2022年3月30日 星期三

只要點兩下,開機還原電腦停用Chrome 更新

        造成電腦教室學生電腦變得很慢的兇手竟然是 Chrome 更新
        又到模擬志願選填的時候,往年總是會碰到電腦教室的學生機變得很慢。因此,導致無法讓學生在時限內完成志願選填。到底是什麼原因?後來發現學生機的Chrome 正在做更新。而且版本越舊,更新時間就越長。Chrome 更新期間,學生使用Chrome 就會變得很慢。可是教師機並沒有這種情形,那到底是怎麼一回事?原來教師機並沒有開機還原,而學生機每次都要做開機還原。噢!!天啊!原來是還原的關係,導致Google Chrome 每次開機都要更新一次。那可能讓學生機不做開機還原嗎?當然是不可能!那只好讓學生機Chrome 瀏覽器不更新。
        參考資料中,都在說明要做這幾件事,才能停用Google Chrome 更新。
        (1)停用Google 更新服務:


        但是點選Chrome 瀏覽器也會執行Google 更新服務。即便已做了(1)停用Google 更新服務,也是會執行Google Chrome 更新。換言之,[停用Google 更新服務]沒用。


        那要停用Chrome 更新,那要怎麼做?有兩種:一、點兩下BAT,二、手動更改檔名。
一、點兩下BAT
檔案下載:解壓縮密碼demo1234
教學影片:

        如下圖所示,都要去執行C:\Program Files (x86)\Google\Update\GoogleUpdate.exe。換言之,只要更改GoogleUpdate.exe檔名,就無法執行更新了。

        在BAT的寫法觀念中,要特別注意的地方如下:
        %ProgramFiles%=C:\Program Files
        %ProgramFiles(x86)%=C:\Program Files (x86)

目的:停用Chrome更新
程式名稱:StopChromeUpdate.bat
程式內容:
@echo off
REM ---------------以下是程式碼,不需更改---------------
REM :: BatchGotAdmin (Run as Admin code starts)
REM --> Check for permissions
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges...
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"
REM :: BatchGotAdmin (Run as Admin code ends)
REM :: Your codes should start from the following line
cd %ProgramFiles(x86)%\Google\Update\
if exist  GoogleUpdate.exe (
    rename GoogleUpdate.exe GoogleUpdate01.exe
)
exit

目的:啟用Chrome更新
程式名稱:StartChromeUpdate.bat
程式內容:
@echo off
REM ---------------以下是程式碼,不需更改---------------
REM :: BatchGotAdmin (Run as Admin code starts)
REM --> Check for permissions
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges...
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"
REM :: BatchGotAdmin (Run as Admin code ends)
REM :: Your codes should start from the following line
cd %ProgramFiles(x86)%\Google\Update\
if exist  GoogleUpdate01.exe (
    rename GoogleUpdate01.exe GoogleUpdate.exe
exit


二、手動更改檔名
        手動更改GoogleUpdate.exe檔名


三、檢查Chrome 更新




沒有留言:
標籤: ,

2022年3月29日 星期二

只要點兩下, 讓Windows桌面顯示或隱藏「電腦」、「控制台」、「網路」等桌面圖示

        安裝電腦作業系統時,如果有「電腦」、「控制台」、「網路」等桌面圖示,會加快操作速度。目前有兩種操作方式:一.點兩下BAT、二.滑鼠點選 。希望能夠加快操作速度。因此,開始撰寫BAT,來加快自己操作速度。
檔案下載:解壓密碼demo1234
教學影片:
Win 10 電腦
Win 11 電腦

一.點兩下BAT:
目的:顯示桌面圖示
檔案名稱:DeskIconShow.BAT
檔案內容:
@echo off
REM 顯示電腦
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /d 0 /t REG_DWORD /f

REM 顯示控制台
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}" /d 0 /t REG_DWORD /f

REM 顯示網路
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}" /d 0 /t REG_DWORD /f

REM 顯示資源回收桶
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{645FF040-5081-101B-9F08-00AA002F954E}" /d 0 /t REG_DWORD /f

REM 顯示使用者的文件
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /d 0 /t REG_DWORD /f
taskkill /f /im explorer.exe
start %systemroot%\explorer


目的:隱藏桌面圖示
檔案名稱:DeskIconHide.BAT
檔案內容:
@echo off
REM 隱藏電腦
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /d 1 /t REG_DWORD /f

REM 隱藏控制台
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}" /d 1 /t REG_DWORD /f

REM 隱藏網路
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}" /d 1 /t REG_DWORD /f

REM 隱藏資源回收桶
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{645FF040-5081-101B-9F08-00AA002F954E}" /d 1 /t REG_DWORD /f

REM 隱藏使用者的文件
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /d 1 /t REG_DWORD /f
taskkill /f /im explorer.exe
start %systemroot%\explorer


二.滑鼠點選:
1.在桌面上按下滑鼠右鍵,出現下拉式選單->點選個人化。

2.佈景主題->桌面圖示設定->勾選所有桌面圖示->確定。


資料來源:

沒有留言:
標籤: , ,

2022年3月28日 星期一

Windows 7 電腦開機時出現Secure Boot Violation,然後無法進入開機畫面,該如何解決

        最近處理電腦問題,Windows 7 電腦開機時出現Secure Boot Violation,然後無法進入開機畫面。那我該如何解決?

        利用谷歌搜尋關鍵字Secure Boot Violation,就出現四個結果。經過處理,發現只要在BIOS->Boot->Secure Boot ->OS Type 改為Other OS 即可。 

以下是問題描述:
解決方案:


以下是詳細說明:
1.進入BIOS,按下Advance Mode (F7)
2.系統語言選擇 English 
3.選擇Boot->Secure Boot
4.將OS Type 由 Windows UEFI mode 改為 Other OS
5.選擇 Exit -> Save Changes & Reset
6.按下OK



沒有留言:
標籤: ,

2022年3月27日 星期日

資料整理_Juniper 防火牆的初始設定_第三章初始化配置

        因應學校於2020年更換防火牆,發現自己什麼都不懂。四年保固期到期後,也就是2024年過保後,學校防火牆設定就要自己來。想到這點,自己就害怕。到時學校又有新的需求,需要修改防火牆設定。那我要如何變更設定呢?
        那我就開始找資料,進行資料整理。將資料整理的過程,整理在自己的Blogger上。
        那我就開始整理資料來源1。現在將整理的資料呈現在下方:

        如第二章提到,SRX提供諸多管理方式,對於剛剛接觸SRX產品的網管人員來說,J-WEB是一個非常重要的管理方式,方便他們通過簡單的配置即可完成複雜的工作,本章就會通過將會為你介紹設置精靈和如何為SRX設置安全管理接入。

使用設置精靈
        SRX的設置精靈配置可以進行如下操作:
        針對您之前的配置為您進行配置的推薦,例如,精靈會基於您定義的網路拓樸提供推薦的安全策略:
        (1).基於您的選擇確定配置
        (2).在您離開頁面時標記有哪些遺失配置
        (3).基於您之前的配置,確定那些選項不能用
        您可以選擇如下兩個模式來進行配置:
        預設配置模式Default Setup mode: This 該模式幫助您快速地進行設備的初始化配置,所以在這個模式下,您可以完成基本的設備配置,如 管理員密碼、安裝許可,其他配置都會在退出該模式之外完成。
        指導配置模式Guided Setup mode:該模式幫助您根據自己定義的安全設置來完成後續配置



沒有留言:
標籤:

2022年3月24日 星期四

資料整理_Juniper 防火牆的初始設定_第二章管理SRX

        因應學校於2020年更換防火牆,發現自己什麼都不懂。四年保固期到期後,也就是2024年過保後,學校防火牆設定就要自己來。想到這點,自己就害怕。到時學校又有新的需求,需要修改防火牆設定。那我要如何變更設定呢?
        那我就開始找資料,進行資料整理。將資料整理的過程,整理在自己的Blogger上。
        那我就開始整理資料來源1。現在將整理的資料呈現在下方:
        
        SRX是一個非常靈活的安全平台,您可以通過多種方式連接到SRX系列產品,進行配置與管理的工作,正因為SRX是一個基於Junos操作系統的產品,這也意味著您可以通過Console控制台埠(port),CLI 命令列介面,設備的Web介面(也就是J-Web),也可以使用Junos Space Security Director或者Contrail Services Orchestrator 這種集中管理平台進行管理,還可以例如Sky Enterprise這樣的雲端管理系統進行管理,更進一步,SRX還支持更加靈活的自動化維運工具,例如Python或者Ruby這樣的自動化腳本等。
        上述提到的配置方式,在第一次使用時仍需要初始化的配置,並不是所有的配置和管理都能通過所有介面登入(login)來實現,因此,理解每一個管理方式將有助於根據自己的環境選擇最適合的方式。
        如之前所提,本書主要集中在J-Web的配置和管理,但是其他的管理方式也同樣有其用武之地。

通過Console Port 控制台埠
        每一個SRX實體防火牆不管從大到小,都會有一個RJ45的控制台埠,通過使用專用的全反序列埠連接線連接您的電腦到控制台服務,這個連接不需要任何的初始化設置,並且登入的介面就是CLI,這種連接方式沒有任何的限制,這種連接配置也是所有設備管理中最簡單也是最有效的配置,通常現場配置或者在緊急的備份登入環境下往往就是使用這個配置。要想使用這種連接,您需要一根控制線,一個有控制埠的PC(埠或者USB轉接頭),PC上執行一個終端模擬軟體。
        附註:我們往往在現場配置中使用console方式,同時因為console配置沒有任何限制,所以,在配置完成後,建議配置登入驗證的密碼,來防止未經授權的登入配置行為。

通過CLI進行連接(命令列介面)
        通過console埠可以進入CLI(命令列介面),您也可以通過網路埠以及任何其他段埠telnet或者ssh的當時,一樣可以進入CLI模式,但是前提是須要給設備的埠配置一個可以登入的IP位址。如果您準備使用IP位址進行登入管理,您可以使用一個標準的網路線直接連接設備,也可以通過遠端的方式進行登入管理(當然,設備同樣需要一個遠端的登入IP位址)。
        通常情況下,當通過console進行初始化配置之後,大多數管理員都會通過配置SSH來允許遠端的訪問,通過CLI可以配置很多遠端訪問的管理,在本書的後面章節我們將會進一步描述。CLI通過遠端登入或者console登入的方式基本一致。
        注:部分高端SRX除了console之外還會有專用的控制埠,這個埠稱為fxp0,通常存在SRX的控制平面上,不能用於轉發用戶數據(為了防止受數據平面流量的影響,所以fxp0專門用於轉發控制數據),在SRX的文件上可以看到那個埠會作為fxp0成為專用的管理埠。

通過GUI J-Web進行連接
        J-Web在新的SRX產品中重新設計,在新的Web頁面下,您可以利用瀏覽器登入設備,通過圖形化的介面完成大部分的管理工作,這個功能在所有的SRX設備(實體或者虛擬化防火牆)上均可支持。
        通過J-Web連接和CLI連接類似,需要一些初始的配置(例如IP位址和子網遮罩,以及開啟服務),當位址和服務配置完成後,就可以使用圖形化介面進行配置了。

Junos Space Security Director 進行集中管理
        Junos Space Security Director(後續簡稱SD)是詹博網路提供的集中管理SRX產品的工具。如果您有數百上千台的SRX的話,您就需要考慮使用SD進行簡化管理和監控的工作,通過一些簡單的點擊,您就可以把配置的變更推送到整個網路的SRX設備上,將複雜的管理簡化。
        SD的部署,配置與操作可能需要另一本教材來做描述,當然,在官網上有專門的文件供您參考。本書只是介紹這個產品的基本組件和功能。
        如果您已經使用SD開始管理您的第一台SRX,您需要為SRX配置一個IP位址並且開啟管理服務,然後使用SD進行搜索和管理防火牆的工作,當SD找到這個IP位址之後,就可以將防火牆導入到SD的管理介面中進行管理。
        出於功能設計的考慮,SD並不適合於類似單一設備排障的工作(在設備本身進行檢查),但是從另一個方面,SD卻可以集中地對安全事件,日誌和策略的分析進行統一的管理,對所有安全設備進行監控,創建自定義的IPS策略和應用簽名,批次推送配置,將您的網路保持在最佳化的安全狀態。

雲端管理:Juniper Sky Enterprise
        為了給客戶更簡單的部署和管理Juniper設備的方式,Juniper提供了一種雲端的管理工具-
Sky Enterprise
        作為一個雲端服務功能,Sky Enterprise可以幫助管理員降低軟體維護窗口的時間和遠端管理的成本,該解決方案提供了一個集中管理的架構和統一用戶介面,提供諸如零接觸線上(ZTP),設備配置和監控等功能。

軟體定義廣域網路SD-WAN,安全和網路功能虛擬化(NFV)管理:Contrail服務編排
        Contrail服務編排是一個用於網路中部署SD-WAN和網路功能虛擬化(NFV),管理SRX和NFX設備的管理平台。可以支持零接觸上線(ZTP),軟體定義廣域網路,和NFV設備服務鍊的配置。

第一次連接SRX
        當剛剛拆開包裝,並且已經將設備上架後,您可以使用很多不同的方法(控制線,ZTP或者精靈模式)來完成初始化的配置,本書主要聚焦在使用J-Web的精靈模式,但是也提供CLI的配置命令,來供您在使用控制線配置的時候參考。

通過J-Web連接您的SRX        
        通過圖形介面(J-Web)連接您的SRX並且開始執行精靈操作。通過網路線連接到您的電腦和SRX的管理埠。把您的網卡位址配置為192.168.1.2 子網路遮罩為255.255.255.0;打開瀏覽器,輸入網址:https://192.168.1.1。
        如果您想使用GUI進行初始化連接,可以直接跳過到第三章,如果使用console進行介面的初始化配置,可以繼續閱讀。
        重要注意,本書中使用ge-0/0/0連接內部服務器網路,使用ge-0/0/2連接DMZ,使用ge-0/0/3連接互聯網,您的網路環境可能和這裡並不相同,也可能是使用ge-0/0/0作為廣域網連接,在SRX系列產品中,並沒有WAN埠或者LAN埠的說法,每個埠都是同樣的功能。

使用控制埠(Console Port)連接到您的SRX
        通過控制線連接到您的電腦和SRX,打開終端模擬程式,例如Windows的超級終端,選擇序列埠連接,在設置上參考如下參數:
Bits per second:9600; Data bits:8; Parity: None; Stop bits: 1.
Flow control: None.
        如果是Mac終端,您需要一個USB序列埠轉換頭,安裝必要的驅動後,可以通過如下命令開啟,首先找到序列埠的埠號:
macOSX:user$ cd /dev
macOSX:user$ ls -ltr /dev/*usb*
crw-rw-rw- 1 root wheel 10, 66 Jan 2 23:46 tty. USA19H142P1.1
        然後使用這個命令開啟埠:
macOSX:user$ screen /dev/tty. USA19H142P1.1 9600
        登入完成後,就可以開始進行後續的初始化配置。

設備初始化配置
        1.使用 root 登入,不需要輸入密碼
        2.鍵入 cli 開始 CLI輸入 
        3.鍵入 configure 進入配置模式
        4.設置root 密碼,命令如下(注意,必須使用plain-text-password參數,密碼顯示將會是密碼),鍵入兩次密碼之後,設置生效
set system root-authentication plain-text-password
        5.鍵入 commit 提交配置
        6.設置SRX 主機名
set system host-name (name of the device)
EX:set system host-name skjh-vsrx
        7.這是埠位址:
set interfaces interface name unit 0 family inet address (IP address/prefix-length)
EX:set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.1/24
        8.配置預設路由:
set routing-options static route 0.0.0.0/0 next-hop (gateway IP)
EX:set routing-options static route 0.0.0.0/0 next-hop 192.168.3.254
        9.配置基本的安全Zone 並綁定對應埠
set security zones security-zone Trust interfaces ge-0/0/0
set security zones security-zone Internet interfaces ge-0/0/3

        10.允許信任埠開啟必要服務
set security zones security-zone Trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all

        11.配置基本策略
set  security policies from-zone Trust to-zone Internet policy (policy-name) match source-address any destination-address any application any

set security policies from-zone Trust to-zone Internet policy (policy-name) then permit
        12.創建NAT策略
set security nat source rule-set (ruleset-name) from zone Trust set security nat source rule-set (ruleset-name) to zone Internet

set security nat source rule-set (ruleset-name) rule (rule-name) match source-address 0.0.0.0/0 destination-address 0.0.0.0/0

set security nat source rule-set (ruleset-name) rule (rule-name) then source-nat interface

        13.commit 提交配置
        注意,如上是CLI的簡單配置,對於配置的每一個步驟,在後面的章節都會有延伸描述。


沒有留言:
標籤:

2022年3月23日 星期三

資料整理_Juniper 防火牆的初始設定_第一章理解SRX如何工作

        因應學校於2020年更換防火牆,發現自己什麼都不懂。四年保固期到期後,也就是2024年過保後,學校防火牆設定就要自己來。想到這點,自己就害怕。到時學校又有新的需求,需要修改防火牆設定。那我要如何變更設定呢?
        那我就開始找資料,進行資料整理。將資料整理的過程,整理在自己的Blogger上。
        那我就開始整理資料來源1。現在將整理的資料呈現在下方:

介面(Interface)和安全區(Security Zones)
        從安全的角度,介面是一個網路介面的邏輯屬性,這些邏輯屬性包括:
                (1).介面上運行的協定(Protocol)簇(包括任何協定定義的MTU)。
                (2).IP地址以及關聯的地址,一個邏輯介面可以配置一個IPv4 位址,一個IPv6地址,或者同時配置。
                (3).在整個系統中,每個介面的地址是需要唯一的,不同的介面地址也應該分配在不同網段,這樣介面的位址才可以實現邏輯可達(住:在使用虛擬路由器的情況下可能
存在不同介面屬於同一網段的情況)。
                (4).VLAN配置
        管理員登入SRX的第一件事就是要給介面配置一個IP地址,但是卻發現根本無法ping通。這是因為SRX作為安全設備,在沒有經過安全配置的情況下,任何流量都不能進出,聽起來合乎邏輯。
        如果需要允許介面的流量進出,您需要配置更多內容,除了IP地址的配置之外,介面需要關聯到安全區上,同時安全區需要一個屬於一個路由實例,他們之間的邏輯關係圖如下所示:
圖1.1 SRX流量流向
        在上圖中,您可以看到發往某個介面的流量可能是下面三種類型:
                (1).管理流量(或稱系統服務),例如HTTPS 和 SSH
                (2).協定相關的流量例如OSPF 和 DHCP (簡化起見,通稱協定)
                (3).用戶發起的流量,例如客戶端到服務器的對應的封包(Packet)
        注意,發往介面的流量是為了管理設備的話,在SRX中將其定義為host-inbound traffic 。host-inbound traffic  功能指的是管理員可以在指定介面配置管理服務或者其他的控制相關的服務。這個配置可以在兩個類別下完成
                (1).可以在Zone 層級下面進行配置,意味著這個區域的所有介面都會生效
                (2).配置在特定介面層級下,只能在該介面開啟這些流量。如果同時在兩個地方配置,哪麼介面的host-inbound traffic 的配置將會覆蓋Zone 下面的配置。換句話說,服務不會被添加。
        聽起來比較複雜,讓我們來舉例說明吧,如果您想允許Zone中的對應介面回應ping,那麼您可以在Zone 層級下配置系統服務,Zone下面的所有介面都會開啟ping的回應。如果,您進一步又想在一個介面開啟SSH服務,那麼當您在介面層級下配置host-inbound traffic ,允許SSH服務時,該介面ping的回應將會失效,因為介面的配置覆蓋了Zone的配置(介面下僅剩SSH服務開啟),如果想要同時開啟ping,就需要在介面層級加入ping服務。
        注意:要記得host-inbound traffic的設置不會影響介面自身發出的流量
        當轉移到介面層級之前,有兩個重要的技術點需要提醒:
                (1).配置host-inbound traffic 的系統服務,並不是在介面上開啟系統本身的服務,當你在介面上允許Telnet、SSH、FTP 和 J-Web 的訪問時,一定要在系統層級下把這些服務開啟。
                (2).host-inbound traffic 的設置不會影響fxp0,並在fxp0上也不允許做該配置,因為fxp0屬於外網管介面,如果您在系統層級下開啟了諸如Telnet等服務,fxp0也已經配置好 IP並能訪問,那麼就可以通過fxp0遠端管理。在本書中,我們管理SRX都是用過傳輸介面(也就是所謂的帶內管理),所以,需要了解一下帶內(In-Band)網管和帶外(Out-of-Band)網管的不同。
        更進一步研究上圖,也揭示了策略(Policies)的工作原理,從任何Zone始發到其他區域(那怕是始發和終點都是同一個Zone)流量,都需要放置一個策略來允許其通過,請注意,從一個區域到其他區域的流量,被認為是用戶數據或者傳輸數據(多次稱為瞬時流量)。
        如果沒有策略則意味著流量會被丟棄,這種特殊的操作是因為SRX本身的安全角色使然-您必須確定那些特定的流量,可以從一個Zone到另一個Zone,那怕是同一個區域的一個介面到另一個介面。
        管理流量儘管不會穿越防火牆,但是實際上也是終止在防火牆,這就意味著不需要被任何安全策略檢查,儘管在最佳時間上,管理員會在安全策略上部署對於管理流量的控制。
        最後,上圖的最外層,在路由實例的層面上,預設情況下,所有預定義的Zone和新創建的Zone都會屬於預設路由實例(IPv4路由表),除非有其他特殊配置,換言之,當我們配置一個介面位址,並綁定在一個Zone中,也就在inet.0的路由表中創建了一個主機路由規則。
        您可以根據自己的路由需求,創建多個虛擬路由實例(VR),您可以一個虛擬路由實例運行BGP,一個關鍵虛擬路由實例(routing-instance)運行OSPF,一個預設的虛擬路由實例只接收這些定制路由實例的特定規則。

區域(Zone)的類型
        了解什麼是Zone(區域),並且在SRX中Zone有哪些類型很重要。Zone在JunOS的定義中是一個邏輯區域,其中集合了介面、組件和在安全邊界的策略。
        有兩個Zone 可以被配置functional zone(功能區) 和 security zone(安全區):
                (1)功能區(functional zone)是一種邏輯區域,屬於這個區域的介面具備管理功能,注意,介面屬於功能區就不能用在安全區,在SRX上,功能區的作用就等於管理區,把介面放在功能區意味著這個界面將作為帶外(Out-of-Band)網管使用。
                (2)安全區(security zone)是實際配置中非常常見的邏輯區域,安全區域之間通過策略來確定允許或者拒絕哪些流量通過,一個邏輯介面,只能屬於一個安全區。
        從一個安全區進出的流量可以執行諸多安全功能,如封包(Packet)過濾,安全策略,UTM(統一威脅管理),應用控制,Screen功能(防攻擊)。例如,SRX可以做出以下動作:
                (1).封包(Packet)是否允許進入設備
                (2).是否對封包(Packet)進行Screen功能
                (3).封包(Packet)根據目的地進行路由
                (4).是否有QOS中的分類動作
                (5).是否執行NAT
                (6).是否存在應用層閘道(Gateway)
        封包(Packet)進出設備,在SRX中有兩種處理方式,基於封包(Packet)的處理與基於流(flow)的處理:
                (1).基於流的處理方式依賴於一個或一串封包,封包的處理基於由第一個包而在防火牆建立的flow(流),也可以理解為對話(session)。封包的分組和順序需要保持不變。
                (2).基於封包,或者無狀態的處理方式,封包直接進行路由轉發,相當於路由器的處理方式,每一個封包都相互獨立,也不存在連續和對話(session)的概念。

本書主要集中在流的處理方式。

理解基於流的處理
        當封包在封包過濾或者一些Screen操作(只有配置才會有這些操作)後,就會進入基於流的處理,如下圖1.2介紹了在SRX上基於流處理的關鍵環節
圖1.2 基於流的轉發的流量流向

        一個流,就是一連串具備相同匹配條件和屬性的封包的集合,JunOS對於同一個流的封包採用相同的操作。
        在SRX確定封包是屬於一個新的流還是已知的流後,在確定對這個封包或者對話(session)如何操作之前,實際上SRX已經完成了更為複雜的分析,這種分析很大程度上取決於SRX是否已經看到流(對話(session))的存在。
        如果封包沒有匹配已知的對話(session),SRX將會對封包進行首包路徑處理,如果這個封包匹配一個已知的對話(session),SRX將會執行快速路徑處理。        
        要確定封包已經屬於一個流,SRX需要基於已知流的如下關鍵訊息來和封包進行匹配:
                (1).來源位址(Source address)
                (2).目的位址(Destination address)
                (3).來源埠(Source port)
                (4).目的埠(Destination port)
                (5).協定(Protocol)
                (6).唯一的給定區域或者虛擬路由器的對話令牌號(session token)        
        如果封包來自一個新的流,那麼將會執行下列步驟:
                (1).SCREENS檢查
                (2).靜態或者目的NAT檢查(如果有這類操作)
                (3).對於下一跳的路由檢查
                (4).目的介面和區域Zone查詢
                (5).防火牆策略查詢
                (6).反轉或來源位址NAT查詢(如果配置)
                (7).是否配置ALG(應用層閘道)
                (8).應用入侵檢測和防護系統,VPN或者高級安全服務
                (9).在SRX的對話表(session table)中安裝一個新的對話(session)
        如果封包匹配已有的對話(session),那麼SRX將會執行快速路徑的流處理,快速路徑的處理過程中,很多首路徑處理的步驟將不會重複檢查(已經完成),快速路徑處理包括如下流程:
                (1).SCREENS檢查
                (2).TCP 頭端和標記檢查
                (3).路由檢查和NAT轉換
                (4).應用閘道(Gateway)策略
                (5).應用高級安全服務
        非常重要的是,儘管封包流對話(session)已經建立,並且已經通過快速路徑處理,安全檢查還是會執行,SRX依然會阻止和丟棄拒絕服務攻擊和其他類型的惡意攻擊(注:例如在已知對話(session)上的惡意攻擊)
        還有一個需要說明的是應用層閘道(Gateway)服務,應用層閘道(Gateway)服務是對於特定的協議,例如語音中使用的SIP協定,文件共享FTP協定以及其他需要反向建立傳輸通道的協定(此時協定的埠並不固定),因此,應用層閘道(Gateway)服務就是為了保證這些協定可以被識別,並且可以創建非固定埠的對話(session)
        高級安全服務例如UTM,應用層安全,Sky ATP,SSL-Proxy,安全情報,與IDP。高級安全服務和ALG服務在圖1.3的安全服務模組中顯示。
圖1.3 安全服務和ALG應用層閘道的細節
本書參考拓樸
        圖1.4顯示的拓樸將會用在本書配置和部署中,是最小程度的展示一個企業網路的環境和功能分區:
                (1).可信區 Trust Zone(用戶終端,印表機等等)-設備管理也必須在通過本區訪問
                (2).服務區 Server Zone (沒有連接網際網路的內部服務器,例如活動目錄,檔案共享等)
                (3).非軍事區 DMZ Zone (面向網際網路的服務,例如Web server)
                (4).不可信區 Untrust Zone (連接網際網路)
圖1.4 本書參考拓樸
        在本拓樸中,終端連接在可信區並且執行例如用戶防火牆,應用防火牆,病毒防護,網頁過濾,惡意程式防護(Sky ATP)和威脅情報等安全功能,為終端機提供如上高級安全功能,同時支持網路安全的可視化功能。
        服務區保護的內網服務,並且實現和終端的安全隔離,這個區域管理員只會開放必要的服務埠,開啟必備的服務,並且儘可能地減少攻擊威脅,同時開啟入侵防護服務,來保護服務器的服務資源。
        DMZ區內的設備提供面向網際網路的服務,只允許特定的埠和應用,阻止其他所有的服務流量。入侵防護服務必須在本區域開啟,通過IPS可以極大限度的削減前端帶來的滲透等攻擊。應用層防火橋可以不限於TCP/UDP的固定埠來控制機那些應用可以開啟。
沒有留言:
標籤:

2022年3月5日 星期六

不用動手,只要開機就能出現預定學習的網頁中文版本

         第一篇沒注意到檔名是英文,在台灣的老人看不懂,協助者也看不懂。這下糟糕了,在教育老人與協助者的程式使用上,就會遭遇困難。因此,重新改寫程式,讓使用者容易辨識及使用。
        遇到的困難:
        在改寫程式為中文版本時,發現在Windows 10電腦測試,中文會出現亂碼,程式無法執行。 
        解決方案:
        原先在儲存時,使用的編碼為UTF-8,如下圖所示:

        在程式執行時,中文字就會出現亂碼。若改用編碼ANSI,如下圖所示:
        程式就會順利執行。

中文檔案下載   預設密碼demo1234

教學影片

解決方案:
        1.BAT開啟網頁,點兩下將BAT放置開機啟動目錄
        2.點兩下讀取文字檔內網址,並改寫開機啟動目錄的BAT
        3.點兩下刪除開機啟動目錄的BAT
換句話說,在資料夾內需要一個文字檔,三個BAT。

以下是思考流程:
檔案目的:儲存網址
檔案名稱:輸入網址.txt
檔案內容:
https://daibuun.org/
https://www.youtube.com/watch?v=yU6lvsA4d54
https://www.youtube.com/watch?v=NfomniugOE4
https://www.youtube.com/watch?v=1Dndv0lKGHs
https://www.youtube.com/watch?v=IKzt6cp3CVE
https://www.youtube.com/watch?v=AxBrl6ri61E
https://www.youtube.com/watch?v=1IOmqroQFVY
https://www.youtube.com/watch?v=T27Fkxnhicg

程式功能:利用預設的網頁瀏覽器開啟網頁
檔案名稱:開啟網頁.bat
檔案內容:
@echo off
start https://daibuun.org/
start https://www.youtube.com/watch?v=yU6lvsA4d54
start https://www.youtube.com/watch?v=NfomniugOE4
start https://www.youtube.com/watch?v=1Dndv0lKGHs
start https://www.youtube.com/watch?v=IKzt6cp3CVE
start https://www.youtube.com/watch?v=AxBrl6ri61E
start https://www.youtube.com/watch?v=1IOmqroQFVY
start https://www.youtube.com/watch?v=T27Fkxnhicg

程式功能:讀取文字檔內網址,並改寫開啟網頁BAT與開機啟動目錄的BAT
檔案名稱:讀取網址並改寫開啟網頁與開機啟動網頁.bat
檔案內容:
@echo off
set FileName="%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\開啟網頁.bat"
if exist  %FileName% ( 
echo @echo off > %~dp0\開啟網頁.bat
for /f "tokens=*" %%a in (%~dp0\輸入網址.txt) do (
  echo start %%a >> %~dp0\開啟網頁.bat
)
del "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\開啟網頁.bat"
copy "%~dp0\開啟網頁.bat" "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"

) else (
echo @echo off > %~dp0\開啟網頁.bat
for /f "tokens=*" %%a in (%~dp0\輸入網址.txt) do (
  echo start %%a >> %~dp0\開啟網頁.bat
)
copy "%~dp0\開啟網頁.bat" "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"



程式功能:刪除開機啟動目錄的BAT
檔案名稱:電腦復原.bat
檔案內容:
@echo off
set FileName="%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\開啟網頁.bat"
if exist  %FileName% ( 
del del "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\開啟網頁.bat"
)




沒有留言:
標籤: , ,

不用動手,只要開機就能出現預定學習的網頁

        最近接到一個請託,希望能夠讓老年人不用動手,只要開機就能出現預定學習的網頁。換句話說,連點兩下滑鼠都不用,就能夠開啟預定學習的網頁。目前收到的回饋是老年人不會使用滑鼠,需要做練習。目前的設計足夠使用。
        目前對方希望能夠做到下列要求:
        1.免動手,開機就能啟動網頁
        2.日後只要在文字檔修改新的網址,協助者只要點兩下就能夠開機啟動新的網址
        3.只要點兩下電腦恢復原狀

        對方希望能夠開啟網頁如下:
        1.https://daibuun.org/
        2.https://www.youtube.com/watch?v=yU6lvsA4d54
        3.https://www.youtube.com/watch?v=NfomniugOE4
        4.https://www.youtube.com/watch?v=1Dndv0lKGHs
        5.https://www.youtube.com/watch?v=IKzt6cp3CVE
        6.https://www.youtube.com/watch?v=AxBrl6ri61E
        7.https://www.youtube.com/watch?v=1IOmqroQFVY
        8.https://www.youtube.com/watch?v=T27Fkxnhicg

檔案下載   預設密碼demo1234

教學影片:


解決方案:
        1.BAT開啟網頁,點兩下將BAT放置開機啟動目錄
        2.點兩下讀取文字檔內網址,並改寫開機啟動目錄的BAT
        3.點兩下刪除開機啟動目錄的BAT
換句話說,在資料夾內需要一個文字檔,三個BAT。

以下是思考流程:
檔案目的:儲存網址
檔案名稱:Html.txt
檔案內容:
https://daibuun.org/
https://www.youtube.com/watch?v=yU6lvsA4d54
https://www.youtube.com/watch?v=NfomniugOE4
https://www.youtube.com/watch?v=1Dndv0lKGHs
https://www.youtube.com/watch?v=IKzt6cp3CVE
https://www.youtube.com/watch?v=AxBrl6ri61E
https://www.youtube.com/watch?v=1IOmqroQFVY
https://www.youtube.com/watch?v=T27Fkxnhicg

程式功能:利用預設的網頁瀏覽器開啟網頁
檔案名稱:OpenHtml.bat
檔案內容:
@echo off
start https://daibuun.org/
start https://www.youtube.com/watch?v=yU6lvsA4d54
start https://www.youtube.com/watch?v=NfomniugOE4
start https://www.youtube.com/watch?v=1Dndv0lKGHs
start https://www.youtube.com/watch?v=IKzt6cp3CVE
start https://www.youtube.com/watch?v=AxBrl6ri61E
start https://www.youtube.com/watch?v=1IOmqroQFVY
start https://www.youtube.com/watch?v=T27Fkxnhicg

程式功能:讀取文字檔內網址,並改寫開啟網頁BAT與開機啟動目錄的BAT
檔案名稱:ReadTxt2HtmlOpen.bat
檔案內容:
@echo off
set FileName="%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenHtml.bat"
if exist  %FileName% ( 
echo @echo off > %~dp0\OpenHtml.bat
for /f "tokens=*" %%a in (%~dp0\Html.txt) do (
  echo start %%a >> %~dp0\OpenHtml.bat
)
del "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenHtml.bat"
copy "%~dp0\OpenHtml.bat" "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
) else (
echo @echo off > %~dp0\OpenHtml.bat
for /f "tokens=*" %%a in (%~dp0\Html.txt) do (
  echo start %%a >> %~dp0\OpenHtml.bat
)
copy "%~dp0\OpenHtml.bat" "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"

程式功能:刪除開機啟動目錄的BAT
檔案名稱:PcReset.bat
檔案內容:
@echo off
set FileName="%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenHtml.bat"
if exist  %FileName% ( 
del del "%HomePath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenHtml.bat"
)




沒有留言:
標籤: , ,
訂閱: 文章 (Atom)

只要點兩下,就可以將資料夾input內的所有Word通通轉成一個PDF

  系列文章: 1.  只要點兩下,就能將一堆的Doc與Docx 轉成 PDF 1. https://skjhcreator.blogspot.com/2023/05/docdocx-pdf.html 2. 只要點兩下,就能將一堆的JPG轉成一個PDF,並以JPG所在的資料夾名稱...