物理隔离 Linux如何贯通安全通道二

来源： 作者： 出处：巧巧读书 2006-05-20 进入讨论组

• 关 键 词：
• windows nt
• sql server
• linux系统
• apache
• mysql

 

　　Red Hat 7.2采用2.4.7-10内核，具有更加出色的网络配置、用户管理、防火墙机制和网络服务机制。MySQL是一个小巧玲珑的数据库服务器软件，对于中、小型应用系统是非常理想的。
　　

　　除了支持标准的ANSI SQL语句外，最重要的是它还支持多种平台。在Unix/Linux系统上，MySQL支持多线程运行方式，从而能获得相当好的性能。
　　
　　PHP则秉承Linux的GNU风格，能与Linux、Apache和MySQL紧密配合。同时，PHP第四代Zend（PHP4）的核心引擎正式版已经发布，整个程序的核心得到了大幅度改进，PHP程序的执行速度变得更快。因此，PHP在最佳化之后的效率已比传统CGI或ASP等程序有更好的表现。
　　
　　采用这样一种软件设计体系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中，与Windows NT和其上的SQL Server相比，能节省大笔软件购置费用。
　　
　　系统采集引擎的设计
　　
　　执行采集任务的下载引擎是整个互联网信息安全采集系统的核心，扮演着极其重要的角色，它的效率直接影响整个系统的性能。
　　
　　目前，Linux平台下比较流行的下载引擎是wget，这是一个从WWW上用HTTP和FTP两种协议方式下载文件的自由软件。wget可以在后台根据HTML的文档结构或FTP的目录树，递归地下载文件。wget在网速比较慢或网络连接不稳定的时候表现良好，它将不断地重试直到完全下载或达到最大的重试次数。
　　
　　它的缺点主要是没有HASH机制，在处理大数量文件时速度大大降低；简单的递归导致内存消耗较多；深度优先递归搜索则下载结果树不平衡、不理想；没有使用多Socket，使得下载效率大打折扣；当网络速度较慢时不会及时跳出，而出现长时间等待。
　　
　　针对实际应用，我们对wget算法进行修改，重写了程序，取得了较好的效果。改进后的新wget算法由于采用多套接字、多任务并发、非阻塞式I/O、I/O多路复用方式和轮询机制，在下载效率及内存占用等方面取得较为理想的效果。
　　
　　虽然在系统初启，建立多任务的过程中会比其它程序稍慢一些，但随着程序的运行，在下载文件数达到十个以上时，程序的下载效率显著提高，尤其是网络带宽一般或对方网络响应速度较慢，特别是程序长时间运行时，其下载效率、内存占用、稳定性、可靠性、健壮性等方面的优势更为明显。
　　
　　系统的工作流程
　　
　　系统的工作流程简述如下：
　　
　　（1）操作人员在采集管理服务器上定义若干下载任务模板；
　　
　　（2）采集管理服务器根据任务模板的定义，生成需要执行的采集任务队列；
　　
　　（3）采集管理服务器根据指定算法，将采集任务动态均衡地分配到各个采集服务器上；
　　
　　（4）采集服务器接受、执行任务，并定时向中间服务器报告任务完成情况；
　　
　　（5）在物理隔离器的控制下，中间服务器与内部服务器断开，与采集服务器连通，并取回采集任务结果；
　　
　　（6）在物理隔离器的控制下，中间服务器与采集服务器断开，与内部服务器连通，并将采集任务结果送到内部服务器；
　　
　　（7）内部服务器对接收到的采集任务结果进行特定的分析再处理后，向局域网用户提供虚拟上网的操作。
　　
　　系统可以通过Web界面来定义任务模板、管理任务队列，任务队列的生成和分配将由系统内部调度程序自动完成，中间服务器与采集服务器、内部服务器的连通断开时间间隔由物理隔离器来设置。
　　
　　系统的安全策略
　　
　　系统为用户提供了一整套从底层操作系统到高端应用，从软件到硬件隔离的安全防护策略。系统从硬件到软件共以五个安全隐患为切入点，从不同层次上对内、外网信息进行了有效控制，对黑客、病毒起到了防护作用。
　　
　　1．物理链路层安全采集（物理隔离设备）
　　
　　系统对内网、外网信息的安全采集关键之处，就是采用了物理设备从物理链路层杜绝了内、外网相连的可能性，保证了资源的单向流通，从而绝对避免内网信息的泄漏。
　　
　　2．操作系统级防护
　　
　　系统所有功能模块都运行于Linux操作系统之上，采用最新Linux发行版本。众所周知，Linux作为开源系统，决无“后门”或“黑洞”隐患。同时，操作系统的进程、服务都是可控的，从而最大限度地对操作系统进行严格的访问控制，防止黑客有可乘之机。
　　
　　3．应用级服务控制
　　
　　对于安全采集系统，其本身是一个比较专用的功能平台，所以本系统对于Linux操作系统进行了有效的定制，对于系统提供的服务做了最大程度的裁减。该定制版本对每个功能服务器都略有不同。同时，在系统通信上对每个操作系统进行了严格控制，屏蔽所有控制系统基本所需之外的端口和服务。
　　
　　4．控制系统本身安全采集
　　
　　系统一共分为三个模块，对每个模块的运行系统都建立了一套完整的安全监控机制。除了对系统运行数据进行有效记录和分析之外，还对系统本身运行平台建立了一套严格监控技术，24小时不间断地观察和监控系统运行状况，发现异常立即发出警报。
　　
　　5．用户管理
　　
　　系统不仅给用户提供了一套完整有效的底层安全策略，同时还给用户提供了一套用户管理机制，对用户日常操作提供了一套有效的管理机制，建立普通用户和超级用户的操作行为划分，从而对内部破坏性行为进行了有效地控制。
　　
　　实际应用
　　
　　本系统自2001年研制成功并投入运行以来，经过不断地完善修改，运行稳定可靠，极大地丰富了内部局域网上的公用信息。该互联网信息安全采集系统适用于对网络安全要求很高的党、政机关、部队、团体、企事业单位等，实现在与互联网物理隔离的情况下，局域网用户访问部分互联网网站的目的。

 

• 用Photoshop给漂亮的烫发MM抠图 
• Photoshop透明婚纱抠图大法 
• Photoshop:让MM做个“变色龙” 
• 用Photoshop来制作一款精美的宝宝照片墙 
• Photoshop绝色美女通道抠图法 
• 用Photoshop教你打造绚丽光芒效果 

   巧巧读书:http://www.qqread.com/linux/2006/05/y107112061.html

更多内容请看路由安全配置专题、系统安全设置、Linux日志专题专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：使用 ssh 不用输入密码 -- putty 版

较新的文章：物理隔离 Linux如何贯通安全通道一