CiscoNAT配置网络服务器

作者：abcguan163 | 发布时间：2025-12-04 07:36:38 收藏本文下载本文

【简介】以下是小编整理了CiscoNAT配置网络服务器（共9篇），希望你喜欢，也可以帮助到您，欢迎分享！在此，感谢网友“”投稿本文！

篇1：CiscoNAT配置网络服务器

Inside network: 3.3.3.4 (static to 2.2.2.24 outside) 3.3.3.5 (static to 2.2.2.25 outside) | | | 3.3.3.1 (ethernet 0) Router - the_lorax 2.2.2.1 (serial 0) | | | Outside network: 2.2.2.2 Router Configuration version 11.3 service timestamps

Inside network:

3.3.3.4

(static to 2.2.2.24 outside)

3.3.3.5

(static to 2.2.2.25 outside)

3.3.3.1 (ethernet 0)

Router - the_lorax

2.2.2.1 (serial 0)

Outside network:

2.2.2.2

Router Configuration

version 11.3

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

hostname the_lorax

enable secret 5 $1$qTEA$EiD5izUJ9cNhgKMjMLAbI/

enable password ww

username john password 0 doe

! The timeout here is idle-timeout

username john autocommand aclearcase/“ target=”_blank“ >ccess-enable host timeout 2

ip nat pool net-208 2.2.2.10 2.2.2.20 netmask 255.255.255.0

ip nat inside source list 1 pool net-208

ip nat inside source static 3.3.3.5 2.2.2.25

ip nat inside source static 3.3.3.4 2.2.2.24

interface Ethernet0

ip address 3.3.3.1 255.255.255.0

ip nat inside

no mop enabled

interface Ethernet1

no ip address

shutdown

interface Serial0

ip address 2.2.2.1 255.255.255.0

ip access-group 102 in

ip nat outside

no ip mroute-cache

no fair-queue

clockrate 125000

interface Serial1

no ip address

shutdown

access-list 1 permit 3.3.3.0 0.0.0.255

access-list 102 permit tcp any host 2.2.2.1 eq telnet log-input

! The timeout here is absolute timeout

access-list 102 dynamic testlist timeout 5 permit ip any host 2.2.2.24 log-input

line con 0

line aux 0

line vty 0 4

password ww

end

原文转自：www.ltesting.net

篇2：Windows+IIS+Resin的配置网络服务器

IIS WEB以其管理操作简单和对ASP的支持而受不少人的喜欢，这里介绍怎么用resin使IIS支持jsp和servlet。一、分别安装配置iis和resin1.1使各自都单独能正常运行。iis和resin1.1的安装后路径如下：c:apache 和 c:esin1.1。二、配置IIS 1.拷贝iis_srun.dll 到I

IIS WEB以其管理操作简单和对ASP的支持而受不少人的喜欢。这里介绍怎么用resin使IIS支持jsp和servlet。

一、分别安装配置iis和resin1.1使各自都单独能正常运行。iis和resin1.1的安装后路径如下：c:apache 和 c:esin1.1。

二、配置IIS

1.拷贝iis_srun.dll 到IIS scripts目录”c:.netpubscripts“;

2.在c:inetpubscripts目录下创建配置文件(resin.ini)用于指定resin的配置文件的位置。

resin.ini内容如下：

CauchoConfigFile c:/resin1.1/conf/resin.conf

三、配置resin

四、测试

1、运行IIS,启动resin的jsp引擎（运行c:esin1.1insrun.exe）

2、把一个jsp文件(test.jsp )放入IIS的C:Inetpubwwwroot目录下.

test.jsp如下：

<%@ page language=java?>

2+2=<%=2+2%>

浏览localhost：port/test.jsp，

你将看到：2+2=4

注：port为端口号，调试环境nt4.0+iis+resin1.1

原文转自：www.ltesting.net

篇3：[] Exchange 基本配置网络服务器

Exchange 2003 基本配置在安装完成Exchange2003后，我们需要对其进行基本配置， 1.打开Exchange系统管理器： 2.在邮件服务器 SERVERVM下打开“第一个存储组”，（这里我们只看到一个缺省的存储组，在Exchange2003标准版中我们只能建立一个存储组，而企业版

Exchange 2003 基本配置

在安装完成Exchange2003后，我们需要对其进行基本配置。

1.打开Exchange系统管理器：

2.在邮件服务器SERVERVM下打开“第一个存储组”，（这里我们只看到一个缺省的存储组，在Exchange2003标准版中我们只能建立一个存储组，而企业版中我们可以建立4个存储组）选择“邮箱存储”，右击打开属性。从“限制”页中我们可以对该存储组的所有用户的邮箱大小做出统一的设置：

3.在缺省安装完成后，默认状态下POP3服务是禁止的，所以如果我们需要它承担发送和接收邮件的任务，那么我们必须首先在服务中启动POP3：

4.在Exchange系统管理器中找到邮件服务器SERVERVM下的“协议”，然后选择POP3下的“默认POP3虚拟服务器”，在右击选项中启动该服务即可：

5.接下来就可以给域中的用户创建邮箱了。可以直接用域控制器或者从ExchangeServer中的 “Active Directory用户和计算机”工具，在创建新用户账户的同时也就可以为其创建邮箱：

6.下一步：

7.再下一步，在“创建Exchange邮箱”前面打上勾：

8.创建完成，

9.我们还可以为域中原有的用户添加邮箱。在“Active Directory用户和计算机”中找到需要添加邮箱的账户，在右击选项中点击“Exchange任务”：

10. ；；；；下一步：

11. ；；；；选择“创建邮箱”，下一步：

12. ；；；；分别输入用户名，选择服务器和邮箱存储组：

13．点击“完成”。

14.至此服务器端的基本配置完成，我们可以在Outlook Express或者MS Outlook中添加账号，作好客户端的设置，即可正常使用自己的邮箱。另外，还可以 OWA（outlook web aclearcase/” target=“_blank” >ccess）方式登陆个人邮箱：打开IE，在地址栏中输入 mailserver name/exchange,然后输入用户名和密码即可登陆：

点击查看大图15.请注意：创建的新邮箱账户必须从客户端上作过一次登录后才能在服务器端显示出来：

点击查看大图

16.另外，在Exchange系统管理器中，打开“全局设置”，右击“邮件传递”，在属性页中可对发送，接收邮件大小，发件人或收件人筛选等基本项目作相应设置：

点击查看大图

原文转自：www.ltesting.net

篇4：VoiceVLANLab配置举例网络服务器

源码:-------------------------------------------------------------------------------- r1-1(e0/0)-----(f0/1)sw(f0/2)---------r1-2(f0/0) | (f0/3)----------r1-3(e0) cat3550 f0/2 configured with one access vlan 20 and one voice vlan 50 f0/1 ac

源码:--------------------------------------------------------------------------------

r1-1(e0/0)-----(f0/1)sw(f0/2)---------r1-2(f0/0)

(f0/3)----------r1-3(e0)

cat3550 f0/2 configured with one aclearcase/“ target=”_blank“ >ccess vlan 20 and

one voice vlan 50

f0/1 access vlan 50

f0/3 access vlan 20

r1-2 configured with a native vlan 20 and a dot1q

trunk vlan 50 (simulating ip phone)

And ping r1-1 and r1-3 works from r1-2!

This means that cat3550 treats the voice vlan in a

very special way!

If you configure the voice vlan port as a dot1q trunk

port, you may need

to block all vlans other than the native vlan and

voice vlan. Otherwise

all other vlan packets will be sent to the ip phone...

===================================

cat3550 configuration:

interface FastEthe.net0/1

switchport access vlan 50

no ip address

interface FastEthernet0/2

switchport access vlan 20

switchport voice vlan 50

no ip address

duplex full

speed 100

spanning-tree portfast

interface FastEthernet0/3

switchport access vlan 20

no ip address

=============

r1-1:

interface Ethernet0/0

ip address 50.1.1.10 255.255.255.0

r1-2:

interface FastEthernet0/0

no ip address

speed 100

full-duplex

interface FastEthernet0/0.20

encapsulation dot1Q 20 native

ip address 20.1.1.1 255.255.255.0

interface FastEthernet0/0.50

encapsulation dot1Q 50

ip address 50.1.1.1 255.255.255.0

r1-3:

interface Ethernet0

ip address 20.1.1.3 255.255.255.0

no ip directed-broadcast

r1-2#p 20.1.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.1.1.3, timeout is

2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip

min/avg/max = 1/2/4 ms

r1-2#p 50.1.1.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 50.1.1.10, timeout

is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip

min/avg/max = 1/2/4 ms

cat3550-11#sh int f0/2 swi

Name: Fa0/2

Switchport: Enabled

Administrative Mode: dynamic desirable

OperationalMode: static access

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Negotiation of Trunking: On

Access Mode VLAN: 20 (VLAN0020)

Trunking Native Mode VLAN: 1 (default)

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Protected: false

Unknown unicast blocked: disabled

Unknown multicast blocked: disabled

Voice VLAN: 50 (VLAN0050)<--- wow, voice vlan now is

active!!!

原文转自：www.ltesting.net

篇5：cisco3550 端口限速配置网络服务器

一、网络说明 PC1接在Cisco3550 F0/1上，速率为1M; PC1接在Cisco3550 F0/2上，速率为2M; Cisco3550的G0/1为出口，二、详细配置过程注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例

一、网络说明

PC1接在Cisco3550 F0/1上，速率为1M;

PC1接在Cisco3550 F0/2上，速率为2M;

Cisco3550的G0/1为出口。

二、详细配置过程

注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中为policy-map user-down)，而PC不同速率的区分是在Class-map分别定义。

1、在交换机上启动QOS

Switch(config)#mls qos //在交换机上启动QOS

2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表

Switch(config)#aclearcase/” target=“_blank” >ccess-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量

Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量

Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量

Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量

3、定义类，并和上面定义的访问控制列表绑定

Switch(config)# class-map user1-up //定义PC1上行的类，并绑定访问列表10

Switch(config-cmap)# match access-group 10

Switch(config-cmap)# exit

Switch(config)# class-map user2-up

Switch(config-cmap)# match access-group 11 //定义PC2上行的类，并绑定访问列表10

Switch(config-cmap)# exit

Switch(config)# class-map user1-down

Switch(config-cmap)# match access-group 100 //定义PC1下行的类，并绑定访问列表100

Switch(config-cmap)# exit

Switch(config)# class-map user2-down

Switch(config-cmap)# match access-group 111 //定义PC2下行的类，并绑定访问列表111

Switch(config-cmap)# exit

4、定义策略，把上面定义的类绑定到该策略

Switch(config)# policy-map user1-up //定义PC1上行的速率为1M

Switch(config-pmap)# class user1-up

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop

Switch(config)# policy-map user2-up //定义PC2上行的速率为2M

Switch(config-pmap)# class user2-up

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop

Switch(config)# policy-map user-down

Switch(config-pmap)# class user1-down

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop

Switch(config-pmap-c)# exit

Switch(config-pmap)# class user2-down

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop

Switch(config-pmap-c)# exit

5、在接口上运用策略

Switch(config)# interface f0/1

Switch(config-if)# service-policy input user1-up

Switch(config)# interface f0/2

Switch(config-if)# service-policy input user2-up

Switch(config)# interface g0/1

Switch(config-if)# service-policy input user-down

原文转自：www.ltesting.net

篇6：Windows 服务器群集配置清单网络服务器

本清单可帮助您准备安装过程，清单后面是具体的步骤指南。软件要求群集中的所有计算机上均安装有 Microsoft Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition。一个名称解析法，如：域名系统 (DNS)、DNS 动态更新协议

本清单可帮助您准备安装过程。清单后面是具体的步骤指南。

软件要求

群集中的所有计算机上均安装有 Microsoft Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition。

一个名称解析法，如：域名系统 (DNS)、DNS 动态更新协议、Windows Internet 名称服务 (WINS)、HOSTS 等等。

一个现有的域模型。

所有的节点必须是同一个域的成员。

一个域级帐户，必须是每个节点上的本地管理员组的成员。建议采用专用帐户。

硬件要求

群集硬件必须可以在群集服务硬件兼容性列表 (HCL) 中找到。要查找最新的群集服务硬件兼容性列表，请访问位于 www.microsoft.com/whdc/hcl/default.mspx 的“Windows 硬件兼容性列表”，然后搜索群集。整个解决方案必须得到 HCL 认证，而不仅仅是个别组件。

请注意：如果您正在存储区域网络 (SAN) 上安装该群集，并计划让多个设备和群集与该群集共享 SAN，那么该解决方案也必须服从“群级/多群集设备硬件兼容性列表”。

两个海量存储设备控制器：小型计算机系统接口 (SCSI) 或光纤通道。一个本地系统磁盘，用于在其中一个域控制器上安装操作系统 (OS)。一个用于共享磁盘的独立外围组件互连 (PCI) 存储控制器。

群集中的每个节点拥有两个 PCI 网络适配器。

将共享存储设备附加到所有计算机的存储电缆。请参见制造商的说明文档以了解存储设备的配置信息。请参见本文后面的附录，了解有关使用 SCSI 或“光纤通道”所需的特定配置。

对于所有的节点，一切硬件都应相同，对应正确的插槽、设备卡、BIOS、固件修订版等等。这将使配置变得更加简单，同时可消除兼容性问题，

网络要求

一个唯一的 NetBIOS 名称。

每个节点上的所有网络接口均拥有静态 IP 地址。

请注意： “服务器群集”不支持使用由动态主机配置协议 (DHCP) 服务器分配的地址。

接入一个域控制器。如果群集服务无法验证用于启动服务的用户帐户，可能导致群集发生故障。建议您在群集所在的同一个局域网 (LAN) 上安装一个域控制器，以便确保其可用性。

每个节点至少要拥有两个网络适配器：一个用于连接客户端公用网络，另一个用于连接节点对节点的集网络。HCL 认证要求一个专用网络适配器。

所有节点都必须拥有两个物理独立的局域网或虚拟局域网，分别用于公用通信和私有通信。

如果您正在使用容错网卡或网络适配器组合，确认您正在使用最新的固件和驱动程序。向您的网络适配器制造商核实群集兼容性。

共享磁盘要求：

一个经 HCL 认可、连接到所有计算机的外部磁盘存储单元。此存储单元将被用作群集共享磁盘。建议采用某种类型的硬件独立磁盘冗余阵列 (RAID)。

所有共享磁盘，包括仲裁磁盘，必须实际附加到一个共享总线。

请注意：以上要求并不适用于多数节点集 (MNS) 群集，本指南未对这类群集进行介绍。

共享磁盘所在的控制器必须不同于系统磁盘所使用的控制器。

建议在 RAID 配置中创建多个硬件级别的逻辑驱动器，而不是使用一个单一的逻辑磁盘，然后将其分成多个操作系统级别的分区。这不同于独立服务器通常所采用的配置。但是，它可使您在群集中拥有多个磁盘资源，还可跨节点执行“主动/主动”配置和手动负载平衡。

一个最小 50 兆字节 (MB) 的专用磁盘，用作仲裁设备。为了得到最佳的 NTFS 文件系统性能，建议采用最小 500 MB 的磁盘分区。

确认可以从所有的节点看到附加到共享总线的磁盘。这可以在主适配器设置级别中进行检查。请参见制造商的说明文档，以了解特定于适配器的指导说明。

必须根据制造商的指导说明，为 SCSI 设备分配唯一的 SCSI 标识号，并正确地将其端接。请参见本文附录，以了解有关安装和端接 SCSI 设备的信息。

所有共享磁盘必须配置为基本磁盘。

群集共享磁盘本身不支持软件容错。

在运行 64 位版本的 Windows Server 2003 的系统上，所有共享磁盘必须配置为主引导记录 (MBR) 磁盘。

群集磁盘上的所有分区必须格式化为 NTFS。

建议所有磁盘均采用硬件容错 RAID 配置。

建议最少采用两个逻辑共享驱动器。

原文转自：www.ltesting.net

篇7：PERC5 RAID配置中文手册网络服务器

下一页 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

26 27

此文档为自行整理，非官方提供资料，仅供参考。疏漏之处敬请反馈。

对RAID进行操作很可能会导致数据丢失，请在操作之前务必将重要数据妥善备份，以防万一。

名称解释：

Disk Group：磁盘组，这里相当于是阵列，例如配置了一个RAID5，就是一个磁盘组

VD(Virtual Disk)：虚拟磁盘，虚拟磁盘可以不使用阵列的全部容量，也就是说一个磁盘组可以分为多个VD

PD(Physical Disk)：物理磁盘

HS：Hot Spare 热备

Mgmt：管理

1、按照屏幕下方的虚拟磁盘管理器提示，在VD Mgmt菜单（可以通过CTRL+P/CTRL+N切换菜单），按F2展开虚拟磁盘创建菜单

2、在虚拟磁盘创建窗口，按回车键选择”Create New VD”创建新虚拟磁盘

点击查看大图

原文转自：www.ltesting.net

篇8：资料：Linux网络服务器配置详解linux服务器应用

要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置，在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)命令来实现。下面介绍基本的 TCP/IP网络配置文件。

* /etc/conf.modules 文件

该配置文件定义了各种需要在启动时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。

对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统若需要安装多块网卡，应该在“conf.modules”文件中进行相应的配置。若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备；对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/conf.modules”中提供。

例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“conf.modules”文件如下：

alias eth0 3c509 alias eth1 3c509 options 3c509 io=0x300,0x320

这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载（alias eth0，eth1），并且它们应该以参数io=0x300，0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。

对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“conf.modules”文件如下：

alias eth0 3c905 alias eth1 3c905

若驱动已经被编译进了内核：系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“lilo.conf”文件，增加如下内容：

append=“ ether=”0,0,eth0 ether=“0,0,eth1”

注：先不要在“lilo.conf”中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。

如果用传递启动参数的方法，eth0和eth1将按照启动时被发现的顺序来设置。

* /etc/HOSTNAME 文件

该文件包含了系统的主机名称，包括完全的域名，如：deep.openarch.com。

*/etc/sysconfig/network-scripts/ifcfg-ethN 文件

在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。

下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：

DEVICE=eth0 IPADDR=208.164.186.1 NETMASK=255.255.255.0 NETWORK=208.164.186.0 BROADCAST=208.164.186.255 NBOOT=yes BOOTPROTO=none USERCTL=no

若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。

DEVICE=name

name表示物理设备的名字

IPADDR=addr

addr表示赋给该卡的IP地址

NETMASK=mask

mask表示网络掩码

NETWORK=addr

addr表示网络地址

BROADCAST=addr

addr表示广播地址

NBOOT=yes/no

启动时是否激活该卡

none：

无须启动协议

bootp：

使用bootp协议

dhcp：

使用dhcp协议

USERCTL=yes/no

是否允许非root用户控制该设备

*/etc/resolv.conf 文件

该文件是由域名解析器（resolver，一个根据主机名解析IP地址的库）使用的配置文件，示例如下：

search openarch.com nameserver 208.164.186.1 nameserver 208.164.186.2 “search domainname.com”

表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainname.com的后缀；“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。

*/etc/host.conf 文件该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例：

order bind,hosts multi on ospoof on “order bind,hosts”

指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。

“multi on”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。

“nospoof on”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。

*/etc/sysconfig/network 文件

该文件用来指定服务器上的网络配置信息，下面是一个示例：

NETWORK=yes

RORWARD_IPV4=yes

HOSTNAME=Linuxidc.openarch.com

GAREWAY=0.0.0.0

GATEWAYDEV=

NETWORK=yes/no

网络是否被配置；

FORWARD_IPV4=yes/no

是否开启IP转发功能

HOSTNAME=hostname hostname

表示服务器的主机名

GAREWAY=gw-ip

gw-ip表示网络网关的IP地址

GAREWAYDEV=gw-dev

gw-dw表示网关的设备名，如：etho等

注意：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名，

*/etc/hosts 文件

当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。

下面是一个“/etc/hosts”文件的示例：

最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络：

/etc/rc.d/init.d/network restart

* /etc/inetd.conf 文件

众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：finger auth等服务关掉，以减少系统漏洞。

而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。

在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样就少了一些攻击系统的机会。

查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。

第一步：把文件的许可权限改成600。

[root@Linuxidc]# chmod 600 /etc/inetd.conf

第二步：确信文件的所有者是root。

[root@Linuxidc]# stat /etc/inetd.conf

第三步：编辑“inetd.conf”文件（vi /etc/inetd.conf），禁止所有不需要的服务，如：ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth，等等。

如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示：

# To re-read this file after changes, just do a 'killall -HUP inetd' # #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal # # These are standard services. # #ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a #telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # # Shell, login, exec, comsat and talk are BSD protocols. # #shell stream tcp nowait root /usr/sbin/tcpd in.rshd #login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #comsat dgram udp wait root /usr/sbin/tcpd in.comsat #talk dgram udp wait root /usr/sbin/tcpd in.talkd #ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd #dtalk stream tcp wait nobody /usr/sbin/tcpd in.dtalkd # # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd # # The Internet UUCP service. # #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l # # Tftp service is provided primarily for booting. Most sites # run this only on machines acting as

注意：改变了“inetd.conf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall –HUP inetd）。

[root@Linuxidc /root]# killall -HUP inetd

第四步：

为了保证“inetd.conf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令：

[root@Linuxidc]# chattr +i /etc/inetd.conf

这样可以避免“inetd.conf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的：不能删除或重命名，不能创建这个文件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetd.conf文件，你必须先清除这个不允许改变的标志：

[root@Linuxidc]# chattr -i /etc/inetd.conf

但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。

而对于RedHat linux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务，如：[root@Linuxidc]# chkconfig –level 35 named off。

篇9：配置Active Directory域基础结构网络服务器

帐户锁定策略帐户锁定策略是一项 Active Directory 安全功能，它在一个指定时间段内多次登录尝试失败后锁定用户帐户，允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试，而且服务器软件可以配置

帐户锁定策略

帐户锁定策略是一项 Active Directory 安全功能，它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试，而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。

在 Active Directory 域中配置帐户锁定策略时，管理员可以为尝试和时间段变量设置任何值。但是，如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值，则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。

另外，如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低，则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此，如果定义了“帐户锁定时间”设置的值，则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。

域控制器执行此操作，以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大，则为“帐户锁定时间”设置配置的值的实施将首先过期，因此用户可以登录回网络上。但是，“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值（ 3 次无效登录），用户将无法登录。

为了避免此情况，域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。

这些安全策略设置有助于防止攻击者猜测用户密码，并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值：

计算机配置\\Windows 设置\\安全设置\\帐户策略\\帐户锁定策略

下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。

帐户锁定时间

表 2.8：设置 “帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为 0，则锁定的帐户将保持锁定，直到管理员将它们解锁。此设置的 Windows XP 默认值为“没有定义”。

为了减少帮助台支持呼叫的次数，同时提供安全的基础结构，对于本指南中定义的两种环境，将“帐户锁定时间”设置的值配置为“30 分钟”。

将此设置的值配置为永不自动解锁似乎是一个好主意，但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别，将此设置的值配置为 30 分钟可以减少“拒绝服务 (DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30 分钟内再次登录，这是在无需求助于帮助台的情况下他们最可能接受的时间段。

帐户锁定阈值

表 2.9：设置 “帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。

授权用户将自己锁定在帐户外的原因可能有：输错密码或记错密码，或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证，由于它用于身份验证的密码不正确，导致用户帐户最终锁定。对于只使用运行 Windows Server 2003 或更早版本的域控制器的组织，不存在此问题。为了避免锁定授权用户，请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。

对于本指南中定义的两种环境，将“帐户锁定阈值”的值配置为“50 次无效登录”。

由于无论是否配置此设置的值都会存在漏洞，所以，为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。有两个选项可用于此设置。

将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的 DoS 攻击。它还可以减少帮助台呼叫次数，因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击，所以，只有当明确符合下列两个条件时才将它配置为比 0 大的值

密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。

强健的审核机制已经就位，以便当组织环境中发生一系列帐户锁定时提醒管理员。例如，审核解决方案应该监视安全事件 539（此事件为登录失败），

此事件意味着当尝试登录时锁定帐户。

如果不符合上述条件，则第二个选项为：

将“帐户锁定阈值”设置配置为足够高的值，以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外，同时确保强力密码攻击仍会锁定帐户。在这种情况下，将此设置的值配置为一定次数（例如 3 到 5 次）的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数，但不能如上所述避免 DoS 攻击。

复位帐户锁定计数器

表 2.10：设置 “复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”，则此重置时间必须小于或等于“帐户锁定时间”设置的值。

对于本指南中定义的两种环境，将“复位帐户锁定计数器”设置配置为“30 分钟之后”。

将此设置保留为其默认值，或者以很长的间隔配置此值，都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录，如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定，则管理员必须手动解锁所有帐户。反过来，如果为此设置配置了合理的时间值，在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此，建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。

用户权限分配

模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是，应该对所有域控制器设置“域中添加工作站”用户权限，本模块中讨论了其原因。“Windows 2003 Server Security Guide”（英文）的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。

域中添加工作站

表 2.11：设置 “域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效，必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机，无论他们是否已被分配“域中添加工作站”用户权限。

默认情况下，“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。

在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量，以便他们可以始终跟踪、生成和管理它们。

允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径，因为他们可以创建其他未授权的域计算机。

出于这些原因，在本指南中定义的两种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。

安全设置

帐户策略必须在默认域策略中定义，且必须由组成域的域控制器强制执行。域控制器始终从默认域策略 GPO 获取帐户策略，即使存在对包含域控制器的 OU 应用的其他帐户策略。

在安全选项中有两个策略，它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值：

计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项

Microsoft网络服务器：当登录时间用完时自动注销用户

表 2.12：设置 “Microsoft 网络服务器：当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后，它使客户端与 SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略，则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全：在超过登录时间后强制注销”设置。

如果组织已经为用户配置了登录时间，则很有必要启用此策略。否则，已假设无法在超出登录时间后访问网络资源的用户，实际上可以通过在允许的时间中建立的会话继续使用这些资源。

如果在组织中未使用登录时间，则启用此设置将没有影响。如果使用了登录时间，则当超过现有用户的登录时间后将强制终止现有用户会话。

网络访问：允许匿名 SID/名称转换

表 2.13：设置

原文转自：www.ltesting.net