Java堂  


7月 1, 2007

使用策略封某个IP或IP段

归档在: OS — Jet @ 3:08 上午
Tags: ,
原文出处: http://www.javatang.com/archives/2007/07/01/0846180.html
作者: Jet Mah from Java堂
声明: 可以非商业性任意转载, 转载时请务必以超链接形式标明文章原始出处、作者信息及此声明!

有的时候需要使用Windows2000或2003中的策略封掉某个IP或IP段,具体操作步骤如下:

1) 在运行中使用 secpol.msc 打开“本地安全策略”,然后选择“IP安全策略,在本地机器”选项;

2) 如果右边已经有自己的IP安全策略则直接打开已经存在的IP安全策略,否则点击右键选择“创建IP安全策略”命令根据向导进行创建,整个向导中只有在第二步中取一个新的名称,其余均为默认;

3) 双击某个IP安全策略,然后点击“添加”按钮,一路默认或点“是”一直到选择“IP筛选器列表”标签页的时候,选择“添加”按钮来创建一个“IP 筛选器列表”;

4) 打开“IP 筛选器列表”对话框,首先取一个名称,比如封掉211.21.26.36,然后点击右边的“添加”按钮进入“IP筛选器向导”;

5) IP筛选器向导中第二步“IP通信源”源地址选择“一个特定的IP地址”,然后在下面输入需要封掉的IP地址,比如211.21.26.36;如果这里向封掉整个IP段的话可以选择“一个特定的IP子网”,然后输入211.21.26.0,子网掩码输入255.255.255.0;

6) IP筛选器向导中第三步“IP通信目标”目标地址选择“我的IP地址”;后面的协议类型选择“任意”,最后单击“完成”。这样就创建了一个新的名为“封掉211.21.26.36”的IP 筛选器列表。

7) 关闭“IP筛选器列表”对话框,然后在“IP筛选器列表”中选择刚才创建的“封掉211.21.26.36”,然后点击“下一步”选择“拒绝”,然后点击完成即可。

8) 最后选中IP安全策略,然后右键选择指派可以指派刚才创建的策略。

通过上述步骤就可以通过策略实现封掉某个IP地址的目的,使用“secedit /refreshpolicy machine_policy”命令可立即刷新组策略。

参考资料:
IP安全策略防ping及封闭端口和封IP段

3月 17, 2006

Apache2安全配置

归档在: Web&Server — Jet @ 12:28 下午
Tags: ,
原文出处: http://www.javatang.com/archives/2006/03/17/282911.html
作者: Jet Mah from Java堂
声明: 可以非商业性任意转载, 转载时请务必以超链接形式标明文章原始出处、作者信息及此声明!

整理了一些Apache2的安全和优化配置

1.修改Apache返回的头部信息

ServerTokens Prod

这样可以在Apache的配置文件里面作如下设置让它返回的关于服务器的信息减少到最少。

2. 设置每个连接的最大请求数

修改MaxKeepAliveRequests,默认的值为100,意思是如果同时请求数达到100就不再响应这个连接的新请求,保证了系统资源不会被某个连接大量占用。但是在实际配置中要求尽量把这个数值调高来获得较高的系统性能。NT环境,只能配置这个参数来提供性能。

3. 设置session的持续时间

KeepAlive on
KeepAliveTimeout 15

  这样就能限制每个session的保持时间是15秒。session的使用可以使得很多请求都可以通过同一个tcp连接来发送,节约了网络资源和系统资源。

4. 对客户端进行域名验证

HostnameLookups on|off|double

如果是使用on,那么只有进行一次反查,如果用double,那么进行反查之后还要进行一次正向解析,只有两次的结果互相符合才行,而off就是不进行域名验证。

如果为了安全,建议使用double;为了加快访问速度,建议使用off。

5. Server-Pool大小设定(针对MPM的)

  1. # prefork MPM
  2. # StartServers:启动时服务器启动的进程数
  3. # MinSpareServers:保有的备用进程的最小数目
  4. # MaxSpareServers:保有的备用进程的最大数目
  5. # MaxClients:服务器允许启动的最大进程数
  6. # MaxRequestsPerChild:一个服务进程允许的最大请求数
  7. <ifmodule></ifmodule>
  8. StartServers 5
  9. MinSpareServers 5
  10. MaxSpareServers 10
  11. MaxClients 150
  12. MaxRequestPerChild 0
  13.  
  14. # worker MPM
  15. # StartServers:服务器启动时的服务进程数目
  16. # MaxClients:允许同时连接的最大用户数目
  17. # MinSpareThreads:保有的最小工作线程数目
  18. # MaxSpareThreads:允许保有的最大工作线程数目
  19. # ThreadsPerChild:每个服务进程中的工作线程常数
  20. # MaxRequestsPerChild:服务进程中允许的最大请求数目
  21. <ifmodule></ifmodule>
  22. StartServers 2
  23. MaxClients 150
  24. MinSpareThreads 25
  25. MaxSpareThreads 75
  26. ThreadsPerChild 25
  27. MaxRequestsPerChild 0
  28.  
  29. # perchild MPM
  30. # NumServers:服务进程数量
  31. # StartThreads:每个服务进程中的起始线程数量
  32. # MinSpareThreads:保有的最小线程数量
  33. # MaxSpareThreads:保有的最大线程数量
  34. # MaxThreadsPerChild:每个服务进程允许的最大线程数
  35. # MaxRequestsPerChild:每个服务进程允许连接的最大数量
  36. <ifmodule></ifmodule>
  37. NumServers 5
  38. StartThreads 5
  39. MinSpareThreads 5
  40. MaxSpareThreads 10
  41. MaxThreadsPerChild 20
  42. MaxRequestsPerChild 0
  43.  
  44. # WinNT MPM
  45. # ThreadsPerChild:服务进程中工作线程常数
  46. # MaxRequestsPerChild:服务进程允许的最大请求数
  47. <ifmodule></ifmodule>
  48. ThreadsPerChild 250
  49. MaxRequestsPerChild 0
  50.  
  51. #每个进程的线程数,最大1920。NT只启动父子两个进程,不能设置启动多个进程
  52. ThreadsPerChild 1900
  53. 每个子进程能够处理的最大请求数
  54. MaxRequestsPerChild 10000

参考资料:
Apache 2.0手册中文版
http://kajaa.bbs.us/ApacheManual/