“杨枝甘露小烧烤”通过精心收集,向本站投稿了8篇电脑技术:使用HIPS如何搭配防火墙,下面是小编收集整理后的电脑技术:使用HIPS如何搭配防火墙,供大家参考借鉴,欢迎大家分享。
篇1:电脑技术:使用HIPS如何搭配防火墙
对于广大的ADSL虚拟拨号用户 对于防火墙安全的需求是怎么样的呢?
对于个人用户而言 对安全需求较大的主要集中在 个人私密信息上 如银行帐号 游戏帐号等 有效且准确的截获并阻止这些私密信息向互连网传送显得尤为重要
而对于外部攻击的安全需求则不是这么高 因为ADSL虚拟拨号的特殊性 在每次拨号成功后 其从网络供应商那里获得的IP地址都是随机的 不固定的 所以对于针对固定IP的 攻击在ADSL的面前显得力不从心 如DDOS IP攻击等
一个优秀的防火墙应该同时具备良好的防止内部信息泄漏和防止外部攻击能力 但是从ADSL个人家庭用户安全需求的角度来说 对防止内部信息泄漏能力的需求是大于防止外部攻击能力的 原因在上面已经说明
那么评判防火墙防止内部信息泄漏的标准又是甚么呢
还好现在国际上有一个以测试防火墙防止内部信息泄漏为主的安全测试Firewall Leak-tests 该测试用一些常见和不常见的方法来测试防火墙拦截私密信息向外发送的能力
这里是Firewall Leak-tests结果[url]hi.baidu.com/zqinyan/blog/item/6668546d969766f843169493.html[/url]
从这个表里可以看到2个HIPS软件 ProSecurity 和System Safety Monitor 为甚么这2个并不是专业防火墙软件的HIPS能够在这个表里位列前几名呢
原因在于Leak-tests的测试里 很多的将私密信息隐秘传送的方法都是HIPS软件AD(应用程序控制)的拦截范畴
所以在使用HIPS的前提下 防火墙的防止各种私密信息隐秘传送的能力基本可以由HIPS承担 当然也可选择附带了防火墙模块的HIPS 毕竟HIPS是不带防火墙的
所以 对于使用ADSL虚拟拨号的个人用户而言 以基于HIPS的防护模式
防内部分:
那个防火墙防信息泄漏测试(LeakTest)的内容 基本上是属于HIPS的AD防护内容 再加个控制程序外联的防火墙模块
嗯 HIPS在防止内部私密信息发送的能力上一点也不差 也能很轻易的在LeakTest的排名上排到前几名
而且目前ProSecurity作者的目标是将LeakTest的测试全部通过
防外部分:
对于常见的网络恶意攻击(如SYN洪水 DDOS等)可以导致受攻击对象网络堵塞而无法上网 不过这样的针对固定IP的攻击对于个人用户而言 只需简单的断网-联网 即可 因为重新联网后IP地址即不一样了 这些针对固定IP的攻击就统统白费了
另外 还没听说过谁会针对个人用户发动这些攻击
所以外部攻击对于ADSL的个人用户来说安全需求不大 就算是真的有人发起了这样的攻击 别的不说 就连配备了价格几十万的高级硬件防火墙的服务器在面对这些攻击的时候也显得力不从心 就更别希望简单的个人桌面防火墙能够防御的了
防黑部分:
对于常见的 攻击 对于个人用户无非一下几点
1、利用0day等 传马 取得肉鸡
2、利用0day等 传马 取得控制权
3、利用0day等 传马 获取私密信息
以上的几点都有一个前提 就是 传送病毒、木马到目的电脑 并激活 所以这又回到了传统的防毒范畴 而HIPS的防毒能力还是不弱的
0DAY部分:
至于利用系统0day 呵呵 就算 利用最新的系统0day 入侵了目的主机 但是在有HIPS的控制下 他也无法有甚么可以得逞的作为
例如远程创建病毒、木马 远程激活病毒、木马 获取用户私密信息并发送到目的IP(这又回到了防内部信息泄漏的范围了)
这些动作都逃不过HIPS的监控 在HIPS的控制下要取得主机的权限还是有些难度的 当然这还得依靠好的HIPS规则
所以这样的 顶多就和局域网里一样 大家可以互相访问 但是就是只能看看打印机共享而已…… 除非你给他权限……
漏洞部分:
虽然现在通过网页浏览的形式挂马简单方便又能保证数量 但仍然有好些人是以大范围扫描漏洞 通过系统漏洞进行入侵的
所以每个月微软推出的系统补丁是必不可少的 虽然HIPS能在一定程度上防止利用漏洞的攻击 但是HIPS的研发目的不是取代系统补丁 所以还是老实的每个月打补丁吧
在配合上关闭 共享服务 Terminal Services服务 为用户添加强壮的密码 等等安全优化 你会被漏洞扫描并攻击成功的几率远小于上网中毒的几率 如果实在不放心 那就开启系统自带防火墙吧 XP系统自带的防火墙是OME的TINY防火墙 就防外部入侵和攻击方面来说 对个人用户而言是足够了的
说了这么多 只是想说明对于ADSL个人用户来说 对防内部信息泄露的安全需求 远大于 防外部攻击的安全需求
篇2:电脑技术:解析思科IOS防火墙命令
注意, 本文将展示设置思科IOS防火墙的基本步骤,文中部分内容属于IOS防火墙特性集部分,如果你的路由器上并没有防火墙特性集,请不要运行防火墙命令。不过,为了强化安全,笔者推荐你使用支持防火墙的IOS版本。虽然仅有NAT就可以为你的内部网络提供最小程度的保护,但你面向互联网的路由器更易于遭受到 的攻击。(以下命令省略了提示符,在每条命令下加了解释或描述。)
enable
进入特权用户模式
config t
进入全局配置模式
ip dhcp excluded-address 192.168.100.1 192.168.100.10
从内部DHCP地址池中排除前10个IP地址
ip dhcp pool Internal-DHCP
创建一个称为“Internal DHCP”的DHCP池
import all
将外部的DHCP设置从ISP导入到“Internal DHCP”池中
network 192.168.100.0 255.255.255.0
定义这个DHCP池运行的网络
default-router 192.168.100.1
为“Internal DHCP”池设置默认网关
ip inspect name cbac tcp
检查向外发出的数据通信,以便于准许对内的响应TCP通信
ip inspect name cbac udp
检查向外发出的数据通信,以便于准许对内的响应UDP通信
小贴士:汉网天下欢迎大家投稿
篇3:电脑技术:win8技巧使用经验
开始菜单去哪了?这个问题是很多用户最不习惯的,开始菜单已成全屏的了,这个确实是微软改变最大的一个地方,但是当你的鼠标划过左下角,你依然会看到开始菜单缩略图的弹出,点击后,你便进入了与众不同的Win8开始菜单。
2
Win8 的Microsoft账户怎样登陆?Win8中Microsoft账户紧密地联系在一起,去App都需要这个账户,你可以注册一个,之前有过MSN的账户或其他方式注册的微软账户通用。如果不想登陆这个账户,使用普通账户也可以的。
3
计算机/控制面板 怎么找?这个确实不好以窗口的方式打开,不过你可以打开装机后
任务栏带有的文件管理器来进入。在任务栏中打开文件管理器即可。以前的Windows 中以文件夹形式打开的文件都可以从此进入。
4
控制面板及网络连接怎么设置?这个只需要将开始菜单划过出现的时候单击右键就有一个列表弹出,可以从中选择控制面板,系统设置,系统管理器等内容,
5
怎样在桌面显示计算机?打开系统文件管理器后,单击右键展开计算机选项,然后固定到开始屏幕就可以将它在Win8的桌面列表里面显示。
6
如何关机?关机的方式也不一样了,注销和切换账户与电源管理(关机、休眠)是不同的。打开开始菜单,在你的用户名下方选择账户注销和切换,划过右侧设置列表,选择“电源”——“关机”
Winows 8,新的系统,新的开始,新的体验!
7
可按住鼠标查看明文密码 Win8中,登陆账号填写密码的时候,可以在密码框右侧
按住显示明文密码的按钮,防止你将密码输入错误,这个功能也是很不错的。
篇4:如何搭配使用饰物?
如何搭配使用饰物?
饰物佩戴有一套规矩,饰物佩戴, 既可以传达某种特定的含义, 也能表现佩戴者的审美情趣和礼仪修养。
饰物佩戴要少而精。公务人员要树立廉洁勤政的.形象, 保持平易近人的形象, 不能珠光宝气, 华丽奢侈。饰物不能过多, 从头到脚, 项链、手链、脚链,一样不少, “武装到牙齿”, 会形成一种夸张和奢华的形象。少而精, 可以收到画龙点睛的效果。佩戴首饰,一般不要超过三个品种, 金银珠宝, 一应俱全, 开首饰店, 只能成为人们的谈资。一只手一般只戴一枚戒指, 戴两枚或两枚以上都是不适宜的。同样, 一只手不能戴两只或两只以上的手镯、手链,
饰物佩戴要慎重。饰物通常可以传达某种信息和表达特定的含义, 佩戴时要遵守成规。最有讲究的是戒指。戒指通常要戴左手, 戴无名指表示已经结婚或订婚, 戴中指表示尚未结婚, 戴食指表示无偶求爱,戴小指则表示终身不嫁或不娶。在一些西方国家, 未婚女子把戒指戴在右手的中指上, 修女则戴在右手的无名指上。已婚者应将手镯佩戴在左腕或双腕。
饰物佩戴男女有别。女士的饰物丰富多样, 除了服装外, 还包括纱巾、发卡、胸饰、手提包、手表、耳环、项链、戒指、手镯等。这些饰物, 有些具有实用功能, 有些是纯粹的装饰品。只要用得得体, 都能为装饰者增色。男士的饰物相对少些, 主要是手表、皮带、领带, 穿西装时有时加上胸饰、领带夹等。男性公务人员一般不宜戴耳环、项链之类的首饰。
篇5:XP防火墙经典使用问答
问:我使用不同的 Windows 版本,怎么办呢?
答:Windows XP 前的 Windows 版本不含内建防火墙,如果计算机用的是旧版 Windows,如 Windows 、Windows Millennium Edition 或 Windows 98,你应取得防火墙,并加以安装。可使用硬件防火墙或软件防火墙。
问:如果我在家中或小型办公室网络中有一台以上的计算机时,应该使用网络联机防火墙吗?
答:是的。如果你在家中或小型办公室网络中有一台以上的计算机,应该保护网络中的每一台计算机。当其中一台计算机感染病毒时,启用每个联机上的 ICF 将有助于防范病毒从这台计算机散播到你网络中的其它计算机。然而,如果病毒是附加在电子邮件中,防火墙并不会加以封锁,因此仍会感染你的计算机。你必须同时安装防毒程序。
问:我的计算机属于大型企业、学校或组织网络, 应该启用防火墙吗?
答:你应遵循由网络系统管理员为你的企业、学校、组织网络所建立的原则。在某些情况下,系统管理员可能会设定网络上的所有计算机,因此当你的计算机联机到该网络时,你就无法开启 ICF。“网络联机属性”对话框中可开启 ICF 的复选框会呈现暗灰色。如果是这种情形,你应询问网络系统管理员,了解你的计算机是否需要防火墙。
问:我使用 Windows XP。可以使用除了内建 Windows XP 网络联机防火墙以外的防火墙吗?
答:是的。要在防火墙中使用不同功能的 Windows XP 使用者,可以使用其它厂牌的硬件或软件防火墙。
问:我应该在 Windows XP 计算机上同时使用网络联机防火墙和不同厂牌的软件防火墙吗?
答:不需要。一般家用计算机、家用网络、小型企业网络并不需要执行多个软件防火墙。对同一个联机使用两个防火墙,可能会造成和网络联机的问题或其它预期外的行为,
无论是 Windows XP 网络联机防火墙或其它软件防火墙,只要一个防火墙,就能为你的计算机提供稳固的保护。
问:在使用硬件防火墙的计算机上,应该再使用 ICF 吗?
答:是的。应该为家用网络中的每部计算机开启 Windows XP 网络联机防火墙。当某台计算机受到感染时,这样做有助于防止病毒或计算机虫在你的网络中散播。网络中的计算机也可能经由另一台网络联机 (如在家用网络和公用网络中使用的膝上型计算机) 受到感染。或者,病毒可能透过电子邮件由光盘或磁盘安装的软件进入你网络中的计算机。
问:我能使用Microsoft以外的个人防火墙,而不是内建的网络联机防火墙吗?
答:如果你在计算机上已经使用了 Microsoft 以外的防火墙的话,应该继续使用。如果还没有防火墙,就有一个现成的选择。如果你要的是非常容易设定的简单防火墙,就应该使用 Windows XP 网络联机防火墙。如果要对经过你计算机的传输进行更多的进阶控制,同时要封锁传出的传输 (即从你计算机传出到网络的传输) 的话,就选择其它厂牌的个人防火墙。
问:网络联机防火墙无法防范的项目为何?
答:Windows XP 中的网络联机防火墙无法防范透过电子邮件散播的病毒,如特洛伊病毒,这种病毒会伪装成有用或善意的软件,诱使你将其开启或下载。防火墙无法杜绝垃圾邮件或快显式广告。防火墙无法防范对较不安全的无线网络进行存取。然而,防火墙有助于保护你网络上计算机的安全,即使入侵者取得你网络的存取权,也无法存取你的个人计算机。
问:网络联机防火墙可以保护我的无线网络吗?
答:网络联机防火墙可以协助保护无线网络上的计算机,但不会限制对网络本身的存取。你应使用像是 Wi-Fi Protected Access (WPA) 或 Wired Equivalent Privacy (WEP) 之类的网络金钥来设定无线网络。如需详细信息,请参阅你的无线网络装置手册。
问:我使用的笔记本电脑,位于受防火墙保护的家用和企业网络中。我在外出时应该怎么做呢?
答:当你外出时,在使用拨号调制解调器或任何宽频联机连上网络时,应该要随时启用 ICF。
篇6:瑞星防火墙使用心得
瑞星防火墙使用心得:
1)工作状态:
要启动“模块检查”才够安全,虽然模块连接网络的时候会出现麻烦,但一劳永逸,安全至上嘛,
活动程序的闪烁,表示处在网络连接活动状态。
网络状态:接收和发送,应该填入你的网速,接收就是下行网速,一般是2M,1M,512K,发送,就是你的上行网速,现在的adsl都是512k。受攻击的时候,你可以查查对方的IP地址,但是,这个作用不大,大概满足你的好奇心罢了。
2)系统状态:右键网络活动,选择“全部展开”,就可以看到所有对外连接信息,停止刷新,你就可以慢慢分析,如果看见什么什么木马的字样,请不要恐惧,瑞星只是按照木马常用端口的分析结果而已,不是真的有木马。如果你一连接网络,但没有启动什么网络程序,却出现了很多对外连接,你就要小心,因为你可能已经中木马了。
进程信息,红色部分的,要比较留意,因为他们都有那些没有经过瑞星认证的模块吧??这我就不清楚了,瑞星也该增加更多数字签名的模块吧!红色,看到了就不放心。双击他们,你就可以看到那些红色的模块和他们的网络连接情况,瑞星的防火墙是不是很强大呢!!!还有更厉害的,只要你右键他们,你就可以向瑞星上报可疑模块了,选择浏览,你就可以找到他们,看属性也可以,爽啊!
3)启动选项:这一项很强大!你可以随时更改启动项目,就不用搞注册表这么烦人了!如果你想让系统启动得更快,用这个去掉一些不必要的启动模块,很实用!我装了瑞星的安全套装,所以通常都不用卡卡上网助手,因为它很占内存(我的内存不多^_^),有需要的时候才手动启动卡卡进行检查,如果你的内存有1G以上,我建议你还是启动卡卡。
4)访问规则:有数字签证的,瑞星都会放行,大概是mod值的确认吧。这样就很方便了,我建议瑞星添加更多流行软件的数字签名,这样就更方便了。双击每一条规则,都会弹出编辑选项,其实,我都不知道是什么作用的,所属类别!?谁会这么麻烦去编辑啊!这个可有可无。发送邮件,这选项,都不知道是干什么的,我通常选禁止。防篡改,如果软件不用升级的话,我建议你可以选择防篡改保护。常规模式,如果它不是常常联网,我建议你选择询问,如果某天,你没有启动它,它却忽然要求联网,这就有问题了!至于高级选项,我不大会用。
5)闲着没事做,就到瑞星漏洞扫描扫一下,它会给你一些良好的建议。windows系统由于默认共享,但普通用户都不会用到共享设置,所以瑞星常常提醒你要取消共享,但是,每次重启后都会出现,我建议瑞星教用户修改注册表:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
“AutoShareServer”=dword:00000000
“AutoSharewks”=dword:00000000
这样,每次重启都不会出现共享漏洞了,
如果你想取消ipc共享,你到网络属性那里,取消网络的文件和打印机共享服务就行了。如果你是单机,我建议你取消这些共享,因为没用而且实在太危险了。
6)安全资讯:我建议,如果瑞星有免费午餐提供的话,就主动给我们这些瑞星的用户提供消息,弹出几个泡泡也无妨(*^__^*) 嘻嘻……
7)操作菜单:切换工作模式和切换帐户不知道有什麽用处!??扫描木马,这个没有什么作用,如果真的发现木马了,杀毒软件早就提醒你了,还用得着你去扫描吗?我想,扫了等于白扫。
8)设置菜单:
选项:通常不用改,升级的话,我建议你选发现新版本提示我升级,因为有的时候,防火墙升级需要系统重启,如果这时选即时升级,防火墙会自动关闭的,就在这段时间,你的电脑是失去所有网络保护,我建议你在升级时,等防火墙下载完所有升级文件后立刻断网,等升级完结,防火墙启动后才再次联网,如果需要重启,你就重启,总之等到防火墙开启了,你才联网吧。我想,瑞星该改进一下这个问题!升级需要重启的话,就不该关掉防火墙监控嘛!我曾试过,防火墙升级后需要重启电脑,我没有选择重启,结果上了一段时间的网才发现瑞星防火墙已经关闭了。
规则设置:端口开关,这个比较实用,把那些烦人的端口都关了,就少很多烦恼。本地的80,21,1434,等一些端口关闭了就行,通常你不会用80来建网页吧?21是ftp端口,没需要你就关了它,1434的什么蠕虫王,关了它你就少很多骚扰。不过我还是不知道怎么关才合理?!点击“增加”,写上端口数字,用逗号隔开,tcp和udp都要选吗?选本机,选禁止就行了吗?
访问规则:启动网址过滤,“黑白名单”,是对付家里小孩子的,不要让他们访问xxx网站^_^
arp欺骗:如果只是单机,你就用不着,在局域网,就要开启了。
网络设置:我不知道有什麽用,如果瑞星添加一个拨号设置也许可用!通常我们都是用微软IE创建连接,但是有些比我还菜的鸟连这个都不会用,瑞星的防火墙增加一个常规联网拨号设置也未尝不可,调用微软的那个IE服务不就行了吗?
篇7:防火墙使用技巧五招
防火墙容易受到攻击吗?现在介绍五种最佳实践方法来减少 入侵电脑,让您的电脑系统既流畅又安全,
一、所有的防火墙文件规则必须更改
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素,
服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为 开放了65535个攻击矢量?
三、根据法规协议和更改需求来校验每项防火墙的更改
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则
规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。 喜欢从来不删除规则的防火墙团队。
五、每年至少对防火墙完整的审核两次
如果你是名信用卡活动频繁的商人,那么除非必须的话这项不是向你推荐的最佳实践方法,因为支付卡行业标准1.1.6规定至少每隔半年要对防火墙进行一次审核。
防火墙审核也是维护防火墙规则基础的重要环节。你的网络和服务都是动态的,因此你的防火墙规则基础应该也同样如此。随着企业协议的介入和法规标准的更改,你必须审核如何执行防火墙上的流量。这是一个好地方来清除所有多余的规则以便用新规则来替代。对于那些由于收购,合并等暂时性例外需要随时添加。将不好的苗头消灭在源头的最佳方法就是不要为他们创造可以生长的环境。
篇8:防火墙使用技巧五招
防火墙容易受到攻击吗?现在介绍五种最佳实践方法来减少黑客入侵电脑,让您的电脑系统既流畅又安全。
一、所有的防火墙文件规则必须更改
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?
三、根据法规协议和更改需求来校验每项防火墙的更改
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则
规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
五、每年至少对防火墙完整的审核两次
如果你是名信用卡活动频繁的商人,那么除非必须的话这项不是向你推荐的最佳实践方法,因为支付卡行业标准1.1.6规定至少每隔半年要对防火墙进行一次审核。
防火墙审核也是维护防火墙规则基础的重要环节。你的网络和服务都是动态的,因此你的防火墙规则基础应该也同样如此。随着企业协议的介入和法规标准的更改,你必须审核如何执行防火墙上的流量。这是一个好地方来清除所有多余的规则以便用新规则来替代。对于那些由于收购,合并等暂时性例外需要随时添加。将不好的苗头消灭在源头的最佳方法就是不要为他们创造可以生长的环境。
