问找一本书主角穿越变成小孩被选为祭品祭河神

1.单击开始，指向设置，单击控制面板，然后双击网络和拨号连接。2.右键单击要在其上配置入站访问控制的接口，然后单击属性。3.在选定的组件被这个连接所使用框中，单击 internet 协议(tcp/ip)，然后单击属性。4.在 internet 协议(tcp/ip)属性对话框中，单击高级。5.单击选项选项卡。6.单击 tcp/ip 筛选，然后单击属性。7.选中启用 tcp/ip 筛选（所有适配器）复选框。选中此复选框后，将对所有适配器启用筛选，但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。8.该窗口中一共有三列，分别标记为：
tcp 端口
udp 端口
ip 协议在每一列中，都必须选择下面的某个选项：
全部允许。如果要允许 tcp 或 udp 通信的所有数据包，请保留全部允许处于选中状态。仅允许。如果只允许选定的 tcp 或 udp 通信，请单击仅允许，再单击添加，然后在添加筛选器对话框中键入相应的端口。如果要阻止所有 udp 或 tcp 流量，请单击仅允许，但不要在 udp 端口或 tcp 端口列中添加任何端口号。如果您为 ip 协议选中了仅允许并排除了 ip 协议 6 和 17，并不能阻止 udp 或 tcp 通信。请注意，即使在 ip 协议列中选择了仅允许而且不添加 ip 协议 1，也无法阻止 icmp 消息。“tcp/ip 筛选”只能筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问，请使用 ipsec 策略或数据包筛选。以下是关于ipsec 策略的官方说明
internet 协议安全(ipsec)循序渐进指南
在进行ipsec完整性配置时，有两个选项：** digest 5(md5)和安全散列算法1（secure hash algorithm 1，简称sha1）。后者的安全度更高，但需要更多的 cpu资源，md5使用128位散列算法，而sha1使用的160位算法。ipsec 认证协议
当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定（security association，简称sa）。在相互通信之前，两个系统必须认定对同一sa。因特网密钥交换协议（internet key exchange，简称ike）管理着用于ipsec连接的 sa协议过程。ike是因特网工程任务组（internet engineering task force，简称ietf）制定的关于安全协议和密钥交换的标准方法。ike的操作分两阶段：第一阶段确保通信信道的安全，第二阶段约定sa的操作。为了建立ipsec通信，两台主机在sa协定之前必须互相认证，有三种认证方法：
kerberos-kerberos v5常用于windows server 2003，是其缺省认证方式。kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。kerberos可以在 server 2003的域和使用kerberos 认证的unix环境系统之间提供认证服务。公钥证书(pki)-pki用来对非受信域的成员，非windows客户，或者没有运行kerberos v5 认证协议的计算机进行认证，认证证书由一个作为证书机关（ca）系统签署。预先共享密钥-在预先共享密钥认证中，计算机系统必须认同在ipsec策略中使用的一个共享密钥，使用预先共享密钥仅当证书和kerberos无法配置的场合。ipsec加密协议
ipsec提供三种主要加密方法，如下
数据加密标准(des 40位)-该加密方法性能最好，但安全性较低。该 40位数据加密标准（data encryption standard，简称des）通常被称为 安全套接字层（secure sockets layer，简称ssl）。适用于数据安全性要求较低的场合。数据加密标准(des 56位)-通过ipsec策略，可以使用56位 des的加密方法。1977年美国**标准局公布了des算法，它可以在通信过程中经常生成密钥。该功能可防止因为一个des密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了，仅用于传统的应用支持，有专门的硬件可以破译标准的 56位密钥。3des-ipsec策略可以选择一个强大的加密算法3des，其安全性比des更高。3des也使用了56位密钥，但使用了三个。结果3des成为 168位加密算法，用于诸如美国**这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。ipsec传输模式
ipsec可以在两种不同的模式下运作：传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下，ipsec的保护贯穿全程：从源头到目的地，被称为提供终端到终端的传输安全性。隧道模式仅仅在隧道点或者**之间加密数据。隧道模式提供了**到**的传输安全性。当数据在客户和服务器之间传输时，仅当数据到达**时才得到加密，其余路径不受保护。一旦到达**，就采用ipsec进行加密，等到达目的**之后，数据包被解密和验证，之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的lan或者wan的范围，且在诸如互联网这样的公共网络中传输的场合。我看了几个朋友的服务器配置,每一个人都使用的是tcp/ip筛选对网站的访问端口进行设定,这到没什么关系,但对ipsec 策略最多也只设定封一下icmp,别的都没设定,出于安全考虑,这样做不是很好,因为.
嘻嘻,我来做个比较
tcp/ip筛选只可只设定客户端通过几个固定的tcp或udp端口进行对服务器的访问,或限定ip访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让serv_u能进行正常访问,加了n个端口,累的要死(因为ftp软件连接到ftp服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了).现在想起来也好笑.
ipsec 策略可设定即时生效,不用重启服务器,可对端口或ip进行封锁或访问,可拒绝一些不安全端口的访问,也可像tcp/ip筛选一样只设定客户端通过几个固定的tcp或udp端口进行对服务器的访问,可选择性要大很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的ip,也可设定某个ip只能访问某个端口之类的,只要你有想像力,哈哈,就很简单了,这里我写的都是一些知识,没有写操作步骤,因为操作很简单,只要说一下原理,懂原理比操作更快
如安全方面的话,tcp/ip筛选会在注册表中的
hkey_local_machine\system\controlset001\services\tcpip\parameters
hkey_local_machine\system\controlset002\services\tcpip\parameters
hkey_local_machine\system\controlset003\services\tcpip\parameters
中的enablesecurityfilters值上设定,当为"enablesecurityfilters"=dword:00000001,即tcp/ip筛选生效,当为"enablesecurityfilters"=dword:00000000,即tcp/ip筛选失效,这样就给我们一个漏洞了,用regedit-e导出以上三个键值,把enablesecurityfilters值改成dword:00000000,regedit-s,嘻嘻,你设的再多也等于零
ipsec 策略就没有这个安全隐患,上面还有ipsec 策略的一些加密说明,安全吧?而且ip策略可以备份为文件方便在不同的电脑上使用,不过2k和xp或2k3使用的不同,这点到是要注意一下
说明一下,这些设定只是针对端口或ip进行管理的,没什么很高深的东西,而且有一些功能是无法进行设定的(如果什么都能设定的话,那还需要防火墙做什么),但这是web服务器的第一道关口,如果不设置好的话,后面很容易出问题的,我刚给出的只是一个例子,破tcp/ip筛选有几种方法,这里就不好说明了,总结一下,tcp/ip筛选只是开胃菜,ipsec 策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定,那就这样,回头见啦.