中标普华Linux服务器

《中标普华Linux服务器》由会员分享，可在线阅读，更多相关《中标普华Linux服务器（36页珍藏版）》请在装配图网上搜索。

1、中标普华Linux服务器技术白皮书上海中标软件有限公司目 录1中标普华LINUX服务器产品概述11.1引言11.2中标普华linux服务器产品的特点21.2.1中文操作环境21.2.2安全性21.2.3满足顾客特定需求21.2.4技术先进性21.2.5节省顾客投资31.3中标普华linux服务器版32中标普华LINUX服务器产品具体简介32.1服务器系统功能32.2系统特性42.3运营环境42.4性能指标42.5设计规范43中标普华LINUX服务器产品技术依托53.1通用服务器技术53.1.1Web服务器53.1.2邮件服务器53.1.3文献打印服务器53.1.4域名解析服务器63.1.5安全

2、认证服务器63.1.6代理服务器73.1.7拨入、拨出服务器73.1.8动态主机分派合同服务器73.1.9数据库服务器83.2开发技术83.2.1以GCC为核心的全套开发环境83.2.2构造工具83.2.3调试器93.3核心技术93.4CA技术103.4.1中标普华安全认证服务器构成103.4.2基于普华安全认证服务器PKI的应用113.5NC（终端服务器）技术113.5.1NC简介113.5.2NC 服务器构成部分113.5.3中文桌面功能123.5.4远程连接支持123.6安全技术123.6.1防火墙123.6.2入侵检测技术143.6.3安全更新153.6.4系统引导程序的安全153.6

3、.5TCP 会绕程序和 xinetd153.6.6顾客验证163.6.7虚拟专用网163.6.8SSL的安全技术183.6.9访问存取控制列表193.6.10安全Shell （SSH）193.6.11SELinux技术203.7集群技术203.7.1高可用性集群系统203.8负载均衡集群系统223.8.1功能描述223.8.2特性223.8.3系统构思233.8.4基本原理及架构233.8.5核心技术和算法233.9硬件适配技术253.9.1硬件适配的层次253.9.2硬件适配技术实现253.10系统安装技术253.10.1安装技术规定253.10.2安装技术实现263.11Xen虚拟化技术2

4、63.11.1半虚拟化技术273.11.2全虚拟化技术273.11.3配备工具291 中标普华Linux服务器产品概述1.1 引言上海中标软件有限公司（简称中标软件）专注于信息化应用的基本层面，提供涉及Linux桌面系统、Linux服务器系统、Office办公套件、安全增强软件等在内的系统软件产品、安全解决方案、培训及服务，为国内政务、公司、教育及其他行业信息化建设提供坚实的安全基本平台。中标软件面向信息化应用的不同领域，将其产品线整合为桌面办公平台、信息化应用平台及基本信息平台三大类产品，针对不同应用层面的特点，对产品进行细粒度定义，专业化发展。保证每个产品都可觉得顾客提供最可靠的功能、最优

5、秀的性能、最易用的平台及最完善的服务。基本信息平台产品（IT Infrastructure）l 中标普华通用服务器 ( NeoShine General Server )中标普华通用服务器是面向信息化基本平台领域的网络操作系统软件，该产品提供公司级的综合网络应用服务功能，可以协助顾客迅速部署网络应用。简朴易用的中文图形化安装，功能完善的配备管理工具，配合中标普华Linux服务器良好的硬件兼容性，使系统管理员能轻松完毕系统的安装、配备及管理工作，有效减少系统维护成本。l 中标普华邮件服务器 ( NeoShine Mail Server )中标普华邮件服务器是基于中标普华Linux系统平台专业邮件

6、信息解决软件，该产品安全可靠、稳定高效、灵活易用、高性价比、可定制性强，可以满足政府及各个行业的使用需求。l 中标普华数据库服务器 ( NeoShine Database Server )中标普华数据库服务器基于中标普华Linux系统平台，针对市场上流行的多种商业数据库软件，提供安装支持、环境预配备、核心参数优化、性能调节等各项功能，同步与数据库厂家一起，提供针对中标普华Linux服务器平台的数据库系统优化，满足顾客对专业化、高性能数据库产品的使用需求。1.2 中标普华linux服务器产品的特点1.2.1 中文操作环境中文解决能力体现出一种中文操作系统的易用性、和谐性。中标普华Linux系列产

7、品所有具有良好的中文解决能力，支持GB18030-国家中文原则，支持顾客广泛使用的中文输入措施（例如：智能ABC输入法、紫光拼音输入法），支持四种GB18030 TrueType字库（宋、仿宋、黑、楷），支持系统的中文打印。1.2.2 安全性网络时代的到来，也给人们带来此外一大难题安全。由于它的浮现，甚至动摇了人们联网的信心，但发展是硬道理，网络是信息化的基本。中标普华Linux系列产品的安全性，在如下几方面提供解决方案：l 系统安全面，提供基本系统的可信计算基。l 网络安全面，提供顾客多种网络服务的安全措施，支持数字签名技术。l 提供国家商密委认证的算法方案。l 提供生物辨认认证技术-指纹辨

8、认。在中标普华Linux的产品维护流程中，有专门的团队负责跟踪Linux的安全漏洞状况，一但发现安全问题及时提供产品升级包，并通过中标软件完善的售后服务网络及时传递到顾客手中，保障顾客业务系统的安全运营。1.2.3 满足顾客特定需求中标普华Linux系列产品以中标软件近年的UNIX/Linux研发经验为依托，可觉得政府顾客、行业顾客、金融顾客、PC生产商等大客户提供定制服务，开发特定的产品，并基于此类产品为客户提供解决方案、技术支持、产品服务等。1.2.4 技术先进性中标普华Linux系列产品的技术发展水平与世界最新技术水平保持同步。第一，我们动态实时跟踪新技术，并使这些新技术与新特点能有机的

9、融合到中标普华Linux产品中；第二，中标普华Linux系列产品一方面以满足国内市场需求而开发，适合国情，适合国内顾客的需要；第三，中标普华Linux系列产品的创新性、系统功能的完善性、稳定性、易用性，是推动中标普华Linux系列产品在应用中发展的永恒动力。1.2.5 节省顾客投资使用中标普华Linux系列产品将为顾客节省投资。这重要是指顾客筹划投资（采购其她商用系统）与实际投资（采购中标普华Linux系列产品）的差额部分。其中在软件的价格系统集成系统开发服务与维护等方面都能节省大量投资。1.3 中标普华linux服务器版中标普华Linux服务器操作系统与WINDOWS服务器操作系统和UNIX

10、操作系统功能相称，整个系统实现自主可控，是具有自主版权的服务器操作系统。中标普华Linux服务器操作系统重要是为满足政府机关、行业、公司等各类顾客构建电子政务、电子商务、信息管理系统、数据库管理系统的后端服务平台。系统提供丰富的网络服务功能，实现迅速的网络化平台部署，支持商业数据库、中间件。系统具有良好的稳定性、可靠性和可扩展性。支持高可靠系统、机群系统和网络安全解决方案。中标普华Linux 服务器系统严格遵循国际Linux原则，是一种分时、多进程操作系统。系统采用分层构造化设计，达到了较高的稳定性、安全性规定。通过服务器操作系统核心、库及其配套的工具集，满足顾客构建网络信息化平台的规定。2

11、中标普华linux服务器产品具体简介2.1 服务器系统功能中标普华服务器系统支持对称多解决器，最大可达32 路CPU，最大支持64GB物理内存。并提供全面的通用服务器应用软件包如：apache Web服务器、sendmail邮件服务器、vsftp文献传播服务器、squid代理缓存服务器、DHCP服务器、Bind9 DNS服务器等，使顾客可轻松构架公司应用平台；并提供MySql、PostgreSQL两个优秀的数据库。中标普华Linux服务器版同步支持公司级的应用软件和开发环境并提供丰富高效的开发工具如：C/C等语言的编译调试工具、多种互联网脚本开发工具，集成图形开发环境、Lotus Domino

12、、Kylix等。中标普华Linux服务器系统具有良好的硬件兼容性，支持种类繁多的SCSI卡、RAID卡、Firberchannel卡及多种品牌服务器。中标普华Linux服务器版同步具有良好的中文桌面环境，符合国家中文原则GB18030，提供了中文图形化安装及系统配备工具、网络配备工具、远程配备管理工具，使系统管理员能轻松自如的完毕系统的安装、配备、管理及开发工作。中标普华Linux服务器版本，做了大量的中文化、软硬件适配和测试工作，它体现了当今Linux服务器操作系统发展的最新水平。2.2 系统特性中标普华Linux 服务器版提供了全中文的操作环境，符合国家中文原则GB18030，提供美观的T

13、rue-Type字库及中文输入、显示、打印功能；提供图形化安装及系统配备工具、网络配备工具、远程配备管理工具，使系统管理员能轻松自如的完毕系统的安装、配备、管理及开发工作，并将安全功能融合到系统中，提高了中标普华Linux服务器系统的整体安全防护能力；同步系统具有极强的可扩展性，随着应用规模的不断扩大，中标普华Linux 服务器系统支持性能与功能也随之提高。2.3 运营环境l 支持X86系列、X86_64系列、IA64系列 PC或PC服务器及公司级服务器 产品l 内存256兆，推荐使用512兆，硬盘至少2G，推荐5G以上l 支持USB（1.0、2.0）设备（鼠标、键盘、移动硬盘、闪盘、打印机等

14、）l 支持SCSI设备、RAID设备及光纤设备l 支持千兆网卡、无线网卡2.4 性能指标l 系统不间断工作、无端障率达到99.99%l 最大占用系统硬盘资源2.0Gl 采用日记文献系统，加固系统的可靠性、提高系统的恢复性能l 最大支持32路CPUl 最大支持64GB物理内存l 最大支持1TB的文献，8TB的分区，支持文献名最长达255字节2.5 设计规范l 完全符合POSIX原则，支持有关的ANSI、IETF、W3C等业界原则l 支持TCP/IP、X.25、SLIP、IPX、SOCKET、IPv4、IPv6等网络合同和原则l 中文解决符合I18N国际原则，支持国家中文原则GB18030-及主流

15、输入法并提供TrueType字体。l 提供直观、易用的中文图形化安装。l 符合RFC2528、X.509等安全原则，提供IPSec、SSL等安全认证机制3 中标普华linux服务器产品技术依托3.1 通用服务器技术中标普华Linux服务器操作系统提供如下9项顾客最常常使用的服务器功能，80%顾客的网络服务问题都可以通过该系统构建。3.1.1 Web服务器Apache Web服务器具有稳定性高，速度快，功能强，可扩展性好的特点，它可以完毕一般Web服务如：虚拟主机，代理服务，安全控制等多种服务。Apache Web服务器可以提供目录，文献和URL级别别的访问控制。并支持HTML、PHP等脚本语言

16、、支持mysql、postgresql等数据库；提供基于安全套接字层的安全控制Open SSL支持与保密合同HTTPS结合可用于加密网络传播的信息和数据；提供Tux与Apache兼容的基于核心的线程级高性能Web服务器；提供PHP嵌入脚本语言、Python语言、Perl 、CGI等语言模块的支持；提供ASP到PHP脚本的转换工具。3.1.2 邮件服务器Sendmail 是Internet上最流行的邮件传播代理（MTA），它解决互联网上绝大部分电子邮件的传送。Sendmail功能强大、遵从互联网原则，高可配备，容许顾客控制电子邮件几乎每一种解决过程。它的重要任务是在主机之间安全地传送电子邮件，一

17、般使用简朴邮件传播合同（SMTP）。 Sendmail作为邮件路由器它获取信件、检查收件人地址并拟定发送邮件的最佳途径，并支持邮件转发、邮件过滤提供安全认证机制。SSL SMTP和SSL POP是在SSL基本上建立的安全传播通道上运营SMTP和POP合同，同步又对这两种合同作了一定的扩展，以便更好地支持加密的认证和传播。提供smtp认证，支持SASL、SSL/TLS等加密机制，避免Dos袭击。Sendmail可以与LDAP结合使顾客可以迅速、快捷的找到大量的特定顾客的特定信息。如果顾客要配备大容量、专业邮件系统，中标普华提供专门用于邮件服务的中标普华Linux邮件服务器系统。3.1.3 文献打

18、印服务器Samba文献打印服务器是一种工具套件,是 SMB（Session Message Block）合同在Linux上的实现，或者称之为NETBIOS/LanManager合同。Samba最基本的功能是作为局域网中的文献和打印服务器，为同一子网中的samba客户（如win95、winNT、warp服务器、smbfs）提供文献系统、打印机等资源共享服务。Samba服务器的工作原理是，在TCP/IP通信合同之上运营Netbios（Windows网络邻居的通信合同）和LanManager合同，并使用NeBEUI合同让Windows顾客在网络邻居中可以看到Linux机器，或共享Linux机器上的文

19、献或打印机，于是Linux顾客和Windows顾客就可以在网络邻居中进行通信。也就是说，samba服务器可以让Linux变得像Novell服务器同样，可以让Windows的顾客通过网络邻居共享Linux的文献和打印机。具体功能如下。l 在网络上共享目录，就仿佛一台文献服务器同样。 l 在网络上共享打印机。 l 决定每一种目录由谁来使用，可以让一种人、某些人、组和所有人访问。 l 决定打印机由谁来使用，可以让一种人、某些人、组和所有人使用。l 提供GB18030的支持Samba同步具有安全特性，提供了和LanManager、Windows NT兼容的口令加密，可以验证顾客连接，和LanManag

20、er或 Windows NT 服务器的措施完全相似。3.1.4 域名解析服务器DNS域名解析服务器系统（Domain Name System）是一种分布式，层次化的数据库系统。分布式系统可以缩小单个服务器数据库的大小，减少单个服务器的维护任务。此外DNS还运用本地缓存来存储顾客近来访问过的信息，以提高DNS系统的访问效率。DNS 服务器可以实现正向、反向的域名解析，实现透明代理的功能，IP别名功能，集群的功能，并且可以与Web、proxy、防火墙结合使用实现多种网络功能。目前中软Linux服务器版使用BIND 9.2.1实现域名系统，这重要是基于安全因素考虑，由于在BIND 9中引入了DNSS

21、EC和TSIG等机制，用于加强DNS系统的安全性，从而杜绝针对DNS的黑客袭击。3.1.5 安全认证服务器Kerberos安全认证服务器的重要设计目的是保证密码不要在网络上明文传送。Kerberos的对的使用可以根除在网络上截取密码的包嗅探器导致的危害。kerberized服务并不使用PAMkerberized服务完全绕过了PAM。如果pam_krb5模块被安装，使用PAM的应用程序可以运用Kerberos做密码检查。pam_krb5涉及简朴的配备文献，这些文献容许login和gdm的服务使用密码认证顾客和获得最初的许可证。如果网络服务器的访问总是使用kerberized服务，我们就觉得网络是

22、合理安全的。谨慎的系统管理员不会将Kerberos密码的检查增长到所有的网络服务中，由于这些服务使用的合同大部分在发送密码此前没有将密码进行加密这是明显要避免的事情。3.1.6 代理服务器Squid代理服务器是比较优秀的代理服务器软件，它可以在服务器上作一种很大的缓存，可以把好多常去的网站内容存储到缓存中，这样，内部网的机器再访问那些网站，就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度，这就是所谓的提高客户机的访问命中率， 另一方面，Squid不仅仅支持HTTP合同，并且还支持FTP,GOPHER,SSL和WAIS等合同。Squid 支持的功能涉及基于IP的访问控制、基于URL

23、的访问控制、提供查看内存、互换空间，高速缓存目录的位置，所接受的连接类型及接受连接的端口的日记文献，设立最大祈求连接数，管理员邮箱地址等。3.1.7 拨入、拨出服务器PPP拨入、拨出服务器可以提供拨入、拨出的服务功能。它重要是通过PPP合同（point-to-point protocol）来实现。PPP合同是目前应用最广泛的广域网合同，它通过提供连接控制合同（LCP）和网络控制程序（NCP）合同家族来配备网络性能和网络设备，从而解决了Internet互联的问题。在安全面也提供了强大的功能，它可以提供了密码认证合同（PAP）或者邀请握手认证合同（CHAP）来保证连接安全；同步可以通过不同的设备实

24、现互联如：modem、ADSL、ISDN、DDN等。动态主机分派合同服务器3.1.8 动态主机分派合同服务器动态主机配备合同DHCP（Dynamic Host Configuration Protocol）服务，由IETF（Internet 网络工程师任务小组）设计，详尽的合同内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的承当，解决IP地址空间缺少问题。运营DHCP的服务器把TCP/IP网络设立集中起来，动态解决工作站IP地址的配备，用DHCP租约和预置的IP地址相联系，DHCP租约提供了自动在TCP/IP网络上安全地分派和租用IP地址的

25、机制，实现IP地址的集中式管理，基本上不需要网络管理人员的人为干预。并且，DHCP自身被设计成BOOTP（自举合同）的扩展，支持需要网络配备信息的无盘工作站，对需要固定IP的系统也提供了相应支持。3.1.9 数据库服务器中标普华LINUX服务器系统提供或支持如下数据库系统，满足顾客对数据库解决系统的 需要：l ORACLEl DB2l SYBASEl INFORMIXl MySQL(系统提供)l PostgreSQL（系统提供）l 系统中还提供了与数据库有关的接口软件如：JDBC、ODBC、MyODBC、UnixODBC、postgreSQL-ODBC等。3.2 开发技术3.2.1 以GCC为

26、核心的全套开发环境GCC初期版本是“GNU C Compiler”的缩写，在1999年4月，GCC更换了新的维护者，GNU组织将GCC重新定义为“GNU Compiler Collection”。目前的GCC涉及C、C+、Objective C、Chill、Fortran和java的前端，并涉及这些语言的支持库（libstdc+、libgcj、.）。GCC的开发是GNU筹划的一部分，旨在增强涉及GNU/Linux在内的GNU系统的编译器。GCC的开发完全是在开放的环境中进行的，并支持其她的平台，最后形成世界级的优化编译器。3.2.2 构造工具开发大型的软件程序是一种复杂的过程。构造工具通过实现

27、构造过程中某些环节自动化达到简化过程的目的。make是Linux系统的重要构造工具，它可以使你很容易描述如何编译程序,一般的构造工具涉及： l make：自动地拟定一种大程序的哪一部分需要编译，并启动命令重新编译它们。l Antoconf：一种可以自动配备源代码包的工具。 l Automake：一种为autoconf生成Makefile.ini文献的工具l Rpm：包管理工具。3.2.3 调试器调试器可以使程序员观测到另一程序执行的内部状况，或查看另一程序在崩溃时正在做些什么。 GNU的调试器GDB可以协助程序员做一下4类工作：l 启动程序，规定任何对程序有影响的参数。l 在进程中设立断点，暂

28、停程序的执行。l 当进程处在停止或暂停状态时，检查程序的状态。l 修改善程的内部参数。l GDB目前可用于调试用C或C+编写的程序。3.3 核心技术中标普华linux服务器系统采用2.6版本的核心并融入了众多社区及出名公司的核心技术，随着Linux服务器系统应用越发广泛，公司和顾客开始提出多种严格的规定，最重要的方面就是核心的性能和可靠性。通过改造与研发后的核心将是纯正的linux服务器系统核心可以完全满足公司和顾客的需求，其重要性能体目前：l 坚实的系统扩展能力支持对称多解决器最大支持可达32路CPU，最大支持64GB内存,支持日记文献系统（EXT3，Reiserfs、JFS、XFS）。l

29、多种平台支持支持IA32、X86_64、IA64架构下的pentium系列、AMD系列、VIA系列及XEON系列、Itanium系列的单核、多核、NUMA中央解决器。l 实现异步I/O提高程序在I/O操作时的工作效率，减少程序在I/O操作上的等待时间。l 突破512M内存使用限制通过度派SGA和shm系统，让大型应用程序可以使用超过4GB的超大容量内存l 超线程技术的实现超线程技术使得单个解决器可以伪装成在操作系统看来二个或更多的多种解决器。linux服务器系统内核在2.4.17发布中就已经开始涉及对Intel P4解决器的超线程（HyperThreading）的支持。并在随后的核心中在调度器

30、和其她某些部分进行了新的优化，使得解决器的超线程可以真正的发挥作用。l 容量超大linux服务器系统上顾客和顾客组的数目从最初的65000越升到了超过40亿。这使得Linux在之前也许超越限制的大型文献和认证服务器上更加实用。类似的，进程标记号（PID）的数目也从最初的3升到10亿。l 实现逻辑卷标管理LVM（逻辑卷管理），大大增强了磁盘子系统的可伸缩性和管理效率。系统管理员可定义高达2TB容量的逻辑卷，并以832MB的增量随时调节卷的大小。比起老式的Linux分区有明显的管理性优势。3.4 CA技术3.4.1 中标普华安全认证服务器构成中标普华CA服务器功能重要由三大部分构成，如下图所示：客

31、户端注册机 构 RA证书机构CA客户端：提供顾客申请证书的界面，涉及：安装CA的证书，选择浏览器的类型，填写基本信息，自定证书的密码，申请结束后会返回一种有关祈求信息的页面，告知顾客申请已经收到，请等待认证中心批准。注册机构RA：在客户端有新的证书申请提交后，这个顾客的信息会被存储到未批准的申请目录下，注册管理员可以检查这些新的申请，核对顾客身份，以决定与否批准申请，如果批准申请，系统会生成证书签名祈求，由注册管理员送交证书管理员证书机构CA：严格来说，证书机构CA服务器应当是一种与互联网隔断的单独机器，由证书管理员控制，它的功能就是接受注册管理员提交的证书签名祈求，签发证书，并将签发的证书副

32、本保存，正本由注册管理员取走并在网上发布。中标普华CA系统的重要功能就是由以上三部分构成，对证书管理员、注册管理员和最后顾客，规定实现措施简朴、和谐、易用并且透明，只需学会操作措施即可。3.4.2 基于普华安全认证服务器PKI的应用PKI(公钥基本设施)技术的广泛应用能满足人们对网络交易安全保障的需求。固然，作为一种基本设施，PKI的应用范畴非常广泛，并且在不断发展之中。3.5 NC（终端服务器）技术3.5.1 NC简介随着Linux终端服务器逐渐进入银行、政府、教育行业应用，顾客的规定也越来越严格。为了满足这种不断增长的规定，普华终端服务器系统需要对产品进行全新的设计，进而推出功能全面崭新的

33、普华终端服务器系统，重要针对政府NC应用及银行业务终端应用需求进行重点支持，最大限度满足这两类应用模式的需求。按照更严格的操作系统规范来研发，符合开放操作系统的广泛原则和合同。将涉及众多中标软件自身的研发成果，体现普华终端服务器系统在管理性、可用性、可靠性、扩展性和软硬件兼容性上的优势。中标普华终端服务器系统的定位是终端网络连接和应用服务。其体系构造通过全新规划，采用将基本服务器与上层服务器分离的设计：在基本服务器中更多考虑系统的稳定性、可靠性及运营效率，它将为上层服务器提供坚实的基本支撑环境；而对于中标普华终端服务器，将专注于面向终端的连接，提高终端服务器的性能同步满足终端对服务器的功能需求

34、。3.5.2 NC 服务器构成部分中标普华终端服务器，涉及如下构成部分：l 图形顾客界面（Gnome）、基本桌面应用程序（Web浏览器、邮件客户端等）。l 上层服务器正常运营所需的公共支持环境。l 上层服务器安装接口及管理入口。l JAVA支撑环境（jre）。l 终端应用开发支持环境。l 有关的网络服务功能。网络服务重要涉及如下模块：l Web服务器l TFTP服务器l 代理服务器l SQL数据库服务器l DHCP服务器l LDAP服务器3.5.3 中文桌面功能l NC端能正常显示中文，正常使用输入法。l 通过远程X终端可以正常使用Web浏览器，提供多顾客同步使用的支持，提供对常用IE专有属性

35、的支持。l 通过远程X终端可以正常使用，提供多顾客同步使用的支持。l 定制系统服务，提高系统响应时间。l 支持中标普华Office 1.2/2.0，支持永中Office的安装及基本使用。3.5.4 远程连接支持l 支持XDMCP合同，可在系统中通过图形工具软件对该合同进行激活或者禁用。l 提供图形配备工具，提供通过浏览器访问终端服务器桌面的功能。l 提供getty终端登录进程，支持老式字符终端连接。l 提供本地桌面嵌套图形登录、本地多虚拟终端图形登录的支持工具。3.6 安全技术3.6.1 防火墙中标普华Linux内核中提供了大量的内置特性，使得Linux机器可以较好的实现作为一台IP防火墙的功

36、能。内核网络实现中涉及诸多方式的IP过滤方案的代码，并提供了配备滤规则的机制。 防火墙设计思想中标普华Linux防火墙属于包过滤防火墙。这种防火墙又叫做网络级防火墙，由于它是工作在网络层。防火墙通过检查单个包的地址、合同、端口等信息来决定与否容许此数据包通过。防火墙可以提供内部信息以阐明所通过的连接状态和某些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了多种规则来表白与否批准或回绝包的通过。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般状况下，默认规则就是规定防火墙丢弃该包。另一方面，通过定义基于TCP或UDP数据包的端标

37、语，防火墙可以判断与否容许建立特定的连接，如Telnet、FTP连接。 防火墙的特点在于：简洁、速度快、模块化、可扩展，并对顾客透明。 防火墙功能l 包过滤功能防火墙的安全性是基于对包的IP地址的校验。在Internet上，所有信息都是以包的形式传播的，信息包中涉及发送方的IP地址和接受方的IP地址。防火墙将所有通过的信息包中发送方IP地址、接受方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。这是一种基于网络层的安全技术。 l NAT 功能NAT（Network Address Tra

38、nslation）即网络地址转换。对内部网络的IP地址或者外部网络的IP地址进行转换，分为源地址转换Source NAT（SNAT）和目的地址转换Destination NAT （DNAT）。 l MAC与IP地址的绑定功能MAC与IP地址绑定起来，重要用于避免受控（不可访问外网）的内部顾客通过更换IP地址访问外网。 l 状态监视功能状态监视服务的监视模块在不影响网络安全正常工作的前提下，采用抽取有关数据的措施对网络通信的各个层次实行监测，抽取有关的状态信息，并作安全决策的根据。由于它是在网络层截获数据包的，监视模块支持多种网络合同和应用合同，可以以便地实现应用和服务的扩大。状态监视服务可以监

39、视RPC(远程过程调用)和UDP(顾客数据报)端口信息。l 数据报解决(Packet mangling) 提供了修改数据报各个字段的值的措施, 使顾客进程可以进行复杂的数据报操作，从而减轻了内核空间的复杂度。3.6.2 入侵检测技术网络入侵检测系统中标普华Linux网络入侵检测系统可以实时监测和分析IP网络上的流量，可以进行合同分析、内容搜索匹配，可以探测不同类型的袭击和嗅探，如缓冲区溢出、CGI袭击、SMB探针、系统指纹试探等袭击。并且精确简要地记录歹意网络活动，并在潜在破坏浮现时告知管理员。端口扫描监视器用以来监控TCP/IP端口活动的监控器，可以监测到端口扫描及其他可疑流量，可以设立危险

40、阈值， 被监测到的的端口非法活动都会被记录为详尽的报警信息，通过Syslog或email等方式报告给系统管理员。同步可以自动响应，通过对防火墙进行动态设立以及TCP Wrappers等方式方式阻断非法IP，以严禁其对系统进一步的访问。这是一种很重要的防御措施，由于黑客在入侵之前都会试图探查系统的弱点（通过端口扫描）。检测“探查”或端口扫描，可以彻底地避免潜在的黑客入侵系统，让黑客不也许在扫描过端口之后发动真正的袭击。文献完整性检查工具事实上这是一种基于主机的 IDS，可以校验重要文献和可执行文献的完好性。它检查敏感文献（以及管理员添加的任何文献）的数据库，并使用 md5sum（128 位算法）

41、或 sha1sum（160 位算法）等消息文献摘要工具来为每个文献创立一种校验和（checksum）。然后，基于主机的 IDS 把这些校验和保存到一种纯文本文献中，并定期比较实际文献的校验和与这个纯文本文献中保存的数值。如果发现了任何不符之处，工具就会通过电子邮件等方式来警告管理员。3.6.3 安全更新中标普华服务器系统中提供的多种程序都是稳定的、被全面测试过的软件。在生产环境中被使用了近年后，这些软件的源码已经被全面精化，许多软件中存在的错误已被发现并修正。 然而，世界上并不存在完美无缺的软件，万事均有提高的余地。除此之外，由于更新的软件在生产环境中的使用时间不长，或者由于它没有其他服务器软

42、件那么流行，它也许没有像人们所期待的同样被全面测试过。 开发者和系统管理员常常会在服务器程序中发现可被当作漏洞而运用的程序错误并在错误跟踪和安全有关的网站。中标软件发布的勘误更新可以解决上述问题，可以通过两种方式来获取：l 中标普华服务器自动升级系统通过此工具进行在线升级，自动升级系统可以自动建立rpm包的版本库和包之间的依赖关系数据库；具有广泛的兼容性；根据所建库自动下载和升级软件包；提供较灵活的配备脚本。l 通过中标软件的FTP或Web网站获得发布的勘误更新。3.6.4 系统引导程序的安全中标普华Linux服务器可以采用MD5口令来保护 Linux 引导装载程序,从而达到如下安全目的：1.

43、 避免进入单顾客模式 如果袭击者可以引导入单顾客模式，她就可以成为根顾客。 2. 避免进入引导程序控制台 袭击者可以使用引导程序编辑界面来变化它的配备或使用 cat 命令来收集信息。 3.6.5 TCP 会绕程序和 xinetdTCP 会绕程序（TCP wrappers）为多项服务提供访问控制。多数现代的网络服务，如 SSH、Telnet 和 FTP，都使用 TCP 会绕程序。该会绕程序位于进入祈求和被祈求服务之间，进行访问的控制。TCP 会绕程序的能力不仅局限于回绝对服务的访问，它还可以发送连接横幅，已经警告来自特定主机的袭击，并具有增强记录功能。当与 xinetd 一起使用时，TCP 会绕

44、程序的优越性就更为明显。xinetd 是一种提供附加的访问、记录、关联、重导向、和资源运用控制的超级服务，用以控制到其附属服务访问的有效工具。3.6.6 顾客验证口令安全口令是中标普华Linux 用来校验顾客身份的首要措施。因此其安全对于顾客、工作站以及整个网络来说都是极为重要的。为了安全目的，安装程序配备系统使用邮件文摘算式（Message-Digest Algorithm，MD5）和屏蔽口令。如果安装中取消选择了 MD5 口令，会使用较老的数据加密原则（Data Encryption Standard，DES）格式。该格式把口令限定为八个字母数字字符（不容许标点和其他特殊字符），并且提供了

45、一般的56位级别的加密即插即用认证模块（ PAM）PAM（即插即用认证模块）是容许系统管理员无需重新编译验证程序设立验证措施的一种措施。有了PAM就可控制如何将指定的验证模块插入到程序中，这可通过编辑/etc/pam.d下该程序的PAM配备文献实现。KerberosKerberos使用密码确认顾客身份，这些密码以加密形式通过网络发送。大部分老式的网络系统使用基于密码的认证方针。当顾客需要在网络服务器上认证服务时，她们为每个需要认证的服务敲入密码。她们的密码从网络上发送，服务器使用密码确认她们的身份。使用这种措施在明码文本中传送密码是很冒险的。任何有访问网络的系统袭击者和包分析者可以截取发送的密

46、码。Kerberos的重要设计目的是保证密码不要不加密就在网络上传送。Kerberos的对的使用将根除在网络上截取密码的包嗅探器的危害。3.6.7 虚拟专用网虚拟专用网（Virtual Private Networks，VPN）。VPN 使用和专用线路相似的原理，它容许在两个节点（或网络）间进行安全的数字通信，从现存的本地网（LAN）中创立一种广域网（WAN）。它和帧中继或 ATM 的不同之处在于所用的传播介质。VPN 使用数据报（UDP）作为传播层，但通过 IP 来传播，把它变成一种到目的点的安全通道。多数免费的软件 VPN 实现涉及了开放原则、开源加密来进一步掩护传播中的数据。 中标普华L

47、inux服务器提供两种VPN 方案：加密 IP 封装（CIPE）和互联网合同安全（IPsec）。 1.7.1加密 IP 封装（Crypto IP Encapsulation，CIPE）CIPE 使用加密的 IP 分组，这些分组被封装或“包围”在数据报（UDP）分组中。CIPE 分组被给以目的头信息，并使用默认的 CIPE 加密机制来加密。然后，这些分组再通过 CIPE 虚拟网络设备（cipcbx）和 IP 层，以及通讯公司的网络被作为 UDP 分组传播给预想中的远程节点。CIPE 是安全管理员和系统管理员的明智选择. 1.7.2 IP层安全（IPsec）中标普华Linux服务器提供IP层安全解

48、决方案，即在网络层提供基于IPSec(网际合同安全性)的安全机制。Linux 支持在公共载体网络如互联网上使用安全隧道来彼此连接远程主机和网络的合同。该合同叫做 IPsec，它可以使用主机到主机（一种计算机工作站到另一种计算机工作站）或网络到网络（一种 LAN/WAN 到另一种 LAN/WAN）来实现。中标普华 Linux服务器中的 IPsec 实现使用互联网密钥互换（IKE）。它是一种被 IETF 实现的用于互相验证和连接系统间的安全关联的合同。并且运用实现守护进程解决 IKE 钥匙分发和互换任务。IPSec的技术优势如下：（1）IPSec安全合同它不仅可以提供完全的端对端网络层安全性，并且

49、也可以根据给定途径中任意不同段之间的具体特性选择合适的安全功能应当覆盖的安全范畴。（2）IPSec可以保护任何运营在IP之上的合同。并且，加密发生在IP层，对上层合同及加密都没有影响。对顾客也透明。（3）优秀的技术特点：l 支持IPSec，对上层合同及应用完全透明，在身份验证、密钥互换和数据加密传播等安全因素上都具有可靠的保证。l 采用密钥互换合同(IKE)合同进行身份鉴别与密钥协商过程l 针对主机和网络的访问控制体系IPSec功能如下：l 通过隧道（Tunnels）实现网络互联l 信息加密功能：采用端到端的传播加密，实现对IP报文（IP数据包）的传播加密并保证信息的机密性l 安全控制功能：通

50、过设立安全控制机制保证只有授权顾客才干访问涉密信息l 安全认证功能：采用信息认证技术与相应的合同机制，实现对顾客身份信息、实体特性信息、顾客权限信息和密码管理信息的认证，保证系统重要数据的真实性和完整性l 密码管理功能：实现对密码的在线配备管理，涉及密码拟定和密码分发两个方面，对密钥的自动分派与管理。l 私隐性：保证没有人能窥视你的数据；l 完整性：保证数据在传送中没有被更改；l 认证：保证传送数据前双方是通过确认的可信赖的发送、接受者l 真实性：保证传送的数据是由合法的装置发出l 容许继续使用既有的网络及通信方式3.6.8 SSL的安全技术安全套接层架构SSL合同位于TCP/IP合同与多种应

51、用层合同之间，为数据通讯提供安全支持。HTTPLDAPIMAP Secure sockets layerTCP/IP layer 应用层 网络层SSL合同可分为两层： 第一层：SSL记录合同（SSL Record Protocol）它建立在可靠的传播合同（如TCP）之上，为高层合同提供数据封装、压缩、加密等基本功能的支持。SSL v3提供对数据认证用的MD5和SHA以及数据加密用的R4和DES等的支持。第二层：SSL握手合同（SSL Handshake Protocol）它建立在SSL记录合同之上，用于在实际的数据传播开始前，通讯双方进行身份认证、协商加密算法、互换加密密钥等。安全套接层服务功

52、能SSL安全合同重要提供三方面的服务：l 顾客和服务器的合法性认证认证顾客和服务器的合法性，使得它们可以确信数据将被发送到对的的客户机和服务器上。客户机和服务器都是有各自的辨认号，这些辨认号由公开密钥进行编号，为了验证顾客与否合法，安全套接层合同规定在握手互换数据进行数字认证，以此来保证顾客的合法性。 l 加密数据以隐藏被传送的数据安全套接层合同所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据互换之前，互换SSL初始握手信息，在SSL握手情息中采用了多种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以避免非法顾客进行破译。l 保护数

53、据的完整性安全套接层合同采用Hash函数和机密共享的措施来提供信息的完整性服务，保证客户机精确无误地达到目的地。3.6.9 访问存取控制列表文献和目录为它们的所有者、组群、和所有其她系统顾客规定了许可权限。但是，这些权限设立也有其局限性。例如：不同的顾客无法被配备使用不同的权限。访问存取控制列表（Access Control Lists，ACL）就由此而生。 中标普华 Linux服务器内核为 ext3 文献系统和 NFS 导出的文献系统提供 ACL 支持。ACL 在通过 Samba 存取的 ext3 文献系统上也被辨认。 3.6.10 安全Shell （SSH）telnet 和 ftp 使用纯

54、文本口令，并被明文发送。这些信息也许会被截取，口令也许会被检索，然后未经授权的人员也许会使用截取的口令登录进你的系统而对你的系统导致危害。采用用 SSH 的工具集合可以避免这些安全问题。中标普华Linux采用的是OpenSSH。OpenSSH 是 SSH （Secure SHell） 合同的免费开源实现。使用 OpenSSH 工具将会增进你的系统安全性。 所有使用 OpenSSH 工具的通讯，涉及口令，都会被加密。它用安全、加密的网络连接工具替代了 telnet、ftp、 rlogin、rsh 和 rcp 工具。3.6.11 SELinux技术SELinux的全称是Security-Enhan

55、ced Linux，是由美国国家安全局NSA开发的访问控制体制。 SELinux可以最大限度地保证Linux系统的安全。没有SELinux保护的Linux的安全级别和Windows同样，是C2级，但通过保护SELinux保护的Linux，安全级别则可以达到B1级。SELinux安全体系构造称为 Flask，在这一构造中，安全性方略的逻辑和通用接口一起封装在与操作系统独立的组件中，这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性方略，由类型实行 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 构成。通过替代安全服务器，可以支持不同的安全方略。SEL

56、inux使用方略配备语言定义安全方略，然后通过checkpolicy 编译成二进制形式，存储在文献(如目的方略/etc/selinux/targeted/policy/policy.18)中，在内核引导时读到内核空间。 SELinux的方略分为两种，一种是目的(targeted)方略，另一种是严格(strict)方略。有限方略仅针对部分系统网络服务和进程执行SELinux方略，而严肃方略是执行全局的NSA默认方略。有限方略模式下，系统服务受SELinux监控，几乎所有的网络服务都受控。 配备文献是/etc/selinux/config，一般测试过程中使用“permissive”模式，这样仅会在

57、违背SELinux规 则时发出警告，然后修改规则，最后由顾客觉得与否执行严格“enforcing”的方略，严禁违背规则方略的行为。 规则决定SELinux的工作行为和方式，方略决定具体的安全细节如文献系统，文献一致性。 中标普华Linux服务器系统，已经在核心、安装、字符管理配备、图形管理配备、增强管理配备等几种方面供了对SELinux的支持，使顾客可以轻松自如的使用此项功能。3.7 集群技术3.7.1 高可用性集群系统设计思想中标普华高可用性（High Availability，如下简称HA）集群系统运营于两个或多种服务器节点上。在系统浮现某些故障的状况下，仍能继续对外提供服务，最大限度地减

58、少服务中断时间，用以提高系统可靠性、可用性、合用性（Reliability、Availability、Serviceability ，即RAS）。下图是中标普华HA集群系统构造图：系统由主机及备份机构成，主、备机系统上都运营HA集群软件，两者之间通过心跳线相连（可以通过串口或以太网口），共享一种磁盘阵列。由主机对外提供服务，备机则通过心跳线来监测主机，一旦主机浮现故障并在设定的时间内未能恢复正常，备机可以把主机上的所有资源接管过来，从而继续对外提供服务。主机和备机是相对而言的，也就是说两者可以各自负责某些服务及应用，两者可以互为备份，即Active/Active模式。这样，既可以提高系统的可靠

59、性、冗余度，又可以充足运用硬件资源。中标普华HA集群系统具有系统崩溃的智能检测与解决系统，可以运用多种手段来检测硬件、存储设备、网络的故障，并提供对多种资源（涉及IP、存储设备、文献系统、多种服务及应用）的接管。系统架构中标普华HA集群系统提供了两种冗余模式：（1）双机在线待机模式 在这种模式下，一种服务器作为主服务器。正常状况下其承当所有的服务。此外一台服务器作为待机服务器，正常状况下除了监控主服务器的状态，不进行其她的操作。 （2）双机就绪模式在这种模式下，两个主机都作为主服务器，共享自己的磁盘阵列，各自承当一部分服务。两个主机同步又都作为对方的待机服务器，通过心跳线监控对方的状态。一旦某

60、一服务器宕机，另一台服务器就承当其任务。系统特性l 安全可靠的系统及业务应用切换。高可用性软件汇兑系统硬件和软件上的故障，进行双机切换解决。l 可安全多次切换系统。每一次的切换不影响下一次的切换进行，切换次数的多少不影响整个系统的稳定运营。l 故障报警。系统发生故障时，自动报警。l 灵活简易的工作模式。提供手动和自动两种工作模式。实现不同切换条件组合状态下的安全切换。顾客可以根据工作需要，使系统由双机工作状态直接转换为一般单服务器工作状态。l 独立的在线维护模式，保障系统在不影响应用的状况下进行独立的维护和恢复工作。l 可调节的综合参数。提供多种参数搭配，可以根据不同的业务需要加以调节。3.8

61、 负载均衡集群系统3.8.1 功能描述中标普华Linux负载均衡集群系统是一种具有高可用性特点的负载均衡集群系统，可以提供与服务器节点的数量、性能成正比的负载能力，有效提高服务的吞吐量、可靠性、冗余度、适应性，性能价格比高。同步，此集群系统也是运用低端设备实现高品位服务器性能的有效途径。3.8.2 特性中标普华Linux负载均衡集群系统对于如下几点是非常有效的：*提高吞吐量：为获得更高的吞吐量，在集群中增长real-servers，其开销只是线性增长；而如果我们选择更换一台更高性能的服务器来获得相称的吞吐量，其开销要大得多，并且被替代掉的旧服务器会导致资源挥霍。*冗余：如果集群中某real-s

62、erver由于需要升级或其他因素而停止服务，其退出以及恢复工作，并不会导致整个集群对客户端服务的中断。*适应性：不管是需要吞吐量逐渐地变化（因平常事务量变化），还是迅速地变化（因突发事务量变化），服务器数量的增减对于客户端都是透明的。3.8.3 系统构思老式的“客户端/服务器”的关系在负载均衡集群系统中仍旧合用，因素在于： *所有服务器的IP地址都映射为一种IP（即VIP），客户端只能看见此IP地址 *所有服务器都觉得它与客户端是直接联系的。 上图是一种中标普华Linux负载均衡集群系统的基本设立。3.8.4 基本原理及架构事实上，director的重要作用类似于一种路由器，但它具有为完毕集群功能所设定的路由表。这些路由表容许director把属于集群设定服务的包转发到real-servers。如果HTTP（端口80）是集群设定服务，那么这些包都会被director转发，而director并不监听VIP：80。director使用三种不同的转发措施1、VS-NAT：基于网络地址转换(network address translation ，NAT) 2、VS-DR ：直接路由(direct routing，DR)，包上的