邮箱域名的spf记录添加方法

什么是SPF
就是Sender Policy Framework。SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录之后,接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则 则认为是一封伪造的邮件。关于更详细的信息请参考RFC4408(http://www.ietf.org/rfc/rfc4408.txt

如何增加SPF记录
非常简单,在DNS里面添加TXT记录即可。登陆http://www.openspf.org/在里面输入你的域名,点击Begin,然后会自动得到你域名的一些相关信息。
a 你域名的A记录,一般选择yes,因为他有可能发出邮件。
mx 一般也是yes,MX服务器会有退信等。
ptr 选择no,官方建议的。

a: 有没有其他的二级域名?比如:mail.abc.com和www不在一台server上,则填入mail.abc.com。否则清空。
mx: 一般不会再有其他的mx记录了。
ip4: 你还有没有其他的ip发信?可能你的smtp服务器是独立出来的,那么就填入你的IP地址或者网段。
include: 如果有可能通过一个isp来发信,这个有自己的SPF记录,则填入这个isp的域名,比如:hichina.com
~all: 意思是除了上面的,其他的都不认可。当然是yes了。

好了,点击Continue…..
自动生成了一条SPF记录,比如abc.com的是
v=spf1 a mx ~all
并且在下面告诉你如何在你的bind里面添加一条
abc.com. IN TXT “v=spf1 a mx ~all”

加入你的bind,然后ndc reload即可。
检查一下:
dig -t txt extmail.org

如果您的域名是由万网的dns服务器进行解析的,万网的网页上没有设置TXT记录的地方,但是如果你的DNS主server是在Hichina的,可以在diy.hichina.com上设置。设置完毕后您即可以通过使用spf策略进行垃圾邮件验证了。

SPF 的 TXT 记录

SPF 记录包含在一个 TXT 记录之中,格式如下:

  v=spf1 [[pre] type [ext] ] ... [mod]

每个参数的含义如下表所示:

参数 描述
v=spf1 SPF 的版本。如果使用 Sender ID 的话,这个字段就应该是 v=spf2
pre 定义匹配时的返回值。

可能的返回值包括:

返回值 描述
+ 缺省值。在测试完成的时候表示通过。
- 表示测试失败。这个值通常是 -all,表示没有其他任何匹配发生。
~ 表示软失败,通常表示测试没有完成。
? 表示不置可否。这个值也通常在测试没有完成的时候使用。
type 定义使用的确认测试的类型。

可能的值包括:

候选值 描述
include 包含一个给定的域名的测试
以 include:domain 的形式书写。

all 终止测试序列。
比如,如果选项是 -all,那么到达这条记录也就意味着测试失败了。但是如果无法确定,可以使用"?all"来表示,这样,测试将被接受。

ip4 使用 IPv4 进行验证。
这个可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建议使用这个参数,以减少域名服务器的负荷。

ip6 使用 IPv6 进行验证。

a 使用一个域名进行验证。
这将引起对域名服务器进行一次 A RR 查询。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式来使用。

mx 使用 DNS MX RR 进行验证。
MX RR 定义了收信的 MTA,这可能和发信的 MTA 是不同的,这种情况基于 mx 的测试将会失败。
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 这些形式进行 mx 验证。

ptr 使用域名服务器的 PTR RR 进行验证。
这时,SPF 使用 PTR RR 和反向图进行查询。如果返回的主机名位于同一个域名之内,就验证通过了。
这个参数的写法是 ptr:domain

exist 验证域名的存在性。
可以写成 exist:domain 的形式。

ext 定义对 type 的可选扩展。如果没有这个字段,那么仅使用单个记录进行问询。
mod 这是最后的类型指示,作为记录的一个修正值。

修正值 描述
redirect 重定向查询,使用给出的域名的 SPF 记录。
以 redirect=domain 的方式使用。

exp 这条记录必须是最后一条,允许给出一条定制的失败消息。

IN TXT "v=spf1 mx -all exp=getlost.example.com"

getlost IN TXT "You are not authorized to send mail for the domain"

[转]BSD差在Linux操作系统哪里/BSD与linux比较

很多人喜欢Linux操作系统,你了解Linux操作系统么?你为什么喜欢Linux操作系统呢?说到Free Software的OS,当属Linux,BSD相对来讲是冷门多了.但BSD的风评可不会比Linux差呀?那么是什么原因造成Linux比BSD更受 欢迎呢?

Linux是出现约在BSD官司缠身、以及Internet开始风行之际.Linux的开发者及爱好者正好能透过Internet实时得发布新闻、 发表新点子、提问讨论、递送程序代码及进行错误回报,这种藉由Internet的分布式合作方式带给Linux惊人的活力和无限的生命力,而经由 Internet所带来的这种活力和生命力正是Linux长久以来能和BSD分庭抗礼的主要原因之一.
Linus Torvalds的管理哲学:

也许LinusTorvalds并不是像BillJoy(BSD的开创者)那样是个天纵英才的程序设计师,但他无疑的是超一流的领导者.要知道,能 参与LinuxKernel开发的往往都不是什么泛泛之辈,Linus如何在这些天资聪颖的计算机怪才之间折冲樽俎是非常耐人寻味的.

硬件支持:
在Linux现身之时,刚好是人们开始买得起个人计算机时.但糟糕的是,当时的BSD对于当 时的个人计算机所使用的80386硬件的支持度并不好,而一般老百姓应该不太会为了玩BSD而特地购买高价的服务器设备,因此人们,尤其是穷苦的大学生, 若要玩Unix时只有Linux可供选择,相对来说BSD的吸引力当然就大不如Linux了.不过说起硬件支持,其实Linux和BSD也只是难兄难 弟,Linux是较佳,但有些太新太特殊及特定制造商的硬件Linux还是无法支持!

GNU的大力支援
GNU提供了一个操作系统所需的各式各样必要组件,但最重要的组件-Kernel却迟 迟没有着落.原本计划好要成为GNU官方Kernel的HURD的发展一直很不顺利,而Linux的出现就刚好出现填补了GNU这个拼图上最重要的一个大 洞.另外,虽然GNU的软件质量是毋庸置疑,但BSD却希望他们的开发团队所维护的核心工具都能以BSDL发行,所以因为授权兼容性的关系,很多GNU软 件就被BSD的人们摒除在外了.因此喜爱GNU软件的人们除了Linux之外就似乎别无选择了.Linux和GNU是分不开的:没有GNU,那么没有任何 工具程序的Linux根本无用武之地;而没了Linux,GNU软件就少了一个可以尽情发挥的舞台了.因此,个人可以接受人们说Linux的全名应该是 GNU/Linux.若我们仔细想想Linux的发展成长过程,个人认为如此称呼并不为过.

而Linus也说过其实他并不是很反对GNU/Linux这个名字,饮水思源,毕竟Linux的确是藉助了GNU太多的核心工具才有今天的成就.若 当时没有GNU计划,那么Linux根本不会出现在这个世界上:当初Linux0.0.1发表时,Linus就只完成了以下功能:可用GCC编译,然后它 能做的也只有执行BASH这个Shell而已,而这2个工具恰巧都是GNU的作品.我们可以看到,Linux刚开始就和GNU结下不解之缘了.

教堂与市集:
BSD走的是教堂式的学院派路线,而Linux则是代表了市集式的骇客精神;

多样的版本:
Linux的松散结构也反应在Linux的发行版上.因为Linux并没有什么官方发行版,所以任何人只要有兴趣有能力,都可以自行发行Linux,这使得我们能轻易得在Internet上找到超过200种以上的Linux发行版,而实际数字恐怕远不止如此.

商业公司的支持:
若说Linux为什么能快速得进入商用市场,我想RedHat的成立应该是一个关键性 的因素.对于大型企业而言,或许授权费用的多寡并不是重点,他们要的是能够说服上司及股东的解决方案.透过RedHat所提供的技术支持,信息部门也比较 敢将Linux列入解决方案之中.这项优势是没什么商业支持的BSD所难以匹敌的.

媒体的推波助澜:
若说到自由软件界的代表人物,我想人们脑海中会浮现的名单应该少不了 RichardM.Stallman、EricS.Raymond及LinusTorvalds这几位指标性人物.RichardM.Stallman是 公认的自由软件界的精神领袖,他的意见对于GNU还是具有一定的影响力.EricSteven Raymond则是黑客文化的传道士,他发表了不少像是《教堂与市集》、《提问的智慧》之类对黑客文化影响深远的文章.而Linus Torvalds则是Linux Kernel项目领导人.这几位指标人物彼此之间似乎总是意见不合,但他们却有一个共通点-他们都是Linux的拥护者.

也就是说,当几位自由软件界的代表人物都在努力为Linux宣传的同时,BSD自然从人们的雷达范围中消失了.不管BSD再怎么棒,但人们不晓得的话也是罔然.

GPLvs.BSDL:
RichardM.Stallman之所以是自由软件界的精神领袖,除了他发起 了GNU计划之外,个人认为他为了GNU而撰写的GPL更是决定性的因素.GPL是一种偏向于开发者的回馈条款:使用者可以自由运用GPL程序代码,但所 有修改必须也以GPL开放,让所有人(包括原始程序设计者)都能受益.这是能确保程序代码永远能让所有人自由使用的终极手段.相较之下,BSDL应该是偏 于使用者的一种无偿授权:使用者如何自由运用这些程序代码,程序设计师无权置喙,只要宣告这个软件是BSDL授权即可.因此,BSDL的软件可能有一天会 变成封闭软件,像Microsoft在Windows 2000核心里就采用了一些来自BSD的网络组件,但BSD的人们却没有因而受惠.Microsoft并没有必要回馈那些修改后的程序代码.

软件的支持:
也许这是互为因果关系,因为BSD家族的市占率比Linux低多了,BSD的开发者也相对 较少,因此有不少缺乏资源的开放原始码软件就没有多余的心力能放在BSD上,这导致很多软件对BSD的支持度就没Linux那么好了.以Free BSD为例好了.FreeBSD是针对i386硬件而开发的BSD分支,长久以来Free BSD在功能、稳定、安全、效能等各方面的表现颇受好评,您可以在Google上找到一篇"Yahoo! and FreeBSD"以为佐证.

通过本文你就了解了Linux操作系统比BSD更受到人们的欢迎了。

linux下PHP 激活mbstring扩展及php.ini中相关基本设置

从源码编译安装php,重新编译php,configure参数中加入 --enable-mbstring,如下所示,

./configure --prefix=/usr/local/php --with-mysql=/usr/local/mysql\
 --with-apxs=/usr/local/apache/bin/apxs  --with-config-file-path=/usr/local/apache/conf --enable-mbstring

[注] 其它configure参数按你的php相关路径进行配置

redhat/centOS/fedora系列使用yum在线安装

sudo yum install php-mbstring
sudo /sbin/service httpd restart

Mac下可以如下进行

sudo port install php5-mbstring
apachectl restart

php程序中的编码转换

在php中解决字符编码转换,可以编写自定义的php函数进行字符编码解码,但是对性能有一定影响,并且要针对每种字符编码编写专用的函数; 这里介绍在php中有简便易用的专用函数:

1.使用iconv函数转换字符编码,该函数仅能在PHP4.0.5以上版本或PHP5.x版本使用,具体用法如下:

$string=iconv(原字符编码, 字符输出编码, $string);

例如:网页使用gbk编码,字符串使用utf-8编码,将字符转换为网页显示编码。

echo iconv("uft-8", "gbk", "php编码转换");

在实际使用中,iconv函数在转换时存在一点小bug,在转换字符串中含有"—"时会出错,导致字符串无法转换,使用//IGNORE参数可以忽略转换中的字符错误,样例如下:

echo iconv("uft-8", "gbk//IGNORE", "php编码转换");

2.使用mb_convert_encoding函数,该函数仅能在PHP4.0.6以上版本或PHP5.x版本使用,使用之前必须enable mbstring,具体用法如下:

$string=mb_convert_encoding($string, 字符输出编码, 原字符编码);

例如:网页使用gbk编码,字符串使用utf-8编码,将字符转换为网页显示编码。

echo mb_convert_encoding("php编码转换", "gbk", "utf-8");

windows下mbstring安装配置请参看这里 windows下PHP 激活mbstring扩展及php.ini中相关基本设置

总结:推荐使用mb_convert_encoding函数,该函数无iconv转换字符错误问题。

华硕A8笔记本(ati x2300显卡)linux 2.6.33/fedora13显示花屏闪烁

07年底购买的笔记本电脑,华硕A8,ATI x2300独立显卡,从一开始就是多系统,linux当然是必装的,最近默认启动系统已经改成linux了。

大概是从redhat9开始了解linux的原因,对fedora比较好感,从fedora8一直安装到现在最新的fedora13。但fedora12 yum更新,安装过linux 2.6.33内核以后,一启动,还没有进入图形界面就花屏,闪烁个没完。估计是某个驱动与显卡不兼容所致,但并不知道具体是哪个驱动所致,才疏学浅,对linux只限于入门使用。于是fedora12后来的升级,升级后,修改grub,启用之前的2.6.31版的内核。曾经自己编译了一次linux 2.6.33 的内核,但照样是花屏,这问题就不再理会。

fedora13出来了,因为默认是新版本内核,感觉很可能会花屏的,于是一个月都没有下载安装。前些天下载安装到上网本上,感觉跟之前版本改变还是不小的,图形界面好像更细腻一点,firefox F11全屏功能也正常了(fedora12里F11不能真正全屏,仅仅是隐藏菜单,工具栏什么的都没有隐藏)。试了试,果然,一进入fedora13安装过程,就是花屏闪烁。如此安装运行时,一定花屏的。

突发奇想是否可以硬安装f13,然后把fedora12里的内核安装上去,rpm包可以用zip解压缩的,把解压出来的内核文件,驱动文件拷到相应目录下,这样是否可以正常呢?甚至fedora12的rpm可以直接在fedora13里安装?

于是试试,在一直闪烁的屏幕前安装linux,实在不很舒服,眼花。只选一少部分比较重要的包,这样速度比较快,安装完就可以更快的测试旧版本内核的安装。

终于在闪烁中完成了fedora的安装(全新安装),从fedora12里的/Packages/解压出kernel-2.6.31.5-127.fc12.i686.rpm,sa切换到root用户,rpm -ivh kernel-2.6.31.5-127.fc12.i686.rpm。

安装完成后,奇迹还真出现了。重启电脑,选择刚安装的kernel,目录都是好的。

天啊,SSL潜在重大危机:CNNIC CA:最最最严重安全警告!

CNNIC CA:最最最严重安全警告!

转于:http://autoproxy.org/zh-CN/node/66

由 WCM 于 星期一, 2010-02-01 20:00 发表

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:

  1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
  2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
  3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

  • 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
  • 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
  • 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
  • 还没有完,狡兔有三窟。
  • 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站 就有了)
  • 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
  • 最后,让我们验证一下。重启 Firefox,打开 这个这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!

行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它 错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来 投个票吧结 果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信 任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:
DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

rpmfusion.org:redhat/fedora系列RPM/yum软件包仓库

rpmfusion.org 提供了许多常用但不被包含在 Fedora/Red Hat 默认软件仓库中的软件包,比如 SMPlayer (Linux 下最受欢迎的影音播放器), aMule (Linux 下的电骡) 等等。

RPM Fusion 提供的 RPM 软件包可以供所有的 Fedora 版本及 RHEL5 使用,只需将 rpmfusion 软件包仓库配置到系统中,用户就可以简单的使用 yum 或 PackageKit 执行软件包的管理工作。

RPM Fusion 融合了 Dribble, FreshrpmsLivna 这几个软件包仓库中的内容,因此只使用 RPM Fusion 这一个软件包仓库能够为用户提供足够多的 RPM 软件包。

启用 RPM Fusion 软件包仓库

Fedora 10, 11 or 12

~]$ su -c 'rpm -Uvh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-stable.noarch.rpm'

Fedora 13

~]$ su -c 'rpm -Uvh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-rawhide.noarch.rpm'

RHEL5 及其它发行版,如 CentOS

~]$ su -c 'rpm -Uvh http://download1.rpmfusion.org/free/el/updates/testing/5/i386/rpmfusion-free-release-5-0.1.noarch.rpm'

根据你的 Linux 发行版类型,安装对应的 RPM Fusion 软件包。命令执行完成之后,可以使用使用以下命令验证 rpmfusion 软件包仓库是否安装成功:

~]$ rpm -q rpmfusion-free-release
rpmfusion-free-release-12-1.noarch

结果输出为 rpmfusion-free-releas-x-x.noarch 则说明安装成功了 :D

[来源http://lugir.com/fedora/rpmfusion-org.html]

单位/家庭无线网络安全配置教程

无线网络设备越来越便宜,很多公司和个人都开始架设了无线网络,无线网络给我们带来的便利不言而喻,但是现在最值钱的莫过于硬盘里的文件了,如果没有对无 线网络进行安全保护,那么公司内部的全部资源将暴露在外人面前,试想如果对手窃取了你辛勤劳动的成果将是多么可怕的事情。

由于无线网络先天设计的原因,因此加密一直是一个头痛的问题,不光光是我们个人和公司,我国政府和厂商也面临着这样的问题,近期进行的如火如荼的WAPI争夺战就是在为无线网络安全做的努力。

我们大多数公司的网管人员往往对于有线网络的问题了如指掌,但是对于无线网络来说就差很多了,在无线网络的知识上多数网管人员还很缺乏,若想迅速的为公司 的无线网络保驾护航,还需要学习很多内容,为此我们总结了10条业界常用的安全手段,都是一些不难的方法,但是用次方法绝对能有效的保护公司的无线网络。

1、采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问

目前绝大多数AP和无线路由器都带有802.1x认证的功能,而且价格并不高,我们在选购的时候看好产品说明即可。

2、采用128位WEP加密技术,并不使用厂商自带的WEP密钥

目前无线产品对于加密方面做的都算到位,均可提供多种加密认证方式,但提醒用户的是,不要使用厂商自带的WEP密钥,使用128位的WEP加密技术更加安全可靠。

3、对于密度等级高的网络采用VPN进行连接

VPN是指一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,他不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证及计费。

4、对AP和网卡设置复杂的SSID,根据需求确定是否需要漫游,是否需要MAC绑定。

SSID是一个非常重要的无线网络标识,如果您起的名称过于简单诸如abc这种名称是十分不安全的,一定要将SSID名称起的复杂一点,另外根据需要决定是否需要漫游,以及是否需要MAC绑定。

5、禁止AP向外广播其SSID

SSID广播一定要禁止,这样只有知道公司SSID的用户才能进入无线局域网络,禁止广播SSID对于安全性至少增加30%

第2页:进一步增强安全 5步高级操作指南

6、修改缺省的AP密码,比如Admin

随着越来越多的家庭用户的增加,很多无线路由器背面铭牌上都印上了路由器默认的地址和用户名以及密码。有趣的是很多品牌默认的SSID是用自己品牌标识, 比如LinkSys的路由器就是Linksys,而登陆的用户名和密码多数都是admin。如果不根改用户名密码的话,公司网络及容易暴露在攻击者面前。

7、布置AP的时候要在公司办公区域外进行检查,通过调节AP天线角度和发射功率,防止AP的覆盖超出办公区域。

这一点是比较理想话的做法,通常我们无法做到,毕竟标配的都是全向天线,更换定向天线的成本不菲,而且还需要很多经验进行调试,如果有条件的企业可以考虑这点。

8、禁止员工私自安装AP,通过笔记本配置无线网卡和无线扫描软件可以进行扫描。

现在无线设备如此便宜,如果员工擅自安装AP极其容易暴露公司网络,如果私装的AP还没有进行任何加密措施,外人通过无线网络上网进行下载等活动,导致公司花钱买来的宝贵的网络带宽被别人占用。

9、如果网卡支持修改属性需要密码,要开启该功能,防止网卡属性被修改

有些高档的网卡支持属性修改加密功能,开启此功能锁定网卡,对于网关来说绝对是一件好事,网卡属性不被修改很大程度上保护了公司的网络。

10、制定详细的无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置p2p的Ad hoc网络结构。

无线网络的使用一定要制定一个标准,诸如对ssid的保密,对进入无线网络的密码保密等规定,另外还要禁止设置p2p的Ad hoc网络结构等,有了规定自然对网络的保护有了依据。

Pages: Prev 1 2 3 4 5 6 7 8 9 10 11 12 13 Next