| |
| 物理隔离Linux如何贯通安全通道二 |
|
| 来源:
ChinaUnix博客 日期:
2007.05.22 00:27 (共有条评论) 我要评论 |
| |
Red Hat 7.2采用2.4.7-10内核,具有更加出色的网络配置、用户管理、防火墙机制和网络服务机制。MySQL是一个小巧玲珑的数据库服务器软件,对于中、小型应用系统是非常理想的。
除了支持标准的ANSI SQL语句外,最重要的是它还支持多种平台。在Unix/Linux系统上,MySQL支持多线程运行方式,从而能获得相当好的性能。
PHP则秉承Linux的GNU风格,能与Linux、Apache和MySQL紧密配合。同时,PHP第四代Zend(PHP4)的核心引擎正式版已经发布,整个程序的核心得到了大幅度改进,PHP程序的执行速度变得更快。因此,PHP在最佳化之后的效率已比传统CGI或ASP等程序有更好的表现。
采用这样一种软件设计体系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中,与Windows NT和其上的SQL Server相比,能节省大笔软件购置费用。
系统采集引擎的设计
执行采集任务的下载引擎是整个互联网信息安全采集系统的核心,扮演着极其重要的角色,它的效率直接影响整个系统的性能。
目前,Linux平台下比较流行的下载引擎是wget,这是一个从WWW上用HTTP和FTP两种协议方式下载文件的自由软件。wget可以在后台根据HTML的文档结构或FTP的目录树,递归地下载文件。wget在网速比较慢或网络连接不稳定的时候表现良好,它将不断地重试直到完全下载或达到最大的重试次数。
它的缺点主要是没有HASH机制,在处理大数量文件时速度大大降低;简单的递归导致内存消耗较多;深度优先递归搜索则下载结果树不平衡、不理想;没有使用多Socket,使得下载效率大打折扣;当网络速度较慢时不会及时跳出,而出现长时间等待。
针对实际应用,我们对wget算法进行修改,重写了程序,取得了较好的效果。改进后的新wget算法由于采用多套接字、多任务并发、非阻塞式I/O、I/O多路复用方式和轮询机制,在下载效率及内存占用等方面取得较为理想的效果。
虽然在系统初簦⒍嗳挝竦墓讨谢岜绕渌绦蛏月恍孀懦绦虻脑诵校谙略匚募锏绞鲆陨鲜保绦虻南略匦氏灾岣撸绕涫峭绱硪话慊蚨苑酵缦煊λ俣冉下乇鹗浅绦虺な奔湓诵惺保湎略匦省⒛诖嬲加谩⑽榷ㄐ浴⒖煽啃浴⒔∽承缘确矫娴挠攀聘飨浴?br>
系统的工作流程
系统的工作流程简述如下:
(1)操作人员在采集管理服务器上定义若干下载任务模板;
(2)采集管理服务器根据任务模板的定义,生成需要执行的采集任务队列;
(3)采集管理服务器根据指定算法,将采集任务动态均衡地分配到各个采集服务器上;
(4)采集服务器接受、执行任务,并定时向中间服务器报告任务完成情况;
(5)在物理隔离器的控制下,中间服务器与内部服务器断开,与采集服务器连通,并取回采集任务结果;
(6)在物理隔离器的控制下,中间服务器与采集服务器断开,与内部服务器连通,并将采集任务结果送到内部服务器;
(7)内部服务器对接收到的采集任务结果进行特定的分析再处理后,向局域网用户提供虚拟上网的操作。
系统可以通过Web界面来定义任务模板、管理任务队列,任务队列的生成和分配将由系统内部调度程序自动完成,中间服务器与采集服务器、内部服务器的连通断开时间间隔由物理隔离器来设置。
系统的安全策略
系统为用户提供了一整套从底层操作系统到高端应用,从软件到硬件隔离的安全防护策略。系统从硬件到软件共以五个安全隐患为切入点,从不同层次上对内、外网信息进行了有效控制,对黑客、病毒起到了防护作用。
1.物理链路层安全采集(物理隔离设备)
系统对内网、外网信息的安全采集关键之处,就是采用了物理设备从物理链路层杜绝了内、外网相连的可能性,保证了资源的单向流通,从而绝对避免内网信息的泄漏。
2.操作系统级防护
系统所有功能模块都运行于Linux操作系统之上,采用最新Linux发行版本。众所周知,Linux作为开源系统,决无“后门”或“黑洞”隐患。同时,操作系统的进程、服务都是可控的,从而最大限度地对操作系统进行严格的访问控制,防止黑客有可乘之机。
3.应用级服务控制
对于安全采集系统,其本身是一个比较专用的功能平台,所以本系统对于Linux操作系统进行了有效的定制,对于系统提供的服务做了最大程度的裁减。该定制版本对每个功能服务器都略有不同。同时,在系统通信上对每个操作系统进行了严格控制,屏蔽所有控制系统基本所需之外的端口和服务。
4.控制系统本身安全采集
系统一共分为三个模块,对每个模块的运行系统都建立了一套完整的安全监控机制。除了对系统运行数据进行有效记录和分析之外,还对系统本身运行平台建立了一套严格监控技术,24小时不间断地观察和监控系统运行状况,发现异常立即发出警报。
5.用户管理
系统不仅给用户提供了一套完整有效的底层安全策略,同时还给用户提供了一套用户管理机制,对用户日常操作提供了一套有效的管理机制,建立普通用户和超级用户的操作行为划分,从而对内部破坏性行为进行了有效地控制。
实际应用
本系统自2001年研制成功并投入运行以来,经过不断地完善修改,运行稳定可靠,极大地丰富了内部局域网上的公用信息。该互联网信息安全采集系统适用于对网络安全要求很高的党、政机关、部队、团体、企事业单位等,实现在与互联网物理隔离的情况下,局域网用户访问部分互联网网站的目的。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/37244/showart_306670.html
|
| 发表评论
查看评论(共有条评论)
我要提问
|
| |
|
|
|
