《中标普华Linux服务器.docx》由会员分享,可在线阅读,更多相关《中标普华Linux服务器.docx(35页珍藏版)》请在三一办公上搜索。
1、中标普华Linux服务器技术白皮书上海中标软件有限公司 中标普华Linux服务器技术白皮书目 录1中标普华LINUX服务器产品概述11.1引言11.2中标普华linux服务器产品的特点21.2.1中文操作环境21.2.2安全性21.2.3满足用户特定需求21.2.4技术先进性21.2.5节省用户投资31.3中标普华linux服务器版32中标普华LINUX服务器产品详细介绍32.1服务器系统功能32.2系统特性42.3运行环境42.4性能指标42.5设计规范43中标普华LINUX服务器产品技术依托53.1通用服务器技术53.1.1Web服务器53.1.2邮件服务器53.1.3文件打印服务器53.
2、1.4域名解析服务器63.1.5安全认证服务器63.1.6代理服务器73.1.7拨入、拨出服务器73.1.8动态主机分配协议服务器73.1.9数据库服务器83.2开发技术83.2.1以GCC为核心的全套开发环境83.2.2构造工具83.2.3调试器93.3核心技术93.4CA技术103.4.1中标普华安全认证服务器组成103.4.2基于普华安全认证服务器PKI的应用113.5NC(终端服务器)技术113.5.1NC简介113.5.2NC 服务器组成部分113.5.3中文桌面功能123.5.4远程连接支持123.6安全技术123.6.1防火墙123.6.2入侵检测技术143.6.3安全更新153
3、.6.4系统引导程序的安全153.6.5TCP 会绕程序和 xinetd153.6.6用户验证163.6.7虚拟专用网163.6.8SSL的安全技术183.6.9访问存取控制列表193.6.10安全Shell (SSH)193.6.11SELinux技术203.7集群技术203.7.1高可用性集群系统203.8负载均衡集群系统223.8.1功能描述223.8.2特性223.8.3系统构思233.8.4基本原理及架构233.8.5关键技术和算法233.9硬件适配技术253.9.1硬件适配的层次253.9.2硬件适配技术实现253.10系统安装技术253.10.1安装技术要求253.10.2安装技
4、术实现263.11Xen虚拟化技术263.11.1半虚拟化技术273.11.2全虚拟化技术273.11.3配置工具29iii1 中标普华Linux服务器产品概述1.1 引言上海中标软件有限公司(简称中标软件)专注于信息化应用的基础层面,提供包括Linux桌面系统、Linux服务器系统、Office办公套件、安全增强软件等在内的系统软件产品、安全解决方案、培训及服务,为我国政务、企业、教育及其它行业信息化建设提供坚实的安全基础平台。中标软件面向信息化应用的不同领域,将其产品线整合为桌面办公平台、信息化应用平台及基础信息平台三大类产品,针对不同应用层面的特点,对产品进行细粒度定义,专业化发展。确保
5、每个产品都能够为用户提供最可靠的功能、最优秀的性能、最易用的平台及最完善的服务。基础信息平台产品(IT Infrastructure)l 中标普华通用服务器 ( NeoShine General Server )中标普华通用服务器是面向信息化基础平台领域的网络操作系统软件,该产品提供企业级的综合网络应用服务功能,能够帮助用户快速部署网络应用。简单易用的中文图形化安装,功能完善的配置管理工具,配合中标普华Linux服务器良好的硬件兼容性,使系统管理员能轻松完成系统的安装、配置及管理工作,有效降低系统维护成本。l 中标普华邮件服务器 ( NeoShine Mail Server )中标普华邮件服务
6、器是基于中标普华Linux系统平台专业邮件信息处理软件,该产品安全可靠、稳定高效、灵活易用、高性价比、可定制性强,能够满足政府及各个行业的使用需求。l 中标普华数据库服务器 ( NeoShine Database Server )中标普华数据库服务器基于中标普华Linux系统平台,针对市场上流行的各种商业数据库软件,提供安装支持、环境预配置、核心参数优化、性能调整等各项功能,同时与数据库厂家一起,提供针对中标普华Linux服务器平台的数据库系统优化,满足用户对专业化、高性能数据库产品的使用需求。1.2 中标普华linux服务器产品的特点1.2.1 中文操作环境中文处理能力表现出一个中文操作系统
7、的易用性、友好性。中标普华Linux系列产品全部具有良好的中文处理能力,支持GB18030-2000国家中文标准,支持用户广泛使用的汉字输入方法(例如:智能ABC输入法、紫光拼音输入法),支持四种GB18030 TrueType字库(宋、仿宋、黑、楷),支持系统的中文打印。1.2.2 安全性网络时代的到来,也给人们带来另外一大难题安全。由于它的出现,甚至动摇了人们联网的信心,但发展是硬道理,网络是信息化的基础。中标普华Linux系列产品的安全性,在如下几方面提供解决方案:l 系统安全方面,提供基本系统的可信计算基。l 网络安全方面,提供用户各种网络服务的安全措施,支持数字签名技术。l 提供国家
8、商密委认证的算法方案。l 提供生物识别认证技术-指纹识别。在中标普华Linux的产品维护流程中,有专门的团队负责跟踪Linux的安全漏洞情况,一但发现安全问题及时提供产品升级包,并通过中标软件完善的售后服务网络及时传递到用户手中,保障用户业务系统的安全运行。1.2.3 满足用户特定需求中标普华Linux系列产品以中标软件多年的UNIX/Linux研发经验为依托,可以为政府用户、行业用户、金融用户、PC生产商等大客户提供定制服务,开发特定的产品,并基于此类产品为客户提供解决方案、技术支持、产品服务等。1.2.4 技术先进性中标普华Linux系列产品的技术发展水平与世界最新技术水平保持同步。第一,
9、我们动态实时跟踪新技术,并使这些新技术与新特点能有机的融合到中标普华Linux产品中;第二,中标普华Linux系列产品首先以满足国内市场需求而开发,适合国情,适合国内用户的需要;第三,中标普华Linux系列产品的创新性、系统功能的完善性、稳定性、易用性,是推动中标普华Linux系列产品在应用中发展的永恒动力。1.2.5 节省用户投资使用中标普华Linux系列产品将为用户节省投资。这主要是指用户计划投资(采购其他商用系统)与实际投资(采购中标普华Linux系列产品)的差额部分。其中在软件的价格系统集成系统开发服务与维护等方面都能节省大量投资。1.3 中标普华linux服务器版中标普华Linux服
10、务器操作系统与WINDOWS服务器操作系统和UNIX操作系统功能相当,整个系统实现自主可控,是具有自主版权的服务器操作系统。中标普华Linux服务器操作系统主要是为满足政府机关、行业、企业等各类用户构建电子政务、电子商务、信息管理系统、数据库管理系统的后端服务平台。系统提供丰富的网络服务功能,实现快速的网络化平台部署,支持商业数据库、中间件。系统具有良好的稳定性、可靠性和可扩展性。支持高可靠系统、机群系统和网络安全解决方案。中标普华Linux 服务器系统严格遵循国际Linux标准,是一个分时、多进程操作系统。系统采用分层结构化设计,达到了较高的稳定性、安全性要求。通过服务器操作系统核心、库及其
11、配套的工具集,满足用户构建网络信息化平台的要求。2 中标普华linux服务器产品详细介绍2.1 服务器系统功能中标普华服务器系统支持对称多处理器,最大可达32 路CPU,最大支持64GB物理内存。并提供全面的通用服务器应用软件包如:apache Web服务器、sendmail邮件服务器、vsftp文件传输服务器、squid代理缓存服务器、DHCP服务器、Bind9 DNS服务器等,使用户可轻松构架企业应用平台;并提供MySql、PostgreSQL两个优秀的数据库。中标普华Linux服务器版同时支持企业级的应用软件和开发环境并提供丰富高效的开发工具如:C/C等语言的编译调试工具、各种互联网脚本
12、开发工具,集成图形开发环境、Lotus Domino、Kylix等。中标普华Linux服务器系统具备良好的硬件兼容性,支持种类繁多的SCSI卡、RAID卡、Firberchannel卡及各种品牌服务器。中标普华Linux服务器版同时具备良好的中文桌面环境,符合国家汉字标准GB18030,提供了中文图形化安装及系统配置工具、网络配置工具、远程配置管理工具,使系统管理员能轻松自如的完成系统的安装、配置、管理及开发工作。中标普华Linux服务器版本,做了大量的中文化、软硬件适配和测试工作,它体现了当今Linux服务器操作系统发展的最新水平。2.2 系统特性中标普华Linux 服务器版提供了全中文的操
13、作环境,符合国家汉字标准GB18030,提供美观的True-Type字库及中文输入、显示、打印功能;提供图形化安装及系统配置工具、网络配置工具、远程配置管理工具,使系统管理员能轻松自如的完成系统的安装、配置、管理及开发工作,并将安全功能融合到系统中,提高了中标普华Linux服务器系统的整体安全防护能力;同时系统具有极强的可扩展性,伴随应用规模的不断扩大,中标普华Linux 服务器系统支持性能与功能也随之提升。2.3 运行环境l 支持X86系列、X86_64系列、IA64系列 PC或PC服务器及企业级服务器 产品l 内存256兆,推荐使用512兆,硬盘最少2G,推荐5G以上l 支持USB(1.0
14、、2.0)设备(鼠标、键盘、移动硬盘、闪盘、打印机等)l 支持SCSI设备、RAID设备及光纤设备l 支持千兆网卡、无线网卡2.4 性能指标l 系统不间断工作、无故障率达到99.99%l 最大占用系统硬盘资源2.0Gl 采用日志文件系统,加固系统的可靠性、提升系统的恢复性能l 最大支持32路CPUl 最大支持64GB物理内存l 最大支持1TB的文件,8TB的分区,支持文件名最长达255字节2.5 设计规范l 完全符合POSIX标准,支持相关的ANSI、IETF、W3C等业界标准l 支持TCP/IP、X.25、SLIP、IPX、SOCKET、IPv4、IPv6等网络协议和标准l 中文处理符合I1
15、8N国际标准,支持国家汉字标准GB18030-2000及主流输入法并提供TrueType字体。l 提供直观、易用的中文图形化安装。l 符合RFC2528、X.509等安全标准,提供IPSec、SSL等安全认证机制3 中标普华linux服务器产品技术依托3.1 通用服务器技术中标普华Linux服务器操作系统提供如下9项用户最经常使用的服务器功能,80%用户的网络服务问题都可以通过该系统构建。3.1.1 Web服务器Apache Web服务器具有稳定性高,速度快,功能强,可扩展性好的特点,它可以完成普通Web服务如:虚拟主机,代理服务,安全控制等多种服务。Apache Web服务器可以提供目录,文
16、件和URL等级别的访问控制。并支持HTML、PHP等脚本语言、支持mysql、postgresql等数据库;提供基于安全套接字层的安全控制Open SSL支持与保密协议HTTPS结合可用于加密网络传输的信息和数据;提供Tux与Apache兼容的基于核心的线程级高性能Web服务器;提供PHP嵌入脚本语言、Python语言、Perl 、CGI等语言模块的支持;提供ASP到PHP脚本的转换工具。3.1.2 邮件服务器Sendmail 是Internet上最流行的邮件传输代理(MTA),它处理互联网上绝大部分电子邮件的传送。Sendmail功能强大、遵从互联网标准,高可配置,允许用户控制电子邮件几乎每
17、一个处理过程。它的主要任务是在主机之间安全地传送电子邮件,通常使用简单邮件传输协议(SMTP)。 Sendmail作为邮件路由器它获取信件、检查收件人地址并确定发送邮件的最好路径,并支持邮件转发、邮件过滤提供安全认证机制。SSL SMTP和SSL POP是在SSL基础上建立的安全传输通道上运行SMTP和POP协议,同时又对这两种协议作了一定的扩展,以便更好地支持加密的认证和传输。提供smtp认证,支持SASL、SSL/TLS等加密机制,防止Dos攻击。Sendmail可以与LDAP结合使用户可以迅速、快捷的找到大量的特定用户的特定信息。如果用户要配置大容量、专业邮件系统,中标普华提供专门用于邮
18、件服务的中标普华Linux邮件服务器系统。3.1.3 文件打印服务器Samba文件打印服务器是一个工具套件,是 SMB(Session Message Block)协议在Linux上的实现,或者称之为NETBIOS/LanManager协议。Samba最基本的功能是作为局域网中的文件和打印服务器,为同一子网中的samba客户(如win95、winNT、warp服务器、smbfs)提供文件系统、打印机等资源共享服务。Samba服务器的工作原理是,在TCP/IP通信协议之上运行Netbios(Windows网络邻居的通信协议)和LanManager协议,并使用NeBEUI协议让Windows用户在
19、网络邻居中可以看到Linux机器,或共享Linux机器上的文件或打印机,于是Linux用户和Windows用户就可以在网络邻居中进行通信。也就是说,samba服务器可以让Linux变得像Novell服务器一样,可以让Windows的用户通过网络邻居共享Linux的文件和打印机。具体功能如下。l 在网络上共享目录,就好像一台文件服务器一样。 l 在网络上共享打印机。 l 决定每一个目录由谁来使用,可以让一个人、某些人、组和所有人访问。 l 决定打印机由谁来使用,可以让一个人、某些人、组和所有人使用。l 提供GB18030的支持Samba同时具有安全特性,提供了和LanManager、Window
20、s NT兼容的口令加密,能够验证用户连接,和LanManager或 Windows NT 服务器的方法完全相同。3.1.4 域名解析服务器DNS域名解析服务器系统(Domain Name System)是一个分布式,层次化的数据库系统。分布式系统可以缩小单个服务器数据库的大小,减少单个服务器的维护任务。此外DNS还利用本地缓存来存储用户最近访问过的信息,以提高DNS系统的访问效率。DNS 服务器可以实现正向、反向的域名解析,实现透明代理的功能,IP别名功能,集群的功能,并且可以与Web、proxy、防火墙结合使用实现各种网络功能。目前中软Linux服务器版使用BIND 9.2.1实现域名系统,
21、这主要是基于安全因素考虑,因为在BIND 9中引入了DNSSEC和TSIG等机制,用于加强DNS系统的安全性,从而杜绝针对DNS的黑客攻击。3.1.5 安全认证服务器Kerberos安全认证服务器的主要设计目标是确保密码不要在网络上明文传送。Kerberos的正确使用可以根除在网络上截取密码的包嗅探器造成的危害。kerberized服务并不使用PAMkerberized服务完全绕过了PAM。如果pam_krb5模块被安装,使用PAM的应用程序可以利用Kerberos做密码检查。pam_krb5包括简单的配置文件,这些文件允许login和gdm的服务使用密码认证用户和获得最初的许可证。如果网络服
22、务器的访问总是使用kerberized服务,我们就认为网络是合理安全的。谨慎的系统管理员不会将Kerberos密码的检查增加到所有的网络服务中,因为这些服务使用的协议大部分在发送密码以前没有将密码进行加密这是明显要避免的事情。3.1.6 代理服务器Squid代理服务器是比较优秀的代理服务器软件,它可以在服务器上作一个很大的缓存,可以把好多常去的网站内容存储到缓存中,这样,内部网的机器再访问那些网站,就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度,这就是所谓的提高客户机的访问命中率, 另一方面,Squid不仅仅支持HTTP协议,而且还支持FTP,GOPHER,SSL和WAIS等协
23、议。Squid 支持的功能包括基于IP的访问控制、基于URL的访问控制、提供查看内存、交换空间,高速缓存目录的位置,所接受的连接类型及接受连接的端口的日志文件,设置最大请求连接数,管理员邮箱地址等。3.1.7 拨入、拨出服务器PPP拨入、拨出服务器可以提供拨入、拨出的服务功能。它主要是通过PPP协议(point-to-point protocol)来实现。PPP协议是目前应用最广泛的广域网协议,它通过提供连接控制协议(LCP)和网络控制程序(NCP)协议家族来配置网络性能和网络设备,从而解决了Internet互联的问题。在安全方面也提供了强大的功能,它可以提供了密码认证协议(PAP)或者邀请握
24、手认证协议(CHAP)来保证连接安全;同时可以通过不同的设备实现互联如:modem、ADSL、ISDN、DDN等。动态主机分配协议服务器3.1.8 动态主机分配协议服务器动态主机配置协议DHCP(Dynamic Host Configuration Protocol)服务,由IETF(Internet 网络工程师任务小组)设计,详尽的协议内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。运行DHCP的服务器把TCP/IP网络设置集中起来,动态处理工作站IP地址的配置,用DHCP租约和预置的IP地址相联系,DHC
25、P租约提供了自动在TCP/IP网络上安全地分配和租用IP地址的机制,实现IP地址的集中式管理,基本上不需要网络管理人员的人为干预。而且,DHCP本身被设计成BOOTP(自举协议)的扩展,支持需要网络配置信息的无盘工作站,对需要固定IP的系统也提供了相应支持。3.1.9 数据库服务器中标普华LINUX服务器系统提供或支持如下数据库系统,满足用户对数据库处理系统的 需要:l ORACLEl DB2l SYBASEl INFORMIXl MySQL(系统提供)l PostgreSQL(系统提供)l 系统中还提供了与数据库有关的接口软件如:JDBC、ODBC、MyODBC、UnixODBC、postg
26、reSQL-ODBC等。3.2 开发技术3.2.1 以GCC为核心的全套开发环境GCC早期版本是“GNU C Compiler”的缩写,在1999年4月,GCC更换了新的维护者,GNU组织将GCC重新定义为“GNU Compiler Collection”。目前的GCC包含C、C+、Objective C、Chill、Fortran和java的前端,并包括这些语言的支持库(libstdc+、libgcj、.)。GCC的开发是GNU计划的一部分,旨在增强包括GNU/Linux在内的GNU系统的编译器。GCC的开发完全是在开放的环境中进行的,并支持其他的平台,最终形成世界级的优化编译器。3.2.2
27、 构造工具开发大型的软件程序是一个复杂的过程。构造工具通过实现构造过程中某些步骤自动化达到简化过程的目的。make是Linux系统的主要构造工具,它可以使你很容易描述如何编译程序,通常的构造工具包括: l make:自动地确定一个大程序的哪一部分需要编译,并启动命令重新编译它们。l Antoconf:一个可以自动配置源代码包的工具。 l Automake:一个为autoconf生成Makefile.ini文件的工具l Rpm:包管理工具。3.2.3 调试器调试器可以使程序员观察到另一程序执行的内部情况,或查看另一程序在崩溃时正在做些什么。 GNU的调试器GDB可以帮助程序员做一下4类工作:l
28、启动程序,规定任何对程序有影响的参数。l 在进程中设置断点,暂停程序的执行。l 当进程处于停止或暂停状态时,检查程序的状态。l 修改进程的内部参数。l GDB目前可用于调试用C或C+编写的程序。3.3 核心技术中标普华linux服务器系统采用2.6版本的核心并融入了众多社区及知名公司的核心技术,随着Linux服务器系统应用越发广泛,企业和用户开始提出各种严格的要求,最主要的方面就是核心的性能和可靠性。经过改造与研发后的核心将是纯粹的linux服务器系统核心可以完全满足企业和用户的需求,其主要性能体现在:l 坚实的系统扩展能力支持对称多处理器最大支持可达32路CPU,最大支持64GB内存,支持日
29、志文件系统(EXT3,Reiserfs、JFS、XFS)。l 多种平台支持支持IA32、X86_64、IA64架构下的pentium系列、AMD系列、VIA系列及XEON系列、Itanium系列的单核、多核、NUMA中央处理器。l 实现异步I/O提高程序在I/O操作时的工作效率,减少程序在I/O操作上的等待时间。l 突破512M内存使用限制通过分配SGA和shm系统,让大型应用程序能够使用超过4GB的超大容量内存l 超线程技术的实现超线程技术使得单个处理器可以伪装成在操作系统看来二个或更多的多个处理器。linux服务器系统内核在2.4.17发布中就已经开始包含对Intel P4处理器的超线程(
30、HyperThreading)的支持。并在随后的核心中在调度器和其他一些部分进行了新的优化,使得处理器的超线程可以真正的发挥作用。l 容量超大linux服务器系统上用户和用户组的数目从最初的65000越升到了超过40亿。这使得Linux在之前可能超越限制的大型文件和认证服务器上更加实用。类似的,进程标识号(PID)的数目也从最初的32000升到10亿。l 实现逻辑卷标管理LVM(逻辑卷管理),大大增强了磁盘子系统的可伸缩性和管理效率。系统管理员可定义高达2TB容量的逻辑卷,并以832MB的增量随时调节卷的大小。比起传统的Linux分区有明显的管理性优势。3.4 CA技术3.4.1 中标普华安全
31、认证服务器组成中标普华CA服务器功能主要由三大部分组成,如下图所示:客户端注册机 构 RA证书机构CA客户端:提供用户申请证书的界面,包括:安装CA的证书,选择浏览器的类型,填写基本信息,自定证书的密码,申请结束后会返回一个关于请求信息的页面,通知用户申请已经收到,请等待认证中心批准。注册机构RA:在客户端有新的证书申请提交后,这个用户的信息会被存储到未批准的申请目录下,注册管理员可以检查这些新的申请,核对用户身份,以决定是否批准申请,如果批准申请,系统会生成证书签名请求,由注册管理员送交证书管理员证书机构CA:严格来说,证书机构CA服务器应该是一个与互联网隔断的单独机器,由证书管理员控制,它
32、的功能就是接受注册管理员提交的证书签名请求,签发证书,并将签发的证书副本保存,正本由注册管理员取走并在网上公布。中标普华CA系统的主要功能就是由以上三部分组成,对证书管理员、注册管理员和最终用户,要求实现方法简单、友好、易用并且透明,只需学会操作方法即可。3.4.2 基于普华安全认证服务器PKI的应用PKI(公钥基础设施)技术的广泛应用能满足人们对网络交易安全保障的需求。当然,作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中。3.5 NC(终端服务器)技术3.5.1 NC简介随着Linux终端服务器逐步进入银行、政府、教育行业应用,用户的要求也越来越严格。为了满足这种不断增长的要
33、求,普华终端服务器系统需要对产品进行全新的设计,进而推出功能全面崭新的普华终端服务器系统,主要针对政府NC应用及银行业务终端应用需求进行重点支持,最大限度满足这两类应用模式的需求。按照更严格的操作系统规范来研发,符合开放操作系统的广泛标准和协议。将包含众多中标软件自身的研发成果,体现普华终端服务器系统在管理性、可用性、可靠性、扩展性和软硬件兼容性上的优势。中标普华终端服务器系统的定位是终端网络连接和应用服务。其体系结构通过全新规划,采用将基础服务器与上层服务器分离的设计:在基础服务器中更多考虑系统的稳定性、可靠性及运行效率,它将为上层服务器提供坚实的基础支撑环境;而对于中标普华终端服务器,将专
34、注于面向终端的连接,提高终端服务器的性能同时满足终端对服务器的功能需求。3.5.2 NC 服务器组成部分中标普华终端服务器,包含如下组成部分:l 图形用户界面(Gnome)、基本桌面应用程序(Web浏览器、邮件客户端等)。l 上层服务器正常运行所需的公共支持环境。l 上层服务器安装接口及管理入口。l JAVA支撑环境(jre)。l 终端应用开发支持环境。l 相关的网络服务功能。网络服务主要包含如下模块:l Web服务器l TFTP服务器l 代理服务器l SQL数据库服务器l DHCP服务器l LDAP服务器3.5.3 中文桌面功能l NC端能正常显示中文,正常使用输入法。l 通过远程X终端能够
35、正常使用Web浏览器,提供多用户同时使用的支持,提供对常用IE专有属性的支持。l 通过远程X终端能够正常使用,提供多用户同时使用的支持。l 定制系统服务,提高系统响应时间。l 支持中标普华Office 1.2/2.0,支持永中Office2003的安装及基本使用。3.5.4 远程连接支持l 支持XDMCP协议,可在系统中通过图形工具软件对该协议进行激活或者禁用。l 提供图形配置工具,提供通过浏览器访问终端服务器桌面的功能。l 提供getty终端登录进程,支持传统字符终端连接。l 提供本地桌面嵌套图形登录、本地多虚拟终端图形登录的支持工具。3.6 安全技术3.6.1 防火墙中标普华Linux内核
36、中提供了大量的内置特性,使得Linux机器能够很好的实现作为一台IP防火墙的功能。内核网络实现中包括很多方式的IP过滤方案的代码,并提供了配置滤规则的机制。 防火墙设计思想中标普华Linux防火墙属于包过滤防火墙。这种防火墙又叫做网络级防火墙,因为它是工作在网络层。防火墙通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默
37、认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。 防火墙的特点在于:简洁、速度快、模块化、可扩展,并对用户透明。 防火墙功能l 包过滤功能防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的
38、安全技术。 l NAT 功能NAT(Network Address Translation)即网络地址转换。对内部网络的IP地址或者外部网络的IP地址进行转换,分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT (DNAT)。 l MAC与IP地址的绑定功能MAC与IP地址绑定起来,主要用于防止受控(不可访问外网)的内部用户通过更换IP地址访问外网。 l 状态监视功能状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,抽取有关的状态信息,并作安全决策的依据。由于它是在网络层截获数据包的,监视模块支持
39、多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息。l 数据报处理(Packet mangling) 提供了修改数据报各个字段的值的方法, 使用户进程可以进行复杂的数据报操作,从而减轻了内核空间的复杂度。3.6.2 入侵检测技术网络入侵检测系统中标普华Linux网络入侵检测系统能够实时监测和分析IP网络上的流量,可以进行协议分析、内容搜索匹配,能够探测不同类型的攻击和嗅探,如缓冲区溢出、CGI攻击、SMB探针、系统指纹试探等攻击。并且准确简明地记录恶意网络活动,并在潜在破坏出现时通知管理员。端口扫描监视器用以来监控T
40、CP/IP端口活动的监控器,能够监测到端口扫描及其它可疑流量,可以设置危险阈值, 被监测到的的端口非法活动都会被记录为详尽的报警信息,通过Syslog或email等方式报告给系统管理员。同时可以自动响应,通过对防火墙进行动态设置以及TCP Wrappers等方式方式阻断非法IP,以禁止其对系统进一步的访问。这是一个很重要的防御措施,因为黑客在入侵之前都会试图探查系统的弱点(通过端口扫描)。检测“探查”或端口扫描,可以彻底地防止潜在的黑客入侵系统,让黑客不可能在扫描过端口之后发动真正的攻击。文件完整性检查工具事实上这是一种基于主机的 IDS,可以校验重要文件和可执行文件的完好性。它检查敏感文件(
41、以及管理员添加的任何文件)的数据库,并使用 md5sum(128 位算法)或 sha1sum(160 位算法)等消息文件摘要工具来为每个文件创建一个校验和(checksum)。然后,基于主机的 IDS 把这些校验和保存到一个纯文本文件中,并定期比较实际文件的校验和与这个纯文本文件中保存的数值。如果发现了任何不符之处,工具就会通过电子邮件等方式来警告管理员。3.6.3 安全更新中标普华服务器系统中提供的各种程序都是稳定的、被全面测试过的软件。在生产环境中被使用了多年后,这些软件的源码已经被全面精化,许多软件中存在的错误已被发现并修正。 然而,世界上并不存在完美无缺的软件,万事都有提高的余地。除此
42、之外,由于更新的软件在生产环境中的使用时间不长,或者因为它没有其它服务器软件那么流行,它可能没有像人们所期待的一样被全面测试过。 开发者和系统管理员经常会在服务器程序中发现可被当作漏洞而利用的程序错误并在错误跟踪和安全相关的网站。中标软件发布的勘误更新可以解决上述问题,可以通过两种方式来获取:l 中标普华服务器自动升级系统通过此工具进行在线升级,自动升级系统可以自动建立rpm包的版本库和包之间的依赖关系数据库;具有广泛的兼容性;依据所建库自动下载和升级软件包;提供较灵活的配置脚本。l 通过中标软件的FTP或Web网站获得发布的勘误更新。3.6.4 系统引导程序的安全中标普华Linux服务器可以
43、采用MD5口令来保护 Linux 引导装载程序,从而达到以下安全目的:1. 防止进入单用户模式 如果攻击者能够引导入单用户模式,他就可以成为根用户。 2. 防止进入引导程序控制台 攻击者可以使用引导程序编辑界面来改变它的配置或使用 cat 命令来收集信息。 3.6.5 TCP 会绕程序和 xinetdTCP 会绕程序(TCP wrappers)为多项服务提供访问控制。多数现代的网络服务,如 SSH、Telnet 和 FTP,都使用 TCP 会绕程序。该会绕程序位于进入请求和被请求服务之间,进行访问的控制。TCP 会绕程序的能力不仅局限于拒绝对服务的访问,它还可以发送连接横幅,已经警告来自特定主
44、机的攻击,并具有增强记录功能。当与 xinetd 一起使用时,TCP 会绕程序的优越性就更为显著。xinetd 是一种提供附加的访问、记录、关联、重导向、和资源利用控制的超级服务,用以控制到其从属服务访问的有效工具。3.6.6 用户验证口令安全口令是中标普华Linux 用来校验用户身份的首要方法。因此其安全对于用户、工作站以及整个网络来说都是极为重要的。为了安全目的,安装程序配置系统使用邮件文摘算式(Message-Digest Algorithm,MD5)和屏蔽口令。如果安装中取消选择了 MD5 口令,会使用较老的数据加密标准(Data Encryption Standard,DES)格式。
45、该格式把口令限定为八个字母数字字符(不允许标点和其它特殊字符),并且提供了普通的56位级别的加密即插即用认证模块( PAM)PAM(即插即用认证模块)是允许系统管理员无需重新编译验证程序设置验证措施的一种方法。有了PAM就可控制如何将指定的验证模块插入到程序中,这可通过编辑/etc/pam.d下该程序的PAM配置文件实现。KerberosKerberos使用密码确认用户身份,这些密码以加密形式通过网络发送。大部分传统的网络系统使用基于密码的认证方针。当用户需要在网络服务器上认证服务时,他们为每个需要认证的服务敲入密码。他们的密码从网络上发送,服务器使用密码确认他们的身份。使用这种方法在明码文本
46、中传送密码是很冒险的。任何有访问网络的系统攻击者和包分析者可以截取发送的密码。Kerberos的主要设计目标是确保密码不要不加密就在网络上传送。Kerberos的正确使用将根除在网络上截取密码的包嗅探器的危害。3.6.7 虚拟专用网虚拟专用网(Virtual Private Networks,VPN)。VPN 使用和专用线路相同的原理,它允许在两个节点(或网络)间进行安全的数字通信,从现存的本地网(LAN)中创建一个广域网(WAN)。它和帧中继或 ATM 的不同之处在于所用的传输介质。VPN 使用数据报(UDP)作为传输层,但通过 IP 来传输,把它变成一个到目标点的安全通道。多数免费的软件
47、VPN 实现包括了开放标准、开源加密来进一步掩护传输中的数据。 中标普华Linux服务器提供两种VPN 方案:加密 IP 封装(CIPE)和互联网协议安全(IPsec)。 1.7.1加密 IP 封装(Crypto IP Encapsulation,CIPE)CIPE 使用加密的 IP 分组,这些分组被封装或“包围”在数据报(UDP)分组中。CIPE 分组被给以目标头信息,并使用默认的 CIPE 加密机制来加密。然后,这些分组再通过 CIPE 虚拟网络设备(cipcbx)和 IP 层,以及通讯公司的网络被作为 UDP 分组传输给预想中的远程节点。CIPE 是安全管理员和系统管理员的明智选择. 1.7.2 IP层安全(IPsec
