(gè)授權(quán)，可以打開注冊(cè)表，找到hkey_current_user\software\soft4ever\looknstop\applis這里保存著當(dāng)前用戶的應(yīng)用程序列表，dll過濾列表也保存在這里哦。以后重裝lns就不用授權(quán)應(yīng)用程序了，導(dǎo)入就可以了。

4、漏洞檢測(cè)補(bǔ)遺

大家可以自己去試試防火墻的可靠性。

漏洞檢測(cè)：英文為leak test比較著名的檢測(cè)站點(diǎn)有：

1：諾頓

... fkpxkbqwbhcp=1

2：天網(wǎng)

;;sortid=17

3.sygatetech

4.pcflank

使用LNS防范arp攻擊

關(guān)於防范arp攻擊（也就是P2P終結(jié)者使用的arp原理)

1.首先需要獲得網(wǎng)關(guān)MAC和本機(jī)MAC，只要Ping一下網(wǎng)關(guān)，然后用Arp -a命令查看，就可以得到網(wǎng)關(guān)的IP與MAC的對(duì)應(yīng),用ipconfig -all可以得到本機(jī)MAC

2.在“互聯(lián)網(wǎng)過濾”里面有一條“ARP : Authorize all ARP packets”規(guī)則，在這個(gè)規(guī)則前面打上禁止標(biāo)志；

3.在所有規(guī)則的最上面，添加一條規(guī)則：1.以太網(wǎng)類型:arp,2.來源等於本機(jī)MAC,3.目的等於ff:ff:ff:ff:ff:ff，4.方向?yàn)閭鞒?/p>

4.在上述規(guī)則的下面面，添加一條規(guī)則：1.以太網(wǎng)類型:arp,2.來源等於網(wǎng)關(guān)MAC,3.目的等於本機(jī)MAC，4.方向?yàn)閭魅?/p>

5.允許3,4兩個(gè)規(guī)則

應(yīng)用，保存設(shè)置

我的Linux ubuntu輸入有問題

安裝時(shí)選擇的什么鍵盤？

Linux 開始很多系統(tǒng)都有一個(gè)鍵盤設(shè)置的，中國的計(jì)算機(jī)要用“美國”，或者“美式鍵盤”，不要選擇別的什么鍵盤。很多新裝的就跑這里去找別的鍵盤以為是什么特殊設(shè)置的東西。語言選擇中文就行，語言和鍵盤是兩個(gè)不同的東西，這個(gè)鍵盤就是指的鍵盤布局，中國用的就是美國的鍵盤布局，歐洲國家都有自己特有的鍵盤布局（最典型的某些水貨全鍵盤手機(jī) AZ 互相調(diào)換就是如此），日本也有自己的鍵盤布局。所以，鍵盤布局不要選錯(cuò)。如果是水貨日本筆記本電腦，那么就去選擇日本鍵盤。語言依然選擇中國即可。

Linux這么操作

alt+F2可以打開命令行工具，然后在里面輸入相應(yīng)的控制命令。

關(guān)機(jī)是：shutdown -h now （注：可以加數(shù)字格式為：+2表示在兩分鐘后關(guān)機(jī)）

重啟是：shutdown -r now

建議：去下載一本Ubuntu linux的教材，百度下應(yīng)該可以找到。

linux下怎么將oracle配置成雙機(jī)熱備

【DataGuard高可用性】

DataGuard確保企業(yè)數(shù)據(jù)的高可用性，數(shù)據(jù)保護(hù)以及災(zāi)難恢復(fù)。在主數(shù)據(jù)庫故障無法修復(fù)時(shí)啟動(dòng)DataGuard的備份庫，可以像主庫一樣繼續(xù)對(duì)外提供服務(wù)而不影響業(yè)務(wù)的持續(xù)運(yùn)行。

主備數(shù)據(jù)庫之間通過日志傳輸實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)同步。

日志傳輸過程

1、在主系統(tǒng)中利用LNS進(jìn)程(日志傳輸進(jìn)程)將日志傳輸?shù)絺溆孟到y(tǒng)

2、備用系統(tǒng)利用RFS(日志接收進(jìn)程)接收主庫傳輸過來的日志并利用MRP(日志恢復(fù)進(jìn)程)同步數(shù)據(jù)

3、DataGuard環(huán)境中必須保證3個(gè)進(jìn)程正常工作，否則此DataGuard環(huán)境將不能滿足災(zāi)備需要。

【DG可以解決的問題】

1、在主庫停機(jī)維護(hù)時(shí)，備份庫頂上，使業(yè)務(wù)應(yīng)用影響最小

(1)主庫安裝OS補(bǔ)丁或Oracle補(bǔ)丁

(2)主庫進(jìn)行數(shù)據(jù)整理

2、一個(gè)新的數(shù)據(jù)遷移項(xiàng)目，將數(shù)據(jù)遷移同型號(hào)更高端IBM服務(wù)器與存儲(chǔ)中，主庫數(shù)據(jù)2T，并且此遷移操作必須停機(jī)時(shí)間控制在30分鐘以內(nèi)(此次時(shí)間遠(yuǎn)遠(yuǎn)適于遷移數(shù)據(jù)庫文件所需時(shí)間),怎么辦？

(1)把備份庫頂上去

3、由于主庫(倉庫)數(shù)據(jù)量非常巨大(50T),所以沒有常規(guī)備份，但此系統(tǒng)存在DataGuard災(zāi)備系統(tǒng)，如果主庫某數(shù)據(jù)文件由于某種原因?qū)е陆橘|(zhì)故障，你將如何對(duì)其進(jìn)行恢復(fù)。

4、異地歸檔日志

------------------------------------------------------------------------------

主庫：18.150 ?備庫：18.160

1、主庫和備庫：開啟歸檔模式

archive log list;-----------查看歸檔啟動(dòng)否

shutdown immediate;---------開啟歸檔前要正常關(guān)庫

startup mount;-------------啟動(dòng)Mount狀態(tài)

alter database archivelog;-------開啟歸檔模式

alter database open;--------開啟數(shù)據(jù)庫

2、確認(rèn)主庫強(qiáng)制寫日志

select force_logging from v$database;

(所有sql語句nologging操作時(shí) 也會(huì)強(qiáng)制寫日志)

SQL alter database force logging;

3、修改主備數(shù)據(jù)庫的參數(shù)文件

【主】

SQLcreate pfile from spfile;

cd /oracle/app/oracle/product/10.2.0/db_1/dbs/

vi initTEST.ora

DB_UNIQUE_NAME=TEST

LOG_ARCHIVE_CONFIG='DG_CONFIG=(DB150,DB160)'

LOG_ARCHIVE_DEST_1='LOCATION=/home/oracle/archive ?VALID_FOR=(ALL_LOGFILES,ALL_ROLES) DB_UNIQUE_NAME=TEST'

LOG_ARCHIVE_DEST_2='SERVICE=DB160 LGWR ASYNC VALID_FOR=(ONLINE_LOGFILES,PRIMARY_ROLE) DB_UNIQUE_NAME=TEST'

FAL_SERVER=DB150 ? ? ? ?

FAL_CLIENT=DB160

STANDBY_FILE_MANAGEMENT=AUTO

【備】

SQLcreate pfile from spfile;

cd /oracle/app/oracle/product/10.2.0/db_1/dbs/

vi initTEST.ora

DB_UNIQUE_NAME=TEST

LOG_ARCHIVE_CONFIG='DG_CONFIG=(DB150,DB160)'

LOG_ARCHIVE_DEST_1='LOCATION=/home/oracle/archive ?VALID_FOR=(ALL_LOGFILES,ALL_ROLES) DB_UNIQUE_NAME=TEST'

LOG_ARCHIVE_DEST_2='SERVICE=DB150 LGWR ASYNC VALID_FOR=(ONLINE_LOGFILES,PRIMARY_ROLE) DB_UNIQUE_NAME=TEST'

FAL_SERVER=DB160 ? ? ? ?

FAL_CLIENT=DB150

STANDBY_FILE_MANAGEMENT=AUTO

4、主庫和備庫

都配置“監(jiān)聽”、“傳輸文件”，并開啟監(jiān)聽

5、主庫和備庫

都創(chuàng)建“歸檔日志”目錄：mkdir /home/oracle/archive

6、主庫和備庫

cd /oracle/app/oracle/product/10.2.0/db_1/dbs/

rm -rf spfileTEST.ora

sqlplus / as sysdba

SQL startup force;

SQLcreate spfile from pfile;

7、備庫

SQL shutdown immediate

[oracle@sq18 admin]$ sqlplus sys/lipengfei as sysdba

（連接成功）

SQL startup nomount force;

8、主庫

SQL show parameter ARCHIVE(查看到剛才配置的值生效了)

9、備庫

（報(bào)錯(cuò)沒有相應(yīng)目錄）

[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/adump

[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/bdump

[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/cdump

[oracle@sq18 admin]$ mkdir -p /oracle/app/flash_recovery_area

[oracle@sq18 admin]$ mkdir -p /oracle/app/admin/TEST/udum

保證數(shù)據(jù)庫兩邊的密碼文件中的密碼一致（主備數(shù)據(jù)庫sys用戶密碼必須相同，如果備庫中沒有orapwTEST，從主庫中拷貝到來）

10、主庫

mkdir /home/oracle/db_bak/

rman target /

RMAN backup full database format='/home/oracle/db_bak/%U' include current controlfile for standby;

(別退出RMAN，第12步用)

11、備庫

mkdir /home/oracle/db_bak/

12、主庫(把全庫備份的文件拷貝到備庫)

cd /home/oracle/db_bak/

scp 備份文件 oracle@192.168.18.160:/home/oracle/db_bak/

RMANconnect auxiliary sys/lipengfei@DB160

RMAN duplicate target database for standby nofilenamecheck;----異機(jī)(備庫)恢復(fù)，保證主備庫的數(shù)據(jù)和狀態(tài)一樣

13、備庫

cd /oracle/app/oradata/TEST

ls --------查看有沒有文件

sqlplus / as sysdba

SQLselect open_mode from v$database;----------mount狀態(tài)

14、主庫

SQL select process from v$managed_standby;

（沒有災(zāi)備的進(jìn)程）

SQL alter system switch logfile;

SQL select process from v$managed_standby;

PROCESS

---------

ARCH

ARCH

LNS

已經(jīng)有了進(jìn)程，lns傳輸進(jìn)程）

15、備庫

SQL select process from v$managed_standby;

PROCESS

---------

ARCH

ARCH

RFS

RFS

（已經(jīng)有了進(jìn)程，rfs接收進(jìn)程）

SQL alter database recover managed standby database disconnect from session;

SQL ?select process from v$managed_standby;

PROCESS

---------

ARCH

ARCH

RFS

RFS

MRP0

16、主庫

SQLcreate table haha as select * from dba_objects;

SQLinsert into haha select * from haha;

SQLalter system switch logfile;

17、備庫

SQL alter database recover managed standby database cancel;

（備庫上，只有把恢復(fù)日志進(jìn)程MRP0取消，才可以打開數(shù)據(jù)庫）

SQL alter database open;

SQL select count(*) from haha

【注意】

（1）備用數(shù)據(jù)庫在日志恢復(fù)過程中（MRP進(jìn)程存在期間）數(shù)據(jù)庫處于MOUNTED狀態(tài)，此時(shí)備用數(shù)據(jù)庫無法打開供讀取使用

（2）打開備用數(shù)據(jù)庫

停止備用庫的日志恢復(fù)進(jìn)程MRP

alter database recover managed standby database cancel;

open備用數(shù)據(jù)庫,備用數(shù)據(jù)庫默認(rèn)打開為只讀方式

alter database open;

（3）重新啟動(dòng)備用數(shù)據(jù)庫的MRP進(jìn)程，數(shù)據(jù)庫自動(dòng)從OPEN狀態(tài)轉(zhuǎn)換到MOUNT 狀態(tài)

alter database recover managed standby database disconnect from session;

（4）mrp進(jìn)程停止期間，只要RFS進(jìn)程存在，那么不影響日志的接收

兄弟，以上就是關(guān)于oracle DG構(gòu)架的實(shí)驗(yàn)材料，希望可以幫到你！

linux對(duì)軟連接操作

由 1 號(hào)inode 讀取到連結(jié)檔的內(nèi)容僅有檔名，根據(jù)檔名鏈接到正確的目錄去取得目標(biāo)文件的inode ，

最終就能夠讀取到正確的數(shù)據(jù)了。

創(chuàng)建軟連接，從下圖可以看出軟連接的大小是11個(gè)字節(jié)，對(duì)比/etc/passwd和passwdlns可知他們不是同一個(gè)文件。

對(duì)指向文件的的軟連接 ：使用cp oldfilename newfilename ，是對(duì)軟連接指向的文件進(jìn)行復(fù)制，屬性和大小都和指向文件相同。

如果只是想復(fù)制軟連接可以使用：cp -d filename1 filename2

復(fù)制指向目錄的軟連接 ：

使用cp -r dir1 dir2 可以看出對(duì)于指向目錄的軟連接的復(fù)制是對(duì)軟連接復(fù)制的。

如果我就是相同過軟連接復(fù)制目錄下的全部文件，該如何呢？

使用rm刪除文件結(jié)果如下，可以看到刪除的是軟連接文件。

使用rm刪除軟連接指向的源文件，趕緊將備份的passwd文件還原。

對(duì)于目錄的刪除是對(duì)軟連接進(jìn)行刪除還是目標(biāo)目錄：

在目錄后不加/是對(duì)軟連接進(jìn)行操作：

在目錄后加上/是對(duì)連接目錄進(jìn)行刪除：下圖可以看出/tmp/testdir的大小已經(jīng)變成了6了，刪除了目錄里的全部文件。

對(duì)軟連接改變權(quán)限會(huì)對(duì)源文件有什么樣的影響 ：不管是文件軟連接還是目錄軟連接，對(duì)軟連接進(jìn)行修改權(quán)限，修改的是目標(biāo)文件和目錄的權(quán)限

linux系統(tǒng)下載

1、Ctrl+Alt+F2啟動(dòng)字符提示界面

2、pwd查看當(dāng)前目錄

3、ls

4、ls -a

5、man ls

6、mkdir test

7、ls

8、cd test進(jìn)入目錄 pwd查看當(dāng)前工作目錄

9、touch newfile

10、cp /etc/profile .

11、mv profile profile.bak

12、ll

13、輸入less profile //按p鍵和空格鍵向下翻頁，按b鍵向上翻頁，按/后輸入then關(guān)鍵

字后按回車鍵，可以對(duì)then關(guān)鍵字查找

14、grep "then" profile

15、軟連接 ln-s profile lnsptofile 硬鏈接 ln porfile lnhptofile

16、ll

17、rm -f profile

18、less lnsprofile

19、less lnhprofile

20、刪除文件rm -f lnsprofile 顯示當(dāng)前目錄下的文件列表ls 回到上層目錄cd ..

21、tar -cvf test.tar test

22、gzip test.tar

23、mv test.tar.gz back.tar.gz

24、ls

25、mv back.tar.gz ./test

26、ls

27、cd test顯示ls

28、tar -zxvf back.tar.gz

29、ls cp -r test test.bak

30、find / -name newfile

31、rm -f *

32、rmdir test刪除

回到上層目錄cd ..

利用rm命令刪除目錄test和其他下所有文件rm -rf test