您所在的位置： &
“ARP欺骗者”向局域网80端口发送病毒数据
“ARP欺骗者”向局域网80端口发送病毒数据
本文提醒大家“ARP欺骗者”向局域网80端口发送病毒数据。
"征途盗号者"(Win32.PSWTroj.OnlineGames.27136)这是一个盗号木马"ARP欺骗者"(Packes.MakePE.a)这是一个具有ARP欺骗攻击的病毒一、"征途盗号者"(Win32.PSWTroj.OnlineGames.27136) 威胁级别：★此病毒运行后创建注册表启动项，以达到开机运行的作用，盗取客户计算机上的网络游戏《征途》、QQ、QQ游戏的账号信息。1.判断病毒文件"upxdnd.dll"是否注入到以下进程：
zhengtu.dat
qqgame.exe
2.在客户计算机上创建事件""。3.病毒创建线程，通过查找窗口的方法关闭卡巴的警告窗口和瑞星注册表监控提示窗口。4.指定的接收网址：hxxp://www.2**od.com/zt/get.php?srv=xx&id=xx&p=xx&s=xx&ss=xx&js=xx&gj=xx&dj=xx&yz=xx&jz=xx二、"ARP欺骗者"(Packes.MakePE.a) 威胁级别：★★病毒运行后会复制自身至系统文件夹，然后释放病毒文件，生成注册表启动项以开机运行。病毒会向局域网80端口发送病毒数据，修改网页源码，下载大量隐蔽软件安装至用户计算机。发送 ARP 欺骗扫描局域网，劫持
开头的IP段，向发送至80端口的数据包中插入
金山反病毒工程师建议1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。
【相关文章】
【责任编辑： TEL：（010）】
关于&&&&&&&&&&的更多文章
针对大数据来说，2016年将是令人振奋的一年。智能算法将接替现在
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
讲师： 191人学习过讲师： 1934人学习过讲师： 1850人学习过
2015年RSA安全大会以改变( Change: Challenge today's
2015年RSA安全大会以改变( Change: Challenge today's
2015年RSA安全大会以改变( Change: Challenge today's
本书由浅入深、循序渐进地介绍了目前流行的基于Eclipse的优秀框架。全书共分14章，内容涵盖了Eclipse基础、ANT资源构造、数据库
51CTO旗下网站通信原理及QQ是怎么穿透内网进行通信的？ - 博客频道 - CSDN.NET
我们只用技术说话
眼界决定境界，定位决定地位
分类：C#语言网络编程
QQ是一个基于TCP/UDP协议的通讯软件
发送消息的时候是UDP打洞,登陆的时候使用HTTP~因为登陆服务器其实就是一个HTTP服务器,只不过不是常用的那些,那个服务器是腾讯自行开发的！！！
QQ客户端在局域网内，当你打开QQ登录到QQ服务器时，通过外网，你的客户端与QQ服务器建立了一个长连接。你可以用netstat&-bn&&看到此连接的状态是&establish
此时，在那面看到的连接的IP是你们局域网对外的IP。举个例子：&&&&&&&
QQ服务器&&&&& IP：121.115.11.81&&&&服务端口：80&&&&&&&
你的机器在局域网中内部IP：&&&10.19.9.89&&&&&&&
你局域网出口InternetIP：&&61.183.172.149&&&&&&&
你的客户端的请求将通过外网出去，如果防火墙没有禁止访问Internet上80端口服务，那么你的QQ客户端可以正常登录。你看到的连接是&（netstat&&-bn）&&&&&&&
10.19.9.89:55579&&&&&&&&&&&124.115.11.81：80&&&establish&&&&&&&
这是一个假象。通过QQ服务器看到的连接是：&&&&&&&
124.115.11.81：80&&&&& 61.183.172.149：31234&&&&establish&&&&&&&
这样，防火墙上的31234口对应的就是你机器的55579口。（由于你是发起方，这个数是变化的。动态的）&&&&&&&
当有信息给你时，QQ服务器只需要发给防火墙的55579口即可。（这里防火墙作了地址翻译）&&&&&&&
不管UDP还是TCP，最终登陆成功之后，QQ都会有一个TCP连接来保持在线状态。这个TCP连接的远程端口一般是80，采用UDP方式登陆的时候，端口是8000。因此，假如你所在的网络开放了80端口（80端口是最常用端口。。就是通常访问Web的端口，禁掉它的话，你的网络对你来说价值已经不大了），但没有屏蔽腾讯的服务器IP，恭喜你，你是可以登陆成功QQ的。
二、聊天消息通信
&&& 采用UDP协议，通过服务器中转方式。大家都知道，UDP 协议是不可靠协议，它只管发送，不管对方是否收到的，但它的传输很高效。但是，作为聊天软件，怎么可以采用这样的不可靠方式来传输消息呢？于是，腾讯采用了上层协议来保证可靠传输：如果客户端使用UDP协议发出消息后，服务器收到该包，需要使用UDP协议发回一个应答包。如此来保证消息可以无遗漏传输。之所以会发生在客户端明明看到“消息发送失败”但对方又收到了这个消息的情况，就是因为客户端发出的消息服务器已经收到并转发成功，但客户端由于网络原因没有收到服务器的应答包引起的。
因为用户一般都是在局域网内,地址都为私有IP,腾讯服务器是如何将信息转发到用户的?
&首先先介绍一些基本概念：
&&& NAT(Network AddressTranslators)，网络地址转换：网络地址转换是在IP地址日益缺乏的情况下产生的，它的主要目的就是为了能够地址重用。NAT分为两大类，基本的NAT和NAPT(Network Address/Port Translator)。
&&& 最开始NAT是运行在路由器上的一个功能模块。
&&& 最先提出的是基本的NAT，它的产生基于如下事实：一个私有网络（域）中的节点中只有很少的节点需要与外网连接（呵呵，这是在上世纪90年代中期提出的）。那么这个子网中其实只有少数的节点需要全球唯一的IP地址，其他的节点的IP地址应该是可以重用的。
&&&因此，基本的NAT实现的功能很简单，在子网内使用一个保留的IP子网段，这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一的IP地址。如果这些节点需要访问外部网络，那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。(基本的NAT会改变IP包中的原IP地址，但是不会改变IP包中的端口)
&&& 关于基本的NAT可以参看RFC 1631
&&&另外一种NAT叫做NAPT，从名称上我们也可以看得出，NAPT不但会改变经过这个NAT设备的IP数据报的IP地址，还会改变IP数据报的TCP/UDP端口。基本NAT的设备可能我们见的不多（呵呵，我没有见到过），NAPT才是我们真正讨论的主角。看下图：
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Server S1&&&&&&&&&&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&18.181.0.31:1235&&&&&&&&&&&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&& ^& Session 1(A-S1)& ^&&&&& |&
&&&&&&&&& |&18.181.0.31:1235& |&&&&& |&&
&&&&&&&&& v 155.99.25.11:62000v&&&&& |&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&NAT
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&155.99.25.11
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&& ^& Session 1(A-S1)& ^&&&&& |&
&&&&&&&&& |&18.181.0.31:1235& |&&&&& |&
&&&&&&&&& v&&10.0.0.1:1234&&& v&&&&& |&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Client A
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&10.0.0.1:1234
&&&有一个私有网络10.*.*.*，ClientA是其中的一台计算机，这个网络的网关（一个NAT设备）的外网IP是155.99.25.11(应该还有一个内网的IP地址，比如10.0.0.10)。如果Client A中的某个进程（这个进程创建了一个UDPSocket,这个Socket绑定1234端口）想访问外网主机18.181.0.31的1235端口，那么当数据包通过NAT时会发生什么事情呢？
&&&首先NAT会改变这个数据包的原IP地址，改为155.99.25.11。接着NAT会为这个传输创建一个Session（Session是一个抽象的概念，如果是TCP，也许Session是由一个SYN包开始，以一个FIN包结束。而UDP呢，以这个IP的这个端口的第一个UDP开始，结束呢，呵呵，也许是几分钟，也许是几小时，这要看具体的实现了）并且给这个Session分配一个端口，比如62000，然后改变这个数据包的源端口为62000。所以本来是（10.0.0.1:.0.31:1235）的数据包到了互联网上变为了（155.99.25.11:6.0.31:1235）。
&&&一旦NAT创建了一个Session后，NAT会记住62000端口对应的是10.0.0.1的1234端口，以后从18.181.0.31发送到62000端口的数据会被NAT自动的转发到10.0.0.1上。（注意：这里是说18.181.0.31发送到62000端口的数据会被转发，其他的IP发送到这个端口的数据将被NAT抛弃）这样Client A就与Server S1建立以了一个连接。
&&& 呵呵，上面的基础知识可能很多人都知道了，那么下面是关键的部分了。
&&& 看看下面的情况：
&&& ServerS1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Server S2
&18.181.0.31:1235&&&&&&&&&&&&&&&&&&&&&&&&&&&&&138.76.29.7:1235
&&&&&&&|&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&|&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&+----------------------+----------------------+
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&& ^& Session 1 (A-S1)& ^&&&&&|&&&&& ^& Session 2 (A-S2)& ^
&& |& 18.181.0.31:1235& |&&&&&|&&&&& |& 138.76.29.7:1235& |
&& v 155.99.25.11:62000 v&&&&&|&&&&& v 155.99.25.11:62000 v
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&&&&&&&&&&&&&&&&&&&&Cone NAT
&&&&&&&&&&&&&&&&&&&&&&&&&155.99.25.11
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&& ^& Session 1 (A-S1)& ^&&&&&|&&&&& ^& Session 2 (A-S2)& ^
&& |& 18.181.0.31:1235& |&&&&&|&&&&& |& 138.76.29.7:1235& |
&& v&& 10.0.0.1:1234&&&v&&&&& |&&&&& v&&10.0.0.1:1234&&& v
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&&&&&&&&&&&&&&&&&&&&Client A
&&&&&&&&&&&&&&&&&&&&&&&&10.0.0.1:1234
&&& 接上面的例子，如果Client A的原来那个Socket(绑定了1234端口的那个UDP Socket)又接着向另外一个Server S2发送了一个UDP包，那么这个UDP包在通过NAT时会怎么样呢？
&&&这时可能会有两种情况发生，一种是NAT再次创建一个Session，并且再次为这个Session分配一个端口号（比如：62001）。另外一种是NAT再次创建一个Session，但是不会新分配一个端口号，而是用原来分配的端口号62000。前一种NAT叫做SymmetricNAT，后一种叫做ConeNAT。我们期望我们的NAT是第二种，呵呵，如果你的NAT刚好是第一种，那么很可能会有很多P2P软件失灵。（可以庆幸的是，现在绝大多数的NAT属于后者，即Cone NAT）
&&& 好了，我们看到，通过NAT,子网内的计算机向外连结是很容易的（NAT相当于透明的，子网内的和外网的计算机不用知道NAT的情况）。
&&& 但是如果外部的计算机想访问子网内的计算机就比较困难了（而这正是P2P所需要的）。
&&&那么我们如果想从外部发送一个数据报给内网的计算机有什么办法呢？首先，我们必须在内网的NAT上打上一个“洞”（也就是前面我们说的在NAT上建立一个Session），这个洞不能由外部来打，只能由内网内的主机来打。而且这个洞是有方向的，比如从内部某台主机（比如：192.168.0.10）向外部的某个IP(比如：219.237.60.1)发送一个UDP包，那么就在这个内网的NAT设备上打了一个方向为219.237.60.1的“洞”，（这就是称为UDP HolePunching的技术）以后219.237.60.1就可以通过这个洞与内网的192.168.0.10联系了。（但是其他的IP不能利用这个洞）。
呵呵，现在该轮到我们的正题P2P了。有了上面的理论，实现两个内网的主机通讯就差最后一步了：两边都无法主动发出连接请求，谁也不知道谁的公网地址，那我们如何来打这个洞呢？我们需要一个中间人来联系这两个内网主机。
&&& 现在我们来看看一个P2P软件的流程，以下图为例：
&&&&&&&&&&&&&&&&&&&&&&Server S （219.237.60.1）
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&& +-----------------------+----------------------+
&&|&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
&NAT A (外网IP:202.187.45.3)&&&&&&&&&&&&&&&&NAT B (外网IP:187.34.1.56)
&& |&& (内网IP:192.168.0.1)&&&&&&&&&&&&&&&&&&&&&| (内网IP:192.168.0.1)
&&|&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
Client A&(192.168.0.20:60000)&&&&&&&&&&&&Client B (192.168.0.10:40000)
&&& 首先，Client A登录服务器，NAT A为这次的Session分配了一个端口60000，那么ServerS收到的Client A的地址是202.187.45.3:60000，这就是Client A的外网地址了。同样，ClientB登录Server S，NAT B给此次Session分配的端口是40000，那么ServerS收到的B的地址是187.34.1.56:40000。
&&& 此时，Client A与Client B都可以与ServerS通信了。如果Client A此时想直接发送信息给Client B，那么他可以从ServerS那儿获得B的公网地址187.34.1.56:40000，是不是Client A向这个地址发送信息ClientB就能收到了呢？答案是不行，因为如果这样发送信息，NATB会将这个信息丢弃（因为这样的信息是不请自来的，为了安全，大多数NAT都会执行丢弃动作）。那该怎么办呢？&&&首先我们假设Server S是219.237.60.1：7000，当Clinet
A（202.187.45.3：60000）向Server S（219.237.60.1：7000）发送数据包，Server S是可以正常接收到数据，因为它是属于外型开放的服务器端口。当Server S收到数据包后可以获知Clinet A（202.187.45.3：60000）对外通信的临时session信息（这个叫临时的端口，假设是60000会过期，具体时间不同，一般是每30S发送一个keep住连接以保证端口维持通信连接不断）Server S此时应将次信息保存起来。而同时，Client B (192.168.0.10:40000)也在时刻向
Server S发送心跳包，Server S就向Client B (192.168.0.10:40000)发送一个通知，让Client&B&(192.168.0.10:4000)&发送探测包（这个数据包最好发几个），Client&B& (192.168.0.10:4000)在收到通知后在向ServerS发送反馈包，说明以向自己以向Client A& (192.168.0.20:60000)发送了探测包，Server S在收到反馈之后再向ClientA& (192.168.0.20:60000)转发反馈包，Client
A& (192.168.0.20:60000)在收到数据包之后在向原本要求请求的Client&B&(192.168.0.10:4000)发送数据包，此时连接已经打通，实现穿透。Client&B& (192.168.0.10:4000)会将数据包转发给
Client A& (192.168.0.20:60000)从而在转发给内网内网IP:192.168.0.1。
对于Symmetric NAPT的情况，网上有人说可以通过探测端口的方式，不过成功率并不高，我建议可用服务器进行中转。另外，最好在数据包发送前先检测是否进行的是同个NAT的情况，也就是内网发内网，如果是，直接发送即可，而无需通过外网再绕回来。
排名：第274名
（28）（1）（30）（44）（51）（3）（22）（3）（1）（3）（2）（1）（20）（1）（2）（3）（1）（7）（0）王春海 的BLOG
用户名：王春海
文章数：465
评论数：4887
访问量：8127773
注册日期：
阅读量：5863
阅读量：12276
阅读量：384006
阅读量：1075326
51CTO推荐博文
Internet Security and Acceleration（简称ISA）Server是Microsoft推出的集防火墙、代理服务器于一身的服务器端软件，它同时有代理服务器（代理客户端共享上网）、防火墙（安全连接Internet、安全发布网络内各项服务如Web、FTP、E-mail到Internet上、提供安全的VPN连接）功能。ISA Server的代理服务器中的“缓存”功能是业界最好、速度最快的，许多大型公司都使用ISA Server中的代理服务器功能作为缓存服务器。11.1 ISA Server功能概述
Microsoft Internet Security and Acceleration (ISA) Server 2006是可扩展的企业防火墙和Web缓存服务器，它构建在Microsoft Windows Server 2003和Windows 2000 Server操作系统安全、管理和目录上，以实现基于策略的访问控制、加速和网际管理。
当企业网络接入Internet时，Internet为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在，同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA Server旨在满足当前通过Internet开展业务的公司的需要。ISA Server提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server Web缓存使得组织可以通过从本地提供对象（而不是通过拥挤的Internet）来节省网络带宽并提高Web访问速度。
无论是部署成专用的组件还是集成式防火墙和缓存服务器，ISA Server都提供了有助于简化安全和访问管理的统一管理控制台。ISA Server为Windows Server 2003和Windows 2000 Server平台而构建，它通过强大的集成式管理工具来提供安全而快速的Internet连接性。
ISA Server 的版本包括ISA Server 2000、ISA Server 2004、ISA Server 2006，当前最新版本是ISA Server 2006。ISA Server提供了“代理服务器”、“缓存服务器”、“防火墙”等三个方面的功能。11.1.1 代理服务器功能――提供安全性非常高的共享Internet服务
将网络和用户连接到Internet会引入安全性和效率问题。ISA Server 2006为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。ISA Server保护网络免受未经授权的访问、执行状态筛选和检查，并在防火墙或受保护的网络受到攻击时向管理员发出警报。
ISA Server是防火墙，通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络(VPN)、系统坚固、集成的入侵检测、智能的第7层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。ISA Server 2006 可实现下列功能：
?保护网络免受未经授权的访问；
?保护Web和电子邮件服务器防御外来攻击；
?检查传入和传出的网络通讯以确保安全性；
?接收可疑活动警报。11.1.2 加快Web访问速度――业界最好的缓存服务器
Internet 提高了组织的工作效率，但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 2006 缓存通过提供本地缓存的Web内容将性能瓶颈控制在最少，并节省网络带宽。ISA Server可实现下列功能：
?通过从Web缓存（而不是拥挤的Internet）提供对象来提高用户的Web访问速度；
?通过减少链路上的网络通讯来减少Internet带宽成本；
?分布Web服务器内容和电子商务应用程序，从而有效地覆盖了全世界的客户并有效地控制了成本；
?从 ISA Server Web缓存中提供常用的Web内容，并将节省出来的内部网络带宽用于其他内容请求。11.1.3 虚拟专用网络（VPN）支持――代理服务器、防火墙服务器与VPN服务器可以可以共存
ISA Server 2006 支持安全的虚拟专用网络 (VPN) 访问，分支机构或远程用户可以通过这种类型的访问连接到公司网络。ISA Server防火墙策略应用于 VPN 连接，以控制 VPN 用户可以访问的资源和协议。ISA Server 2006支持的功能在表11-1中列出。
表11-1 ISA Server 2006支持的VPN功能列表
ISA Server Microsoft Windows Server 2003
Windows 2000 Server
ISA Server VPN
ISA Server SecureNAT
Internet VPN
VPN SecureNAT
ISA Server VPN
ISA Server IPSec
ISA Server VPN
ISA Server
11.1.4 安全发布服务器――将内部网络中的多台服务器发布到Internet对外提供服务
ISA Server 2006可以发布局域网内的多台服务器和多种服务到Internet，用来为Internet网络上的用户提供相应的服务。ISA Server 2006可以用一个或多个指定的地址(公网地址)同时发布受ISA Server 2006保护的网络内的多台服务器或多种服务，ISA Server 2006可以真正发布安全的Web站点，这些都是其他软件或硬件防火墙所不能比拟的。图11-1是使用ISA Server 2006发布服务器的一个例子，在以后的使用中，这种情况会很普遍。
图11-1 用ISA Server 2006发布多台服务器的网络拓扑图11.2 防火墙与代理服务器的基础知识
本节将要讲述一些代理服务器、防火墙、ISA Server 2006的相关知识，这涉及到一些名词或术语，如内网、外网、公网、私网、合法IP、端口、映射、代理、NAT、转发等。
许多人觉得代理服务器很难配置，也有人认为很简单，也有一些人不明白，为什么要用代理服务器。而对于防火墙，大多数人认为安装了防火墙，网络就安全了，至于为什么安全、怎么安全就说不清了。还有一些人认为防火墙要比代理服务器“复杂”，因为网络出口配置了防火墙后，有些网络服务或通讯(如QQ、BT等)会出现一些问题。要解决这些问题，需要了解上网或网络通讯的实质，也就需要了解下面这些名词及来历。11.2.1 网络服务与端口的关系
对于Internet、Intranet或单位局域网(LAN)来说，一台计算机要想为其他计算机提供“服务”，例如把这台计算机作为打印共享服务器，除了要在这台计算机上安装“硬件”打印机外，还要开启“打印服务”这一功能。提供不同的“服务”，需要开启与之相应的“服务功能”，而“服务”和“服务功能”或“服务功能的实现”，是由安装在计算机(或称为服务器的计算机)上的操作系统和应用程序软件来提供的。换句话说，一台计算机要为外部提供WWW浏览服务，则需要在这台计算机上安装能提供WWW浏览的“服务器端软件”。在网络中，每一项功能(或服务)都是由安装在计算机上的操作系统(系统软件)和运行在操作系统之上的应用程序(称为服务软件)来提供的。这是从“系统级”应用来说的，而对于目前的基于TCP/IP的网络来说，用来提供各种服务的计算机来说，为了方便网络上(包括LAN、Intranet、Internet)的其他用户(通常是一些计算机)来访问或使用这些服务，都需要提供服务的地址，具体的说，就是需要TCP/IP地址、协议(TCP或UDP)、端口号这三部分内容。
当一台计算机(称为A)访问另一台计算机(称为B)提供的服务时，这两台计算机(A与B)需要建立一个连接。建立连接时，A计算机使用一个随机端口与B计算机提供服务的端口建立一个连接，当连接建立后，A与B之间就可以互相通讯(发送与接收数据)。例如，A计算机的IP地址为202.206.203.229，B计算机的IP地址为202.206.192.227，A计算机访问B计算机提供的Web站点，大家知道，默认的Web站点为TCP协议的80端口。此时，A计算机会从TCP的之间选择一个没有使用的端口(假设这个端口为19876)与B计算机的TCP协议的80端口建立一个连接，当连接建立成功后，A计算机就可以访问B提供的Web服务了。
每一项服务，都有一个端口(或多个端口)与之对应，可以使用的端口号从1到65535之间选择，系统服务通常使用1024以下的端口。使用哪个端口号提供服务都可以，但对于一些常见的服务，通常使用一些固定的端口，例如Web服务使用TCP的80端口，FTP服务使用TCP的21端口，Windows终端服务使用TCP的3389端口等，要使用防火墙及代理服务器，首先要记住一些常见的端口号，表11-2列出了常见服务及对应的端口号，请大家参考。
表11-2 常见服务与对应端口号一览表
&
【说明】关于一些服务与协议的端口号，在安装ISA Server 2006后，可以参看“防火墙策略”页中的“工具箱”选项卡中的“协议”页。
使用默认的端口号，只是为了方便访问这些服务，实际上，也可以不使用默认的端口号而使用自定的端口号，但要通知访问者。例如，Web站点通常使用TCP的80端口，如果使用80端口以外的号码例如使用TCP的8001端口，则用户在访问的时候，需要在IE浏览器中键入类似于http://www.xxx.yyy:8001之类格式，其中www.xxx.yyy是提供Web服务的计算机的域名或其IP地址，8001是对应的Web服务的端口号。11.2.2 TCP/IP地址的意义
对于TCP/IP地址，一般人都知道是由4个字节、32位长的二进制数字组成，通常还会常听到公网地址、私网地址、内网、外网等名词，那这些名词代表什么意义呢？
通常所说的私网地址，是指TCP/IP地址在10.0.0.1到10.255.255.254、172.16.0.1到172.31.255.254与192.168.0.1到192.168.255.254范围以内的地址。而所说的公网地址，是指TCP/IP地址排除私网地址段与127.0.0.0地址段以后的地址段。合法IP，就是指公网网络使用的IP地址，这些地址在Internet上是可以直接被访问的。
通常所说的“内网”是相对“外网”来说的，通常指局域网或经过防火墙保护的网络；而“外网”通常是指直接连接在Internet上的网络，或者指通过广域链路连接企业内部局域网以外的网络，或者指不受防火墙保护的、可以连接到外部网络的网络。
要想访问“公网”上的计算机，必须有能直接连接到“公网”的设备并且有合法的IP地址，私网内的计算机是不能直接访问公网的计算机(或设备)的。而“公网”上的设备也不能直接访问“私网”中的计算机，或不能直接访问“私网”中的计算机提供的某项服务。可以这样举例，具有公网地址的计算机或设备，就像在主干路两侧的、具有门牌号的单位，通过主干路可以进入这些有门牌号的单位。而一些没有门牌号和没有在主干路上的单位或村庄，是不能直接到达的。11.2.3 代理与转换
为什么使用代理服务器，估计大家都知道是为了解决IP地址的不足。但是大家要清楚一个问题，通常所说的“代理服务器”，有两个方面的含义，或者说有两种功能。一个功能就是，代理服务器用于局域网内计算机共享上网，为局域网内的计算机提供访问Internet各种服务的功能。另一个功能就是为已经能上网的计算机提供“二次代理”功能。举例来说，在教育网内的网站，有许多资料与数据，但教育网内的服务器通常都加了限制，禁止教育网外的用户使用或访问，如果是通过公网(这里指不包括教育网IP地址段的公网)访问教育网的服务器，是不能浏览这些资料的。这时候，就可以使用教育网内提供的代理来访问教育网的服务器，这时，通过公网访问的机器在教育网的服务器“看”来，是其允许的教育网的IP地址在访问，可以为其提供服务。对于这些“二次代理”的服务器来说，通常都要有“教育网”及“公网”的IP地址，“公网用户”只是把“二次代理”服务器作为一个“跳板”来使用。或者这样举例，目前，从我国的台湾是不允许直接坐飞机到北京的，如果坐飞机从台湾到北京，可以先坐飞机从台湾到香港或澳门，然后再从香港或澳门到北京。这里的香港或澳门就起到了代理服务器的作用。
用于局域网内的代理服务器，有三种实现方式，分别为网关型(NAT)、代理型及代理软件型，对于网关型和代理型，不需要在局域网内的计算机上安装软件，而代理软件型，需要在局域网内的计算机上安装代理服务器的客户端软件。网关型(NAT)型，也叫“网络地址转换”或“网络地址翻译”，只需要在局域网内的计算机上正确设置网关地址即可，除此以外，不需要其他设置。代理型软件，需要在访问Internet的软件上如IE或Outlook上设置代理服务器的地址及端口(如果需要用户名，还要一并设置，这取决于代理服务器软件服务器端的设置与要求)。代理型软件与代理软件型，如果局域网内的计算机与代理服务器不在同一网段，也要正确设置网关地址。11.2.4 端口映射与端口转发
端口映射与端口转发，用于发布防火墙内部的服务器或者防火墙内部的客户端计算机，有的路由器也有端口映射与端口转发功能。端口映射与端口转发实现的功能类似，但又不完全一样。端口映射是将外网的一个端口完全映射给内网一个地址的指定端口，而端口转发是将发往外网的一个端口的通讯完全转发给内网一个地址的指定端口。端口映射可以实现外网到内网和内网到外网双向的通讯，而映射转发只能实现外网到内网的单向通讯。
例如：一台防火墙有两个端口，一个端口用于外网，设置的IP地址为202.206.197.229，另一个端口用于内网，设置的IP地址为172.23.1.20，一台Web服务器放置在内网，其IP地址为172.22.100.100，如果想让这台服务器对外提供Web服务，则可以在防火墙上将202.206.197.229的TCP的80端口映射到172.22.100.100的80端口，这样，当外网用户访问202.206.197.229的Web服务时，实际上访问的是内网服务器上提供的服务。如果在内网的172.22.100.100服务器上提供Web服务的端口不是80而是另外的端口如3333，则需要在防火墙上将TCP的80端口映射到内网172.22.100.100的3333端口。11.2.5 理解ISA Server 2006中的网络
在安装ISA Server 2006的计算机中，系统中的每块网卡都连接一个网络。
ISA Server 2006中的网络分为“内部”、“外部”、“本地主机”、“VPN客户端”、“被隔离的VPN客户端”，如果ISA Server 2006配置为“3向外围网络”，还将包括“外围”网络，下面分别介绍。
（1） “内部”，代表企业内部局域网，此网络的地址范围在ISA Server 2006安装的过程中指定，并且在安装以后可以更改。建议你总是通过添加适配器来添加内部网络地址。ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络。ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源，但是拒绝所有其他网络到内部网络的访问，您必须自行创建规则来允许到内部网络的访问。你不能删除默认内部网络 。
（2） “本地主机”，此网络代表ISA防火墙本身计算机，与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯，你不能修改或删除本地主机网络。
（3） “外部”，指连接到Internet的网络，此网络包含未明确包含在其他任何网络中的所有IP地址，通常被视为不受信任的网络。在刚结束ISA防火墙的安装时，外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISA防火墙上其他所有网络适配器的IP地址。通常情况下，设置了“网关地址”的网卡被认为“默认的外部网络”。
（4） “VPN 客户端”，它代表通过VPN连接到ISA服务器的客户端计算机，由ISA防火墙动态生成 ，不能删除 VPN 客户端网络。
（5） “被隔离的VPN客户端”，此网络包含尚未解除隔离的VPN客户端的地址，由ISA防火墙动态生成 ，不能删除被隔离的 VPN 客户端网络。
在通常情况下，ISA Server 2006包含上面的5部分网络，如果ISA Server被配置成“3向外围网络”，还包括“外围”网络。
“外围”网络也称为DMZ(Demilitarized Zone)、第三区域和被筛选的子网，DMZ是放置公共信息的最佳位置，这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息，而不用通过内网。通常把公司中的机密的和私人的信息存放在内网中，DMZ中的服务器不应包含任何商业机密、资源代码或是私人信息。DMZ服务器上的破坏最多只可能造成在你恢复服务器时的一段时间中断服务。 目前许多的硬件防火墙都集成了DMZ接口。ISA Server 2006也可以在安装三块网卡(甚至三块以上网卡)的情况下，配置成“3向外围网络”。11.2.6 理解ISA Server2004的规则
在ISA Server 2006中定制的策略、规则，都是针对上一节中的各个网络来定义和创建的。
在ISA Server 2006的防火墙策略中，主要包括“访问规则”和“服务器发布规则”。“访问规则”类似于“过滤”，就是允许使用指定的“协议”从规定的“源网络”能访问“目的网络”，而“服务器发布规则”类似于“映射”，指的是把允许使用指定的“协议”通过ISA Server 2006“转发”给指定的“计算机”或“服务器”。从这点来看，“访问规则”象一个通道，允许经过身份验证的人通过，而“服务器发布规则”则象邮递员送信，把他人寄给你的信送到你的单位传达室，而由传达室的负责人转交给你。
在创建“访问规则”时，通常是在“内网”、“外网”、“本地主机”等ISA Server 2006定义的“网络”之间，允许指定的“协议”通过，如允许“内网”的计算机能上网，就是创建如下的一条访问规则：允许“内网”使用“HTTP、DNS”协议访问“外部”。如果允许“内网”的计算机能访问Internet上的FTP服务器，则是允许“内网”的用户使用FTP协议访问“外部”。
在创建”访问规则”时，创建的规则包括“允许”和“禁止”，这很容易理解。“允许”就是允许指定的协议通过，而“禁止”则是“不允许”指定的协议通过。
创建“服务器发布规则”时，ISA Server 2006集成了“Web服务器发布规则”、“安全Web服务器发布规则”、“邮件服务器发布规则”，实际上，这些都与“服务器发布规则”相同，都是“端口映射”或“端口转发”。在创建“服务器发布规则”时，都是把对ISA Server 2006的指定”协议”(每种协议代表一种服务)转发到ISA Server 2006所保护的网络中的一台计算机(甚至ISA Server 2006本身，网络名称“本地主机”)。
例如：ISA Server 2006的“内网”中有一台Web服务器，需要把这台Web服务器发布到Internet，则需要创建“服务器发布规则”，把内网的这台Web服务器安全发布到Internet。11.2.7 理解ISA Server2004的客户端
ISA Server 2006包括三种类型的客户端，分别为“防火墙客户端”、“SecureNAT客户端”和“Web代理客户端”，如图11-2所示。
图11-2 ISA Server 2006的三种客户端示意图
下面介绍这三种客户端的意义。
“防火墙客户端”是已经安装并启用防火墙客户端软件的计算机。来自防火墙客户端的请求会定向到 ISA Server计算机上的防火墙服务，以确定是否允许访问。此后，可以使用应用程序筛选器和其他插件对这些请求进行筛选。防火墙服务还可以缓存所请求的对象，或者从 ISA Server缓存提供对象。
“SecureNAT客户端”是指尚未安装防火墙客户端软件的计算机。来自 SecureNAT 客户端的请求首先会定向到网络地址转换 (NAT) 驱动程序。该驱动程序将用Internet上有效的全局 IP 地址替换 SecureNAT 客户端的内部 IP 地址。然后，该客户端请求会定向到防火墙服务，以确定是否允许访问。最后，可以使用应用程序筛选器和其他扩展组件对该请求进行筛选。防火墙服务还可以缓存所请求的对象，或者从 ISA Server缓存提供对象。通常情况下，大多数的客户端、以及将要使用ISA Server发布的服务器，都必须是“SecureNAT 客户端”。
“Web代理客户端”是指与CERN兼容的Web应用程序。来自Web代理客户端的请求会定向到 ISA Server计算机上的防火墙服务，以确定是否允许访问。防火墙服务还可以缓存所请求的对象，或者从ISA服务器缓存提供对象。“防火墙客户端”和“SecureNAT”客户端必须是ISA Server“内网”中的计算机，而“Web代理客户端”可以是Internet上的计算机。
无论客户端的类型如何，当 ISA Server接收到 HTTP 请求时，客户端都被视为Web代理客户端。即使是防火墙客户端或 SecureNAT 客户端发出HTTP请求，该客户端仍然被视为Web代理客户端。这对于验证该客户端身份的方式具有特定的含义。
防火墙客户端计算机和 SecureNAT 客户端计算机都可以作为Web代理客户端。如果将计算机上的Web应用程序明确配置为使用 ISA Server，则所有Web请求将直接发送到防火墙服务，包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墙服务将首先处理所有其他请求。
表11-3对各种 ISA Server客户端进行了比较。
表11-3 ISA Server 2006各客户端对比
HTTP HTTP (HTTPS)
本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
10:50:27 08:01:06 08:01:53 16:43:49 11:21:44