Q 部落 - Technique

各BIOS设置来电自动开机

qubingjian@163.com(ququ) — Sun,23 Aug 2009 12:14:56 +0800

来电开机
下面根据不同的BIOS列出相应的设置方法：
1、首先进入Power Management Setup（电源管理设定）→Power Again（再来电状态），此项决定了开机时意外断电之后，电力供应恢复时系统电源的状态。设定值有：
Power Off（保持系统处于关机状态）
Power On（保持系统处于开机状态）
Last State（恢复到系统断电前的状态）进入挂起/睡眠模式，但若按钮被揿下超过4秒，机器关机。
把这个选项改成power off就行了！

2、首先进入BIOS的设置主界面，选择[POWER MANAGEMENT SETUP]，再选择[PWR Lost Resume State]，这一项有三个选择项。
选择[Keep OFF]项，代表停电后再来电时，电脑不会自动启动。
选择[Turn On]项，代表停电后再来电时，电脑会自动启动。
选择的[Last State]，那么代表停电后再来电时，电脑恢复到停电前电脑的状态。断电前如果电脑是处于开机状态，那么来电后就会自动开机。断电前是处于关机状态，那么来电后电脑不会自动开机。

3、有的BIOS中[POWER MANAGEMENT SETUP]没有上面说的[PWR Lost Resume State]，可以在[PWRON After PWR-Fail]→[Integrated Peripherals]选项中找到两个选项：ON(打开自动开机)和OFF(关闭自动开机)，设置为OFF即可。

不同的主板及BIOS型号相对应的选项会有所不同，但我想应该会差不多，一般都在[POWER MANAGEMENT SETUP]这个选项中可以找到相应的设置选项！

一、来电自动开机

一般计算机在市电停电再来电后主机不会自动开启，你需要按一下POWER键重新开机，而服务器一般都能在市电断开再来电的时候自动加电开机，这一功能是怎么实现的呢？其实很简单，你家的计算机也有这样的功能，只需进入BIOS进行设置即可。

开机按“DEL”键，进入主板的BIOS，选择“Power Management Setup（电源管理设置）”，其中有一个选项为“Pwron After PW-Fail”意思是：电源故障断电之后，来电自动开机。默认设置值是“Disabled”，即接通电源后不会自动开机，我们把该项设置值改为“Enabled”，这样断电恢复后就能自动开机了。不过，并不是每一款主板都支持这项功能的，你自己进入BIOS，实地查看一下就知道了。

二、定时开机

现在有很多定时关机的软件，可以设计一个时间，计算机到时间自动关机。但是开机就不会受软件的控制了，只能通过主板的BIOS设置来解决。

方法是，开机按Del键，进入BIOS设置程序画面。选择“Power Management Setup”(电源管理设置)，将“RTC Alarm Resume”(预设时间启动)一项设置为“Enabled”，下面出现两个设置项，“Date of month”(系统开机日期)和“Time(hh:mm:ss)”(系统开机时间)，通过这两项设置开机的日期和时间，日期可以设置为“Event Day”（每天）,设置好后，计算机就会根据你设定的时间自动开机了。

三、鼠标开机

开机按Del键，进入BIOS设置程序画面。选择“Power Management Setup”(电源管理设置)选项，将“Mouse Power On”的值改为“Enabled”，保存退出，这样通过双击鼠标按键就可以开机了。

四、键盘开机

同鼠标开机设置方法差不多，开机按Del键，进入BIOS设置程序画面。将“Power Management Setup”(电源管理设置)下面的选项“Keyboard Power On”的值改为“Enabled”，这样通过按键盘上的“POWER”就可以开机了。

五、密码开机

如果你不希望别人随便动你的电脑，你可以设置密码开机。开机进入CMOS设置，进入“Power Management Setup”(电源管理设置)，找到“Keyboard 98 Password”选项，然后输入相应的密码，这样你可以通过在键盘上输入你的密码开机了。有的主板在设置这一选项后自动屏蔽主机面板上的“POWER”键，如果不能屏蔽的话，你可以拔掉主板上与机箱面板的Power键相连的接针，使机箱面板上的开机按钮失效。这样别人不知道密码就不会随便开启你的机器了。

六、远程唤醒

远程唤醒就是通过局域网实现远程开机，无论你的计算机离你有多远、处于什么位置，只要在同一局域网内，就能被随时启动。

实现这一功能，需要主板和网卡的支持，还需要专门的软件。

主板的设置方法是，进入CMOS参数设置。选择电源管理设置“Power Management Setup”菜单，将“Wake up on LAN”项和“Wake on PCI Card”项均设置为“Enable”，启用该计算机的远程唤醒功能。另外还需将网卡上的“Wake-on-LAN”功能设置为“Enable”。

然后检测你的网卡的MAC地址，这是识别每一个网卡的唯一地址。查看方法是：

WIN98、WINME：依次单击“开始/运行”，键入“winipcfg”并回车，弹出“IP配置”窗口。在下拉列表中选择“PCI Fast Ethernet Adapter”，此时显示在“适配器地址”栏中的文字即为该网卡的MAC地址。

WIN2000、WINXP：依次单击“开始/运行”，键入“cmd”并回车，在命令提示符下输入“ipconfig/all”，回车，显示的一组类似“00-E0-4C-3C-55-28”的16进制数值好为网卡的MAC地址。

然后就是远程操作的软件了，一般具备远程操作功能的网卡都随卡带一个软件，使用那个软件就可以实现远程开机。软件的操作方法一般都很简单，打开软件，输入要开机的MAC地址即可。

以上介绍了几种特殊的开机方法，希望给你带来一些方便，但是并非所有功能在你的计算机上都能实现的，要看主板的型号和BIOS的版本，另外，各种BIOS的版本不一样相应设置方法也有可能稍有不同，不过有点英文基础的电脑爱好者都会很容易找到你需要的功能的。

NetScreen防火墙防御DoS（拒绝服务）攻击详细介绍

qubingjian@163.com(ququ) — Thu,09 Apr 2009 11:32:58 +0800

一．拒绝服务攻击DoS
1. 拒绝服务攻击的目的是用极大量的虚拟信息流耗尽受害者的资源，使其无法处理合法的信息流。攻击的目标可以是防火墙、防火墙所保护的网络资源、个别主机的特定硬件平台或操作系统等。通常DoS攻击中的源地址是欺骗性的。

2. 发自多个源地址的DoS攻击称为分布式拒绝服务攻击（DDoS）。DDoS攻击中的源地址可以是欺骗性地址，也可以是被损害过的主机的实际地址，或者是攻击者目前正用作“zombie代理”且从中发起攻击的主机实际地址。

3. netscreen防火墙提供了九种拒绝服务攻击的检测和防御：
   会话表泛滥攻击的检测和防御
   SYN-ACK-ACK代理泛滥攻击的检测和防御
   SYN泛滥攻击的检测和防御
   ICMP泛滥攻击的检测和防御
   UDP泛滥攻击的检测和防御
   陆地攻击的检测和防御。
   Ping of Death攻击的检测和防御
   Teardrop攻击的检测和防御
   WinNuke攻击的检测和防御。

二．会话表泛滥攻击的检测和防御
1．攻击者通过填满防火墙的会话表，使防火墙不能产生任何新的会话，拒绝新的连接请求，从而产生DoS攻击。防火墙主要采用基于源和目标的会话限制和主动调整会话超时的主动失效机制两种手段来减轻这类攻击。

2．选择SCREEN选项“Source IP Based Session Limit”和“Destination IP Based Session Limit” 将启动基于源和目标的会话限制功能。默认的基于源和目标的会话限制是每秒128个并发连接。

3．基于源的会话限制将限制来自相同源地址的并发会话数目，可以阻止像Nimda、冲击波这样的病毒和蠕虫的DoS攻击。这类病毒会感染服务器，然后从服务器产生大量的信息流。由于所有由病毒产生的信息流都始发于相同的IP地址，因此基于源的会话限制可以保证防火墙能抑制这类巨量的信息流。当来自某个IP 地址的并发会话数达到最大限值后，防火墙开始封锁来自该IP地址的所有其他连接尝试。假如网络发生了冲击波病毒，我们可以将内网的基于源的会话限制设置为一个比较低的值（比如设为50），那些不能上网的机器，很可能就是中了毒，立刻隔离并进行查杀病毒和打补丁。

4．攻击者可以从上百个被他控制的主机上发起分布式拒绝服务（DDoS）攻击。基于目标的会话限制可以确保防火墙只允许可接受数目的并发连接请求到达任意主机，而不管其来源。当访问某服务器的并发会话数超限时，防火墙将封锁到该服务器的所有其他的连接尝试。

5．在默认情况下，最初的TCP三次握手的超时值为20秒，会话建立后，超时值改变为1800秒；对于HTTP和UDP，超时值分别为300秒和60秒。当发生攻击时，并发会话数很快增长，但由于超时值的限制，那些没有完成的连接会话就会迅速填满会话表。防火墙提供了一种主动失效机制，当会话表的使用达到一个高限值时（比如最大并发会话数的80%），缩短会话超时值，提前删除会话。当会话表的使用低于某个低限值时（比如最大并发会话数的60%），超时值恢复为默认值，超时进程恢复正常。主动失效机制将以设定的会话主动失效速率缩短默认的会话超时值，加速会话失效。失效速率值可在2~10个单位间选择（每个单位表示10秒）。该功能要通过命令来设置。
  set flow aging low-watermark 60
  set flow aging high-watermark 80
  set flow aging early-ageout 6
上述设置的作用是当会话表的使用达到最大并发会话数的80%时，启动主动失效机制加速会话失效。此时，TCP的会话超时值由1800秒缩短为1740秒， HTTP的会话超时值由300秒缩短为240秒，而UDP的会话超时值缩短为0。防火墙将自动删除超时值超过1740秒的TCP会话和超时值超过240秒的HTTP会话，首先开始删除最早的会话。提前60秒超时的设置导致所有的UDP会话超时，并在下一次垃圾清扫时被删除。当会话表的使用下降到最大并发会话数的60%时，停止加速失效，会话超时值恢复为原来的默认值。这样可以有效地抑制使防火墙会话表泛滥的攻击。

三．SYN-ACK-ACK代理泛滥攻击的检测和防御
1．当认证用户发起Telnet或FTP连接时，防火墙截取用户发往Telnet或FTP服务器的SYN片段，在其会话表中创建一个条目，并代发一个 SYN-ACK片段给用户，然后该用户用ACK应答，从而完成最初的三次握手。之后，防火墙向用户发出登陆提示。如果用户是一个攻击者，他没有响应登陆而是继续发起SYN-ACK-ACK会话，由此引发了SYN-ACK-ACK代理泛滥，最终会填满防火墙的会话表，从而拒绝合法用户的连接请求。

2．为阻挡这种攻击，可以启动SCREEN的“SYN-ACK-ACK Proxy Protection”选项。在来自相同IP地址的连接数目达到SYN-ACK-ACK代理阀值后（默认是512，可选1-250000之间任何整数以适应不同的网络环境）防火墙将拒绝来自该地址的更多其他连接请求。

四．SYN泛滥攻击的检测和防御
1. 利用欺骗性的IP源地址（不存在或不可到达）大量发送请求TCP连接的SYN片段，这些无法完成的TCP连接请求，造成受害主机的内存缓冲区被填满，甚至操作系统被破坏，从而无法再处理合法的连接请求，此时就发生了SYN泛滥。

2．为阻挡这种攻击，可以启动SCREEN的“SYN Flood Protection”选项。防火墙设定每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阀值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同安全区域（zone）中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。

3．设置下列检测和防御SYN泛滥攻击的阀值
Attack Threshold：每秒发往相同目标地址和端口号的SYN片段数目达到该阀值时将激活SYN代理(默认值是200)。如果设置Attack Threshold=1000pps，当攻击者每秒发送999个FTP封包和999个HTTP封包，由于每一组封包（具有相同目的地址和端口号的封包被视为一组）都没有超过1000pps的设定阀值，因此不会激活SYN代理。

Alarm Threshold：每秒代理的发往相同目标地址和端口号的未完成的连接请求数超过此阀值时将触发警告(默认值是1024)。如果设定Attack Threshold=300，Alarm Threshold=1000，则每秒发往相同目标地址和端口号的前300个SYN片段可以通过防火墙，在同一秒内，防火墙代理后面的1000个SYN片段，第1001个代理连接请求（即该秒内第1301个连接请求）将会触发警告。

Source Threshold：防火墙开始丢弃来自该源地址的连接请求之前，每秒从单个源IP地址接收的SYN片段数目（不管目标地址和端口号是什么）。默认值是 4000pps。设置了此阀值时，不管目标地址和端口号是什么，防火墙都将跟踪SYN封包的源地址；当超过此阀值时，对于该秒的剩余时间及下一秒内，防火墙将拒绝来自该源地址的所有其他SYN封包。

Distination Threshold：当每秒发往单个目标IP地址（不管目标端口号）的SYN片段数目超过此阀值时，防火墙将拒绝发往该目标地址的所有新连接请求。默认值是40000pps。如果设定Distination Threshold=1000pps，当攻击者每秒发送999个FTP封包和999个HTTP封包时，防火墙将发往同一目标的FTP和HTTP封包看成是一个组的成员，并拒绝发往该目标地址的第1001个封包（FTP或HTTP封包）。

Timeout：未完成的TCP连接被从代理连接队列中丢弃前的最长等待时间。默认是20秒。

Queue size：防火墙开始拒绝新连接请求前，代理连接队列中最大存放代理连接请求的数量。默认值是10240.

五. ICMP泛滥攻击的检测和防御
1. 受害者耗尽所有资源来响应ICMP回应请求，直至无法处理有效的网络信息时，就发生ICMP泛滥。

2．启用SCREEN的“ICMP Flood Protection”选项可以抵御ICMP泛滥攻击。一旦超过设定的阀值（默认为每秒1000个封包），防火墙在该秒余下的时间和下一秒内拒绝来自相同安全区域（zone）所有地址的更多ICMP回应请求。

六．UDP泛滥攻击的检测和防御
1. 当攻击者大量发送含有UDP数据报的IP封包以减慢受害者的操作速度，以致于受害者无法处理有效的连接时，就发生UDP泛滥。

2．启用SCREEN的“UDP Flood Protection”选项可以抵御UDP泛滥攻击。如果发送给单个目标的UDP数据报数目超过设定的阀值（默认为每秒1000个封包），防火墙在该秒余下的时间和下一秒内拒绝来自相同安全区域（zone）并发往该目标地址的更多UDP数据报。

七.陆地（Land）攻击的检测和防御
1. Land攻击将SYN泛滥攻击和IP地址欺骗结合在一起。当攻击者大量发送以被攻击者的IP地址作为源和目的地址的SYN封包时，就发生Land攻击。被攻击者向自己发送SYN-ACK封包进行响应，创建一个空的连接，该连接一直保持到连接超时为止。大量的这种空连接将耗尽系统的资源，导致DoS发生。

2．启用SCREEN的“Land Attack Protection”选项可以封锁Land攻击。防火墙将SYN泛滥防御和IP地址欺骗防御技术有机地相结合，防御这种攻击。

八. Ping of Death攻击的检测和防御
1．IP协议规定最大IP封包长度是65535字节，其中包括长度通常为20字节的封包包头。ICMP回应请求是一个含有8字节ICMP包头的IP封包，因此ICMP回应请求数据区最大长度是65507字节（65535-20-8）。

2．许多ping程序允许用户指定大于65507字节的封包大小，在发送过大的ICMP封包时，它将被分解成许多碎片，重组过程可能导致接受系统崩溃。

3．启用SCREEN的“Ping of Death Attack Protection”选项，防火墙将检测并拒绝这些过大且不规则的封包，即便是攻击者通过故意分段来隐藏总封包大小。

九. Teardrop攻击的检测和防御
1. IP包头的碎片偏移字段表示封包碎片包含的数据相对原始未分段封包数据的开始位置或偏移。当一个封包碎片的开始位置与前一个封包的结束位置发生重叠时（例如，一个封包的偏移是0，长度是820，下一个封包的偏移是800），将会导致有些系统在重组封包时引起系统崩溃，特别是含有漏洞的系统。 Teardrop攻击就是利用了IP封包碎片重组的特性。

2．启用SCREEN的“Teardrop Attack Protection”选项，只要防火墙检测到封包碎片中这种差异就丢弃该封包。

十. WinNuke攻击的检测和防御
1. WinNuke攻击是针对互联网上运行Windows系统的计算机。攻击者将TCP片段发送给已建立连接的主机（通常发送给设置了紧急标志URG的 NetBIOS端口139），这样就产生NetBIOS碎片重叠，从而导致运行Windows系统的机器崩溃。重新启动遭受攻击的机器后，会显示下面的信息：
An exception OE has occurred at 0028:[address] in VxD MSTCP(01)
000041AE. This was called from 0028:[address] in VxD NDIS(01)
00008660.It may be possible to continue normally.
Press any key to attempt to continue.
Press CTRL ALT DEL to restart your computer. You will lose any unsaved information in all applications.
Press any key to continue.

2．启用SCREEN的“WinNuke Attack Protection”选项，防火墙扫描所有流入139端口（NetBIOS会话服务）的封包，如果发现其中一个封包设置了URG标志，防火墙将取消该 URG标志，清除URG指针，转发修改后的指针，然后在事件日志中写入一个条目，说明其已封锁了一个WinNuke攻击的尝试。

读懂路由表

qubingjian@163.com(ququ) — Wed,24 Dec 2008 18:11:30 +0800

Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.88 1
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.68 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.123.0 255.255.255.0 192.168.123.68 192.168.123.68 1
192.168.123.0 255.255.255.0 192.168.123.88 192.168.123.88 1
192.168.123.68 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.88 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.255 255.255.255.255 192.168.123.68 192.168.123.68 1
192.168.123.255 255.255.255.255 192.168.123.88 192.168.123.88 1
224.0.0.0 224.0.0.0 192.168.123.68 192.168.123.68 1
224.0.0.0 224.0.0.0 192.168.123.88 192.168.123.88 1
255.255.255.255 255.255.255.255 192.168.123.68 192.168.123.68 1
Default Gateway: 192.168.123.254
====================================================
当前的路由：
　　destination 目的网段
　　mask 子网掩码
　　interface 到达该目的地的本路由器的出口IP
　　gateway 下一跳路由器入口的ip，路由器通过interface和gateway定义一调到下一个路由器的链路，通常情况下，interface和gateway是同一网段的
　　metric 跳数，该条路由记录的质量，一般情况下，如果有多条到达相同目的地的路由记录，路由器会采用metric值小的那条路由

第一条
　　缺省路由：意思就是说，当一个数据包的目的网段不在你的路由记录中，那么，你的路由器该把那个数据包发送到哪里！缺省路由的网关是由你的连接上的default gateway决定的
　　该路由记录的意思是：当我接收到一个数据包的目的网段不在我的路由记录中，我会将该数据包通过192.168.123.88这个接口发送到192.168.123.254这个地址，这个地址是下一个路由器的一个接口，这样这个数据包就可以交付给下一个路由器处理，与我无关。该路由记录的线路质量 1

第二条
　　缺省路由：
　　该路由记录的意思是：当我接收到一个数据包的目的网段不在我的路由记录中，我会将该数据包通过192.168.123.68这个接口发送到192.168.123.254这个地址，这个地址是下一个路由器的一个接口，这样这个数据包就可以交付给下一个路由器处理，与我无关。该路由记录的线路质量 1

第三条
　　本地环路：127.0.0.0这个网段内所有地址都指向自己机器，如果收到这样一个数据，应该发向哪里该路由记录的线路质量 1

第四条
　　直联网段的路由记录：当路由器收到发往直联网段的数据包时该如何处理，这种情况，路由记录的interface和gateway是同一个。
　　当我接收到一个数据包的目的网段是192.168.123.0时，我会将该数据包通过192.168.123.68这个接口直接发送出去，因为这个端口直接连接着192.168.123.0这个网段，该路由记录的线路质量 1

第五条
　　直联网段的路由记录
　　当我接收到一个数据包的目的网段是192.168.123.0时，我会将该数据包通过192.168.123.88这个接口直接发送出去，因为这个端口直接连接着192.168.123.0这个网段，该路由记录的线路质量 1

第六条
　　本地主机路由：当路由器收到发送给自己的数据包时将如何处理
　　当我接收到一个数据包的目的网段是192.168.123.68时，我会将该数据包收下，因为这个数据包时发送给我自己的，该路由记录的线路质量 1

第七条
　　本地主机路由：当路由器收到发送给自己的数据包时将如何处理
　　当我接收到一个数据包的目的网段是192.168.123.88时，我会将该数据包收下，因为这个数据包时发送给我自己的，该路由记录的线路质量 1

第八条
　　本地广播路由：当路由器收到发送给直联网段的本地广播时如何处理
　　当我接收到广播数据包的目的网段是192.168.123.255时，我会将该数据从192.168.123.68接口以广播的形势发送出去，该路由记录的线路质量 1

第九条
　　本地广播路由：当路由器收到发送给直联网段的本地广播时如何处理
　　当我接收到广播数据包的目的网段是192.168.123.255时，我会将该数据从192.168.123.88接口以广播的形势发送出去，该路由记录的线路质量 1

第十条
　　组播路由：当路由器收到一个组播数据包时该如何处理
　　当我接收到组播数据包时，我会将该数据从192.168.123.68接口以组播的形势发送出去，该路由记录的线路质量 1

第十一条
　　组播路由：当路由器收到一个组播数据包时该如何处理
　　当我接收到组播数据包时，我会将该数据从192.168.123.88接口以组播的形势发送出去，该路由记录的线路质量 1

第十二条
　　广播路由：当路由器收到一个绝对广播时该如何处理
　　当我接收到绝对广播数据包时，将该数据包丢弃掉

连接的缺省网关：192.168.123.254

安全从定制IP策略开始

qubingjian@163.com(ququ) — Mon,24 Nov 2008 22:08:47 +0800

了解IP安全策略

　　IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。

　　实战IP安全策略

　　1、创建一个IP安全策略

　　第一步：单击"开始"菜单，然后选择"设置→控制面板"，在弹出的"控制面板"中，双击"管理工具"图标，进入到"管理工具"中，再次双击其中的"本地安全策略"图标并进入到"本地安全策略"对话框中。

　　第二步：用鼠标右击"IP安全策略"，选择"创建IP安全策略"命令

　　在弹出的"IP安全策略向导"对话框中，单击"下一步"按钮，输入IP安全策略的名称

　　如"屏蔽135端口"，再次单击"下一步"按钮，保持默认参数设置不变，直至完成位置，这样就创建出来了一个"屏蔽135端口"的安全策略，单击"确定"按钮返回。

　　2、设置IP筛选器

　　鼠标右击"IP安全策略"，选择"管理IP筛选器和筛选器操作"，进入到相应得对话框中，在"管理IP筛选器列表"页面中，点击"添加"按钮，在弹出的"IP筛选器列表"中输入名称"屏蔽135端口"，单击"添加"按钮，再点击"下一步"按钮。在目标地址中选择"我的IP地址"，点击"下一步"按钮，在协议中选择"TCP"(一般选择此项，根据具体的端口设定，如关闭ICMP协议时，这里选择ICMP)，如图3所示，点击"下一步"按钮，在设置IP协议端口中选择从任意端口到此端口，在此端口中输入135，点击"下一步"按钮，即可完成屏蔽135端口的设置，单击"确定"按钮返回。其他端口的设置与此类似。

　　3、筛选器操作

　　还是在"管理IP筛选器和筛选器操作"对话框，进入到"管理筛选器操作"页面，点击"添加"按钮后，再单击"下一步"按钮，在名称中输入"拒绝"，点击"下一步"按钮。在筛选器操作中选择"阻止"项，点击"下一步"按钮，这样在管理筛选器操作中就会增加"拒绝"一项了。单击"关闭"按钮返回到"本地安全设置"对话框中。

　　在"本地安全设置"对话框中双击左侧窗口中的"IP安全策略在本地计算机"，我们可以看到右侧窗口中会出现"屏蔽135端口"字样，用鼠标右击这个新建的IP安全策略"屏蔽135端口"，选择"属性"。在规则中选择"添加"，点击"下一步"按钮，选择"此规则不指定隧道"，接着点击"下一步"按钮，在选择网络类型中选择"所有网络连接"，点击"下一步"按钮，在IP筛选器列表中选择"屏蔽135端口。

　　点击"下一步"按钮，在出现的窗口中选中前面操作中添加的"拒绝"，单击"下一步"按钮，这样就将筛选器加入到了名为 "屏蔽135端口"的IP安全策略中了，单击"确定"按钮返回。

　　4、指派

　　完成了"屏蔽135端口"的IP安全策略的建立，但是在未被指派之前，它并不会起作用。用鼠标右击"屏蔽135端口"，选择"指派"后，IP安全策略就生效了。同样的方法还可以用于其他的端口和用途，举一反三！

OpenVPN客户端配置文件祥解

qubingjian@163.com(ququ) — Wed,19 Nov 2008 14:21:05 +0800

[replyview]
# Linux或Unix下使用扩展名为.conf
# Windows下使用的是.ovpn
# 把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key

# 标注自己是个客户端
# 配置从server端pull过来，如IP地址，路由信息之类"Server使用push指令push过来的"
client

# 路由模式或桥模式
# 这项要和服务器端一样
;dev tap
dev tun

# 在Windows上如果你更多的网络接口，你需要在网络连接控制面板上增加
# TAP-Win32适配器接口名
# 在XP SP2或更高系统上，你需要使windows防火墙对该接口不执行过滤规则
# 非Windows系统通常不需要设置这个
;dev-node MyTap

# TCP还是UDP server?
;proto tcp
proto udp

# 远程服务器主机名和端口
# 你可以设置多个服务器来做负载均衡
remote server.teczm.com 1194 #用域名比较好,除非dns DOWN机
;remote my-server-2 1194

# 负载均衡时所用:
# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，
# Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

# 在本机不绑定任何端口监听incoming数据，
# Client无需此操作，除非一对一的VPN有必要
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
persist-tun

# 这项用于通过http代理访问openvpn服务器的情况
# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，
# auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 这项用于无线网络
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# 证书/key文件指向
# Root CA 文件的文件名，用于验证Server CA证书合法性，
# 通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt

# easy-rsa/build-key生成的key pair文件，
#上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert client.crt
key client.key

# 该项检测服务器证书可靠性
# Server使用build-key-server脚本生成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
;tls-auth ta.key 1

# 选择一种加密算法,必需和服务器端一致
;cipher x

# 允许数据压缩
# 这项和服务器配置文件一样
comp-lzo

# 设置日志记录冗长级别
verb 3

# 重复日志记录限额
mute 20

OpenVPN服务器端配置文件祥解

qubingjian@163.com(ququ) — Wed,19 Nov 2008 14:20:25 +0800

[replyview]
# 哪个本地ip地址将被Openvpn监听?
# 也可以不注明
;local a.b.c.d

# 哪一个tcp/udp端口将被监听?
# 如果你要在一台机器上启动多个OpenVPN,你需要监听不同的端口
# 记着在防火墙那里打开这些端口
port 1194

# TCP还是UDP协议?
# 如果采用HTTP proxy，必须使用TCP协议
proto udp

# "dev tun" 将创建1个路由隧道
# "dev tap" 将创建1个以太网隧道
# 如果你选择桥模式,使用 "dev tap"
# 如果你需要控制每个客户端的访问控制策略
# 你必须创建防火墙规则到TUN/TAP接口
# 在非Windows系统上,你可以明确该接口,如:tun0
# 在Windows上,使用"dev-node"
# 在大多数系统上,如果你的防火墙部分或全部禁止TUN/TAP接口的话,Openvpn将可能不起作用
;dev tap
dev tun

# 在Windows上如果你更多的网络接口，你需要在网络连接控制面板上增加
# TAP-Win32适配器接口名
# 在XP SP2或更高系统上，你需要使windows防火墙对该接口不执行过滤规则
# 非Windows系统通常不需要设置这个
;dev-node MyTap

# 证书/key文件指向
ca ca.crt  #OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
cert server.crt #Server使用的证书文件
key server.key  #Server使用的证书对应的key,该文件必须严格控制其安全性

#CRL文件的申明，被吊销的证书链，这些证书将无法登录
;crl-verify vpncrl.pem

# Diffie hellman文件指向
# 如果你在建立证书时使用2048的话这里是2048
# 否则默认
dh dh1024.pem

# 给接入的client分配的地址段
server 192.168.80.0 255.255.255.0

# 维护客户端和虚拟ip地址联系
# 在openvpn重启时,再次连接的客户端将依然被分配和以前一样的
# ip地址
ifconfig-pool-persist ipp.txt

# openvpn桥模式用的[我不用桥模式]
# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# 下面这句使客户端能访问服务器后面的子网机器
# 比如:服务器子网网段是192.168.10.0和192.168.10.2
# 你需要在openVPN服务器端配置文件中添加下面这两句
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"

# 使服务器子网内机器可以访问客户端子网内机器
# 仅用于路由模式
# 假设:客户端子网网段192.168.40.0
# 首先,在服务器配置文件中添加下面这两行
#    client-config-dir ccd
#  和route 192.168.40.0  255.255.255.0
# 然后在服务器端ccd目录下创建一个文件,文件名是客户端的公共名
# 文件内容是:
#    iroute 192.168.40.0  255.255.255.0
;client-config-dir ccd
;route 192.168.40.0  255.255.255.0

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
#  ifconfig-push 10.9.0.1 10.9.0.2

# 支持对不同客户端组执行不同的防火墙策略
# 这里有两种方法
# (1) 运行多个OpenVPN守护进程, 每个对应不同的组
#    并且防火墙对不同的组和进程执行不同的策略
# (2) (高级)创建1个动态脚本使防火墙对接入的不同客户端执行不同的策略
;learn-address ./script

# 下面这句使客户端所有网络通信通过vpn
# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel.  Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
;push "redirect-gateway"

# 客户端DHCP设置
# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"

# 下面这句使客户端能相互访问
# 否则，默认设置下客户端间不能相互访问
client-to-client

# 这段常用于测试用途，注释该条可实现限制一个证书在同一时刻只能有一个客户端接入
# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names.  This is recommended
# only for testing purposes.  For production use,
# each client should have its own certificate/key
# pair.
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

# 活动连接保时期限
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120

# 为防止遭到DDoS攻击
# 生成ta.key文件，并cp到服务器端和每个客户端
# 该文件用以下命令生成
# openvpn --genkey --secret ta.key
# 服务器端0,客户端1
# 该文件要严格保护
tls-auth ta.key 0 # 服务器端是0

# 选择一种加密算法,Server端和client端必须一样
# Select a cryptographic cipher.
# This config item must be copied to
# the client config file as well.
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC  # AES
;cipher DES-EDE3-CBC  # Triple-DES

# 允许数据压缩
# 客户端配置文件也需要有这项
comp-lzo

# 最大客户端并发连接数量
;max-clients 100

#定义运行openvpn的用户
;user nobody
;group nobody

#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
persist-tun

#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log

#记录日志，每次重新启动openvpn后删除原有的log信息
;log        openvpn.log
#或者
#记录日志，每次重新启动openvpn后追加原有的log信息
log-append  openvpn.log  #[为便于管理log可将该项改为/var/log/openvpn.log]

# 设置日志记录冗长级别
# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3

# 重复日志记录限额
# Silence repeating messages.  At most 20
# sequential messages of the same message
# category will be output to the log.
mute 20

全局组、域本地组、通用组到底有什么区别？它们之间的关系如何?

qubingjian@163.com(ququ) — Tue,14 Oct 2008 12:07:49 +0800

首先我们需要明确一点：为什么我们需要建立组？
答案很简单：为了管理方便！
其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的，如下图所示：

在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。
在上面的例子中，大连的公司财务部门出了一点问题，需要从北京、上海都找10个人支援一下，大连公司的账目资料都保存在一台财务部专用服务器上。因为是公司机密信息，安全性比较高，所有资料仅仅允许财务部门的人访问。管理员为了方便管理，就为财务部门创建了一个域本地组dlf，在服务器上赋予dlf组权限（这种策略的简写就是A-DL-P，Account -域本地组- permission）。然后上海和北京的管理员分别为各自要帮助大连的10个人创建了一个全局组bjf和shf（这就是A-G，Account -全局组），这样然后大连的管理员仅仅添加bjf和shf到dlf即可完成权限的添加，而不需要关心到底是哪些人来支持财务部工作，然后一个一个添加了。而对于最终资源来说，它感觉自己没有变化，因为自己始终都是允许被blf访问，并没有发生变化。这就是著名的A-G-DL-P的使用。下面是示意图：

现在来看这样一种情况：
你是一个域的管理员，在文件服务器上建立了一个共享文件夹，用来放置一些财务部专用文档，假如你有两个选择：
1．在安全属性页中一个一个添加财务部的人员并配置相应的权限。
2．在域控制器中创建财务部的组（包含所有财务部人员），在安全属性页中添加财务部组
假设财务部又新来了Ｎ位员工，如果你选择第一种方案，你就需要在安全属性中添加并配置Ｎ位员工，而选择第二种方案，你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了，而无需修改安全属性中的角色列表。所以，很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候，使用组来管理的好处就更能够体现出来了。
通过这个例子你也能够体会到：使用组其实是为了管理方便，用最少的工作获得最好的效果！

明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。
什么是本地组呢？
很多时候本地组被人认为是域本地组的简称。其实严格来说，本地计算机上也可以创建属于本机的组，这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中，而域本地组存储在域控制器上。你如果使用过域，应该有这种体验：使用域帐户登录域中任意一台计算机后，默认情况下是普通的Users组权限，如果要提升成管理员权限，需要把这个域帐户添加到本地计算机的Administrators组中。

全局组的特点是什么呢？
全局组成员来自于同一域的用户账户和全局组，在林范围内可用。
也就是说能够添加到全局组的成员是本域的成员或者全局组（这样就构成了组的嵌套）。如果在上海的域中创建了全局组A，那么能添加到A中的人只能是上海域中的对象或者是其他可信任域，如北京或大连的全局组。

域本地组的特点是什么呢？
域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。

通用组的特点是什么呢？
通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上，而是保存在全局编录中，当发生变化时能够全林复制。
规则就这些，请不要记混。可以简单这样记忆：
全局组来自本域用于全林
通用组来自全林用于全林
域本地组来自全林用于本域
因为只有域本地组专用于在本地赋予权限，所以，通常情况下，域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用：

康博公司是一个大型的软件公司。公司的业务发展很快，目前在北京拥有自己的办公大楼，总部也因此设在那里，另外在上海也有分公司。公司在企业内部建立了域名为comboo.com的域，由于上海的分公司主营外包业务，相对比较独立，于是为其创建了子域os.comboo.com，从而形成了域树。
后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公司，名为博通，总部设在大连。博通在总公司的林中创建了自己的域环境botong.com。为了充分利用所有的资源，在子公司和总公司之间建立了信任关系，以便能够相互访问资源。
整个的逻辑结构图如下所示：

不使用AGDLP策略的时候，我们也可以实现这个功能，就是直接把用户帐户添加到财务部资源的访问控制列表中，示意图如下：

每条线代表一次操作，很显然，当出现变更的时候，不使用AGDLP的情况会很糟糕，因为每次改动都会带来目标权限的重新设置。
上面我们看到了全局组和域本地组带来的管理上的方便性。你也许会问，通用组来自全林用于全林，看起来似乎比全局组更方便，可以完全取代全局组的，为什么不这么做？
因为正是由于通用组内部成员来自于全林，而且它信息是存储在全局编录中的，任何的变化都会导致全林复制，这个复制流量不可忽视。前面我们学过，在全局编录中一般存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的，所以，强烈建议不要直接添加用户帐户到通用组，而是先添加帐户到全局组，然后再把这些相对稳定的全局组添加到通用组.
在上面的例子中，假设有很多域，有很多全局组，就推荐使用AGUDLP，在每个域中分别创建了全局组后，应用通用组来管理全局组，最后把通用组加入到域本地组，进行权限的设置。示意图如下：

网页设计元素的各种尺寸标准

qubingjian@163.com(ququ) — Mon,13 Oct 2008 16:50:01 +0800

1、800*600下，网页宽度保持在778以内，就不会出现水平滚动条，高度则视版面和内容决定。
2、1024*768下，网页宽度保持在1002以内，如果满框显示的话,高度是612-615之间.就不会出现水平滚动条和垂直滚动条。
3、在ps里面做网页可以在800*600状态下显示全屏，页面的下方又不会出现滑动条，尺寸为740*560左右
4、在PS里做的图到了网上就不一样了，颜色等等方面，因为ＷＥＢ上面只用到２５６ＷＥＢ安全色，而ＰＳ中的ＲＧＢ或者ＣＭＹＫ以及ＬＡＢ或者ＨＳＢ的色域很宽颜色范围很广，所以自然会有失色的现象.
页面标准按800*600分辨率制作，实际尺寸为778*434px
页面长度原则上不超过3屏，宽度不超过1屏
每个标准页面为A4幅面大小，即8.5X11英寸
全尺寸banner为468*60px，半尺寸banner为234*60px，小banner为88*31px
另外120*90，120*60也是小图标的标准尺寸
每个非首页静态页面含图片字节不超过60K，全尺寸banner不超过14K
标准网页广告尺寸规格一、120*120，这种广告规格适用于产品或新闻照片展示。
二、120*60，这种广告规格主要用于做LOGO使用。
三、120*90，主要应用于产品演示或大型LOGO。
四、125*125，这种规格适于表现照片效果的图像广告。
五、234*60，这种规格适用于框架或左右形式主页的广告链接。
六、392*72，主要用于有较多图片展示的广告条，用于页眉或页脚。
七、468*60，应用最为广泛的广告条尺寸，用于页眉或页脚。
八、88*31，主要用于网页链接，或网站小型LOGO。
广告形式         像素大小                                最大尺寸            备注
BUTTON         120*60(必须用gif)                    7K
                         215*50(必须用gif)                    7K
通栏                 760*100                                    25K               静态图片或减少运动效果
                         430*50                                      15K
超级通栏         760*100 to 760*200              共40K            静态图片或减少运动效果
巨幅广告         336*280                                    35K
                         585*120
竖边广告         130*300                                    25K
全屏广告         800*600                                    40K               必须为静态图片，FLASH格式
图文混排                                                                                 各频道不同 15K
弹出窗口         400*300(尽量用gif)                 40K
BANNER         468*60(尽量用gif)                   18K
悬停按钮          80*80(必须用gif)                      7K
流媒体             300*200（可做不规则形状但尺寸不能超过300*200） 30K 播放时间小于5秒60帧(1秒/12帧)
网页中的广告尺寸
1.首页右上，尺寸120*60      2.首页顶部通栏，尺寸468*60      3.首页顶部通栏，尺寸760*60
4.首页中部通栏，尺寸580*60    5.内页顶部通栏，尺寸468*60    6.内页顶部通栏，尺寸760*60
7.内页左上，尺寸150*60或300*300    8.下载地址页面，尺寸560*60或468*60
9.内页底部通栏，尺寸760*60     10.左漂浮，尺寸80*80或100*100
11.右漂浮，尺寸80*80或100*100以上几种说法可能有点小的出入，大家可以探讨一下。
IAB和EIAA发布新的网络广告尺寸标准
在这6种格式中，除了去年iab发布的4种“通用广告包”中的格式：160x600, 300x250, 180x150及728x90，还包括新公布的468x60 和120x600（擎天柱）2种。

OpenVPN在Windows下使用User/Pass验证

qubingjian@163.com(ququ) — Sun,31 Aug 2008 23:03:12 +0800

对于Windows下使用User/Pass验证已经是很久以前的承诺了，因为一开始一直都是在找寻
使用CMD(bat)文件检查用户名/密码的方式，但是一直没有结果，最后使用C写了一个小程
序实现用户名/密码验证。

转载请注明出处，如有疑问访问: http://wenzk.cublog.cn 反馈。

Windows安装OpenVPN是很容易的，OpenVPN GUI下载网址：
http://openvpn.se/files/install_packages/openvpn-2.0.7-gui-1.0.3-install.exe

记得选上easy-rsa这部分脚本，安装完毕后，easy-rsa在C:\Program Files\OpenVPN\目录下。

把easy-rsa目录下的vars.bat.sample改名为vars.bat，并且修改其内容：
==================================
set KEY_COUNTRY=CN
set KEY_PROVINCE=Liaoning
set KEY_CITY=Shenyang
set KEY_ORG=OpenVPN
set KEY_EMAIL=elm@elm.freetcp.com
==================================
其它部分就不用修改了，上面部分修改成你自己的配置。

把easy-rsa下的openssl.cnf.sample改成openssl.cnf。

然后进入cmd.exe
=============================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>cd "\Program Files\OpenVPN\easy-rsa"

C:\Program Files\OpenVPN\easy-rsa>vars

C:\Program Files\OpenVPN\easy-rsa>clean-all.bat
系统找不到指定的文件。
已复制         1 个文件。
已复制         1 个文件。

C:\Program Files\OpenVPN\easy-rsa>

生成Root CA
格式: build-ca.bat
输出: keys/ca.crt keys/ca.key
======================================================================
C:\Program Files\OpenVPN\easy-rsa>build-ca.bat
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
................................................................................
....++++++
....................................++++++
writing new private key to 'keys\ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
organization Name (eg, company) [OpenVPN]:
organizational Unit Name (eg, section) []:OpenVPN orG
Common Name (eg, your name or your server's hostname) []:OpenVPN ROOTCA
Email Address [elm@elm.freetcp.com]:

生成dh1024.pem文件，Server使用TLS必须使用的一个文件。
格式: build-dh.bat
输出: keys/dh1024.pem
============================================================================
C:\Program Files\OpenVPN\easy-rsa>build-dh.bat
Loading 'screen' into random state - done
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
............................................................+.................+.
................................................................................
................................................................................
....+..................+...........................+..........................+.
.........................+............................+.+.......................
............................................+......+...+...............+........
..+...........+............+.....................+...+.........................+
.....+..............................................................+...........
...............+....................................+.......................+...
.....................................................+..........................
..................................................+.............................
......................................+..............+.+........................
+..........................................................................+....
................................................................+...............
......................................+...+.............................+.......
............+...........+................+......................................
.........+...........................................+..........................
................................................................................
.+.......+....+..............+..................................................
.........................................................................+......
..........+.....................................................................
................................................................................
...........................+....................................................
........+.......................................................................
...................................................+..............+.........+...
........................................+.........+...................+.........
.............+.......+..........+............+................+.................
................................................................................
................................................................................
.................................+.................................++*++*++*

C:\Program Files\OpenVPN\easy-rsa>

下面开始生成Server使用的证书：
格式: build-key-server.bat
输出: keys/.crt .csr .key
================================================================================
C:\Program Files\OpenVPN\easy-rsa>build-key-server.bat server01
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...............++++++
...........++++++
writing new private key to 'keys\server01.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
organization Name (eg, company) [OpenVPN]:
organizational Unit Name (eg, section) []:OpenVPN orG
Common Name (eg, your name or your server's hostname) []:Server01
Email Address [elm@elm.freetcp.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :PRINTABLE:'Liaoning'
localityName          :PRINTABLE:'Shenyang'
organizationName      :PRINTABLE:'OpenVPN'
organizationalUnitName:PRINTABLE:'OpenVPN orG'
commonName            :PRINTABLE:'Server01'
emailAddress          :IA5STRING:'elm@elm.freetcp.com'
Certificate is to be certified until Jul  7 13:33:23 2016 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>

下面生成ta.key文件
格式: openvpn --genkey --secret keys/ta.key
输出: keys/ta.key
=========================================================================
C:\Program Files\OpenVPN\easy-rsa>openvpn --genkey --secret keys/ta.key

C:\Program Files\OpenVPN\easy-rsa>

OK，那些keys就搞定了，下面开始写配置文件。
server01.ovpn内容：
----------------CUT Here-------------
port 1194
; proto tcp
proto udp
; dev tap
dev tun
;dev-node MyTap
ca ca.crt
cert server01.crt
key server01.key  # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
auth-user-pass-verify checkpsw.exe via-env
client-cert-not-required
username-as-common-name
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status status.log
;log         /var/log/openvpn.log
;log-append  /var/log/TCP_openvpn.log
verb 4
;mute 20
----------------CUT Here-------------
把配置文件放到C:\Program Files\OpenVPN\config\目录下。
把easy-rsa\keys\下的 ca.crt server01.crt server01.key ta.key dh1024.pem
复制到server01.ovpn所在目录。

同时下载本人写的破烂验证程序(checkpsw.exe)[不要仍砖块]放到OpenVPN配置目录下
程序在Windows XP SP2下测试通过，其他系统如果有问题，可以用源文件进行编译
程序在压缩包里面：
文件: checkpsw.rar
大小: 9KB
下载: 下载

在checkpsw.exe目录下建立password.txt[用于存放用户名&密码]文件：
password.txt文件格式：
用户名           密码            是否活动(0/1) 中间用空格隔开
Username     Password    Active
-------------Cut Here---------------------
wzk         wzk         1
-------------Cut Here---------------------

Server的配置已经结束，可以启动Server了，在右下角OpenVPN-gui上点右键，然后选择connected。
需要服务器启动后自动运行，修改 "控制面板" 下面的 "管理工具" 下的 "服务" 把OpenVPN设置成自动启动。

Client的配置文件：
client.ovpn
-------------Cut Here---------------------
client
dev tun
proto udp

remote 61.1.1.2 1194
;remote my-server-2 1194

;remote-random

resolv-retry infinite
nobind
user nobody
group nobody
route 192.168.0.0 255.255.252.0
persist-key
persist-tun

;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

ca ca.crt
auth-user-pass

ns-cert-type server
tls-auth ta.key 1
comp-lzo
# Set log file verbosity.
verb 4
--------------Cut Here---------------------
并且把easy-rsa/keys下的ca.crt ta.key一起放到Client的
VPN_HOME>\config目录下。

Client的配置已经结束，可以连接Server了，在右下角OpenVPN-gui上点右键，然后选择connected。

OK，整个配置就完成了。

Windows 下使用 CA 验证的 OpenVPN Server 的配置方法

qubingjian@163.com(ququ) — Sun,31 Aug 2008 23:01:51 +0800

Windows 下使用 CA 验证的 OpenVPN 的配置方法

应N多网友的要求，决定开始写Windows下OpenVPN的安装手册了，其实Windows下比linux简单，
因为使用网站提供的安装包，很容易就把OpenVPN安装上了，只需配置就OK了。

本文描述如何在Windows下使用CA的OpenVPN Server的配置方法。

有疑问大家关注:
http://elm.freetcp.com
http://wenzk.cublog.cn

不废话了，下面开始吧:)

下载安装OpenVPN：

用Flashget或者其它任何方式下载OpenVPN的安装包，然后安装，记得选上easy-rsa这部分脚本，
用于管理CA的bat脚本。
http://openvpn.se/files/install_packages/openvpn-2.0.5-gui-1.0.3-install.exe

安装完毕后，easy-rsa在C:\Program Files\OpenVPN\目录下。

下面开始配置：
把easy-rsa目录下的vars.bat.sample改名为vars.bat，并且修改其内容：
==================================
set KEY_COUNTRY=CN
set KEY_PROVINCE=Liaoning
set KEY_CITY=Shenyang
set KEY_ORG=OpenVPN
set KEY_EMAIL=elm@elm.freetcp.com
==================================
其它部分就不用修改了，上面部分修改成你自己的配置。

把easy-rsa下的openssl.cnf.sample改成openssl.cnf。

然后进入cmd.exe
=============================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>cd "\Program Files\OpenVPN\easy-rsa"

C:\Program Files\OpenVPN\easy-rsa>vars

C:\Program Files\OpenVPN\easy-rsa>clean-all.bat
系统找不到指定的文件。
已复制         1 个文件。
已复制         1 个文件。

C:\Program Files\OpenVPN\easy-rsa>

生成Root CA
格式: build-ca.bat
输出: keys/ca.crt keys/ca.key
======================================================================
C:\Program Files\OpenVPN\easy-rsa>build-ca.bat
Using configuration from openssl.cnf
Generating a 1024 bit RSA private key
......++++++
.........++++++
writing new private key to 'keys\ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
organization Name (eg, company) [OpenVPN]:
organizational Unit Name (eg, section) []:OpenVPN orG
Common Name (eg, your name or your server's hostname) []:OpenVPN RootCA
Email Address [elm@elm.freetcp.com]:

C:\Program Files\OpenVPN\easy-rsa>

生成dh1024.pem文件，Server使用TLS必须使用的一个文件。
格式: build-dh.bat
输出: keys/dh1024.pem
============================================================================
C:\Program Files\OpenVPN\easy-rsa>build-dh.bat
warning, not much extra random data, consider using the -rand option
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
.....................+...............+........+.................................
....................................+...........................+...............
........................................+.......................................
.........................................+...............+......................
................................................................................
.......................+..................................+.....................
..........................+.........................+...........+...............
.......+.........................+..............................................
........+....+..................................................................
................................................................................
...+....+.+...........................................+.........................
....................................................................+...........
.................+.....................................................+........
..............................................................+...+.............
.....+.........................+...........+....................................
................+......................+.....................................+..
....................................................................+.........+.
......+........................................................+................
...............................+..+.............................+...............
..............................................+.......................+.........
................................................................................
............................................................................+...
...................................+.............+..............................
.............................................................+.+........+.......
..............................................+.................................
...+............................................................................
............+..................................................+................
...........................+..........................................+........+
.........+.........+..........................................+................+
..+..........................................................................+..
.....+..+....................+.....................+............................
................................................................................
...........+.........+....+.........................+...........+.......+.+.....
.....................................................+................+.........
..........+.....................................................................
................+...............................................+..........+....
................................................................................
.................+.........................................+....................
..............................................................................+.
.......+.......................................................+..+.............
+................................+...+..........................+...............
..........................................................+..................+..
................................................................................
......................................................+.........................
....+.......................+.......................+...........................
..............+.................................................................
.......................................................+........................
..........................................................................+.....
......+..................................+......................................
...................................................+..................+.........
..............+.......................+.........................................
................................................................................
.....+....................+...........................+.........................
................................................................................
........................................................................++*++*++
*

C:\Program Files\OpenVPN\easy-rsa>

下面开始生成Server使用的证书了：
格式: build-key-server.bat
输出: keys/.crt .csr .key
================================================================================
C:\Program Files\OpenVPN\easy-rsa>build-key-server.bat server01
Using configuration from openssl.cnf
Generating a 1024 bit RSA private key
................++++++
.....++++++
writing new private key to 'keys\server01.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
organization Name (eg, company) [OpenVPN]:
organizational Unit Name (eg, section) []:OpenVPN orG
Common Name (eg, your name or your server's hostname) []:Server01
Email Address [elm@elm.freetcp.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :PRINTABLE:'Liaoning'
localityName          :PRINTABLE:'Shenyang'
organizationName      :PRINTABLE:'OpenVPN'
organizationalUnitName:PRINTABLE:'OpenVPN orG'
commonName            :PRINTABLE:'Server01'
emailAddress          :IA5STRING:'elm@elm.freetcp.com'
Certificate is to be certified until Feb  9 10:01:34 2016 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>

下面开始为client办法证书：
格式: build-key.bat
输出: keys/.crt keys/.csr keys/.key
===========================================================================
C:\Program Files\OpenVPN\easy-rsa>build-key.bat elm
Using configuration from openssl.cnf
Generating a 1024 bit RSA private key
.....................................................++++++
...................................................++++++
writing new private key to 'keys\elm.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
organization Name (eg, company) [OpenVPN]:
organizational Unit Name (eg, section) []:OpenVPN orG
Common Name (eg, your name or your server's hostname) []:ELM
Email Address [elm@elm.freetcp.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :PRINTABLE:'Liaoning'
localityName          :PRINTABLE:'Shenyang'
organizationName      :PRINTABLE:'OpenVPN'
organizationalUnitName:PRINTABLE:'OpenVPN orG'
commonName            :PRINTABLE:'ELM'
emailAddress          :IA5STRING:'elm@elm.freetcp.com'
Certificate is to be certified until Feb  9 10:05:53 2016 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>

下面生成ta.key文件
格式: openvpn --genkey --secret keys/ta.key
输出: keys/ta.key
=========================================================================
C:\Program Files\OpenVPN\easy-rsa>openvpn --genkey --secret keys/ta.key

C:\Program Files\OpenVPN\easy-rsa>

OK，那些keys就搞定了，下面开始写配置文件。
server01.ovpn内容：
----------------CUT Here-------------
port 1194
proto udp
dev tap
ca ca.crt
cert server01.crt
key server01.key # This file should be kept secret
;crl-verify vpncrl.pem
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
--------------Cut Here-----------------
把配置文件放到C:\Program Files\OpenVPN\config\目录下。
把easy-rsa\keys\下的 ca.crt server01.crt server01.key ta.key dh1024.pem
复制到server01.ovpn所在目录。

Server的配置已经结束，可以启动Server了，在右下角OpenVPN-gui上点右键，然后选择connected。
需要服务器启动后自动运行，修改 "控制面板" 下面的 "管理工具" 下的 "服务" 把OpenVPN设置成自动启动。

Client的配置文件：
-------------Cut Here---------------------
client
dev tap
proto udp

remote 61.1.1.2 1194
;remote my-server-2 1194

;remote-random

resolv-retry infinite
nobind
user nobody
group nobody
route 192.168.0.0 255.255.252.0
persist-key
persist-tun

;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

ca ca.crt
cert elm.crt
key elm.key

ns-cert-type server
tls-auth ta.key 1
comp-lzo
# Set log file verbosity.
verb 4
--------------Cut Here---------------------
并且把easy-rsa/keys下的ca.crt elm.crt elm.key ta.key一起放到Client的
VPN_HOME>\config目录下。

Client的配置已经结束，可以连接Server了，在右下角OpenVPN-gui上点右键，然后选择connected。

OK，整个配置就完成了。

需要为其它用户颁发证书，只需如下步骤：
进入cmd.exe

cd VPN_HOME>\easy-rsa
vars.bat
build-kye.bat

Client所需要的文件：

client.ovpn (需要修改部分配置)
ca.crt
.crt
.key (为文件名，如: elm 等)
ta.key