基于部署的軟件應(yīng)用安全技術(shù)研究

基于部署的軟件應(yīng)用安全技術(shù)研究

目錄前言............................：軟件應(yīng)用的部署技術(shù)（3頁）（一）部署技術(shù)概述（二）現(xiàn)狀及重要性：軟件應(yīng)用中常見的安全問題及解決辦法（5頁）（一）黑客（二）病毒、蠕蟲、特洛伊木馬（四）網(wǎng)絡(luò)安全漏洞（三）數(shù)據(jù)丟失：基于部署的軟件應(yīng)用安全技術(shù)（10頁）（一）硬件防火墻（二）網(wǎng)閘（三）網(wǎng)關(guān)（四）DMZ（五）還原卡（六）Langate：實證研究及結(jié)論（10-12頁）（一），實證問題概述（二），需要解決的主要問題（三），解決方案（四），重點過程描述（五），實證結(jié)論前言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)上各種應(yīng)用的不斷豐富,網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的焦點。人們在網(wǎng)絡(luò)安全部署策略中更多地注重網(wǎng)絡(luò)邊界的安全，防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設(shè)備等，但據(jù)統(tǒng)計超過50%的網(wǎng)絡(luò)及信息安全問題源于內(nèi)部人員所為，其次才是外部黑客的攻擊。由于內(nèi)網(wǎng)是一個由網(wǎng)絡(luò)設(shè)備與信息系統(tǒng)組成的復(fù)雜環(huán)境，連接便捷、應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多是其顯著特點,如果疏于對內(nèi)網(wǎng)的安全防范,那么就極易出現(xiàn)應(yīng)用系統(tǒng)被非法使用、數(shù)據(jù)被竊取和被破壞等情況，因此注重內(nèi)網(wǎng)安全系統(tǒng)建設(shè)、有效防范源自內(nèi)部的安全問題，其意義較之于外網(wǎng)安全防范更為重大。目前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學(xué)研究的大型研究所，還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機密存儲在計算機和網(wǎng)絡(luò)中，如何有效地保護這些機密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注!第一章軟件應(yīng)用的部署技術(shù)（一）部署技術(shù)概述什么是部署？簡單的說部署就是把設(shè)計好的程序或是硬件放到一定的環(huán)境系統(tǒng)中運行，從而發(fā)揮它的作用，這就是部署。我所要研究的重點是網(wǎng)絡(luò)安全中的硬件部署，那么就離不開各種硬件配置、網(wǎng)絡(luò)環(huán)境、計算機的操作系統(tǒng)，下面我將詳細的作介紹。一硬件配置1防火墻所謂防火墻指的是一個有軟件和硬件設(shè)備組隙內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.2.網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。網(wǎng)關(guān)網(wǎng)關(guān)守護著企業(yè)網(wǎng)絡(luò)以防終端用戶被植入后門程序或病毒下載器。4還原卡硬盤還原卡，又稱電腦還原卡，使用創(chuàng)新的安全硬盤管理技術(shù)HDSafe，硬件級解決電腦教室的管理問題，具備強大的數(shù)據(jù)保護和還原功能是誤刪除、誤格式化、感染病毒等不希望發(fā)生的硬盤數(shù)據(jù)改變，在下一次開機時能夠瞬間還原。5磁盤陣列是利用數(shù)組方式來作磁盤組，配合數(shù)據(jù)分散排列的設(shè)計，提升數(shù)據(jù)的安全性。6WinPassCA證書服務(wù)器Win-PassCA證書服務(wù)器系統(tǒng)是PKI公共密鑰安全體系中的關(guān)鍵設(shè)備，注冊、簽發(fā)、管理和發(fā)布網(wǎng)絡(luò)系統(tǒng)中各種設(shè)備和用戶的證書，用于建立和保障網(wǎng)絡(luò)通信中的身份認證和相互信任體系。7LanGate是基于專用芯片及專業(yè)網(wǎng)絡(luò)安全平臺的新一代整體網(wǎng)絡(luò)安全硬件產(chǎn)品。二網(wǎng)絡(luò)環(huán)境一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，還要保護數(shù)據(jù)安全等。因此針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護方案以確保計算機網(wǎng)絡(luò)自身的安全性是每一個計算機網(wǎng)絡(luò)都要認真對待的一個重要問題。網(wǎng)絡(luò)安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。

計算機病毒是我們大家都比較熟悉的一種危害計算機系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段，盜取密碼侵入他人計算機網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號購物等。隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展和電子商務(wù)的展開，嚴防黑客入侵、切實保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個人的資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟安全、國家經(jīng)濟秩序的穩(wěn)定問題，因此各級組織和部門必須給予高度重視。

三操作系統(tǒng)Windows2000Server的安全機制是建立在WindowsNT4．0提供的安全機制上的。Windows2000的安全模式使各組織可以與合作伙伴、供應(yīng)商以及在信任關(guān)系之上使用基于Internet技術(shù)的消費者安全地交互。Windows2000的活動目錄對用戶、組及計算機賬戶信息采用分層命名，存儲了所有的域安全策略和賬戶信息。可以利用組策略編輯器設(shè)置各種功能，包括軟件設(shè)置、應(yīng)用程序配置選項、腳本、用戶設(shè)置、文檔選項及安全設(shè)置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標準安全協(xié)議的鑒別，采用Kerberos5作為默認鑒別協(xié)議。它使用Internet安全協(xié)議IPSec。Windows2000使用基于Internet技術(shù)的虛擬專用網(wǎng)VPN，通過ISP，IIS及VPN服務(wù)器來建立Inter—net連接?？衫肰PN通過公共網(wǎng)來傳輸專用網(wǎng)數(shù)據(jù)。此外，可利用Windows2000提供的加密文件系統(tǒng)EFS對文件進行加密保護。數(shù)據(jù)庫系統(tǒng)的安全機制SQLServer的安全性與權(quán)限管理，數(shù)據(jù)庫安全性是用戶權(quán)限管理等方面的內(nèi)容，這種安全性以信息資源和信息資源的用戶為主要管理對象，一個用戶只要具有對某個對象的訪問權(quán)限，就可以對信息資源進行操作。作為網(wǎng)絡(luò)操作系統(tǒng)上的服務(wù)，SQLServer的安全性還可以與操作系統(tǒng)的安全性建立某種聯(lián)系，這就是SQLServer的安全性模式。它有3種安全模式：標準安全、集成安全、混合安全。標準安全完全由SQLServer自身維護安全性，對所有連接采用SQLServer本身的登錄證實過程，通過使用LoginID和口令來訪問數(shù)據(jù)庫服務(wù)器。集成安全允許SQLServer用Windows2000的認證機制來證實SQLServer的所有連接?；旌习踩沟肧QLServ—er的用戶和Windows2000的用戶都可以獲得訪問數(shù)據(jù)庫的權(quán)限。當然，可以不使用SQLServer自身的用戶管理，只允許Windows2000的用戶具有訪問數(shù)據(jù)庫的權(quán)限。在SQLServer中，權(quán)限分兩大級別：連接權(quán)、訪問權(quán)。連接權(quán)指是否可以訪問SQLServer，訪問權(quán)指是否可以查詢或修改數(shù)據(jù)庫。每一個網(wǎng)絡(luò)用戶在訪問SQLServer數(shù)據(jù)之前，必須使用一個win—dows2000的賬號或SQLServer的LoginID以及口令，與SQLServer建立連接，SQLServer的安全系統(tǒng)通過對用戶提供的登錄信息的驗證決定是否允許這個用戶連接。在連接成功后，用戶還需要在每個數(shù)據(jù)庫中都有一個數(shù)據(jù)庫用戶賬號，或者是用戶別名，查詢或者修改數(shù)據(jù)時，SQLServer的安全系統(tǒng)根據(jù)這個賬號或者別名的權(quán)限決定是否允許用戶請求的操作。（二）內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀目前很多企事業(yè)單位都加快了企業(yè)信息化的進程，在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國家有關(guān)規(guī)定實行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計算機集成制造(CIMS)或企業(yè)資源計劃(ERP)，逐步實現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問題解決鏈。在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業(yè)中普遍存在的焦點問題。由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡(luò)必須有足夠強的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。內(nèi)部網(wǎng)絡(luò)更易受到攻擊為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。(2)在對Internet嚴防死守和物理隔離的措施下，對網(wǎng)絡(luò)的破壞，大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因為目前針對內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計算機技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進行操作，利用內(nèi)網(wǎng)速度快的特性，對關(guān)鍵數(shù)據(jù)進行竊取或者破壞。(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。(8)涉密信息不僅僅限于服務(wù)器，同時也分布于各個工作計算機中，目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。第二章：軟件應(yīng)用中常見的安全問題及解決辦法1黑客黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識。”由這些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)?！昂诳汀蹦苁垢嗟木W(wǎng)絡(luò)趨于完善和安全，他們以保護網(wǎng)絡(luò)為目的，而以不正當侵入為手段找出網(wǎng)絡(luò)漏洞。

另一種入侵者是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。他們往往做一些重復(fù)的工作（如用暴力法破解口令），他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當然還有一種人兼于黑客與入侵者之間。

隨著互聯(lián)網(wǎng)上黑客病毒泛濫、信息恐怖、計算機犯罪等威脅日益嚴重，防火墻的攻破率不斷上升，在政府、軍隊、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國家安全、社會穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護措施。物理隔離網(wǎng)閘最早出現(xiàn)在美國、以色列等國家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時的安全。在電子政務(wù)建設(shè)中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國家的秘密，但是涉及到本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指不涉及國家秘密也不涉及工作秘密，是一個向互聯(lián)網(wǎng)絡(luò)完全開放的公共信息交換空間。國家有關(guān)文件就嚴格規(guī)定，政務(wù)的內(nèi)網(wǎng)和政務(wù)的外網(wǎng)要實行嚴格的物理隔離。政務(wù)的外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，互聯(lián)網(wǎng)就是公共服務(wù)域。國家有關(guān)研究機構(gòu)已經(jīng)研究了安全網(wǎng)閘技術(shù)，以后根據(jù)需求，還會有更好的網(wǎng)閘技術(shù)出現(xiàn)。通過安全網(wǎng)閘，把內(nèi)網(wǎng)和外網(wǎng)聯(lián)系起來；因此網(wǎng)閘成為電子政務(wù)信息系統(tǒng)必須配置的設(shè)備，由此開始，網(wǎng)閘產(chǎn)品與技術(shù)在我國快速興起，成為我國信息安全產(chǎn)業(yè)發(fā)展的一個新的增長點。2病毒、蠕蟲、特洛伊木馬病毒(n.)：以自我復(fù)制為明確目的編寫的代碼。病毒附著于宿主程序，然后試圖在計算機之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴重性分類（從Ebola病毒到普通的流感病毒）一樣，計算機病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會傳播。必須通過某個人共享文件和發(fā)送電子郵件來將它一起移動。病毒是附著于程序或文件中的一段計算機代碼，它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟件、硬件和文件。蠕蟲(n.)：病毒的子類。通常，蠕蟲傳播無需用戶操作，并可通過網(wǎng)絡(luò)分發(fā)它自己的完整副本（可能有改動）。蠕蟲會消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計算機崩潰。蠕蟲的傳播不必通過“宿主”程序或文件，因此可潛入您的系統(tǒng)并允許其他人遠程控制您的計算機。最近的蠕蟲示例包括Sasser蠕蟲和Blaster蠕蟲。與病毒相似，蠕蟲也是設(shè)計用來將自己從一臺計算機復(fù)制到另一臺計算機，但是它自動進行。首先，它控制計算機上可以傳輸文件或信息的功能。一旦您的系統(tǒng)感染蠕蟲，蠕蟲即可獨自傳播。最危險的是，蠕蟲可大量復(fù)制。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng)絡(luò)通信負擔沉重），使商業(yè)網(wǎng)絡(luò)和整個Internet的速度減慢。當新的蠕蟲爆發(fā)時，它們傳播的速度非?？臁Ｋ鼈兌氯W(wǎng)絡(luò)并可能導(dǎo)致您（以及其他每個人）等很長的時間才能查看Internet上的網(wǎng)頁。特洛伊木馬(n.)：一種表面上有用、實際上起破壞作用的計算機程序。一旦用戶禁不起誘惑打開了以為來自合法來源的程序，特洛伊木馬便趁機傳播。為了更好地保護用戶，Microsoft常通過電子郵件發(fā)出安全公告，但這些郵件從不包含附件。在用電子郵件將安全警報發(fā)送給客戶之前，我們也會在安全網(wǎng)站上公布所有安全警報。在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊特洛伊城的希臘士兵?，F(xiàn)在，特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導(dǎo)致嚴重破壞的計算機程序。最近的特洛伊木馬以電子郵件的形式出現(xiàn)，電子郵件包含的附件聲稱是Microsoft安全更新程序，但實際上是一些試圖禁用防病毒軟件和防火墻軟件的病毒。基于網(wǎng)絡(luò)的防病毒

LanGate是網(wǎng)關(guān)級的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫。

3網(wǎng)絡(luò)安全漏洞漏洞是存在于系統(tǒng)中的一個弱點或者缺點。廣義的漏洞是指非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。實際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如IBM兼容機的CMOS口令在CMOS的電池供電不足、不能供電或被移走情況下會丟失CMOS信息也是漏洞;操作系統(tǒng)、瀏覽器、TCP/IP、免費電子郵箱等都存在漏洞。微軟對漏洞的明確定義：“漏洞是可以在攻擊過程中利用的弱點，可以是軟件、硬件、程序缺點、功能設(shè)計或者配置不當?shù)?。”漏洞掃描是一種自動檢測計算機安全脆弱點的技術(shù)。掃描程序集中了已知的常用攻擊方法，針對系統(tǒng)可能存在的各種脆弱點進行掃描，輸出掃描結(jié)果，以便審查人員分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。掃描程序還可以通過TCP/IP端口查詢，記錄目標響應(yīng)的情況，收集相關(guān)的有用信息，以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。利用漏洞掃描技術(shù)可以快速地在大范圍內(nèi)發(fā)現(xiàn)已知的系統(tǒng)安全漏洞。網(wǎng)絡(luò)漏洞掃描系統(tǒng)是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務(wù)器的各種TCP端口的分配、提供的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在互聯(lián)網(wǎng)上的安全漏洞，從而在計算機網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時修補漏洞，構(gòu)筑堅固的安全長城。4數(shù)據(jù)丟失如果使用過計算機或者管理過機房，您就可能會有這樣的經(jīng)歷，誤操作，不正常關(guān)機，Windows提示非法操作，遭遇神出鬼沒的病毒，以及學(xué)生的好奇和失誤導(dǎo)致的文件丟失、系統(tǒng)損毀等等。相信您對這些都會記憶猶新，我們覺得您有必要找一個專業(yè)維護人員，而不是由您親自維護每臺計算機，所以我們向您推薦硬盤還原卡。

只要將還原卡插入計算機，并且指定需要維護的數(shù)據(jù)區(qū)域，這樣您就能夠一勞永逸，任由學(xué)生刪除、格式化、安裝、卸載，盡最大可能地提供寬松的上機實驗環(huán)境。因為對您來說，只要重新啟動計算機，一切都會復(fù)原，硬盤還原卡讓從前的煩惱永遠地成為了歷史。第三章：基于部署的軟件應(yīng)用安全技術(shù)一硬件防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，有選擇地接受外部訪問，對內(nèi)部強化設(shè)備監(jiān)管、控制對服務(wù)器與外部網(wǎng)絡(luò)的訪問，在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測的、潛在的破壞性侵入。防火墻基礎(chǔ)原理1、防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務(wù)。下面，我們將介紹這些手段的工作機理及特點，并介紹一些防火墻的主流產(chǎn)品。包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使得安全性得到進一步地提高。2、防火墻工作原理（1）包過濾防火墻包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

圖1：包過濾防火墻工作原理圖（2）應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機／服務(wù)器模式實現(xiàn)的。每個客戶機／服務(wù)器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務(wù)器。另外，每個代理需要一個不同的應(yīng)用進程，或一個后臺運行的服務(wù)程序，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。（圖2）

圖2：應(yīng)用網(wǎng)關(guān)防火墻工作原理圖（3）狀態(tài)檢測防火墻狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應(yīng)用是透明的，在此基礎(chǔ)上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的事件來處理。可以這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。（圖3）

圖3：狀態(tài)檢測防火墻工作原理圖（4）復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對應(yīng)用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡(luò)邊緣布署病毒防護、內(nèi)容過濾等應(yīng)用層服務(wù)措施。（圖4）

圖4：復(fù)合型防火墻工作原理圖二網(wǎng)閘如今，網(wǎng)絡(luò)隔離技術(shù)已經(jīng)得到越來越多用戶的重視，重要的網(wǎng)絡(luò)和部門均開始采用隔離網(wǎng)閘產(chǎn)品來保護內(nèi)部網(wǎng)絡(luò)和關(guān)鍵點的基礎(chǔ)設(shè)施。目前世界上主要有三類隔離網(wǎng)閘技術(shù)，即SCSI技術(shù)，雙端口RAM技術(shù)和物理單向傳輸技術(shù)。SCSI是典型的拷盤交換技術(shù)，雙端口RAM也是模擬拷盤技術(shù)，物理單向傳輸技術(shù)則是二極管單向技術(shù)。本文就是和大家一起來探討物理隔離交換技術(shù)的應(yīng)用。網(wǎng)閘的概念網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對固態(tài)存儲介質(zhì)只有"讀"和"寫"兩個命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。物理隔離網(wǎng)閘應(yīng)用定位1)涉密網(wǎng)與非涉密網(wǎng)之間：2)局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）：有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個常用的辦法。3)辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間：由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了提高工作效率，辦公網(wǎng)絡(luò)有時需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù)網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離網(wǎng)閘，實現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。4)電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間：在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)望與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來實現(xiàn)。5）業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間：電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器，一邊通過互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器的安全，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實現(xiàn)物理隔離。三網(wǎng)關(guān)管道網(wǎng)關(guān)

管道是通過不兼容的網(wǎng)絡(luò)區(qū)域傳輸數(shù)據(jù)的比較通用的技術(shù)。數(shù)據(jù)分組被封裝在可以被傳輸網(wǎng)絡(luò)識別的幀中，到達目的地時，接收主機解開封裝，把封裝信息丟棄，這樣分組就被恢復(fù)到了原先的格式。

管道技術(shù)只能用于3層協(xié)議，從SNA到IPv6。雖然管道技術(shù)有能夠克服特定網(wǎng)絡(luò)拓撲限制的優(yōu)點，它也有缺點。管道的本質(zhì)可以隱藏不該接受的分組，簡單來說，管道可以通過封裝來攻破防火墻，把本該過濾掉的數(shù)據(jù)傳給私有的網(wǎng)絡(luò)區(qū)域。

專用網(wǎng)關(guān)

很多的專用網(wǎng)關(guān)能夠在傳統(tǒng)的大型機系統(tǒng)和迅速發(fā)展的分布式處理系統(tǒng)間建立橋梁。典型的專用網(wǎng)關(guān)用于把基于PC的客戶端連到局域網(wǎng)邊緣的轉(zhuǎn)換器。該轉(zhuǎn)換器通過X.25網(wǎng)絡(luò)提供對大型機系統(tǒng)的訪問。shoO

這些網(wǎng)關(guān)通常是需要安裝在連接到局域網(wǎng)的計算機上的便宜、單功能的電路板，這使其價格很低且很容易升級。2層協(xié)議網(wǎng)關(guān)

2層協(xié)議網(wǎng)關(guān)提供局域網(wǎng)到局域網(wǎng)的轉(zhuǎn)換，它們通常被稱為翻譯網(wǎng)橋而不是協(xié)議網(wǎng)關(guān)。在使用不同幀類型或時鐘頻率的局域網(wǎng)間互連可能就需要這種轉(zhuǎn)換。安全網(wǎng)關(guān)

安全網(wǎng)關(guān)是各種技術(shù)有趣的融合，具有重要且獨特的保護作用，其范圍從協(xié)議級過濾到十分復(fù)雜的應(yīng)用級過濾1、包過濾器

包過濾是安全映射最基本的形式，路由軟件可根據(jù)包的源地址、目的地址或端口號建立許可權(quán)，對眾所周知的端口號的過濾可以阻止或允許網(wǎng)際協(xié)議如FTP、rlogin等。過濾器可對進入和/或流出的數(shù)據(jù)操作，在網(wǎng)絡(luò)層實現(xiàn)過濾意味著路由器可以為所有應(yīng)用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分，這種過濾可在任何可路由的網(wǎng)絡(luò)中自由使用，但不要把它誤解為萬能的，包過濾有很多弱點，但總比沒有好。

包過濾很難做好，尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數(shù)據(jù)包，基于包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定，這種技術(shù)存在許多潛在的弱點。首先，它直接依賴路由器管理員正確地編制權(quán)限集，這種情況下，拼寫的錯誤是致命的，可以在防線中造成不需要任何特殊技術(shù)就可以攻破的漏洞。即使管理員準確地設(shè)計了權(quán)限，其邏輯也必須毫無破綻才行。雖然設(shè)計路由似乎很簡單，但開發(fā)和維護一長套復(fù)雜的權(quán)限也是很麻煩的，必須根據(jù)防火墻的權(quán)限集理解和評估每天的變化，新添加的服務(wù)器如果沒有明確地被保護，可能就會成為攻破點。

隨著時間的推移，訪問權(quán)限的查找會降低路由器的轉(zhuǎn)發(fā)速度。每當路由器收到一個分組，它必須識別該分組要到達目的地需經(jīng)由的下一跳地址，這必將伴隨著另一個很耗費CPU的工作：檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長，此過程要花的時間就越多。

包過濾的第二個缺陷是它認為包頭信息是有效的，無法驗證該包的源頭。頭信息很容易被精通網(wǎng)絡(luò)的人篡改，這種篡改通常稱為“欺騙”。

包過濾的種種弱點使它不足以保護你的網(wǎng)絡(luò)資源，最好與其它更復(fù)雜的過濾機制聯(lián)合使用，而不要單獨使用。

2、鏈路網(wǎng)關(guān)

鏈路級網(wǎng)關(guān)對于保護源自私有、安全的網(wǎng)絡(luò)環(huán)境的請求是很理想的。這種網(wǎng)關(guān)攔截TCP請求，甚至某些UDP請求，然后代表數(shù)據(jù)源來獲取所請求的信息。該代理服務(wù)器接收對萬維網(wǎng)上的信息的請求，并代表數(shù)據(jù)源完成請求。實際上，此網(wǎng)關(guān)就象一條將源與目的連在一起的線，但使源避免了穿過不安全的網(wǎng)絡(luò)區(qū)域所帶來的風(fēng)險。

3、應(yīng)用網(wǎng)關(guān)

應(yīng)用網(wǎng)關(guān)是包過濾最極端的反面。包過濾實現(xiàn)的是對所有穿過網(wǎng)絡(luò)層包過濾設(shè)備的數(shù)據(jù)的通用保護，而應(yīng)用網(wǎng)關(guān)在每個需要保護的主機上放置高度專用的應(yīng)用軟件，它防止了包過濾的陷阱，實現(xiàn)了每個主機的堅固的安全。

應(yīng)用網(wǎng)關(guān)的一個例子是病毒掃描器，這種專用軟件已經(jīng)成了桌面計算的主要產(chǎn)品之一。它在啟動時調(diào)入內(nèi)存并駐留在后臺，持續(xù)地監(jiān)視文件不受已知病毒的感染，甚至是系統(tǒng)文件的改變。病毒掃描器被設(shè)計用于在危害可能產(chǎn)生前保護用戶不受到病毒的潛在損害。

這種保護級別不可能在網(wǎng)絡(luò)層實現(xiàn)，那將需要檢查每個分組的內(nèi)容，驗證其來源，確定其正確的網(wǎng)絡(luò)路徑，并確定其內(nèi)容是有意義的還是欺騙性的。這一過程將產(chǎn)生無法負擔的過載，嚴重影響網(wǎng)絡(luò)性能。

4、組合過濾網(wǎng)關(guān)

使用組合過濾方案的網(wǎng)關(guān)通過冗余、重疊的過濾器提供相當堅固的訪問控制，可以包括包、鏈路和應(yīng)用級的過濾機制。這樣的安全網(wǎng)關(guān)最普通的實現(xiàn)是象崗哨一樣保護私有網(wǎng)段邊緣的出入點，通常稱為邊緣網(wǎng)關(guān)或防火墻。這一重要的責任通常需要多種過濾技術(shù)以提供足夠的防衛(wèi)。下圖所示為由兩個組件構(gòu)成的安全網(wǎng)關(guān)：一個路由器和一個處理機。結(jié)合在一起后，它們可以提供協(xié)議、鏈路和應(yīng)用級保護。

這種專用的網(wǎng)關(guān)不象其它種類的網(wǎng)關(guān)一樣，需要提供轉(zhuǎn)換功能。作為網(wǎng)絡(luò)邊緣的網(wǎng)關(guān)，它們的責任是控制出入的數(shù)據(jù)流。顯然的，由這種網(wǎng)關(guān)聯(lián)接的內(nèi)網(wǎng)與外網(wǎng)都使用IP協(xié)議，因此不需要做協(xié)議轉(zhuǎn)換，過濾是最重要的。

保護內(nèi)網(wǎng)不被非授權(quán)的外部網(wǎng)絡(luò)訪問的原因是顯然的?？刂葡蛲庠L問的原因就不那么明顯了。在某些情況下，是需要過濾發(fā)向外部的數(shù)據(jù)的。例如，用戶基于瀏覽的增值業(yè)務(wù)可能產(chǎn)生大量的WAN流量，如果不加控制，很容易影響網(wǎng)絡(luò)運載其它應(yīng)用的能力，因此有必要全部或部分地阻塞此類數(shù)據(jù)。

聯(lián)網(wǎng)的主要協(xié)議IP是個開放的協(xié)議，它被設(shè)計用于實現(xiàn)網(wǎng)段間的通信。這既是其主要的力量所在，同時也是其最大的弱點。為兩個IP網(wǎng)提供互連在本質(zhì)上創(chuàng)建了一個大的IP網(wǎng)，保衛(wèi)網(wǎng)絡(luò)邊緣的衛(wèi)士--防火墻--的任務(wù)就是在合法的數(shù)據(jù)和欺騙性數(shù)據(jù)之間進行分辨。

5、實現(xiàn)中的考慮

實現(xiàn)一個安全網(wǎng)關(guān)并不是個容易的任務(wù),其成功靠需求定義、仔細設(shè)計及無漏洞的實現(xiàn)。首要任務(wù)是建立全面的規(guī)則，在深入理解安全和開銷的基礎(chǔ)上定義可接受的折衷方案，這些規(guī)則建立了安全策略。

安全策略可以是寬松的、嚴格的或介于二者之間。在一個極端情況下，安全策略的基始承諾是允許所有數(shù)據(jù)通過，例外很少，很易管理，這些例外明確地加到安全體制中。這種策略很容易實現(xiàn)，不需要預(yù)見性考慮，保證即使業(yè)余人員也能做到最小的保護。另一個極端則極其嚴格，這種策略要求所有要通過的數(shù)據(jù)明確指出被允許，這需要仔細、著意的設(shè)計，其維護的代價很大，但是對網(wǎng)絡(luò)安全有無形的價值。從安全策略的角度看，這是唯一可接受的方案。在這兩種極端之間存在許多方案，它們在易于實現(xiàn)、使用和維護代價之間做出了折衷，正確的權(quán)衡需要對危險和代價做出仔細的評估。四DMZDMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。

一般網(wǎng)絡(luò)分成內(nèi)網(wǎng)和外網(wǎng)，也就是LAN和WAN,那么，當你有1臺物理位置上的1臺服務(wù)器，需要被外網(wǎng)訪問，并且，也被內(nèi)網(wǎng)訪問的時候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因為防火墻默認情況下，是為了保護內(nèi)網(wǎng)的，所以，一般的策略是禁止外網(wǎng)訪問內(nèi)網(wǎng)，許可內(nèi)網(wǎng)訪問外網(wǎng)。但如果這個服務(wù)器能被外網(wǎng)所訪問，那么，就意味著這個服務(wù)器已經(jīng)處于不可信任的狀態(tài)，那么，這個服務(wù)器就不能（主動）訪問內(nèi)網(wǎng)。

構(gòu)建DMZ的策略1.內(nèi)網(wǎng)可以訪問外網(wǎng)

內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要進行源地址轉(zhuǎn)換。2.內(nèi)網(wǎng)可以訪問DMZ

此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。3.外網(wǎng)不能訪問內(nèi)網(wǎng)

很顯然，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進行訪問。4.外網(wǎng)可以訪問DMZ

DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問DMZ。同時，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器實際地址的轉(zhuǎn)換。5.DMZ不能訪問內(nèi)網(wǎng)

很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。6.DMZ不能訪問外網(wǎng)

此條策略也有例外，比如DMZ中放置郵件服務(wù)器時，就需要訪問外網(wǎng)，否則將不能正常工作。DMZ的實現(xiàn)根據(jù)以上訪問控制策略可以設(shè)定Linux防火墻的過濾規(guī)則。下面將在一個虛構(gòu)的網(wǎng)絡(luò)環(huán)境中，探討如何根據(jù)以上六條訪問控制策略建立相應(yīng)的防火墻過濾規(guī)則。這里的討論和具體應(yīng)用會有所區(qū)別，不過這種討論將有助于實際應(yīng)用。用戶在實際應(yīng)用時可根據(jù)具體的情況進行設(shè)置。該虛擬環(huán)境的網(wǎng)絡(luò)拓撲如圖1。如圖1所示，路由器連接Internet和防火墻。作為防火墻的Linux服務(wù)器使用三塊網(wǎng)卡：網(wǎng)卡eth0與路由器相連，網(wǎng)卡eth1與DMZ區(qū)的Hub相連，網(wǎng)卡eth2與內(nèi)網(wǎng)Hub相連。作為一個抽象的例子，我們用“[內(nèi)網(wǎng)地址]”來代表“/24”之類的具體數(shù)值。同理還有“[外網(wǎng)地址]”和“[DMZ地址]”。

所以，如果服務(wù)器放在內(nèi)網(wǎng)（通過端口重定向讓外網(wǎng)訪問），一旦這個服務(wù)器被攻擊，則內(nèi)網(wǎng)將會處于非常不安全的狀態(tài)。

但DMZ就是為了讓外網(wǎng)能訪問內(nèi)部的資源，也就是這個服務(wù)器，而內(nèi)網(wǎng)呢，也能訪問這個服務(wù)器，但這個服務(wù)器是不能主動訪問內(nèi)網(wǎng)的。

DMZ就是這樣的一個區(qū)域。為了讓物理位置在內(nèi)網(wǎng)的，并且，希望能被外網(wǎng)所訪問的這樣的一個區(qū)域。五還原卡工作原理還原卡的主體是一種硬件芯片，插在主板上與硬盤的MBR（主引導(dǎo)扇區(qū)）協(xié)同工作。大部分還原卡的原理都差不多，其加載驅(qū)動的方式十分類似DOS下的引導(dǎo)型病毒：接管BIOS的INT13中斷，將FAT、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時儲存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表；再另外將FAT信息保存到臨時儲存單元中，用來應(yīng)付我們對硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間，然后將我們修改的數(shù)據(jù)保存到其中。每當我們向硬盤寫入數(shù)據(jù)時，其實還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于保護卡接管INT13，當發(fā)現(xiàn)寫操作時，便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤空間，并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當我們讀取數(shù)據(jù)時，和寫操作相反，當某程序訪問某文件時，保護卡先在第二份備份的FAT中查找相關(guān)文件，如果是啟動后修改過的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫入數(shù)據(jù)相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉。硬盤還原卡是一種基于硬件的硬盤保護系統(tǒng)，跟還原軟件的作用相同都是在系統(tǒng)損壞或數(shù)據(jù)丟失時及時恢復(fù)。還原卡將計算機的系統(tǒng)分區(qū)或其他需要保護的分區(qū)保護起來，用戶可以將還原卡設(shè)定為下次啟動或過一定的時間后對系統(tǒng)進行自動還原，這樣，在此期間內(nèi)對系統(tǒng)所作的修改將不復(fù)存在，免去了系統(tǒng)每使用一段時間后就由于種種原因造成系統(tǒng)紊亂、經(jīng)常出現(xiàn)死機而不得不再次重裝系統(tǒng)之苦。計算機系統(tǒng)恢復(fù)時的操作更加方便，只需重啟一下計算機即可，并且還原卡的保護效果也遠遠的好于軟件還原，能防止各種病毒的侵襲。還原卡的原理是在操作系統(tǒng)啟動之前獲得機器的控制權(quán)。用戶對硬盤的操作，實際上不是對原來數(shù)據(jù)的修改，而是對還原卡保留區(qū)進行操作，從而達到對系統(tǒng)數(shù)據(jù)保護的功能。具體來說：

（一）控制權(quán)的獲得

要得到控制權(quán)就要求還原卡里的程序趕在操作系統(tǒng)引導(dǎo)以前運行。計算機的啟動過程是在BIOS（基本輸入輸出系統(tǒng)）的控制下進行的。BIOS是直接與硬件打交道的底層代碼，它為操作系統(tǒng)提供了控制硬件設(shè)備的基本功能。BIOS包括有系統(tǒng)BIOS（即常說的主板BIOS）、顯卡BIOS和其它設(shè)備（例如IDE控制器、SCSI卡或網(wǎng)卡等）的BIOS，BIOS一般被存放在ROM(只讀存儲芯片)之中，即使在關(guān)機或掉電以后，這些代碼也不會消失。而絕大部分硬件還原卡程序正是駐留在網(wǎng)卡的BIOS里。計算機的啟動過程是這樣的，當按下電源開關(guān)時，電源開始向主板和其它設(shè)備供電，這時CPU從固定的內(nèi)存地址開始執(zhí)行一條跳轉(zhuǎn)指令，跳到系統(tǒng)BlOS中真正的啟動代碼處裝載系統(tǒng)BlOS程序。接著系統(tǒng)BIOS的啟動代碼首先要做的事情就是進行POST(加電后自檢)，POST的主要任務(wù)是檢測系統(tǒng)中一些關(guān)鍵設(shè)備是否存在和能否正常工作。接下來BIOS將查找顯卡的BlOS，對顯卡進行初始化工作。查找網(wǎng)卡等其它BIOS并裝載運行之。還原卡上的程序正是利用這個時機將自己裝載到內(nèi)存中的特定地址。緊接著是對CPU、內(nèi)存等一系列設(shè)備的測試。系統(tǒng)BlOS的啟動代碼的最后一項工作就是讀取并執(zhí)行硬盤上的主引導(dǎo)記錄里的主引導(dǎo)程序。我們看到還原卡程序是在硬盤啟動前得到了機器的控制權(quán)，從而達到對計算機運行時硬盤的全程監(jiān)控。

（二）對數(shù)據(jù)保護

我們先來看看是什么改變和破壞了硬盤內(nèi)的數(shù)據(jù)。首先是用戶的修改和刪除數(shù)據(jù)，其次是計算機病毒的影響。我們引用較為普遍計算機病毒定義：計算機病毒是一種人為制造的、隱藏在計算機系統(tǒng)的數(shù)據(jù)資源中的、能夠自我復(fù)制進行傳播的程序?？梢娪脩艉筒《緦?shù)據(jù)的改變都是通過寫操作和刪除操作引起的，而還原卡正是通過對這兩項操作加以影響而達到對硬盤數(shù)據(jù)的保護的。操作物理機的最低層是ROMBIOS，而層次越低適用范圍越廣，因為上層都要調(diào)用它。因此截取到ROMBIOS的硬盤讀寫例程，就能攔截到系統(tǒng)運行時所有的硬盤讀寫操作。而ROMBIOS的程序是由許多中斷程序所組成，完成硬盤操作的中斷是INTl3，因此還原卡程序啟動后的第一件工作便是查找到系統(tǒng)BlOS的中斷向量表，用自己的INTl3程序替換掉原有的INTl3程序。來達到對硬盤讀寫的攔截。

那么還原卡程序如何通過攔截INTl3來達到對硬盤的保護呢?還原卡程序接管BIOS的INT13中斷，將FAT（文件分配表）、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時儲存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表，再另外將FAT信息保存到臨時儲存單元中，用來應(yīng)付我們對硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間作為保留區(qū)，然后將我們修改的數(shù)據(jù)保存到其中。

每當我們向硬盤寫入數(shù)據(jù)時，其實還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于還原卡接管INT13，當發(fā)現(xiàn)寫操作時，便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤空間，并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當我們讀取數(shù)據(jù)時，和寫操作相反，先在第二份備份的FAT中查找相關(guān)文件，如果是啟動后修改過的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫入數(shù)據(jù)相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉?？梢娺€原卡的主要功能就是改變原有讀寫數(shù)據(jù)的地址。使其對原有數(shù)據(jù)的讀寫轉(zhuǎn)向到對保留區(qū)里的數(shù)據(jù)進行操作，而并沒有對數(shù)據(jù)存在的原有地址進行讀寫，從而達到對原有數(shù)據(jù)的保護七LangateLanGate是網(wǎng)關(guān)級的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫?；谟脩舨呗缘陌踩芾?/p>

整個網(wǎng)絡(luò)安全服務(wù)策略可以基于用戶進行管理，相比傳統(tǒng)的基于IP的管理方式，提供了更大的靈活性。

防火墻功能

LanGate系列產(chǎn)品防火墻都是基于狀態(tài)檢測技術(shù)的，保護企業(yè)的計算機網(wǎng)絡(luò)免遭來自Internet的攻擊。防火墻通過“外->內(nèi)”、“內(nèi)->外”?ⅰ澳?->內(nèi)”（子網(wǎng)或虛擬子網(wǎng)之間）的接口設(shè)置，提供了全面的安全控制策略。

VPN功能

LanGate支持IPSec、PPTP及L2TP的VPN網(wǎng)絡(luò)傳輸隧道。內(nèi)容過濾功能

LanGate的內(nèi)容過濾不同于傳統(tǒng)的基于主機系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品。LanGate設(shè)備是網(wǎng)關(guān)級的內(nèi)容過濾，是基于專用芯片硬件技術(shù)實現(xiàn)的。LanGate專用芯片內(nèi)容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內(nèi)容與成千上萬種關(guān)鍵詞或其它模式的特征相匹配。具有根據(jù)關(guān)鍵字、URL或腳本語言等不同類型內(nèi)容的過濾，還提供了免屏蔽列表和組合關(guān)鍵詞過濾的功能。同時，LanGate還能對郵件、聊天工具進行過濾及屏蔽。

入侵檢測功能

LanGate內(nèi)置的網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）是一種實時網(wǎng)絡(luò)入侵檢測傳感器，它能對外界各種可疑的網(wǎng)絡(luò)活動進行識別及采取行動。IDS使用攻擊特征庫來識別過千種的網(wǎng)絡(luò)攻擊。同時LanGate將每次攻擊記錄到系統(tǒng)日志里，并根據(jù)設(shè)置發(fā)送報警郵件或短信給網(wǎng)絡(luò)管理員。

垃圾郵件過濾防毒功能

包括：

對SMTP服務(wù)器的IP進行黑白名單的識別

垃圾郵件指紋識別

實時黑名單技術(shù)

對所有的郵件信息病毒掃描

帶寬控制（QoS）

LanGate為網(wǎng)絡(luò)管理者提供了監(jiān)測和管理網(wǎng)絡(luò)帶寬的手段，可以按照用戶的需求對帶寬進行控制，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運行。帶寬管理可自定義優(yōu)先級，確保對于流量要求苛刻的企業(yè)，最大限度的滿足網(wǎng)絡(luò)管理的需求。

系統(tǒng)報表和系統(tǒng)自動警告

LanGate系統(tǒng)內(nèi)置詳細直觀的報表，對網(wǎng)絡(luò)安全進行全方位的實時統(tǒng)計，用戶可以自定義閥值，所有超過閥值的事件將自動通知管理管理人員，通知方式有Email及短信方式（需結(jié)合短信網(wǎng)關(guān)使用）。

多鏈路雙向負載均衡

提供了進出流量的多鏈路負載均衡，支持自動檢測和屏蔽故障多出口鏈路，同時還支持多種靜態(tài)和動態(tài)算法智能均衡多個ISP鏈路的流量。支持多鏈路動態(tài)冗余，流量比率和智能切換；支持基于每條鏈路限制流量大小；支持多種DNS解析和規(guī)劃方式，適合各種用戶網(wǎng)絡(luò)環(huán)境；支持防火墻負載均衡。

：實證研究及結(jié)論，實證問題概述網(wǎng)絡(luò)安全技術(shù)是當前信息化應(yīng)用的重中之重，其實現(xiàn)方式通常包括硬件和軟件兩種，本題目主要以《鐵道部貨檢集中監(jiān)控系統(tǒng)技術(shù)條件》為需求，研究軟件應(yīng)用安全的主要問題、基于部署的主要解決方案，目前，哈爾濱鐵路局機房啟用了4臺服務(wù)器，承擔著中間站網(wǎng)絡(luò)的運行（貨運站及貨運處網(wǎng)站）。經(jīng)過幾年來的運行，數(shù)據(jù)量不斷增大，子系統(tǒng)不斷增加，導(dǎo)致信息冗余加劇。加之鐵道部使用的應(yīng)用平臺沒有經(jīng)過專業(yè)測試，未能判斷程序間的兼容性，在與鐵路局信息互訪、統(tǒng)一辦公過程中，各方面數(shù)據(jù)相互沖突，網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)互訪、信息鏈接、數(shù)據(jù)冗余沒有經(jīng)過系統(tǒng)劃分，雜亂無章，造成了應(yīng)用程序混亂，從而導(dǎo)致系統(tǒng)響應(yīng)緩慢，鏈接失敗，站段不能正常上傳信息，進而影響了整體路局的網(wǎng)絡(luò)辦公體系。隨著計算機的不斷升級換代，網(wǎng)絡(luò)應(yīng)用的不斷深入，毋庸置疑，局域網(wǎng)已經(jīng)成為信息傳遞的重要載體和平臺?？蛻舳说牟粩嘣黾?，信息化的迅速發(fā)展，數(shù)據(jù)庫的不斷升級擴容，100Mbit/s已經(jīng)不能滿足現(xiàn)行網(wǎng)絡(luò)大量傳輸。因此，信息鏈路的簡潔化實施已經(jīng)迫在眉睫，必須改造網(wǎng)絡(luò)的端口速率，調(diào)整各自應(yīng)用平臺，確保正常辦公。根據(jù)哈爾濱電子所機房實地考察，從網(wǎng)絡(luò)分布、硬件及配置、軟件現(xiàn)狀三個方面作以簡要描述。鐵路局八臺服務(wù)器物理分布（如圖1所示）。中間站為服務(wù)器1、服務(wù)器2、服務(wù)器3、服務(wù)器4；鐵道部危險品監(jiān)控系統(tǒng)為服務(wù)器5（鐵道部規(guī)章）、服務(wù)器6；報價系統(tǒng)為服務(wù)器7、服務(wù)器8。發(fā)現(xiàn)問題：在月初和月末文件傳輸當中出現(xiàn)無法上傳、網(wǎng)絡(luò)響應(yīng)慢或者鏈接超時，引起各站段不能正常辦公。網(wǎng)絡(luò)分布圖1：網(wǎng)絡(luò)簡易圖硬件及配置1、服務(wù)器服務(wù)器計算機名用戶名/口令remontecontrol口令配置參數(shù)中間站服務(wù)器一ZJZ-1administratorhebhyctoechebtoec134C2.66G/R8G/H146*2服務(wù)器二ZJZ-2administratorhebhyctoechebtoecC2.66G/R8G/H146*3服務(wù)器三ZJZ-3administratorhebhyctoechebtoec137C2.66G/R8G/H146*3服務(wù)器四（數(shù)據(jù)庫）hyc-web.hyc.dnsadministratorhycwz0802C3.2G/R4G/H73*4危險品及鐵道部規(guī)章服務(wù)器五hebhycadministrator缺hebtoecC3.2G/R8G/H73*4服務(wù)器六（新增）hebhycadministratorhebwxptoec空C3.0G/R8G/H146*3保價系統(tǒng)服務(wù)器七hebbj1administratorhebbjhebhyaqC3.0G/R8G/H146*3服務(wù)器八hebbj2administratorhebbjhebhyaqC3.0G/R8G/H146*32、網(wǎng)絡(luò)設(shè)備設(shè)備名稱參數(shù)用戶名/密碼備注負載均衡AIP:9VIP:0admin/admin中間站使用路由模式負載均衡BIP:9VIP:0admin/admin中間站備用路由模式負載均衡CIP:6VIP:7admin/admin危險品使用交換機24口百兆+2口千兆，背板帶寬4.4GLAN交換24口百兆交換機，背板帶寬2.4GWAN交換軟件現(xiàn)狀服務(wù)器IP地址應(yīng)用備注服務(wù)器1貨運站系統(tǒng)，其中包括貨運站網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、人力資源、培訓(xùn)考核。，貨運處系統(tǒng)包括貨運處網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁服務(wù)器1：貨運處管理系統(tǒng)、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、培訓(xùn)教材、技術(shù)表演賽。服務(wù)器2：設(shè)備專用線系統(tǒng)中的“設(shè)備圖形”文件及FTP文件服務(wù)器2服務(wù)器33服務(wù)器410貨運站系統(tǒng)、貨運處系統(tǒng)、各子系統(tǒng)的數(shù)據(jù)庫SQL數(shù)據(jù)庫服務(wù)器511鐵道部危險品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)及鐵道部危險品數(shù)據(jù)庫服務(wù)器5：鐵道部危險品數(shù)據(jù)庫SQL,規(guī)章數(shù)據(jù)庫Oracle服務(wù)器65服務(wù)器711保價系統(tǒng)服務(wù)器812（二）、需要解決的主要問題硬件分析整體網(wǎng)絡(luò)物理分布位置不統(tǒng)一。數(shù)據(jù)庫與應(yīng)用服務(wù)器分布在不同機房，中間鏈接無法確認，使得應(yīng)用服務(wù)器訪問數(shù)據(jù)庫需要經(jīng)過N個接點，出現(xiàn)冗余信息影響網(wǎng)絡(luò)正常通信，加大了訪問時間。為滿足日益增加的各站段數(shù)據(jù)錄入，數(shù)據(jù)處理的需求，我們曾將中間站3臺服務(wù)器部署成集群模式，以提高服務(wù)器的性能。但因長期數(shù)據(jù)積累，信息量大，使得百兆的交換機無法滿足當前的應(yīng)用環(huán)境，即使在集群模式下也會出現(xiàn)端口瓶頸，引起網(wǎng)絡(luò)阻塞，導(dǎo)致網(wǎng)絡(luò)頁面響應(yīng)緩慢、延遲及無法響應(yīng)等現(xiàn)象。危險品數(shù)據(jù)庫（服務(wù)器5）、中間站數(shù)據(jù)庫（服務(wù)器4）硬盤空間不足。服務(wù)器型號老，接口不統(tǒng)一，擴充能力差，無法滿足后期應(yīng)用需求。軟件分析中間站三臺服務(wù)器安裝的應(yīng)用有差別，沒有真正達到集群要求。鐵路局和鐵道部的應(yīng)用部署混亂，數(shù)據(jù)不能明確劃分，導(dǎo)致系統(tǒng)響應(yīng)緩慢，信息讀取延時，影響整體應(yīng)用的穩(wěn)定性。（三），解決方案1、帶寬提升增加網(wǎng)絡(luò)帶寬，提升端口吞吐量，升級百兆端口到千兆，端口模式設(shè)為全雙工，實現(xiàn)端口匯聚功能，保證網(wǎng)絡(luò)內(nèi)部無瓶頸。2、優(yōu)化鏈接簡化網(wǎng)絡(luò)物理鏈接結(jié)構(gòu)，優(yōu)化網(wǎng)絡(luò)設(shè)備分布，減少冗余鏈路。從而提升網(wǎng)絡(luò)讀寫速度，保證多客戶端信息上傳、下載流暢無延時。3、數(shù)據(jù)整合合并中間站數(shù)據(jù)庫和危險品數(shù)據(jù)庫，保證一臺服務(wù)器專門處理單一形式文件，防止應(yīng)用繁瑣而導(dǎo)致系統(tǒng)崩潰或響應(yīng)延時現(xiàn)象。在一臺磁盤容量可擴展的服務(wù)器上安裝中間站數(shù)據(jù)庫SQL、鐵道部危險品數(shù)據(jù)庫SQL及鐵道部規(guī)章數(shù)據(jù)庫Oracle,提供6*146G大容量磁盤空間，提供高可用性的RAID-5保證數(shù)據(jù)的安全性。4、集群設(shè)計負載均衡調(diào)整為橋接模式，進行服務(wù)器間應(yīng)用的均衡。通過權(quán)重比安排服務(wù)器各自承載的數(shù)據(jù)量，保證每臺相同負載均衡下的服務(wù)器應(yīng)用軟件統(tǒng)一，從而提供多臺冗余，保證集群7*24小時運行，避免軟件不統(tǒng)一導(dǎo)致單臺服務(wù)器宕機，影響局部應(yīng)用無法正常運行。5、信息分離八臺服務(wù)器中的應(yīng)用進行物理隔離，鐵道部的危險品監(jiān)控系統(tǒng)及鐵道部保價系統(tǒng)進行單獨劃分，與中間站的應(yīng)用分割在不同服務(wù)器，從而保證各自系統(tǒng)安全穩(wěn)定、安全、獨立運行，減少單獨系統(tǒng)資源非正常被占用情況，便于維護及升級。應(yīng)用鏈接網(wǎng)站中各子系統(tǒng)鏈接之間減少數(shù)據(jù)處理，數(shù)據(jù)編輯，添加數(shù)據(jù)庫鏈接，提取現(xiàn)有數(shù)據(jù)，提高網(wǎng)絡(luò)讀取速度。7、性能標準確保服務(wù)器硬件、應(yīng)用軟件及機器本身性能滿足安全1+1+1；權(quán)限1/3+1/3+1/3；性能3A標準。硬件冗余硬盤數(shù)據(jù)需要做本地或異地備份，防止因硬盤損壞而丟失數(shù)據(jù)。（二）物理設(shè)計1、網(wǎng)絡(luò)規(guī)劃設(shè)計如圖2所示圖2：規(guī)劃圖2、服務(wù)器部署服務(wù)器配置參數(shù)備注中間站服務(wù)器一C2.66G/R8G/H146*2貨運站及貨運處網(wǎng)站服務(wù)器二C2.66G/R8G/H146*2服務(wù)器三C2.66G/R8G/H146*2危險品及鐵道部規(guī)章服務(wù)器四C3.2G/R4G/H73*4鐵道部危險品系統(tǒng)及鐵道部規(guī)章服務(wù)器五C3.2G/R8G/H73*4數(shù)據(jù)庫服務(wù)器六C3.0G/R8G/H146*6貨運站、貨運處及鐵道部危險品數(shù)據(jù)庫保價系統(tǒng)服務(wù)器七C3.0G/R8G/H146*2服務(wù)器八C3.0G/R8G/H146*23、網(wǎng)絡(luò)設(shè)備設(shè)備名稱參數(shù)用戶名/密碼備注負載均衡AIP:9VIP:0admin/admin中間站使用橋接模式負載均衡BIP:9VIP:0admin/admin中間站備用橋接模式負載均衡CIP:6VIP:7admin/admin危險品使用橋接模式交換機16口千兆，背板帶寬16G，支持端口匯聚LAN交換16口千兆，背板帶寬16G，支持端口匯聚WAN交換4.軟件部署服務(wù)器IP地址應(yīng)用備注服務(wù)器1貨運站系統(tǒng)，其中包括貨運站網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、人力資源、培訓(xùn)考核。，貨運處系統(tǒng)包括貨運處網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁服務(wù)器2服務(wù)器33服務(wù)器410鐵道部危險品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)IP改為5服務(wù)器511鐵道部危險品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)服務(wù)器65貨運站系統(tǒng)、貨運處系統(tǒng)數(shù)據(jù)庫、鐵道部危險品數(shù)據(jù)庫及鐵道部規(guī)章數(shù)據(jù)庫IP改為10SQL和Oracle服務(wù)器711保價系統(tǒng)服務(wù)器812，重點過程描述（一）硬件改造將新增的危險品服務(wù)器6（IP:5）添加硬盤到滿載146G*6做RAID-5，提高安全系數(shù)。將服務(wù)器4（IP：10）和服務(wù)器5（IP:11）遷移到中間站機柜中，減少網(wǎng)絡(luò)鏈接，提高網(wǎng)絡(luò)性能，便于管理及維護。更換以前的百兆WAN交換機和LAN交換機為千兆交換機。更換百兆網(wǎng)線為千兆網(wǎng)線。調(diào)整端口匯聚，提升網(wǎng)絡(luò)帶寬瓶頸。調(diào)整負載均衡為橋接模式，開放端口。（二）軟件調(diào)整將新增的危險品服務(wù)器6（IP:5）安裝SQL及Oracle數(shù)據(jù)庫，導(dǎo)入中間站及鐵道部危險品數(shù)據(jù)庫數(shù)據(jù)。將服務(wù)器4（IP：10）和服務(wù)器5（IP:11）安裝鐵道部危險品監(jiān)控系統(tǒng)及鐵道部規(guī)章。將服務(wù)器1（IP:1）、服務(wù)器2（IP:2）和服務(wù)器3（IP:3）中應(yīng)用程序調(diào)整統(tǒng)一。各級主頁均取消“危險品運輸管理系統(tǒng)”；增加“危貨運量表”不需手工維護，自動讀??；原“應(yīng)急預(yù)案”自動讀??；原導(dǎo)航欄“報表管理”中“危貨運量表”取消；“辦理規(guī)定資質(zhì)查詢”貨運處、直屬站段、貨運站均鏈接，從鐵道部辦理資質(zhì)中??；“跟蹤系統(tǒng)”取消；貨運處、直屬站段頁面均取消“安全管理保價子系統(tǒng)”，增加“保價格式四、格式六”；直屬站段、貨運站頁面均取消“全路專用線名稱表”，“全路專用線名稱表”加在設(shè)備專用線管理子系統(tǒng)中，每兩個月手工同步修改升級。調(diào)整路局信息與鐵道部信息共享。（五），實證結(jié)論最終部署最終網(wǎng)絡(luò)拓撲開發(fā)及調(diào)整軟件方面1、危貨運輸：貨運站、貨運處系統(tǒng)主頁均取消“危險品運輸管理系統(tǒng)”；增加“危貨運量表”，但不需手工維護，只需自動讀取，建立鏈接；原“應(yīng)急預(yù)案”系統(tǒng)改為自動讀??；原導(dǎo)航欄“報表管理”中“危貨運量表”取消；“辦理規(guī)定資質(zhì)查詢”貨運處、直屬站段、貨運站均鏈接，從鐵道部辦理資質(zhì)中讀??；“跟蹤系統(tǒng)”取消。2、保價運輸：貨運處、直屬站段頁面均取消“安全管理保價子系統(tǒng)”，增加“保價格式四、格式六”。3、規(guī)章文電：單獨部署，均使用哈局版，建立哈局信息與鐵道部信息共享。直屬站段、貨運站頁面均取消“全路專用線名稱表”，程序重新制作，“全路專用線名稱表”加在設(shè)備專用線管理子系統(tǒng)中，每兩個月手工同步修改升級。4、驗證事故處理、規(guī)章文電及專用線系統(tǒng)。5、編寫服務(wù)器硬件及應(yīng)用軟件分配表。6、編寫整改后總結(jié)。硬件方面1、安裝配置3臺千兆交換機，用以替換老型號百兆交換機。2、重新部署千兆網(wǎng)線。3、配置3臺負載均衡設(shè)備。4、備份服務(wù)器3（3）數(shù)據(jù)，安裝服務(wù)器3系統(tǒng)及應(yīng)用程序，配置ctrix發(fā)布信息。5、調(diào)整服務(wù)器硬盤。6、測試中間站應(yīng)用、網(wǎng)絡(luò)流量及局域網(wǎng)帶寬。7、登記交換機、負載均衡、服務(wù)器SN及ID號。項目實施的技術(shù)方案采用3臺中間站服務(wù)器采用集群模式，提升服務(wù)器處理性能，減少物理鏈接接點，增加端口帶寬，提升網(wǎng)絡(luò)傳輸速度。負載均衡采用橋接模式，減少網(wǎng)絡(luò)接點，提高傳輸性能。用戶可以延續(xù)當前的IP架構(gòu)，在不改變IP地址的情況下根據(jù)需要增加負載均衡服務(wù)器。使用橋接模式時，LAN和WAN接口必須處在分開的網(wǎng)絡(luò)中，而且服務(wù)器在均衡器上的應(yīng)用處于平衡的時候，LAN接口必須處于被負載均衡的服務(wù)器相同的邏輯交換機上。交換速率采用全千兆網(wǎng)絡(luò)鏈路，改變以前百兆鏈路，增加網(wǎng)絡(luò)吞吐量。WAN交換機和LAN交換機采用管理型全千兆以太網(wǎng)，增加交換機背板帶寬，提升網(wǎng)絡(luò)性能。中間站應(yīng)用軟件采用統(tǒng)一部署，實現(xiàn)集群負載。取消21個站段網(wǎng)絡(luò)應(yīng)用平臺，統(tǒng)一為直屬站主頁和直屬段主頁。成果1、提升了網(wǎng)絡(luò)帶寬。（百兆網(wǎng)線換成千兆網(wǎng)線，百兆交換機換千兆交換機。）2、增大了磁盤的容量.（增加了6塊146G硬盤）3、更新了負載均衡版本及規(guī)則庫。4、變更了負載均衡的服務(wù)方式，提升了處理速度。（路由模式改橋接模式）5、刪減了冗余信息。（刪除了中間站危險品系統(tǒng)）6、調(diào)整了應(yīng)用軟件的鏈接。綜上所述，滿足《哈局12月10、11日會議紀要》要求，不但節(jié)約人力成本而且提高工作效率，從網(wǎng)絡(luò)安全的角度來說，也最大限度降低了網(wǎng)絡(luò)風(fēng)險，實現(xiàn)了安全、穩(wěn)定、高效的網(wǎng)絡(luò)環(huán)境,經(jīng)過傲盾網(wǎng)絡(luò)測速軟件測試，整改前響應(yīng)為0.1ms,丟包率6.00%,整改后響應(yīng)為0.02ms,丟包率0.00%。

附錄資料：不需要的可以自行刪除動力車間崗位責任制主任崗位責任制1、在公司領(lǐng)導(dǎo)下負責車間的行政、生產(chǎn)、人事管理等全面工作；是車間職業(yè)健康、安全、環(huán)保、消防工作第一責任人。2、負責對本車間人員工作的檢查、監(jiān)督和考核，根據(jù)工作業(yè)績完成員工月度及年終等績效考核。3、建立健全車間的管理制度與工作程序，堅持按制度和程序辦事，明確責任分工。并且以身作則，帶頭執(zhí)行，使車間管理科學(xué)化、規(guī)范化4、每月召開一次車間管理人員、班組長會議，總結(jié)上月工作，布置本月任務(wù)。每周召開一次車間生產(chǎn)例會。5、加強車間內(nèi)部管理，組織好業(yè)務(wù)學(xué)習(xí)、培訓(xùn)職工考評及崗位練兵工作；6、負責本車間安全培訓(xùn)和安全管理，認真貫徹執(zhí)行安全生產(chǎn)管理制度，保障車間生產(chǎn)安全7、加強車間內(nèi)部建設(shè)，對職工思想工作做好動態(tài)管理，抓好職工隊伍建設(shè)；副主任崗位責任制1、在車間主任領(lǐng)導(dǎo)下，負責組織生產(chǎn)、工藝和設(shè)備管理，同時受生產(chǎn)副總經(jīng)理的領(lǐng)導(dǎo)，在指定的工作范圍內(nèi)對安全生產(chǎn)負責；2、貫徹工藝管理制度，組織制定、修訂崗位管理技術(shù)標準及管理制度，并檢查貫徹執(zhí)行情況。3、負責編制生產(chǎn)、檢修、技措技改、安措和質(zhì)量工作計劃，并監(jiān)督執(zhí)行。4、負責貫徹安全生產(chǎn)制度，組織工藝事故的調(diào)查、分析和處理，并制定落實防范措施。5、發(fā)動好職工的合理化建議討論，并組織好論證與實施；6、加強車間崗位練兵制的實施與業(yè)務(wù)培訓(xùn)，不斷提高職工素質(zhì)、崗位技能、提高業(yè)務(wù)水平；7、協(xié)助車間主任做好職工的政治、思想工作；抓好職工隊伍的建設(shè)8、協(xié)助主任工作，在主任外出時代行其責工藝技術(shù)員崗位責任制1、在車間主任和副主任的領(lǐng)導(dǎo)下，協(xié)助做好車間的工藝技術(shù)管理工作。2、編寫車間各種工藝試車方案、規(guī)程，制訂和修訂崗位操作規(guī)程和工藝指標，并檢查貫徹執(zhí)行情況。3、編制車間年、季、月原輔材料消耗、降耗節(jié)能和技措技改計劃。4、每日研究生產(chǎn)操作記錄，分析判斷生產(chǎn)中的薄弱環(huán)節(jié)，提出對策不斷挖掘生產(chǎn)潛力，實現(xiàn)安全、高產(chǎn)、優(yōu)質(zhì)、低耗。5、根據(jù)職能部門規(guī)定，建立健全各類工藝臺帳。6、對生產(chǎn)中出現(xiàn)異常狀況要及時分析和處理，參加工藝事故分析，提出防范措施7、制定職工業(yè)務(wù)培訓(xùn)計劃，做好業(yè)務(wù)技術(shù)培訓(xùn)和考核。8、負責本車間各崗位各種數(shù)據(jù)記錄報表的審查，并對其負責。9、努力鉆研業(yè)務(wù)技術(shù)，不斷進行知識更新。掌握國內(nèi)外先進生產(chǎn)技術(shù)，參與組織實施技術(shù)革新活動10、定期對生產(chǎn)系統(tǒng)的安全隱患進行排查、治理，對排查出來的安全隱患，要落實整改措施設(shè)備技術(shù)員崗位責任制1、在車間主任和副主任的領(lǐng)導(dǎo)下，做好本車間的設(shè)備管理工作2、負責編制本車間各類設(shè)備檢修規(guī)程，維護保養(yǎng)制度3、協(xié)調(diào)檢修車間做好車間的設(shè)備檢修工作4、建立健全車間各類設(shè)備管理臺帳，做到有計劃的更換和檢修，保證安全穩(wěn)定長周期運行。5、每日對車間主要設(shè)備進行一次巡檢，做好記錄，及時發(fā)現(xiàn)和解決問題。6、定期對設(shè)備的安全隱患進行排查、治理，對排查出來的安全隱患，要落實整改措施7、編制車間設(shè)備的大、小修計劃、備品備件計劃；8、努力鉆研業(yè)務(wù)技術(shù)，不斷進行知識更新。掌握國內(nèi)外先進生產(chǎn)技術(shù)，參與組織實施技術(shù)革新活動安全員崗位責任制1、在車間主任和副主任的領(lǐng)導(dǎo)下，負責車間日常安全管理工作，貫徹上級有關(guān)安全生產(chǎn)的指示和規(guī)定，并監(jiān)督檢查執(zhí)行情況。在業(yè)務(wù)上受公司按環(huán)部領(lǐng)導(dǎo)，有權(quán)直接向按安環(huán)部反映情況，匯報安全方面的工作。2、做好員工的環(huán)境保護、職業(yè)衛(wèi)生、安全生產(chǎn)、消防知識、安全技術(shù)教育工作、負責新入廠人員的車間級安全教育，指導(dǎo)并督促檢查班組(崗位)的安全教育。3、每日深入現(xiàn)場檢查安全生產(chǎn)情況，發(fā)現(xiàn)違章作業(yè)者，要及時糾正或制止。遇有重大險情，應(yīng)立即報告車間處理。4、負責車間事故的管理，參與事故分析和處理，查明責任，積極提出防范措施，建立事故臺帳。5、協(xié)助車間技術(shù)人員編制安全技術(shù)措施計劃并檢查執(zhí)行情況，負責勞動保護用品、消防器材的管理，對存在的不安全因素督促有關(guān)人員及時處理。6、建立健全車間安全管理臺帳，負責安全資料的管理。7、負責制定、修訂車間級事故應(yīng)急預(yù)案，制定演練計劃、方案，并定期組織演練。8、總結(jié)和推廣安全管理工作的先進經(jīng)驗。綜合管理員崗位責任制1、在車間主任（副主任）的領(lǐng)導(dǎo)下，貫徹執(zhí)行公司各項規(guī)章制度。2、負責本單位職工考勤的匯總和職工探親假報批工作。3、負責本單位辦公用品的計劃編制、領(lǐng)取、保管及發(fā)放工作。

4、負責本單位文件、信函、報刊的接收、登記、傳遞、發(fā)放及保管、歸檔管理工作。

5、負責辦理本單位員工調(diào)轉(zhuǎn)、離、退休等工作的報批手續(xù)及新員工的接收工作。

6、負責辦理本單位職工的轉(zhuǎn)正、定級、工資晉升等報批手續(xù)及工資領(lǐng)發(fā)工作。

7、負責辦理經(jīng)本單位領(lǐng)導(dǎo)同意的職工所需的各種證明、介紹信等手續(xù)。

8、負責建立個人考勤臺帳。負責外來電話的記錄，各種會議的通知及有關(guān)會議的記錄、整理工作。

9、積極完成領(lǐng)導(dǎo)交辦的其它工作。班長崗位責任制１、在車間主任（副主任）領(lǐng)導(dǎo)下，負責組織班組的生產(chǎn)和工藝管理，在值班期間受調(diào)度室的領(lǐng)導(dǎo)，對本崗位所屬設(shè)備的安全、經(jīng)濟、文明運行負責，領(lǐng)導(dǎo)全班完成各項生產(chǎn)任務(wù)。２、主持班前和班后會，根據(jù)上級指示和調(diào)度安排，布置當班的工作和注意事項。３、嚴格執(zhí)行崗位操作規(guī)程，控制好各項工藝指標４、對本班組的安全、生產(chǎn)、勞動紀律、現(xiàn)場管理負責。５、及時總結(jié)本班組的生產(chǎn)、操作管理經(jīng)驗８、負責本班的日常檢查、整改工作。９、實事求是，認真細致地填寫崗位各項記錄，并予以保管，對其它崗位的所有記錄要經(jīng)常檢查其填寫情況。10、對違章指揮和命令有權(quán)拒絕執(zhí)行，并迅速越級上報11、負責崗位的設(shè)備、專用工器具、消防和防護器材保管工作。12、負責本班員工的日常工作考核，制定本班員工考核辦法，每月將員工考核情況上報車間。一三、關(guān)心班組職工生活，圍繞以生產(chǎn)為中心搞好班組建設(shè)，增創(chuàng)先進文明生產(chǎn)班組。嚴格執(zhí)行崗位安全生產(chǎn)責任制，指揮協(xié)調(diào)本班生產(chǎn)。司爐崗位責任制1、司爐是當班本臺鍋爐運行的負責人，并服從調(diào)度的統(tǒng)一調(diào)度管理，對所管設(shè)備的安全、經(jīng)濟運行負全部責任。2、負責所管設(shè)備的起動停止，切換操作，認真監(jiān)視設(shè)備儀表，及時進行運行調(diào)整，確保各項運行參數(shù)的正常，對運行日志，記錄及其真實性負責。3、司爐指揮副司爐搞好設(shè)備巡回檢查和定期工作，搞好設(shè)備的維護，對所管設(shè)備按規(guī)定認真檢查，發(fā)現(xiàn)異常及時匯報班長。4、對出現(xiàn)的設(shè)備異?；虬l(fā)生事故時，應(yīng)沉著、冷靜準確判斷并組織人員按規(guī)程有關(guān)規(guī)定處理，并及時報告班長、調(diào)度，對危及設(shè)備及人身安全的命令有權(quán)拒絕執(zhí)行，但必須向有關(guān)領(lǐng)導(dǎo)匯報。5、如因公或其它原因須暫時離崗，經(jīng)班長許可并向副司爐交待好工作，否則不得脫離工作崗位，班長不在時，代理班長職務(wù)，指揮全班生產(chǎn)。6、交接班前要按專責分工，搞好交接班的一切檢查或準備工作。7、負責專責范圍內(nèi)的設(shè)備和場地的整潔，搞好文明生產(chǎn)。8、協(xié)助班長及時完成車間交給的各項臨時任務(wù)。副司爐崗位責任制１、在司爐的直接領(lǐng)導(dǎo)下，協(xié)助司爐搞好所管設(shè)備的安全經(jīng)濟運行，司爐需離崗時，可受委托代行司爐職責。２、在司爐或班長的指導(dǎo)和監(jiān)護下，對所管設(shè)備進行啟動、停止、切換等重大操作和進行定期工作。３、運行中如發(fā)現(xiàn)其它異常運行時，應(yīng)及時匯報司爐，并配合司爐搞好各種事故處理，獨立處理事故時，要及時、準確，事后要立即將處理的全過程報告司爐或班長。４、認真執(zhí)行各項規(guī)章制度，搞好勞動紀律、值班紀律。5、協(xié)助司爐搞好交接班工作，完成分工負責的接班、交班前的檢查和準備工作，并將情況匯報主操。6、對所管設(shè)備按規(guī)定認真檢查，發(fā)現(xiàn)異常及時匯報司爐或班長。7、副司爐離開崗位時，需經(jīng)司爐、班長同意。鍋爐除渣、除灰工崗位責任制１、在班長、司爐的領(lǐng)導(dǎo)和指揮下，完成本崗的工作任務(wù)及各項臨時工作。２、在司爐、副司爐的指導(dǎo)下，搞好鍋爐的灰渣排放、外運。３、負責氣力輸灰系統(tǒng)與除塵器的正常運行和定期巡檢。發(fā)現(xiàn)異常及時匯報班長、司爐或副司爐，并做好記錄。4、負責放灰管、放渣管的檢查，確保放灰管暢通，發(fā)現(xiàn)堵管應(yīng)及時排除。如因故