物理隔离Linux如何贯通安全通道二
Red Hat 7.2采用2.4.7-10内核,具有更加出色的网络配置、用户管理、防火墙机制和网络服务机制。MySQL是一个小巧玲珑的数据库服务器软件,对于中、小型应用系统是非常理想的。
除了支持标准的ANSI SQL语句外,最重要的是它还支持多种平台。在Unix/Linux系统上,MySQL支持多线程运行方式,从而能获得相当好的性能。
PHP则秉承Linux的GNU风格,能与Linux、Apache和MySQL紧密配合。同时,PHP第四代Zend(PHP4)的核心引擎正式版已经发布,整个程序的核心得到了大幅度改进,PHP程序的执行速度变得更快。因此,PHP在最佳化之后的效率已比传统CGI或ASP等程序有更好的表现。
采用这样一种软件设计体系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中,与Windows NT和其上的SQL Server相比,能节省大笔软件购置费用。
系统采集引擎的设计
执行采集任务的下载引擎是整个互联网信息安全采集系统的核心,扮演着极其重要的角色,它的效率直接影响整个系统的性能。
目前,Linux平台下比较流行的下载引擎是wget,这是一个从WWW上用HTTP和FTP两种协议方式下载文件的自由软件。wget可以在后台根据HTML的文档结构或FTP的目录树,递归地下载文件。wget在网速比较慢或网络连接不稳定的时候表现良好,它将不断地重试直到完全下载或达到最大的重试次数。
它的缺点主要是没有HASH机制,在处理大数量文件时速度大大降低;简单的递归导致内存消耗较多;深度优先递归搜索则下载结果树不平衡、不理想;没有使用多Socket,使得下载效率大打折扣;当网络速度较慢时不会及时跳出,而出现长时间等待。
针对实际应用,我们对wget算法进行修改,重写了程序,取得了较好的效果。改进后的新wget算法由于采用多套接字、多任务并发、非阻塞式I/O、I/O多路复用方式和轮询机制,在下载效率及内存占用等方面取得较为理想的效果。
虽然在系统初簦��⒍嗳挝竦墓�讨谢岜绕渌�绦蛏月�恍���孀懦绦虻脑诵校�谙略匚募��锏绞�鲆陨鲜保�绦虻南略匦�氏灾�岣撸�绕涫峭�绱�硪话慊蚨苑酵�缦煊λ俣冉下��乇鹗浅绦虺な奔湓诵惺保�湎略匦�省⒛诖嬲加谩⑽榷ㄐ浴⒖煽啃浴⒔∽承缘确矫娴挠攀聘��飨浴?br>
系统的工作流程
系统的工作流程简述如下:
(1)操作人员在采集管理服务器上定义若干下载任务模板;
(2)采集管理服务器根据任务模板的定义,生成需要执行的采集任务队列;
(3)采集管理服务器根据指定算法,将采集任务动态均衡地分配到各个采集服务器上;
(4)采集服务器接受、执行任务,并定时向中间服务器报告任务完成情况;
(5)在物理隔离器的控制下,中间服务器与内部服务器断开,与采集服务器连通,并取回采集任务结果;
(6)在物理隔离器的控制下,中间服务器与采集服务器断开,与内部服务器连通,并将采集任务结果送到内部服务器;
(7)内部服务器对接收到的采集任务结果进行特定的分析再处理后,向局域网用户提供虚拟上网的操作。
系统可以通过Web界面来定义任务模板、管理任务队列,任务队列的生成和分配将由系统内部调度程序自动完成,中间服务器与采集服务器、内部服务器的连通断开时间间隔由物理隔离器来设置。
系统的安全策略
系统为用户提供了一整套从底层操作系统到高端应用,从软件到硬件隔离的安全防护策略。系统从硬件到软件共以五个安全隐患为切入点,从不同层次上对内、外网信息进行了有效控制,对黑客、病毒起到了防护作用。
1.物理链路层安全采集(物理隔离设备)
系统对内网、外网信息的安全采集关键之处,就是采用了物理设备从物理链路层杜绝了内、外网相连的可能性,保证了资源的单向流通,从而绝对避免内网信息的泄漏。
2.操作系统级防护
系统所有功能模块都运行于Linux操作系统之上,采用最新Linux发行版本。众所周知,Linux作为开源系统,决无“后门”或“黑洞”隐患。同时,操作系统的进程、服务都是可控的,从而最大限度地对操作系统进行严格的访问控制,防止黑客有可乘之机。
3.应用级服务控制
对于安全采集系统,其本身是一个比较专用的功能平台,所以本系统对于Linux操作系统进行了有效的定制,对于系统提供的服务做了最大程度的裁减。该定制版本对每个功能服务器都略有不同。同时,在系统通信上对每个操作系统进行了严格控制,屏蔽所有控制系统基本所需之外的端口和服务。
4.控制系统本身安全采集
系统一共分为三个模块,对每个模块的运行系统都建立了一套完整的安全监控机制。除了对系统运行数据进行有效记录和分析之外,还对系统本身运行平台建立了一套严格监控技术,24小时不间断地观察和监控系统运行状况,发现异常立即发出警报。
5.用户管理
系统不仅给用户提供了一套完整有效的底层安全策略,同时还给用户提供了一套用户管理机制,对用户日常操作提供了一套有效的管理机制,建立普通用户和超级用户的操作行为划分,从而对内部破坏性行为进行了有效地控制。
实际应用
本系统自2001年研制成功并投入运行以来,经过不断地完善修改,运行稳定可靠,极大地丰富了内部局域网上的公用信息。该互联网信息安全采集系统适用于对网络安全要求很高的党、政机关、部队、团体、企事业单位等,实现在与互联网物理隔离的情况下,局域网用户访问部分互联网网站的目的。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/37244/showart_306670.html
除了支持标准的ANSI SQL语句外,最重要的是它还支持多种平台。在Unix/Linux系统上,MySQL支持多线程运行方式,从而能获得相当好的性能。
PHP则秉承Linux的GNU风格,能与Linux、Apache和MySQL紧密配合。同时,PHP第四代Zend(PHP4)的核心引擎正式版已经发布,整个程序的核心得到了大幅度改进,PHP程序的执行速度变得更快。因此,PHP在最佳化之后的效率已比传统CGI或ASP等程序有更好的表现。
采用这样一种软件设计体系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中,与Windows NT和其上的SQL Server相比,能节省大笔软件购置费用。
系统采集引擎的设计
执行采集任务的下载引擎是整个互联网信息安全采集系统的核心,扮演着极其重要的角色,它的效率直接影响整个系统的性能。
目前,Linux平台下比较流行的下载引擎是wget,这是一个从WWW上用HTTP和FTP两种协议方式下载文件的自由软件。wget可以在后台根据HTML的文档结构或FTP的目录树,递归地下载文件。wget在网速比较慢或网络连接不稳定的时候表现良好,它将不断地重试直到完全下载或达到最大的重试次数。
它的缺点主要是没有HASH机制,在处理大数量文件时速度大大降低;简单的递归导致内存消耗较多;深度优先递归搜索则下载结果树不平衡、不理想;没有使用多Socket,使得下载效率大打折扣;当网络速度较慢时不会及时跳出,而出现长时间等待。
针对实际应用,我们对wget算法进行修改,重写了程序,取得了较好的效果。改进后的新wget算法由于采用多套接字、多任务并发、非阻塞式I/O、I/O多路复用方式和轮询机制,在下载效率及内存占用等方面取得较为理想的效果。
虽然在系统初簦��⒍嗳挝竦墓�讨谢岜绕渌�绦蛏月�恍���孀懦绦虻脑诵校�谙略匚募��锏绞�鲆陨鲜保�绦虻南略匦�氏灾�岣撸�绕涫峭�绱�硪话慊蚨苑酵�缦煊λ俣冉下��乇鹗浅绦虺な奔湓诵惺保�湎略匦�省⒛诖嬲加谩⑽榷ㄐ浴⒖煽啃浴⒔∽承缘确矫娴挠攀聘��飨浴?br>
系统的工作流程
系统的工作流程简述如下:
(1)操作人员在采集管理服务器上定义若干下载任务模板;
(2)采集管理服务器根据任务模板的定义,生成需要执行的采集任务队列;
(3)采集管理服务器根据指定算法,将采集任务动态均衡地分配到各个采集服务器上;
(4)采集服务器接受、执行任务,并定时向中间服务器报告任务完成情况;
(5)在物理隔离器的控制下,中间服务器与内部服务器断开,与采集服务器连通,并取回采集任务结果;
(6)在物理隔离器的控制下,中间服务器与采集服务器断开,与内部服务器连通,并将采集任务结果送到内部服务器;
(7)内部服务器对接收到的采集任务结果进行特定的分析再处理后,向局域网用户提供虚拟上网的操作。
系统可以通过Web界面来定义任务模板、管理任务队列,任务队列的生成和分配将由系统内部调度程序自动完成,中间服务器与采集服务器、内部服务器的连通断开时间间隔由物理隔离器来设置。
系统的安全策略
系统为用户提供了一整套从底层操作系统到高端应用,从软件到硬件隔离的安全防护策略。系统从硬件到软件共以五个安全隐患为切入点,从不同层次上对内、外网信息进行了有效控制,对黑客、病毒起到了防护作用。
1.物理链路层安全采集(物理隔离设备)
系统对内网、外网信息的安全采集关键之处,就是采用了物理设备从物理链路层杜绝了内、外网相连的可能性,保证了资源的单向流通,从而绝对避免内网信息的泄漏。
2.操作系统级防护
系统所有功能模块都运行于Linux操作系统之上,采用最新Linux发行版本。众所周知,Linux作为开源系统,决无“后门”或“黑洞”隐患。同时,操作系统的进程、服务都是可控的,从而最大限度地对操作系统进行严格的访问控制,防止黑客有可乘之机。
3.应用级服务控制
对于安全采集系统,其本身是一个比较专用的功能平台,所以本系统对于Linux操作系统进行了有效的定制,对于系统提供的服务做了最大程度的裁减。该定制版本对每个功能服务器都略有不同。同时,在系统通信上对每个操作系统进行了严格控制,屏蔽所有控制系统基本所需之外的端口和服务。
4.控制系统本身安全采集
系统一共分为三个模块,对每个模块的运行系统都建立了一套完整的安全监控机制。除了对系统运行数据进行有效记录和分析之外,还对系统本身运行平台建立了一套严格监控技术,24小时不间断地观察和监控系统运行状况,发现异常立即发出警报。
5.用户管理
系统不仅给用户提供了一套完整有效的底层安全策略,同时还给用户提供了一套用户管理机制,对用户日常操作提供了一套有效的管理机制,建立普通用户和超级用户的操作行为划分,从而对内部破坏性行为进行了有效地控制。
实际应用
本系统自2001年研制成功并投入运行以来,经过不断地完善修改,运行稳定可靠,极大地丰富了内部局域网上的公用信息。该互联网信息安全采集系统适用于对网络安全要求很高的党、政机关、部队、团体、企事业单位等,实现在与互联网物理隔离的情况下,局域网用户访问部分互联网网站的目的。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/37244/showart_306670.html
命令Man解释:mkfs:建立Linux文件系统
防火��ShoreWall使用方法
Iptables学习
PWM逆变器死区效应的补偿
裕丰股份:白酒主业逐步突出
娃哈哈工会起诉达能索赔1000万元
今年全聚德推出新馅月饼
大光明整合路线图显形
浙江康恩贝称前列康商标遭侵权诉赔49万
高端市场抢占山头 张裕长城激战渠道
免责声明:
1、本文系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
2、如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容
1、本文系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
2、如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容
Linux下Apache Proxy与Cache功能的配置
MailScanner 安��置(中文版) ― mailscanner.conf
Postfix配置�main.cf中常用��介�
一步一步教你�建iscsi服�器(linux篇)
uClinux Image Compiling User Guide2
使用 iptables 建置 Linux 防火�
命令Man解释:mkfs:建立Linux文件系统
防火��ShoreWall使用方法
如何给PCI卡选用合适的总线控制器
X Window 程式设计入门(1)
美芯PICDEM LCD 2驱动器解决方案
linux系统管理员讲义(2)
USB便携式多道γ能谱仪的设计与实现
关于NetBIOS知识
内核相关资源(zz)
nis服务器
以淘汰��安� Linux 做�伺服器分享 ADSL 的��
linux系统管理员讲义(6)
用LILO轻松实现多重启动