双AP功能不是双天线功能

　　为了有利于无线上网信号的接收，能够提供无障碍的高效无线信号传输，无线生产厂商推出了支持双天线或多天线的无线路由器设备，该设备在无线信号的传输稳定性以及信号覆盖范围方面有了明显提升，它的工作性能也得到了大多数无线上网用户的充分认可。为了自己单位的无线局域网能够稳定地工作，多数上网用户都愿意购买支持双天线功能的无线路由器设备进行无线组网，而无线生产厂商为了迎合无线上网用户的消费需求，也十分乐意推出各具特色的双天线无线路由器设备。目前，市场中几乎每一家无线设备生产厂家都有自己的双天线无线路由器产品，不过这种设备产品并不支持双AP功能，它只是为了加大无线信号的发射能力，在原来只有一根天线的基础上又增加了一根天线而已，这种产品的主要作用也就是增强无线信号的穿透能力，让无线上网信号传输得更好一些。

　　而支持双AP功能的无线路由器设备，其实可以看成是两个普通的无线路由器设备捆绑在一起，它能提供双SSID参数设置，无线上网用户可以分别对每一个AP功能进行配置，利用该设备无线上网用户可以轻松地组建两个简单、经济的无线局域网网络。很明显，要构建既能满足A处室上网要求，又能满足B处室上网要求的无线双网，必须要使用支持双AP功能的无线路由器设备，而不是支持双天线功能的设备。

挑选合适双AP无线路由器

　　由于双AP无线路由器往往需要承担两个无线局域网的工作任务，为了保障每一个无线局域网都能获得不错的无线信号传输速度，那么我们必须要选用合适的双AP无线路由器，确保该设备能够同时满足两个无线局域网上网用户的工作强度。

　　考虑到本文使用双AP无线路由器的主要目的就是隔离网络，确保A处室无线上网安全，因此在这里我们选用双AP无线路由器设备时，首先应该选用支持加密设置以及能够防范安全入侵的产品，这样一来无线上网用户日后需要隔离两个无线局域网时，只要通过简单的参数设置就能达到目的了。例如，磊科一款新品NW618双AP无线路由器采用了64/128 Bit连线对等保密和SSID服务区标识符保证无线上网安全;同时，依靠MAC地址验证/过滤功能进一步阻止非授权用户访问无线网络，并防止对无线局域网数据流的非法侦听。

　　其次为了满足高强度工作要求，双AP无线路由器的主芯片应该有相当高的整合度，毕竟这种类型的主芯片价格比较便宜，更为重要的是它有着非常不错的散热效果，而良好的散热效果是保障无线网络可以稳定工作的重要前提;现在不少双AP无线路由器设备使用的都是Broadcom的主芯片，这种主芯片上能够集成很多东西，可以集成SDRAM控制器、USB控制器、处理器、无线上网模块等。此外，Broadcom的主芯片能够稳定处理大容量的数据交换信息，这种能力也可以很好地满足无线双网用户的高强度工作任务。

　　下面，我们还应该适当留意一下双AP无线路由器的SDRAM内存空间的大小，选用大容量的SDRAM内存能够保证无线路由器设备更快速地处理无线上网信号，从而保障无线局域网能有不错的上网传输速度。

巧用双AP构建无线双网

　　选用到合适的双AP无线路由器后，那么构建无线双网就变得非常简单了。我们只要先将双AP无线路由器设备连接到A处室局域网中，之后按照常规方法进入双AP无线路由器的后台管理界面，来配置Internet连接参数，具体配置方法基本与普通无线路由器的上网设置方法一样。

　　要想让该无线路由器的双AP功能生效，我们必须根据实际组网情况来设置各个AP功能的上网参数;在进行这种设置操作时，我们只要从双AP无线路由器的后台管理界面中找到“无线管理”选项(该设置以NW618设备为例)，从该选项下面我们会看到“主AP管理”、“辅AP管理”这两个子项;点选“主AP管理”设置子项后，我们就能在对应的子项设置页面中，设置主AP的频道参数、网络名称参数、频段参数以及模式参数了，再按相同的操作方法，设置好辅AP的各项上网参数，只是主AP、辅AP的网络名称参数不能相同，不然的话构建起来的两个无线局域网就会冲突了。

　　由于主AP、辅AP的网络名称不同，那么连接到这两个AP上的无线局域网其实是相互独立的，我们再对各自局域网的安全参数进行一下合适设置，就能保证这两个无线局域网相互访问时互不干扰，而且能够互相安全上网访问。

　　笔者最近接到一名下属学校网络管理员的求救电话，电话中描述了自己学校内部网络出现的断网现象。该学校是一所市属中学，核心设备是一台欣全向ARP免疫墙路由器，全学校计算机终端数量大概在100个左右，通过多个交换机级连在一起，学校内部没有划分VLAN信息，最终欣全向ARP免疫墙路由器通过ADSL线路访问外网。

　　二，故障现象及初步调查：

　　最近有几台终端计算机无法上网，打开任何页面都无法访问。笔者对其进行了检测。

　　第一步：通过ipconfig查看地址信息，网关地址是192.168.1.254，这个地址是欣全向ARP免疫墙路由器的管理地址，其他可以上网的终端网关也是此地址。接下来通过ping 192.168.1.254命令检测网络连通性，发现链路畅通，反馈的速度也很快。(如图1)

    
    第二步：PING内网其他计算机例如ping 192.168.1.12(出问题的计算机自身IP地址是192.168.1.13)，一切畅通没有任何问题。(如图2)
    
   

    
    第三步：由上面两步可以看出网络连接并没有任何问题，不管是内网通讯还是访问网关都是正常的。接下来打开IE浏览器访问欣全向ARP免疫墙路由器的管理地址http://192.168.1.254可以顺利访问，输入正确的管理帐户和密码后进入管理界面。(如图3)
    
   

    
    第四步：查询欣全向ARP免疫墙路由器的WAN接口状态，可以看到WAN状态是连接正常的，同时也获得了相应的外网IP地址。而且在其他机器上都可以顺利上网冲浪，从而排除了网关的拨号故障。(如图4)
    
   

第五步：通过欣全向ARP免疫墙路由器的“流量统计”我们可以看出能够正常通讯的IP地址流量正常，而192.168.1.13这台计算机通过路有器的流量不管是接收还是发送都是0，这显然不正常。(如图5)
    
   

    
    第六步：接下来在192.168.1.13这台故障机上通过nslookup sohu.com检测其DNS解析是否正确，发现解析不出来，连接DNS服务器故障。(如图6)
    
   

    
    第七步：输入IP地址来访问依然无效，这说明故障并不是DNS引起的，还是网络不通。tracert 58.129.0.3命令执行后从第二跳后起就是requeset timed out，而第一跳到路由器上是正常的。(如图7)
    
   

    
    　经过初步诊断我们可以确定一点的是外网连接没有问题，该机器属于网络不通并不是DNS服务解析的问题，另外由于机器上tracert到达路由器后继续才超时，所以造成网络中断很可能是路由器上的设置所为。但是又因为该机器可以PIGN通网络内其他计算机，所以内网接口通讯上应该没有受到影响。因此我们需要从路由器的WAN接口配置下手解决问题。

三，进一步排查故障根源：

　　既然通过上文的排查我们已经将故障定位到路由器上，所以接下来的工作就是继续在路由器上做文章了。

　　第一步：首先进入到路由器管理界面看看是否是MAC地址过滤处的设置造成网络故障，在MAC-IP绑定列表中我们看到了IP与MAC地址的对应关系是正确的，192.168.1.13地址对应的MAC地址与本机查询后的一致都是00-08-02-6b-a3-1a。(如图8)

    
    第二步：在有故障计算机上修改IP地址为192.168.1.15后依旧无法访问外网。(如图9)

    
    第三步：在命令行下使用“ftp FTP服务器地址”指令后没有任何反应，由此判断故障不是IE浏览器或者HTTP协议造成的，FTP通讯也不正常。(如图10)
    
   

    
    第四步：关闭防火墙再次尝试故障依旧。(如图11)

    
    第五步：查询IE浏览器代理信息没有发现任何问题，本机IE浏览器没有设置任何代理服务器地址。(如图12)

    
    到此笔者真的是黔驴技穷了，可以尝试的方法都检测了，而且路由器上也没有针对本机地址进行过滤。但是由于本机可以访问网关地址，所以问题一定是出在路由器上。

四，再次从路由下手检测故障：

　　笔者实在没有办法只得再次从路由下手检测故障。

　　第一步：由于路由器里设置了很多安全策略和拨号信息，所以首先通过“系统设定”下的“配置文件备份”将参数文件导出备份到本地硬盘，命名为param.bin。(如图13)

    
    第二步：接下来通过“系统设定”->“恢复出厂值”将路由器还原到出厂设置，确定后路由器自动重新启动。(如图14)

    
    第三步：再次设置基本信息后在原故障机器上访问www.it168.com，一切顺利故障被解决。尝试其他网络应用也都没有任何问题，看来恢复路由器配置后问题解决。(如图15)

    
    五，总结：

　　虽然问题得到了解决但是之前我们并没有在路由器仅有的几个设置中找到关于故障主机的过滤或限制设置。但是排查故障整个过程却又说明问题出在路由器配置上，毕竟恢复出厂设置并重新设置后能够解决问题。那么是什么原因造成的这种在设置参数里没有出现却实际存在的过滤和限制呢?由于篇幅关系我们将在下篇文章中为各位揭密这个奇怪少见的故障难题。

　　一，恢复配置重新再来：

　　在上文中我们在恢复原厂设置前将配置文件做了导出备份，于是为了查清故障根源笔者执行了导入配置文件的操作，将之前备份的param.bin文件导入到路由器中，完成恢复配置工作。(如图1)

    
    恢复配置后本来能够上网的那台机器又出现了问题，故障依旧无法访问外网但是可以PING通网关和内网其他网络设备。

　　二，更换地址突破过滤限制：

　　为了排除因为MAC地址或IP地址等信息被路由器过滤，于是笔者通过修改网卡属性的方法，在高级标签下将“本地管理的地址”从之前的00-08-02-6b-a3-1a修改为00-08-02-6b-a3-1b。这样就算路由器上有针对MAC地址进行的过滤，只要我的MAC地址发生了改变，这种过滤限制应该就排除了。(如图2)

    
    修改MAC地址后通过ipconfig /all查询到相应的physical address已经被改为00-08-02-6b-a3-1b。(如图3)

    
    重新通过ipconfig /release释放获得的IP地址，并且执行ipconfig /renew命令从路由器获得了新的IP地址信息——192.168.1.14，这样MAC地址和IP地址等信息都已经改头换面截然一新。(如图4)

    
    不过另人遗憾的是全部地址改变后该计算机依然无法上网故障依旧。

　　小提示：

　　笔者还进行了包括设置VLAN信息初始化等工作，将所有接口都强制设定到了GROUP1，并且保存设置，但是依然没有能够解决问题。(如图5)

三，通过sniffer发现一点蛛丝马迹：

　　既然已经修改了MAC地址以及IP地址等信息依然无法上网，那么这就应该和MAC地址过滤不相关了。唯一能够解释的就是在路由器上执行了端口绑定，该端口只容许某IP或某MAC地址数据通讯，但是欣全向路由器上又没有地方对端口绑定进行配置。于是笔者决定拿出专业工具——sniffer来一查究竟。

　　第一步：笔者安装wireshark这个专业的嗅探工具到出故障的计算机上。(如图6)

    
    第二步：经过检测笔者发现当我们在本机使用IP地址为192.168.1.14以及MAC地址是更改后的信息上网时会频繁发现ARP数据包——who has 192.168.1.13 tel 192.168.1.14，数据类型是广播数据包，发送的源地址是HEWLETTP_6B:A3:1B，这个地址应该是出故障计算机修改后的MAC地址。也就是说他会向网络发送ARP解析数据包寻找192.168.1.13机器对应的MAC地址然后记录下来。那么为什么会查找这个地址呢?这个地址不就是以前本机从路由器获得的IP地址吗?另外从网络通讯第一个数据包中笔者也发现实际上本机还是尝试和61.135.181.175外网地址进行了通讯。(如图7)

    
    第三步：接下来笔者将本机的MAC地址恢复到出厂设置00-08-02-6b-a3-1a，再次执行IPconfig /renew获得了192.168.1.13这个地址。上网故障依旧而且用wireshark查询后发现之前出现的who has 192.168.1.13 tel 192.168.1.14查询数据包已经消失了，而网卡频繁发送ARP广播数据包——gratuitous arp for 192.168.1.254 request。除了这个数据包外其他数据包都没有。(如图8)

    
    第四步：但是我们通过arp -a命令又能够查询出本机已经知道了192.168.1.254地址对应的MAC地址信息，查询路由器接口信息可以清晰看到两者地址的吻合，这说明解析没有任何问题。(如图9)

四，断网疑难杂症缘自ARP系统惹的祸：

　　既然解析正确为什么还要在网络内频繁发送gratuitous arp for 192.168.1.254 request这个ARP广播数据包呢?

　　小提示：

　　什么是gratuitous ARP呢?实际上他是用来探测网内是否有机器和自己的ip冲突，或者用来更新工作站的arp缓存，那么这个gratuitous ARP数据包为什么会平白无故产生呢?要知道如何是干净的系统应该只存在ARP数据包的。

　　于是笔者再次询问了学校网络管理员，经过他的回忆才知道原来最早学校通过欣全向ARP免疫墙进行了学校内部的ARP防疫系统搭建工作，每台设备上都安装了ARP免疫系统客户端，同时还拿出一台服务器搭建了免疫系统监控中心，不过最近这个服务器瘫痪了，而且这台出故障的计算机最近重新安装了系统，也就是说本机没有安装ARP免疫系统客户端。

　　那么是否故障缘自在搭建了ARP免疫系统后将ARP免疫系统客户端卸载呢?笔者又针对其他能够正常上网计算机进行了检测，将其上的ARP免疫系统客户端CWALL从控制面板中卸载，果不其然删除后该计算机也无法上网了，故障和之前的计算机一样。

　　因此我们可以判断本次故障是由于之前搭建了ARP免疫系统而客户端又在控制中心不存在的情况进行了手工删除，进一步造成ARP免役系统紊乱而无法上网。这可能和ARP双向绑定有关，不过由于路由器自身也没有相关配置，所以个人怀疑可能还是由于ARP免疫系统自身BUG造成的。当系统搭建后监控中心与路由器之前存在着通讯与联系，当监控中心不存在时ARP免疫系统客户端CWALL还会工作，一旦将其删除马上造成路由器与终端设备ARP解析故障，从而造成网络中断。这点在修改MAC地址后依然发送who has 192.168.1.13 tel 192.168.1.14数据包中有所体现，说明CWALLARP免疫系统客户端没有卸载干净依然存在这种解析查询关系。

　　五，总结：

　　至此我们才彻底查明本次断网故障的根源来自于ARP免疫系统搭建以及卸载的故障，由于客户端卸载不干净，造成终端设备上ARP信息与路由器配置的信息不匹配，从而造成终端设备在删除ARP免疫系统客户端后无法顺利上网。看来日常工作中防ARP或防病毒系统的搭建与删除一定要三思而后行，弄不好就会有这样或那样的奇怪故障。

　　网络流量突增：催生独立负载均衡设备
　　负载均衡变应用交付：本身技术发生本质变化
　　Gartner：应用交付市场将取代负载均衡市场
　　Gartner：应用交付市场将取代负载均衡市场

　　你是否觉得负载均衡技术，跟你没有关系呢？

　　其实，今天，每当你打一次手机，上主要门户网站看一次新闻，进行一次网上银行交易，你的访问信息就会经过负载均衡设备，它在后台保证了巨量的网络应用访问。可见，它就在我们的身边。

　　网络流量突增：催生独立负载均衡设备

　　早期互联网的应用并不多，主要是Email、聊天、浏览网页等活动，做到互联互通就可以了。这就好比乡村的交通，只要路修得又直又宽，跑起车来没有丝毫问题。正是在这种情况下，思科、华为的路由器、交换设备成为初期网络建设的主流。

　　但随着电子商务、WEB2.0协作技术的兴起、在线视频、网银、证券等应用在网络上越来越多、越来越深入，人们发现即使网络基础链路再好，例如万兆交换、千兆路由、光纤布线，都会或多或少地出现关键应用访问速度慢等很多问题，这给用户带来了不少麻烦。原因很简单，由于应用复杂多样，尤其是企业内网的应用接入互联网，此时的网络已经不只互联互通那么简单了。这就好比城市的交通，光路修的好不能解决问题，路线的规划和管理起到了主要作用。

　　如今，企业电子商务的网络应用越来越多，而彩信应用的推广，对网络带宽也有了新的要求；随着国内视频网站开始纷纷出现，流媒体形成的巨大访问量，需要提供更高的网络流量处理能力。

　　要解决网络流量瓶颈问题，就需要对网络流量进行良好的流量管理、负载分担。正是在这种情况下，独立的负载均衡设备出现了（此前就有负载均衡技术）。

　　近几年来，负载均衡设备首先在电信、移动、银行、大型网站等单位进行了应用，因为其网络流量瓶颈的现象最突出。这也就是为何我们每通一次电话，就会经过负载均衡设备的原因。另外，在很多企业，随着企业关键网络应用业务的发展，负载均衡的应用需求也越来越大了。

负载均衡变应用交付：本身技术发生本质变化

　　十年前，很少有人知道网络负载均衡技术，十年后，网络负载均衡已经成为网络应用的重要技术。更重要的是，当负载均衡从单一的技术发展成独立的设备后，其应用功能发生了本质变化，

　　还是先让我们再解释一下：何为负载均衡技术？

　　负载均衡，英文名称为Load Balance，其意思就是将负载（工作任务）进行平衡、分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。

　　负载均衡有两方面的含义：首先，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高，这就是我们常说的集群（clustering）技术。

　　第二层含义就是：大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间，这主要针对Web服务器、FTP服务器、企业关键应用服务器等网络应用。

　　现代负载均衡技术通常操作于网络的第四层或第七层，这是针对网络应用的负载均衡技术，它完全脱离于交换机、服务器而成为独立的技术设备。这也是我们现在要讨论的对象。

　　通常，负载均衡会根据网络的不同层次（网络七层）来划分。其中，第二层的负载均衡指将多条物理链路当作一条单一的聚合逻辑链路使用，这就是链路聚合（Trunking）技术，它不是一种独立的设备，而是交换机等网络设备的常用技术。

　　从上可见，传统的负载均衡仅是一种负载分担技术。而当前，面对复杂的网络应用需求，独立的负载均衡设备已经具备了本地负载均衡、链路负载均衡、全局负载均衡、WAN 优化加速、XML 加速、TCP优化管理、链接管理、SSL　VPN等多种技术功能。

　　“负载均衡“设备不再是单纯的负载均衡设备，它已经成为应用交付综合解决方案。

　　此时，F5、Radware等负载均衡厂商，纷纷提出“应用交付“概念，以取代传统的负载均衡概念。

Gartner：应用交付市场将取代负载均衡市场

　　我们如何理解应用交付？

　　我们可以这样形象地理解：基于网络二层、三层的是路由交换，而基于网络4-7层的则是“应用交换”，我们再把“应用交换”更名为“应用交付”，其意思就是将企业的关键应用业务交付给用户使用的意思。应用交付是完全基于网络应用的系统解决方案，它将关键应用与基础网络设备关联起来。

　　对于这块市场，Gartner引用了“Advanced ADC”这个名词来形容应用交付市场，它译成中文后，就称为“应用交付”。

　　从下图的Gartner市场报告中，我们可以看到，网络负载均衡“L4-7 Load Balance”和应用交付“Advanced ADC”是两个独立的设备市场。

    
    其中，网络负载均衡“L4-7 Load Balance”指具有传统的网络负载均衡机制的设备；而“Advanced ADC”则是传统的网络负载均衡的升级、扩展，它是一种综合的交付平台设备，其综合了负载平衡、TCP优化管理、链接管理、SSL　VPN、压缩优化、智能网络地址转换、高级路由、智能端口镜像等各种技术手段的综合平台。

　　从此Gartner市场报告图可见，综合了多种交付手段的应用交付设备（包括有L4-7 Load Balance功能）将是未来的趋势，而仅有L4-7 Load Balance功能的设备的市场将越来越小。

应用交付：改变网络巨头竞争格局

　　应用交付技术，最开始主要是一些新兴网络技术厂商引导的，例如F5、Radware等厂商。然而，当这个网络应用需求越来越强烈时，思科、北电等传统网络巨头也越来越重视起这个市场来。

　　当网络应用的飞速发展，网络流量突增的今天，网络技术设备形态发生了重要的变化。传统的网络设备已经不能适合当前网络应用的发展，这也是为何思科也越来越重视这个应用交付网络市场的原因。

　　在整个网络发展史上，跟思科、北电等传统网络设备厂商相比，F5、Radware等应用交付厂商只能算后生小辈。

　　而在新的网络应用市场下（应用交付），思科反而成为了后来者。在这种格局下，新旧厂商居然形成了一种格局的对抗。也正是因为这种对抗，推动着网络应用的进一步发展。

　　例如，应用交付平台是整个CCTV.COM央视网网络体系中，最核心的网络应用平台。其到底有多重要，从央视网对CDN网络平台的投资力度比基础网络设备的投资力度大这一点就可以看出。

　　最近两年来，思科也越来越重视这个应用交付网络市场了，因为思科有强大的基础网络设备用户群，再加上其销售队伍的庞大，这给市场带来了推动力。不过，正是因为更多厂商对应用交付网络的重视，这个市场才会更大，技术也更成熟。

    故障现象

    联网的计算机开机后，不能正常上网。

    分析与检修

    根据故障现象，分以下几种情形予以分析：

    先检查该计算机的网卡安装是否正确、是否存在硬件故障及网络配置是否正确。

    1）通常情况下，一般采用ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。如果能ping通，说明这部分没有问题。如果出现超时情况，则要检查计算机的网卡是否与机器上的其它设备存在中断冲突。通过查看系统属性中的设备管理器，看是否在网络适配器的设备前有黄色“！”或红色“X”号，如有则说明硬件的驱动程序未安装成功，删除后重新安装即可。

    2）要确保TCP/IP协议安装的正确性，并且要绑定在你所安装的网卡上。如果重新安装后还是ping不通回送地址，不妨换一块正常的网卡试试。

    3）由于在局域网中划分了VLAN区域，所以连在不同VLAN中的计算机都有各自不同的IP地址、子网掩码和网关。这里，应保证在计算机的网络属性中设定的IP地址等数据与连接的VLAN相匹配，否则将出现网络不通的情况。

    4）局域网中还提供了Web服务，并使用了域名服务系统，这样就要确定一下计算机DNS配置的正确性。笔者在实际工作中曾出现过能ping通Web服务器的IP地址，但不能浏览网页的问题，就是DNS设置错误所致。这时只要ping一下域名就可知道是否存在错误。

    当确保计算机的硬件设备和网络配置正确后，接着就要查看计算机与交换机之间的双绞线，交换机的RJ-45端口或交换机的配置是否有问题。

    ping上网计算机所在VLAN的网关，不通的话就要分段检查上面所说的各项。最简单的方法是检查双绞线，用线缆测试仪检查是否双绞线断开。在实际检测过程中，笔者发现故障的原因就是由这类问题引起的，由于每个房间布设了两根线，但只使用一个端口，当用户上不了网时，就自行将跳线插到另一个面板端口上去试，也没有换回来。最后检查了半天仍是跳线没有插对端口的原因所致。所以对于用户较多的局域网，布线图和用户上网端口的对照表是必不可少的。

检查交换机的端口是否损坏。

    每台交换机每一个端口都有状态指示灯，不同交换机的端口指示也不同，以450T来说，“绿色”表示100M连接，“桔黄色”表示10M连接，“闪烁”则表示网管使用软件禁用了此端口，“不亮”则表示并未连接(包括此端口没有使用，连接的双绞线断开，连接的计算机未开机，连接的网卡损坏或端口损坏)。检测到此，如果端口指示灯仍不亮，就只能判定是端口损坏。此时可将跳线接至正常使用的端口上，排除其它原因，以确定是否是端口的问题。

    交换机的配置问题

    只有极少数网管对交换机的配置享有修改权限，所以询问一下其它网管人员就可排除。如果不放心，可以对照交换机的参数配置表查看。当然，交换机的参数配置表也是网络管理员必备的资料之一，并且随着网络用户的变化要不断地进行修改。

    网络排障经验

    1）双绞线的制作：千兆以太网使用的主要连接线缆是双绞线，在网络中一半以上的故障是由双绞线接触不良、断开或线序不符合标准所致。

    2）网络属性配置：TCP/IP协议的配置错误，也会造成网络无法正常连通。主要检查的是计算机的IP地址、子网掩码、网关和DNS服务器的设置是否正确，且须匹配。不能出现使用这个网段的IP地址，而网关却是另一个虚网的情况，尤其在划分了VLAN的局域网中更需要注意。

    3）网络文档资料：包括网络的设计方案、网络布线图、配线架对照表、用户上网端口表、交换机端口配置表等。保管好这些资料可以减少不必要的麻烦和混乱，其他人也可在参考这些资料的情况下，排除一些故障和增加上网用户。

    4）机房的电气环境：以往机房地线是统一接到楼房地线上，其实这种接法也有其局限性。目前对机房地线的连接方式主要采用“环形法”，把机房中所有设备的地线连接成一个闭合环，再连接到楼房的地线上，这样机器就处于一个等电势的平面中。

    5）备用电源是否正常：网络发生故障时，网管最容易忽略的就是电源故障，大家往往以为只要没掉电，电源就没问题，其实这种想法是十分错误的。如果遇到莫名其妙的故障时，最好事先检查一下电源是否正常为宜。

　　一、 检测浏览器安全漏洞

　　由于网页陷阱都是针对浏览器的安全漏洞展开攻击，目前使用最广泛的是IE浏览器，并且这个浏览器的漏洞也是多如牛毛，即使菜鸟朋友都能轻易得手。当然也许现在的你，并不知道自己浏览器存在哪些安全漏洞，可以进入ScanIT网站对自己的浏览器进行检测(http://bcheck.scanit.be/bcheck/index.php)。

　　打开ScanIT网站页面，它首先显示出你浏览器当前所使用的版本，以及操作系统版本等等(图1)。了解一切后，其下方有三个选项第一个是Only test for bugs specific to my type of brwser(仅测试浏览器的Bug)，这个只能检测19个项目。如果你想对浏览器全面检测，就选择第二项Run all available tests(对所有浏览器所有项目进行检测)，这个检测项目包含了34项。再则你想自定义检测项目，可以选择第三项Choose individual tests(自定义检测，可检测16项)，我们可以根据自身的需求进行选择。

    
    这里笔者选择的是第二项“Run all available tests(对所有浏览器所有项目进行检测)”，单击“start the test”按钮，此时就开始对浏览器进行“全身检查”了。在检查的过程中，它会不断的弹出窗口，并且还会显示出检测进度，以及一些相关的信息(图2)。等到检测操作完毕后，会显示出检测浏览器的一份安全报告，如果存在漏洞还会详细的显示出来。
    
  

    
    对于所检测出来的漏洞，它将会分成三类显示：High risk Vulnerabilities(高危险漏洞)、Medium Risk Vulnerabilities(中级危险漏洞)、Low Risk Vulnerabilities(低级危险漏洞)，如果你的浏览器存在漏洞，它不仅会显示在这三个类别了，就连存在的漏洞个数也会一并显示。对于漏洞也会给予相关的信息提示，并且对应其漏洞还会给出补丁的下载地址，即使是电脑新手，只要按照页面上的信息，按部就班的进行操作便可修补漏洞了。

二、 更为精细的浏览器体检

　　如果你觉得以上浏览器的检测，还不够细致，可以登录www.pcflank.com站点进行检测，它是一家俄罗斯的安全站点，可以对浏览器、端口、木马、信息泄露等项目进行检测。

　　打开www.pcflank.com网站，左边已经为大家提供了7种安全检测方式：PC Flank leaktest(可以测试你的防火墙是否可以防止信息泄露)、Stealth test(隐身检测)、Quick test(快速检测)、Browser test(浏览器检测)、Trojans Test(木马端口检测)、Advanced Port Scanner(高级端口扫描)、Exploits Test(性能检测)(图3)。

    
    为了安全起见单击“Quick test”标签，对电脑进行全面检查。当然要想对浏览器进行检查，可以单击“Browser test”标签，此时就可开始对浏览器进行检测了。而对于以上的其他功能，大家可以根据自身情况进行使用即可。

三、 设置浏览器防范网页攻击

　　众所周知，网页木马的攻击，主要是让浏览器的脚本文件执行恶意代码、执行病毒程序来完成入侵。知道这个攻击原理，要想防范网马的入侵就变的很简单了，我们只要禁用浏览器ActiveX控件和插件脚本，即使以后无意踩进陷阱网站，其埋伏的网马也只能“停止不前无从侵入了。

　　打开IE浏览器，依次单击“工具→Internet选项→安全”选项，在显示的“安全”标签里，单击“自定义级别”按钮，此时就会弹出“安全设置”对话框(图4)。将里面Activex控件和脚本中的相关选项全部禁用，然后单击“确定”按钮使其生效。对于一些已经知道的陷阱网站可以建立屏蔽，例如这里依次单击“Internet选项”→“内容”选项，在“内容”标签的分级审查栏内，单击“启用”按钮，将想要屏蔽的网站地址输入到“许可站点”文本内，单击“从不”按钮，就可避免自己以后踏入已知的恶意站点了。

    
    为了防止网页恶意代码绕过IE，取得系统的控制权限，我们打开“注册表编辑器”对话框，依次展开组件到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility”下，然后创建一个基于CLSID的新键值{6E449683_c509_11CF_Aafa_00AA00 B6015C}，在其值下再建一个Compatibility，Reg_Dword类型，键值为0x00000400，这样就可禁止恶意人下载和执行Activex控件了。

　　自动报警思路

　　由于Windows Server 2008系统的自动报警功能只有基于某个特定的系统事件才能启用运行，不过Windows Server 2008系统在默认状态下不会自动记录下登录服务器失败的事件，为此我们应该先修改对应系统的审核策略，确保对登录服务器失败行为进行审核;接着退出服务器系统，并随意使用一个用户帐号尝试登录Windows Server 2008系统，一旦登录失败时，对应系统的事件查看器中就会自动生成一个登录服务器失败的事件记录。之后，我们针对这个登录服务器失败的事件记录，附加一个发出报警的任务计划;当以后再有用户登录服务器失败时，那么对应该事件记录的任务计划就会被自动触发运行，此时网络管理员就能根据报警提示信息，及时采取措施来解决登录服务器失败故障现象了。

　　审核登录失败操作

　　由于Windows Server 2008系统的日志功能在缺省状态下不会自动记录服务器登录失败操作，我们必须先对这种操作进行安全审核，日后服务器系统才会对系统登录失败操作进行日志记录。在对服务器登录失败操作进行审核时，我们可以按照如下步骤来进行：

　　首先以超级管理员权限进入Windows Server 2008系统，从该系统桌面中打开“开始”菜单，并从中单击“运行”命令，打开系统运行对话框，在其中输入字符串命令“secpol.msc”，单击回车键后，打开对应系统的本地安全策略列表窗口;

　　其次展开本地安全策略列表窗口左侧区域中的“本地策略”分支，点选该分支下面的“审核策略”选项，在对应“审核策略”选项的右侧显示区域中，找到“审核登录事件”选项，并用鼠标双击该选项，打开如图1所示的选项设置对话框;在该对话框的“本地安全设置”标签页面中，选中“审核这些操作”处的“失败”选项，再单击“确定”按钮保存审核设置操作，如此一来Windows Server 2008系统的日志功能日后就能对服务器登录失败操作进行自动记录了。

创建登录失败事件

　　由于Windows Server 2008系统的自动报警功能是基于某一个特定事件的，为此我们需要自行创建一个服务器登录失败事件。在创建服务器登录失败事件时，我们只要先注销当前的服务器系统，之后随意使用一个不合法的用户帐号尝试登录服务器系统，当系统提示登录失败时，Windows Server 2008系统的日志功能就能将该事件记录保存下来了。此时，我们可以按照如下步骤来查看服务器登录失败事件：

　　首先以超级管理员权限进入Windows Server 2008系统，依次单击该系统桌面中的“开始”/“设置”/“控制面板”命令，打开对应系统的控制面板窗口;

　　其次用鼠标双击该窗口中的“管理工具”图标，再从管理工具列表中双击事件查看器选项，打开事件查看器程序窗口。在该窗口的左侧显示区域展开Windows日志分支，并点选该分支下面的“安全”选项，在对应“安全”选项的中间显示区域，我们会看到一个事件ID为4625的审核失败记录(如图2所示)，用鼠标双击该事件记录，从其后的界面中我们就能看到登录服务器失败的说明信息了，这说明服务器登录失败事件已经创建成功了。

    
    附加自动报警任务

　　与传统操作系统不一样的是，Windows Server 2008系统可以针对某一个特定的事件记录附加运行任务计划，利用该功能我们可以将自动报警的任务计划附加到服务器登录失败事件中，一旦日后有用户再次遇到登录服务器失败操作时，网络管理员立即就能根据Windows Server 2008系统的自动报警提示来快速解决问题了。在附加自动报警任务计划时，我们可以按照如下步骤来进行：

　　首先按照前面的操作步骤找到事件ID为4625的审核失败记录，用鼠标右键单击该记录选项，从弹出的快捷菜单中执行“将任务附加到此事件”命令，当然我们也可以直接点选右侧操作列表区域中的“将任务附加到此事件”选项命令，打开创建基本任务向导对话框;

　　其次根据向导提示设置好目标任务的名称，在这里我们将该任务名称取为“服务器登录失败报警”，之后连续单击“下一步”按钮，进入如图3所示的操作设置界面。在该界面中我们发现Windows Server 2008系统为用户提供了三种操作选项，我们可以根据自己的喜好任意选择一种自动报警的方式，例如在这里我们选中了“显示消息”选项;

  继续单击“下一步”按钮，打开如图4所示的报警内容设置对话框，在这里设置好报警的标题以及内容信息，这里设定的内容日后会自动显示在报警提示对话框中的，假设我们在这里将报警内容设置为“当前有人登录服务器失败，请立即采取措施解决问题!”

    
    在确认上面的内容设置正确后，最后单击“完成”按钮，随后屏幕上会自动弹出如图5所示的提示窗口，从该窗口中我们得知“服务器登录失败报警”的任务计划已经创建成功;此时，我们打开Windows Server 2008系统的任务计划窗口，也会从对应的窗口中看到“服务器登录失败报警”的任务计划，我们还可以在这里打开目标任务计划的属性设置窗口，来修改任务计划的相关属性参数。

    
    测试自动报警功能

　　将自动报警任务附加到登录服务器失败事件中后，我们现在就能测试一下自动报警功能是否有效了。在进行测试操作时，我们可以随意从局域网的任何一台普通计算机中尝试远程登录Windows Server 2008服务器系统，并且在登录的时候使用一个不合法的用户帐号，等登录失败时，我们果然从Windows Server 2008服务器系统屏幕中看到“当前有人登录服务器失败，请立即采取措施解决问题!”这样的报警提示信息，这说明自动报警功能已经生效。

　　日后，当服务器系统屏幕上出现报警提示信息时，网络管理员立即就能在第一时间知道有人登录局域网服务器失败了，此时网络管理员就能迅速采取措施来解决问题了，这么一来服务器的管理效率就会大大提高。

　　最后需要提醒各位朋友注意的是，Windows Server 2008系统的自动报警功能对系统服务Task Scheduler存在依赖关系，因此服务器系统中的系统服务Task Scheduler必须时刻处于运行启用状态，不然的话自动报警功能将无法生效。

    共享故障介绍

    最近一段时间，单位某处室准备组织一个上规模的科技洽谈活动，由于许多活动资料需要进行共享，因此单位局域网管理员临时将一台安装了Windows Server 2003系统的普通计算机当成文件服务器，并将所有活动资源全部保存到其中一个共享文件夹中，让单位员工通过局域网网络进行共享访问。但是，将共享资源发布出来没有多长时间，就有单位员工向网络管理员反映，共享资源所在的文件服务器无法成功登录进去，而那些已经成功登录进文件服务器的员工又反映，他们虽然能够访问共享资源，不过却只能看不能改。

    为了弄清楚具体的故障根源，网络管理员立即从自己使用的普通计算机中尝试登录局域网文件服务器，反复登录连接了好几次，果然发现文件服务器不能正常登录，并且系统屏幕上还同时出现远程连接数目已经达到最大数值、无法同时进行远程连接之类的提示信息，看来这种故障现象很可能是局域网服务器中的共享资源对用户访问数量进行了限制，从而造成了一部分员工能够访问共享资源，另一部分员工不能访问共享资源的故障现象。

初次排查原因

    既然故障提示说远程访问连接数量超过了最大访问数值，我们何不妨进入文件服务器系统，修改一下共享资源的访问属性参数，以便取消用户访问数量的限制呢？想到这一点，网络管理员立即以系统管理员身份登录进入Windows Server 2003服务器系统，打开对应系统的资源管理器窗口，从中找到目标共享文件夹，用鼠标右键单击该共享文件夹，从弹出的快捷菜单中执行“属性”命令，打开目标共享文件夹的属性设置窗口，单击该设置窗口中的“共享”标签，进入如图1所示的标签设置页面，在该设置页面中网络管理员果然发现在默认状态下服务器系统只允许5个员工同时访问这个共享文件夹中的资料内容。

    
     怪不得有的员工能访问文件服务器，有的员工不能访问文件服务器，在远程访问连接数量低于5的情况下，单位员工是可以成功登录进入文件服务器系统的；在已有5人登录访问的情况下，如果还有员工在尝试登录访问文件服务器中的目标共享资源时，那么系统屏幕上就会出现远程连接数目已经达到最大数值、无法同时进行远程连接之类的提示信息了。找到了故障原因后，网络管理员立即在图1标签页面中的“用户数限制”处选中了“最多用户”选项，如此一来文件服务器的远程连接数量就没有任何限制了。

    考虑到那些已经登录进文件服务器系统的员工对目标共享资源只能看不能改，网络管理员认为这很可能是目标共享资源的访问权限设置不合适造成的，于是网络管理员立即单击图1标签页面中的“权限”按钮，进入如图2所示的权限设置对话框，在该对话框中他发现everyone帐号的默认权限为“读取”，于是他将everyone帐号的访问权限修改为了“完全控制”选项，修改完毕后单击“应用”按钮，原本以为到了这里，上面发生的无法同时访问共享以及共享资源只能看不能改的故障现象，肯定会自动消失了。

    
    可是没有多长时间，又有单位员工向网络管理员反映说，单位的文件服务器仍然还是无法成功登录，不过这一次没有员工反映说目标共享资源只能看不能修改了。对于这样的故障反映，网络管理员感到有点纳闷，这究竟还有哪些因素限制了员工同时访问文件服务器呢？

解决共享故障

    网络管理员冥思苦想了好长一段时间，认为这很可能是安装在文件服务器中的网络防火墙在作怪了，可是他打开网络防火墙的参数设置窗口时，却始终找不到哪一项参数是专门用于限制远程连接数量的，不得已网络管理员只好暂时将网络防火墙程序关闭了一段时间，并通知员工继续进行共享访问测试，但是实际测试表明，无法同时访问共享的故障现象与网络防火墙一点关系也没有。

    在万般无奈之下，网络管理员只好到Internet网络中进行了搜索，以便寻找导致无法同时进行远程共享访问连接的各种可能因素；经过仔细分析与筛查，网络管理员发现除了目标共享资源的属性设置窗口中存在远程连接数量限制选项外，Windows Server 2003服务器系统还在服务器授权模式设置窗口中提供了远程连接数量修改选项，如果这里的选项参数设置不当的话，同样也会造成远程连接数目已经达到最大数值、无法同时进行远程连接之类的共享故障。

    为了检验Windows Server 2003服务器系统的授权模式是否设置正确，网络管理员立即返回到Windows Server 2003服务器系统桌面，并在该桌面中依次单击“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中，用鼠标双击其中的“授权”图标，打开如图3所示的选择授权模式对话框，在该对话框中网络管理员发现“每服务器”选项处于选中状态，同时远程连接数量也被默认限制为了“5”，看来问题就出在这个地方了。为了取消这里的远程连接限制，网络管理员立即选中了“每设备或每用户”选项，当屏幕上弹出违反许可证提示窗口时，他单击了“否”按钮，在随后出现的每设备或每客户授权设置窗口中，继续选中“我同意”选项，最后重新启动了一下Windows Server 2003服务器系统。果然在服务器系统重新启动完毕后，单位员工再次尝试访问文件服务器中的共享资源时，无法同时访问共享资源的故障提示就再也没有出现了，这说明该故障现象已经被成功解决了。

    一、安全概述：

    在上文中我们已经介绍过作为一个入侵者所采取的破解步骤，当WEP和WPA加密被破解后入侵者无线设备已经能够顺利连接无线网络，这时我们能够做的就是从MAC地址出发通过地址信息来阻止其成功接入，同时在其破解接入网络后要加强无线路由器自身的安全，从而保护宽带拨号帐户以及其他隐私信息的泄露，要知道在网络被入侵随意接入后保护隐私将成为重中之重。

    二、从MAC地址过滤入手提高网络安全：

    所谓MAC地址过滤就是事先将容许接入无线网络的客户端MAC地址添加到无线路由器的信任区域，这样在无线客户端连接无线路由器后首先会检查其MAC地址是否在容许接入连接的范围内，对于那些没有设置容许的MAC地址将直接禁止其无线网络接入。

    设置MAC地址过滤的方法很简单，我们还是到无线路由器管理界面中操作，然后找到“无线”标签下的“MAC过滤”功能选项，在这里我们可以针对MAC地址过滤的信息进行设置，首先启用“使用过滤器”，然后根据下面的选项进行选择即可，依次为“阻止所列PC机访问无线网络”，“只容许所列PC机访问无线网络”。

    这两个参数的区别实际上是默认值的设置问题，前者容许大部分MAC地址客户端访问无线网络，只禁止所列MAC地址；而后者禁止大部分MAC地址客户端访问无线网络，只容许所列MAC地址接入。所以大多数情况下我们会选择“只容许所列PC机访问无线网络”，然后点“编辑MAC过滤器列表”。

    
    在“编辑MAC过滤器列表”新窗口中我们按照00:08:02:6B:A3:1A类似格式填写容许连接无线网络客户端的MAC地址即可。

那么如何才能够获取客户端的MAC地址呢？主要有两个方法，首先可以通过“编辑MAC过滤器列表”新窗口中的“无线客户端MAC列表”，点该按钮后会自动打开新窗口，这里会显示出当前连接无线网络的各个客户端MAC地址信息，然后复制粘贴到MAC地址过滤器列表中即可。另外一个方法就是在客户端上通过ipconfig/all来查看MAC地址信息，然后把看到的地址信息填写到MAC地址过滤器列表中即可。

    
    全部编辑完毕后未在MAC地址过滤器列表中的无线客户端将无法连接无线网络，即使扫描出了SSID信息以及破解了WEP，WPA加密密文也无法接入，从而提高了无线网络的安全。

    不过这种方式也不是万无一失的，和之前破解WEP密文一样，入侵者可以通过无线数据扫描sniffer工具获取无线通讯数据包，从而获取无线通讯双方的MAC地址，这样在授权客户机关闭没有接入无线网络的情况下，入侵者可以通过伪造MAC地址的方法突破MAC地址过滤功能。获取授权MAC地址后直接在无线网卡对应“本地连接”上点右键选择属性，然后点“配置”按钮，找到“高级”标签下的“本地管理的地址”，最后把MAC地址填写到右边的值中即可，这样就顺利完成了MAC地址更改和伪造的工作，从而彻底突破MAC地址过滤的限制。

    
     小 结——MAC地址过滤可以在一定程度上阻止非法入侵者，但是如果非法入侵者已经突破了WEP，WPA加密这一关，那么MAC地址过滤功能将形同虚设，通过sniffer可以轻易获取授权MAC地址，再结合伪造MAC操作从而顺利的连接无线网络。

三、从无线路由器下手亡羊补牢：

    如果入侵者突破了上述多个安全防范步骤而顺利接入到我们的无线网络，那么我们也实在没有其他太好的安全办法了，唯一能够做的就是从无线路由器下手亡羊补牢了。

    一般来说入侵者在连接无线网络后首先会尝试攻击无线路由器来破解网络参数，获取宽带拨号的帐户信息，其次是攻击本地其他网络客户端，获取隐私信息。因此我们只要将这两部分安全做足还是可以将损失降低到最小的。计算机上的安全内容比较多，这里由于篇幅关系就不详细说明了，我们主要介绍下如何从无线路由器下手来提高最后的安全。

    （1）修改默认帐户及密码：

    当入侵者连接无线网络后首先会通过访问网关地址的方式尝试连接无线路由器，每台路由器都有一个默认的管理帐户和密码，如果我们没有适当修改的话，那么通过这个默认信息就可以轻易连接无线路由器，从而进一步攻击。因此我们需要首先针对此信息进行更改，让入侵者即使连接了无线网络也无法进行下一步入侵攻击。

    进入到路由器管理界面找到“管理”标签，在这里我们可以看到修改路由器密码的地方，更改默认密码为一个强大口令即可。当然对于有的无线路由器来说我们还可以更改默认的管理帐户名，这样就可以更广大限度的提高安全性了，因为一般入侵者只会尝试使用诸如admin或root这样的用户名来登录。

    
    （2）修改管理默认地址和端口：

    很多时候我们还可以通过修改管理默认地址和端口来提高安全，例如将默认的管理地址修改为HTTPS加密协议，这样用传统的HTTP浏览方式将无法登录管理界面，而对于一些无线路由器来说我们还可以修改其管理地址的端口从默认的80变为其他数值，这样就会让入侵者摸不着头绪，毕竟设备端口成千上万。

（3）禁止无线接入连接管理界面：

    当然我们还有一个好办法就是根本不让无线接入的客户端访问管理界面，一些无线路由器也提供了此功能，我们可以在“无线”设置下的“安全”标签或“高级”标签中找到此参数，通过“禁用”无线图形用户界面访问来阻止无线网络接入客户端来登录管理界面，从而只容许有线网络的客户端访问管理界面，大大提高了安全性。

    
    小 结——通过以上三个方法可以百分之百的完善无线路由器的安全，如果无线路由器自身没有存在先天大BUG的话，非法入侵者将在连接无线网络后无法进行下一步入侵操作，从而亡羊补牢将损失降低到最小。

    四、总 结：

    通过“WPA告破后家庭无线网络安全何去何从？”两篇文章后我们依次从SSID信息，WEP，WPA加密，MAC地址过滤以及无线路由器自身防范四大方面向各位IT168读者介绍了当前环境下最好的防范方法。首先SSID信息的广播与否并不会提高任何安全性，而WEP加密也会被入侵者轻易破解。

    WPA这种高级加密也在日前被破，不过WPA加密环境下被破解的仅仅是传输的信息，而wpakey还是无法破解，所以我们暂时不担心路由被盗用。因此在无线通讯加密情况下能够使用WPA2固然更好，如果设备不支持WPA2的话使用WPA也是比较安全的；而MAC地址过滤这种方法虽然有效但是也不是万无一失的；相反无线路由器自身的安全防范却是非常有效果的。

    综上所述要想让我们的无线网络最大限度的安全就应该对无线通讯进行WPA甚至WPA2级别的加密，然后还要针对无线路由器的默认管理帐户，默认密码，默认管理地址和端口进行设置，甚至禁止无线接入连接管理界面。而SSID广播与否以及是否设置MAC地址过滤变得没有那么重要。

　　一、基于帐户的安全策略

　　1、帐户改名

　　Administrator和guest是Windows系统默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录服务器。对此，我们可以通过为其改名进行防范。

　　administrator改名：“开始→运行”，在其中输入Secpol.msc回车打开本地安全组策略，在左侧窗格中依次展开“安全设置→本地策略→安全选项”，在右侧找到并双击打开“帐户：重命名系统管理员帐户”，然后在其中输入新的名称比如test即可。(图1)

    
    guest改名：作为服务器一般是不开启guest帐户的，但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改名可防止类似的攻击，改名方法和administrator一样，在上面的组策略项下找到“帐户：重命名来宾帐户”，然后在其中输入新的名称即可。

　　2、密码策略

　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。

　　对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法：执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口。打开“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。需要说明的是，“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认，不要去修改。(图2)

3、帐户锁定

　　当服务器帐户密码不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢?

　　其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下：

　　在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置，比如设置为5。(图3)

    
    二、安全登录系统

　　1、远程桌面

　　远程桌面是比较常用的远程登录方式，但是开启“远程桌面”就好像系统打开了一扇门，合法用户可以进来，恶意用户也可以进来，所以要做好安全措施。

　　(1).用户限制

　　点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。(图4)

(2).更改端口

　　远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行，打开注册表编辑器，定位到如下注册表项：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

　　分别将其右侧PortNumber的值改为其它的值比如1426，需要说明的是该值是十六进制的，更改时双击PortNumber点选“十进制”，然后输入1426。(图5)

    
    2、telnet连接

　　telnet是命令行下的远程登录工具，因为是系统集成并且操作简单，所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

　　(1).修改端口

　　本地修改修改系统的telnet端口方法是:“开始→运行”输入cmd打开命令提示符，然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口，为了避免端口冲突不用设置成已知服务的端口。)

当然，我们也可以远程修改服务器的telnet端口，在命令提示符下输入命令“tlntadmn \\192.168.1.13 -u fr -p test config port=800”(\\192.168.1.13对方IP，port=800要修改为的telnet端口，-u指定对方的用户名，-p指定对方用户的密码。)(图6)

    
    (2).用SSH替代Telnet

　　SSH(Secure Shell)，它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时，用户名和密码均进行了加密，这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面，同时也可以在命令行(shell)下进行操作。(图7)

    
    3、第三方软件

　　可用来远程控制的第三方工具软件非常多，这些软件一般都包括客户端和服务器端两部分，需要分别在两边都部署好，才能实现远控控制。一般情况下，这些软件被安全软件定义为木马或者后门，从而进行查杀。安全期间建议大家不要使用此类软件，因为使用此类工具需要对安全软件进行设置(排除、端口允许等)，另外，这类软件也有可能被人植入木马或者留有后门，大家在使用时一定要慎重。

　　总结：本文从帐户管理和登录工具方面谈了系统远程登录的安全部署，远程控制是“双刃剑”，方便了管理员也为攻击者提供了便利，把好这道门是至关重要的。