作为一个电子商务的网站拥有者,如何实现网络安全?

中小型企业电子商务网站的安全实现方案

什么是网络安全。

“网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。”i相对于中小型企业的电子商务网站来说，网络安全就是指网站上的数据能够安全的不间断地提供稳定的服务。我将从硬件安全、网络安全、系统安全、代码安全四个方面来阐述对中小型企业的电子商务网站的安全实现方案。 2硬件安全。

21 给服务器加把锁

物质是基础，硬件就是电子商务的基础。但是硬件的安全往往是最容易被网络管理人员所忽视的。其中比较棘手的一个问题就是，在你的电脑上没有任何的防护措施来防止进入你办公室的同事使用你的电脑。如果作为工作站，还没有太大的问题，但是如果作为服务器任何非专业的操作都有可能导致系统不稳定。所以，服务器必须加上物理锁，以防止其他人的使用。使用密码当然也可以，但是远远不如物理锁来的直接和实在。而且您还可以有绝佳的借口可以绝对的禁止其他人员对您电脑的使用。（钥匙在经理那里，要不，您管他要去？） 22 UPS以及发电机

电子商务优胜于传统商务模式的一个显著特点就是它可以24小时不间断地提供服务。但是，前提是您的服务器同样能够24小时来服务。经过了2004年拉闸限电的夏天，没有人认为一台UPS的投入会是多余的。对于服务器来说，UPS的好处还在于它能够将电流过滤稳定地输出，以保证服务器在一个良好的环境里运行。如果公司的服务器不止一台，而且公司处于像大连这样的能源消耗大城市，一台发电机还是必要的。好好的维护它，每周运行一次来检查他是否能够正常工作。不要觉得麻烦，麻痹是安全最大的敌人 23 对付灾难的方法——备份！

就如这个世界上没有不会被攻破的城市一样同样不存在绝对安全的服务器，操作系统的漏洞，代码的不安全，管理人员的疏忽都有可能造成具有宝贵数据服务器的崩溃。崩溃不是DOOM，但是前提是您必需有服务器中数据的备份。一提到备份，对于某些人来讲，不过是将网站的所有数据刻录到光盘上的过程而已。但是，对于电子商务网站，如果处理的数据过多，是不可能通过这样的手段来实现的。经过培训的人员或许会想到磁带机以及实时备份的技术，这的确是一个解决方案。但是，简单的通过设备来备份并不能够在最危机的时刻显示它的作用。在911事件发生后，原来世贸大厦中60%以上的企业都倒闭了，原因就是缺乏足够的资料以及数据能够让他们恢复被袭击之前的业务。所以，如果您想让您的数据真正的备份那么最好的办法就是在远离公司的异地办事处设定一个备份中心。威力再大的核弹也不可能摧毁整个中国，这是最安全的备份方案。对于数据比较少的情况下，可以选择在万维网上建立***连接异地双机热备份的方法。当然，对于实施电子商务这种数据比较多地中小型企业来说，这样也比较奢侈，而且不太可能实现。我个人认为最优的方案仍然是通过设备——磁带机，或者其他设备，但是，请将保存资料的东西放进保险柜。保险柜是每个企业都有的设备，而且现在的保险柜都是防水，防火，防砸的。这样，即使发生了自然灾害也能够很好的保证数据的完整性。

3网络安全

31 拓扑安全

一般来说，我国的中小型企业所采用的网络拓扑大多为简单的树型结构。只有一级路由设备来实现工作组的支持和宽带网络的共享。

这样的拓扑结构优点非常明显，可以将投资降到最小。但是，同时它的危险性也非常明显。因为所有的客户端都同电子商务服务器在同一个网段，（for example: 19216811——1921681254）当电子商务服务器被入侵后，企业内部网络的所有客户端都将暴露在黑客的视线内，内部的网络通讯以及计算机上面的文档都将有可能被黑客所得到。

为了避免这样的“惨剧”发生。我建议对网络进行多重路由的部署，即将电子商务服务器部署成“非军事化区”（DMZ），占用独立的网段。将企业内部网络同电子商务服务器的网段分开。因为不同的网段如果没有中继是无法进行通讯的，即便黑客入侵了电子商务服务器，也无法获取企业内部的信息。

就是可以随意的设置每个网段的相关属性，比如路由A所控制的网段A，由于电子商务服务器在他的网段中运行，存在着一定的危险性，可以设置成不允许他访问其他的内网网段。而路由B所控制的网段，假设为保密部门，可以设定他只能访问内部网络却无法访问互联网。

多层拓扑的另外一个好处就是可以部署多层次防火墙。打个比方，多层次防火墙的功能就好比战场上的多重防线，如果只被攻破了一层防火墙，后面还有另外的防火墙来阻止“敌人”的进一步进攻。

32防火墙

321 软件防火墙，或者硬件防火墙的选择。

图1所涉及到的拓扑还有一个非常明显的问题就是，没有防火墙。我个人认为不安装防火墙就连接到互联网的行为无异于赤身裸体的出现在硝烟弥漫的战场，结果当然只有一个。

同个人使用的终端电脑所不同的是电子商务服务器必须开放相应的服务端口，来允许对方的访问。正如您所知道的，多开放一个端口，您的服务器危险性就相应的增加一些。还有，很让人无奈的DDOS攻击，很无聊的做法，但是往往有很多无聊的人愿意这么无聊的做。如果没有防火墙，安全稳定的运行往往就是一句空话。

对于网络资金预算比较充裕的企业往往在防火墙的选择上会偏好于硬件防火墙。但是对于网络安全这样一个并不能够直接产生利润的部门，资金预算充裕的恐怕是寥寥无几。还有一点值得注意的就是我对有些硬件防火墙的性能表示怀疑。有些厂商所生产的硬件防火墙，几乎就是台式机+linux+防火墙的组合体。而使用软件防火墙，我们有可能比它做得更好。所以我建议您选择软件防火墙。 322 软件防火墙ISA server 2004

涉及到防火墙我们就必须提一下防火墙的原理。大家都知道，网络通信的概念性标准框架是国际标准化组织（ISO）提出的OSI 开放式系统互联模型。

太多了太长，下面这里是链接，楼主有空了就自己点击进去看看吧，

希望可以对你有所帮助。。

一般来说，代理服务器需要在虚拟主机上运行一个代理服务程序，如tproxy等。 因为虚拟主机通常只能运行web程序，你看看你的虚拟主机支持哪种语言，如linux的支持PHP/Python等，WIndows的支持ASP, ASPnet等。然后你去百度或者Google搜索 “语言 代理服务器” ，如 “PHP 代理服务器”， 将程序下载下来安装到你的虚拟主机上就可以了。如果你的虚拟主机支持PHP，你可以看看 Phpsocks5，网址：一般的虚拟主机不支持 SSH/***做代理，如果要支持这些你必须买 VPS 。一般的虚拟主机的apache2你不能控制他的配置文件，所以你也不能将其配置成代理服务器。

可以使用VMware Workstation创建新的虚拟机，具体步骤如下：

1、运行VMware Workstation 10软件，单击“创建新的虚拟机”

2、在弹出的“新建虚拟机向导”中，选择“自定义”，单击“下一步”

3、硬件兼容性选择“Workstation 100”，选择“下一步”

4、选择“稍后安装操作系统”，“下一步”

5、客户机操作系统选择“linux”，然后选择相应的版本号

6、设置虚拟机名称和存放的位置

7、根据实际情况，设置处理器数量、核心数量

8、设置虚拟机的内存

9、创建网络类型

10、选择I/O控制器类型

11、选择磁盘类型

12、创建新虚拟磁盘

13、指定磁盘大小等

14、设置磁盘文件名称

15、虚拟机创建成功

：

虚拟机技术是虚拟化技术的一种，所谓虚拟化技术就是将事物从一种形式转变成另一种形式，最常用的虚拟化技术有操作系统中内存的虚拟化，实际运行时用户需要的内存空间可能远远大于物理机器的内存大小，利用内存的虚拟化技术，用户可以将一部分硬盘虚拟化为内存，而这对用户是透明的。又如，可以利用虚拟专用网技术(***)在公共网络中虚拟化一条安全，稳定的"隧道"，用户感觉像是使用私有网络一样。

虚拟机技术最早由 IBM 于上世纪六七十年代提出，被定义为硬件设备的软件模拟实现，通常的使用模式是分时共享昂贵的大型机。 虚拟机监视器(Virtual Machine Monitor，VMM)是虚拟机技术的核心，它是一层位于操作系统和计算机硬件之间的代码，用来将硬件平台分割成多个虚拟机。

VMM 运行在特权模式，主要作用是隔离并且管理上层运行的多个虚拟机，仲裁它们对底层硬件的访问，并为每个客户操作系统虚拟一套独立于实际硬件的虚拟硬件环境(包括处理器，内存，I/O 设备)。VMM 采用某种调度算法在各个虚拟机之间共享 CPU，如采用时间片轮转调度算法。

网络工程师考试大纲

　　3 网络技术

　31 网络体系结构

　·Internet、Intranet和Extranet的基本概念(I)

　·C/S、B/S的基本概念(I)

　·ISO OSI/RM

　七层协议的功能可以概括为以下7句话。

　应用层：为网络用户提供颁布式应用环境和编程环境(I)

　表示层：提供统一的网络数据表示，包括信源编码和数据压缩等(I)

　会话层：对会话过程的控制，包括会话过程同步控制和会话方向控制(I)

　传输层：提供端到端的数据传输控制功能(I)

　网络层：在通信子网中进行路由选择和通信流控制(I)

　数据链路层：在相邻结点之间可靠地传送数据帧(I)

　物理层：透明地传输比特流(I)

　32 TCP/IP协议簇

　321　应用层协议(FTP、HTTP、POP3、DHCP、Telnet、SMTP)

　·功能、连接、过程和端口(II)

　·SNMP协议的体系结构(管理器和代理、轮询和陷入)(I)

　322　传输层协议(TCP、UDP)

　·协议数据单元：TCP/UDP报文中的主要字段及其功能(II)

　·连接的建立和释放(三次握手协议、连接状态、SYN、ACK、RST、MSL)(II)

　·流量控制(可变大小的滑动窗口协议、字节流和报文流的区别)(II)

　323 网络层协议IP

　·A、B、C、D类IP地址及子网掩码，单播/组播/广播地址，公网/私网地址(III)

　·VLSM和CIDR技术，NAT/NAPT技术(III)

　·ARP请求/响应，路由器代理ARP，ARP表，地址绑定(III)

　·ICMP的报文类型(目标不可达到、超时、源抑制、ECHO请求/响应、时间戳请求/响应等)(II)

　324 数据链路层协议

　·PPP协议：帧格式，LCP协议和NCP协议，认证协议(PAP和CHAP)(I)

　·PPPoE和PPPoA(I)

　33　数据通信基础

　331 信道特性

　·波特率、带宽和数据速率(II)

　·Nyquist定理和Shannon定理，简单计算(II)

　332 调制和编码

　·ASK、FSK、PSK、QAM、QPSK(I)

　·抽样定理、PCM (I)

　·NRZ-I、AMI、伪3进制编码、曼彻斯特编码、差分曼彻斯特编码、4B/5B和8B/6B编码(II)

　·波特率和数据速率、编码效率(II)

　333 同步控制

　·异步传输的效率(I)

　·面向字符的同步控制协议(BSC)，传输控制字符(I)

　·面向比特的同步控制协议(HDLC)、帧标志、字节计数法、字符填充法、比特填充法、物理符号成帧法(I)

　334 多路复用

　·频分多路FDM、离散多间DMT(I)

　·统计时分多路复用的简单的计算(I)

　·E1和T1信道的数据速率、子速率(II)

　·同步光纤传输标准SONET/SDH(II)

　·WDM、DWDM(I)

　335差错控制

　·CRC编码、CRC校验(II)

　·海明码、冗余位的计算、监督关系式(I)

　336传输介质

　·STP，3类、5类、6类UTP(宽带和数据速率)(I)

　·RG-58和RG-11基带同轴电缆、CATV同轴电缆(I)

　·多模光纤MMF(线径625/125μm和50/125μm，波长850nm和1300nm，多模突变型与多模渐变型)(I)

　·单模光纤SMF(线径83/125μm，波长1310/1550nm)(I)

　·无线电波(VHF、UHF、SHF、ISM频带)(I)

　·卫星微波通信(C、Ku、Ka波段、VSAT)(I)

　·激光、红外线(I)

　337物理层协议

　·V28协议 (Ⅰ)

　·V35 (Ⅰ)

　·V24和RS-232 (Ⅰ)

　34局域网

　341 IEEE802体系结构

　·8021、8022、8023、8025、80211、80215、80216 (Ⅰ)

　·LLC服务和帧结构 (Ⅰ)

　342以太网

　·CSMA/CD协议、帧结构、MAC地址 (Ⅰ)

　·10BASE-2、10BASE-T (Ⅰ)

　·最小帧长、最大帧长 (Ⅰ)

　·网络跨距 (Ⅰ)

　343网络连接设备

　·网卡、中继器、集线器、网桥、以太网交换机 (Ⅱ)

　344高速以太网

　·8023u、8023z、8023ae、8023ab (Ⅱ)

　345虚拟局域网

　·静态/动态VLAN (Ⅲ)

　·接入链路和中继链路 (Ⅲ)

　·VLAN帧标记8021q (Ⅲ)

　·VTP协议和VTP修剪 (Ⅲ)

　346无线局域网

　·无线接入点AP和Ad Hoc网络 (Ⅱ)

　·扩频通信技术DSSS和HFSS (Ⅱ)

　·CSMA/CA协议 (Ⅱ)

　·80211a/80211b/80211g (Ⅰ)

　·认证技术WPA和80211i (Ⅰ)

　35网络互连

　351网络互连设备

　·基本概念

　·中继器、集线器、交换机、路由器和网关的体系结构 (Ⅰ)

　·广播域和冲突域 (Ⅰ)

　·以太网交换机的工作原理：存储转发/直通式/无碎片直通式交换 (Ⅱ)

　·以太网交换机

　分类：核心交换机、接入交换机、三层交换机、模块化交换机 (Ⅱ)

　堆叠和级联 (Ⅱ)

　光口和电口、GBIC端口、SFP端口 (Ⅰ)

　背板带宽和包转发率 (Ⅰ)

　链路汇聚技术(8023ad) (Ⅱ)

　·IP路由器

　分类：主干路由器、接入路由器、企业级路由器 (Ⅰ)

　端口：RJ-45端口、AUI端口、高速同步串口、ISDN BRI端口、异步串口(ASYNC)、Console端口、AUX端口 (Ⅱ)

　内存：ROM、RAM、Flash RAM、NVRAM (Ⅰ)

　操作系统IOS：命令行界面CLI，命令模式(Setup模式、用户模式、特权模式、配置模式)，加电自检(POST)、引导程序(bootstrap)、启动配置文件(startup config)、运行配置文件(running config)，TFTP服务器 (Ⅰ)

　·防火墙

　包过滤防火墙 (Ⅱ)

　电路级网关防火墙(SOCKS协议) (Ⅱ)

　应用网关防火墙 (Ⅱ)

　代理服务器 (Ⅱ)

　认证服务器 (Ⅱ)

　DMZ (Ⅲ)

　·ACL配置命令 (Ⅲ)

　352交换技术

　·电路交换 (Ⅰ)

　PSTN，PBX，V90 (Ⅰ)

　ISDN，PRI和BRI (Ⅰ)

　·分组交换：虚电路和数据报，X25、LAP-B (Ⅰ)

　·租用线路服务(DDN) (Ⅰ)

　·帧中继 (Ⅰ)

　PVC和SVC (Ⅰ)

　CIR和EIR (Ⅰ)

　LAP-F、DLCI和显式拥塞控制 (Ⅰ)

　帧长和数据速率 (Ⅰ)

　DSU/DCU (Ⅰ)

　X21、V35、G703和G704接口 (Ⅰ)

　·ATM

　VPC和VCC (Ⅰ)

　信元结构 (Ⅰ)

　CBR、VBR、ABR和UBR (Ⅰ)

　AAL (Ⅰ)

　353接入技术

　·DSL技术 (Ⅰ)

　·HDSL (Ⅰ)

　·VDSL (Ⅰ)

　·ADSL(虚拟拨号和准专线接入、DSLAM) (Ⅲ)

　·FTTx+LAN (Ⅲ)

　·HFC：CATV网络和Cable Modem (Ⅲ)

　·无线接入 (Ⅲ)

　36 Internet服务

　·Web服务器、HTML和XML、浏览器、URL、DNS (Ⅰ)

　·邮件服务器(SMTP和POP3) (Ⅰ)

　·FTP、匿名FTP、主动/被动FTP (Ⅱ)

　·TFTP (Ⅰ)

　·Telnet (Ⅰ)

　·电子商务和电子政务 (Ⅰ)

　37网络操作系统

　·网络操作系统的功能、分类和特点 (Ⅰ)

　·文件系统FAT16/FAT32/NTFS/ext3 (Ⅰ)

　·网络设备驱动程序：ODI、NDIS (Ⅰ)

　·Windows Server 2003网络架构 (Ⅱ)

　·ISA2004：***服务器、远程访问属性、用户拨入权限、访问规则 (Ⅲ)

　·Red Hat Linux：文件系统目录结构、用户与组管理、进程管理、网络配置与管理 (Ⅲ)

　38网络管理

　·网络管理功能域(安全、配置、故障、性能和计费管理) (Ⅰ)

　·网络管理协议(CMIS/CMIP、SNMP、RMON、MIB-Ⅱ) (Ⅰ)

　·网络管理命令(ping、ipconfig、netstat、arp、tracert、nslookup) (Ⅱ)

　·网络管理工具(NetXray、Sniffer) (Ⅱ)

　·网络管理平台(OpenView、NetView、Sun NetMa-nager) (Ⅰ)

　4网络安全基础

　41安全技术

　411保密

　·私钥/公钥加密(DES、3DES、IDEA、RSA、D-H算法) (Ⅱ)

　412安全机制

　·认证(实体认证、身份认证、数字证书X509) (Ⅱ)

　·数字签名 (Ⅱ)

　·数据完整性(SHA、MD5、HMAC) (Ⅱ)

　413安全协议

　·虚拟专用网 (Ⅰ)

　·L2TP和PPTP (Ⅰ)

　·安全协议(IPSec、SSL、PGP、HTTPS和SSL) (Ⅲ)

　414病毒防范与入侵检测

　·网络安全漏洞 (Ⅱ)

　·病毒、蠕虫和木马 (Ⅱ)

　·恶意软件 (Ⅱ)

　·入侵检测 (Ⅱ)

　42访问控制技术

　421访问控制

　·防火墙 (Ⅰ)

　·Kerberos、Radius (Ⅰ)

　·80211x认证 (Ⅰ)

　·DDoS (Ⅱ)

　·AAA系统(Authentication/Authorization/Accounting) (Ⅰ)

　422可用性

　·文件、数据库的备份和恢复 (Ⅱ)

　5标准化知识

　51信息系统基础设施标准化

　511标准

　·国际标准(ISO、IEC、IEEE、EIA/TIA)与美国国家标准(ANSI) (Ⅰ)

　·中国国家标准(GB) (Ⅰ)

　·行业标准与企业标准 (Ⅰ)

　512安全性标准

　·信息系统安全措施 (Ⅰ)

　·CC标准 (Ⅰ)

　·BS7799标准 (Ⅰ)

　52标准化组织

　·国际标准化组织(ISO、IEC、IETF、IEEE、IAB、W3C) (Ⅰ)

　·美国标准化组织 (Ⅰ)

　·欧洲标准化组织 (Ⅰ)

　·中国国家标准化委员会 (Ⅰ)

　6信息化基础知识

　·全球信息化趋势、国家信息化战略、企业信息化战略和策略 (Ⅰ)

　·互联网相关的法律、法规知识 (Ⅰ)

　·个人信息保护规则 (Ⅰ)

　·远程教育、电子商务、电子政务等基础知识 (Ⅰ)

　·企业信息资源管理基础知识 (Ⅰ)

　7计算机专业英语

　·具有工程师所要求的英语阅读水平 (Ⅱ)

　·掌握本领域的英语术语 (Ⅱ)

　考试科目2：网络系统设计与管理

　1网络系统分析与设计

　11网络系统的需求分析

　·功能需求(待实现的功能) (Ⅱ)

　·性能需求(期望的性能) (Ⅱ)

　·可靠性需求 (Ⅱ)

　·安全需求 (Ⅱ)

　·管理需求 (Ⅱ)

　12网络系统的设计

　·拓扑结构设计 (Ⅱ)

　·信息点分布和通信量计算 (Ⅱ)

　·结构化布线(工作区子系统、水平子系统、主干子系统、设备间子系统、建筑群子系统、管理子系统) (Ⅱ)

　·链路冗余和可靠性 (Ⅱ)

　·安全措施 (Ⅱ)

　·网络设备的选型(成本、性能、容量、处理量、延迟) (Ⅲ)

　13通信子网的设计

　·核心交换机的选型和配置 (Ⅲ)

　·汇聚层的功能配置 (Ⅲ)

　·接入层交换机的配置和部署 (Ⅲ)

　14资源子网的设计

　·网络服务 (Ⅰ)

　·服务器选型 (Ⅱ)

　15网络系统的构建和测试

　·安装工作(事先准备、过程监督) (Ⅱ)

　·测试和评估(连接测试、安全性测试、性能测试) (Ⅱ)

　·转换到新网络的工作计划 (Ⅱ)

　2网络系统的运行、维护和管理

　21用户管理

　·用户接入认证和IP地址绑定 (Ⅱ)

　·用户行为审计 (Ⅱ)

　·计费管理 (Ⅱ)

　22网络维护和升级

　·网络优化策略 (Ⅱ)

　·设备的编制 (Ⅱ)

　·外部合同要点 (Ⅱ)

　·内部执行计划 (Ⅱ)

　23数据备份与恢复

　·备份策略 (Ⅱ)

　·数据恢复 (Ⅱ)

　·RAID (Ⅱ)

　24网络系统管理

　·利用工具监视网络性能和故障 (Ⅲ)

　·性能监视

　CPU利用率 (Ⅰ)

　带宽利用率 (Ⅰ)

　流量分析 (Ⅰ)

　通信量整形 (Ⅰ)

　连接管理 (Ⅰ)

　·安全管理

　内容过滤 (Ⅱ)

　入侵检测 (Ⅱ)

　网络防毒 (Ⅱ)

　端口扫描 (Ⅱ)

　25故障恢复分析

　·故障分析要点(LAN监控程序) (Ⅱ)

　·排除故障要点 (Ⅱ)

　·故障报告撰写 (Ⅰ)

　3网络系统实现技术

　31网络协议

　·商用网络协议(SNA/APPN、IPX/SPX、Apple、Talk、TCP/IP、IPv6) (Ⅰ)

　·应用协议(XML、CORBA、COM/DCOM、EJB) (Ⅰ)

　32可靠性设计

　·硬件可靠性技术 (Ⅰ)

　·软件可靠性技术 (Ⅰ)

　·容错技术 (Ⅰ)

　·通信质量 (Ⅰ)

　33网络设施

　331接入技术

　·ADSL Modem的连接和配置 (Ⅱ)

　·帧中继接入 (Ⅱ)

　·FTTx+LAN (Ⅱ)

　·PPP (Ⅱ)

　332交换机的配置

　·设备选型(端口类型、包转发率pps、背板带宽、机架插槽、支持的协议) (Ⅲ)

　·核心层、汇聚层和接入层 (Ⅲ)

　·三层交换机、MPLS (Ⅲ)

　·级连和堆叠 (Ⅲ)

　·命令行接口 (Ⅲ)

　·Web方式访问交换机和路由器 (Ⅲ)

　·静态和动态VALN (Ⅲ)

　·VLAN中继协议和VTP修剪，VTP服务器 (Ⅲ)

　·DTP(Dynamic Trunk Protocol)协议和中继链路的配置 (Ⅲ)

　·生成树协议(STP)和快速生成树协议(RSTP) (Ⅲ)

　·STP的负载均衡 (Ⅲ)

　333路由器的配置

　·静态路由的配置和验证 (Ⅲ)

　·单臂路由器的配置 (Ⅲ)

　·RIP协议的配置 (Ⅲ)

　·静态地址转换和动态地址转换、端口转换 (Ⅲ)

　·终端服务器的配置 (Ⅲ)

　·单区域/多区域OSPF协议的配置 (Ⅲ)

　·不等量负载均衡 (Ⅲ)

　·广域网接入、DSU/DCU (Ⅱ)

　·ISDN接入 (Ⅰ)

　·PPP协议和按需拨号路由(DDR)的配置 (Ⅱ)

　·帧中继接入的配置 (Ⅱ)

　334访问控制列表

　·标准ACL (Ⅲ)

　·扩展ACL (Ⅱ)

　·ACL的验证和部署 (Ⅲ)

　335虚拟专用网的配置

　·IPSec协议 (Ⅲ)

　·IKE策略 (Ⅲ)

　·IPSec策略 (Ⅲ)

　·ACL与IPSec兼容 (Ⅲ)

　·IPSec的验证 (Ⅱ)

　34网络管理与网络服务

　341 IP网络的实现

　·拓扑结构与传输介质 (Ⅲ)

　·IP地址和子网掩码、动态分配和静态分配 (Ⅲ)

　·VLSM、CIDR、NAPT (Ⅲ)

　·IPv4和IPv6双协议站 (Ⅱ)

　·IPv6的过渡技术(GRE隧道、6to4隧道、NAT-PT)(Ⅱ)

　·DHCP服务器的配置(Windows、Linux)(Ⅲ)

　342网络系统管理

　·网络管理命令(ping、ipconfig、winipcfg、netstat、arp、tracert、nslookup)(Ⅱ)

　·Windows终端服务与远程管理 (Ⅱ)

　343 DNS

　·URL和域名解析 (Ⅱ)

　·DNS服务器的配置(Windows)(Ⅲ)

　·Linux BIND配置 (Ⅱ)

　344 E-mail

　·电子邮件服务器配置(Windows)(Ⅲ)

　·电子邮件的安全配置 (Ⅱ)

　·Linux SendMail服务器配置 (Ⅱ)

　345 WWW

　·虚拟主机 (Ⅲ)

　·Windows Web服务器配置 (Ⅲ)

　·Linux Apache 服务器配置 (Ⅲ)

　·WWW服务器的安全配置 (Ⅱ)

　346代理服务器

　·Windows代理服务器的配置 (Ⅲ)

　·Linux Squid服务器的配置 (Ⅱ)

　·Samba服务器配置 (Ⅱ)

　347 FTP服务器

　·FTP服务器的访问(Ⅲ)

　·FTP服务器的配置(Ⅲ)

　·NFS服务器的配置(Ⅱ)

　348网络服务

　·因特网广播、电子商务、电子政务 (Ⅰ)

　·主机服务提供者、数据中心 (Ⅰ)

　35网络安全

　351访问控制与防火墙

　·Windows活动目录安全策略的配置 (Ⅱ)

　·ACL命令和过滤规则 (Ⅱ)

　·防火墙配置 (Ⅱ)

　352 ***配置

　·IPSec和SSL (Ⅱ)

　353 PGP (Ⅰ)

　354病毒防护

　·病毒的种类 (Ⅱ)

　·ARP欺骗 (Ⅲ)

　·木马攻击的原理，控制端和服务端 (Ⅲ)

　4网络新技术

　41光纤网

　·无源光纤网PON(APON、EPON) (Ⅰ)

　42无线网

　·移动电话系统(WCDMA、CDMA2000、TD-SCDMA) (Ⅰ)

　·无线接入(LMDS、MMDS) (Ⅰ)

　·蓝牙接入 (Ⅰ)

　43主干网

　·IP over SONET/SDH (Ⅰ)

　·IP over Optical (Ⅰ)

　·IP over DWDM (Ⅰ)

　·IP over ATM (Ⅰ)

　44网络管理

　·通信管理网络TMN (Ⅰ)

　·基于CORBA的网络管理 (Ⅰ)

　45网络存储

　·RAID (Ⅱ)

　·DAS (Direct Attached Storage) (Ⅰ)

　·SAN (Storage Area Network)、iSCSI、FC SAN、IP SAN (Ⅰ)

　·NAS (Network Attached Storage)、网络数据管理协议NDMP (Ⅰ)

　·系统容灾和恢复 (Ⅰ)

　46网络应用

　·Web服务(WSDL、SOAP、UDDI) (Ⅰ)

　·Web 20、P2P (Ⅰ)

　·网络虚拟存储 (Ⅰ)

　·网格计算 (Ⅰ)

　·IPv6新业务 (Ⅰ) ;

你那儿出现的问题不是需要 nat-t这个协议解决的 nat-t是 ipsec中解决nat穿越时的解决办法

我的印像里是这样的

pptp最常见的问题是 同一个nat下面不能有两个拨号客户端出现 两个客户端同时拨号后也只能有一个客户端可以通信 另一个会断开

一般在linux内核的家用路由器或是linux服务器中 应该启用 iptables helper模块来解决这个问题 设置之后一切就都正常了

一般在中币器中都是一个选择项你找一下选择上 穿越nat比较困难的协议很多ftp协议都有问题

linux旗下系统介绍？

1、veket系统

veket系统目前包括veket-x86平台系统和随身系统，还有上网本系统，分别对应veket-8系统、veket-7系统和veket-5系统。经过测试，veket-7和veket-5在使用上比较完善。veket-8目前还处于测试期，在功能上可能还不稳定。

2、Ubunto系统

这个系统又名乌班图系统，也是一个以桌面应用为主的Linux操作系统，系统分为云平台，服务器版和桌面版。可以根据需要选择相应的版本。桌面版目前最新版本好像是Ubuntu1310版本，在虚拟机上安装过，还算可以。

3、Fedora系统

此系统，也是基于linux的一款不错的操作系统，在界面上比较美观，安装文件可能会相对较大一些，大家可以尝试一下。

4、麒麟操作系统

这个算是国产的一个自主可控的基于linux的操作系统，在功能上也算比较完善，有32位和64位的系统，想尝试的朋友可以下载安装试一下。

5、雨林木风os系统

这个系统号称看起来像winxp的linux操作系统，在使用习惯上尽量仿winxp系统界面，对于用不习惯linux系统的朋友可以试试这个，版本可以考虑30/40/50/60。

6、此外还有其它一些系统，比如Debian系统、Elementaryos系统、CentOS系统、ALTlinux、Makulu系统、openSUSE系统、pearOS系统、RedHat等等，这些系统各有特色，比如Elementary在界面上比较新颖美观。也可以选择尝试。

linux八大类？

使用Linux最具说服力的原因之一就是能够提供安全的计算体验。本文介绍了一些安全的Linux发行版，这些发行版额外增加了匿名选项，通过使用TOR、沙箱、防火墙等技术，可以更好的满足安全爱好者的需求，这之中涉及一些比较受欢迎的发行版比如Tails、Whoix、Kodachi等。

1Tails

对于程序员来说，Tails是安全Linux发行版的默认选择。Tails或TheAmnesicIncognitoLiveSystem，是一款基于Debian的Linux发行版，一个开放源码的发行版，大约在8年前被发布。通过Tor重定向所有Web流量，Tails实现了匿名功能。

由于Tails将所有内容存储在RAM中，并且避免了使用硬盘。一旦关闭，它就会擦除所有内容。此外，由于默认的GNOME桌面环境，Tails也适用于一般开发者。

2Whonix

与Tails一样，Whonix也基于DebianGNU/Linux。这个私有操作系统由两个虚拟机组成，虽然一个VM是运行Debian的“TorGateway”，但另一个是“Workstation”。请注意，Whonix可以安装在Linux、Windows、macOS或Qubes主机操作系统上。通过利用Tor的开放和分布式中继网络，Whonix打破了网络监控的可能性。

为了安全起见，该发行版隐藏了用户真实的IP地址。此外，许多预安装应用程序在Whonix中进行了流隔离，并且使用专用的TorSocksPort增加了额外的安全性。

3QubesOS

QubesOS也被称为世界上最安全的操作系统，它通过Xen虚拟机管理程序执行虚拟化，虚拟机管理程序模仿硬件并允许运行多个虚拟机。QubesOS的用户环境可以是Fedora、Debian、Whoix和Windows。

在Qubes中，通过将硬件控制器转换为功能域来执行隔离。它也将活动区域分为不同的信任级别，例如工作领域，购物领域，随机域等。所有这些领域都运行在不同的虚拟机中。使用这种技术，即便出现一个漏洞被利用，攻击者也无法接管整个计算机。

4SubgraphOS

SubgraphOS是基于Debian的安全Linux发行版，承诺提供匿名体验和强化功能。经EdwardSnowden批准，SubgraphOS旨在避免不同的恶意软件攻击。

SubgraphOS运行在沙箱环境中，该环境运行诸如Web浏览器、具有内置加密的电子邮件客户端、LibreOffice、PDF查看器、视频播放器、Hexchat等应用程序。它包含一个硬化内核，具有grsecurity/PaX补丁，可保护所有流程免受攻击。这个Linux发行版自定义的代码是用Go写的，这是一种内存安全语言。它还包括一个应用程序防火墙，确保访问意外的出站连接时也可受到保护。

5DiscreeteLinux

DiscreeteLinux是一个免费的软件项目，有些人可能会将这个安全的Linux发行版看作UbuntuPrivacyRemix。它基于Debian，它承诺保护用户免受特洛伊木马监控的攻击，目前正处于测试阶段。

DiscreeteLinux适合于不深入了解计算机但认为互联网安全是主要关注点的人。DiscreeteLinux借助加密和孤立的环境，构建了一个安全的工作环境。这个匿名Linux发行版的内核模块只有在开发人员团队进行数字签名的情况下才能安装。此外，它甚至不支持内部硬盘驱动器或网络硬件。相反，它将其所有数据存储在RAM或外部驱动器中。

6Kodachi

KodachiLinux基于DebianGNU/Linux，安装运行Kodachi很简单，不需要投入过多时间或精力。KodachiLinux使用户可以从PC硬件启动或外部USB驱动器选项进行额外的安全性选择。

通过运行带有活动***连接的Kodachi系统，TOR和DNScrypt服务可提供良好的隐私，所有与互联网的连接都被迫通过上述服务。整个操作系统从易失性RAM存储器运行，因此在关闭之后，不会留下任何活动痕迹。KodachiLinux还提供最新的隐私工具，用于电子邮件，加密和即时消息，Xfce桌面环境使其在旧机器上更为有用。

7TENS

TENSLinuxforsecurity表示可信终端安全，以前被称为LPS或轻量级便携式安全。基于ArchLinux，TENS可以在任何支持Intel的机器上运行。由于它仅在内存中启动，因此它作为用户的安全终端节点。它加载了加密向导，这是一个简单而强大的加密软件，用于保护敏感信息。TENS还支持美国政府网站上使用的CAC和PIV接入节点。总体而言，它有最小的应用程序，以确保更少的感染机会和更好的性能。

8TinHat

来自硬化的Gentoo，TinHatLinux是一个安全的操作系统，可提供快速安全的Linux体验。TinHatLinux完全在RAM中，不会直接从引导设备装载任何文件系统，因此避免了任何数据丢失的机会。如预期那样，您可以从CD或USB闪存驱动器启动。

请注意，在开始使用TinHatLinux进行安全和匿名之前，程序员应该了解GentooLinux的工作原理，它可以在32位和64位硬件架构上运行，桌面环境围绕GNOME构建。许多应用程序，如Firefox、电子邮件客户端、LibreOffice和视频播放器都已预装在TinHatLinux上。