基于部署的軟件應用安全技術研究

目錄前言............................：軟件應用的部署技術（3頁）（一）部署技術概述（二）現狀及重要性：軟件應用中常見的安全問題及解決辦法（5頁）（一）黑客（二）病毒、蠕蟲、特洛伊木馬（四）網絡安全漏洞（三）數據丟失：基于部署的軟件應用安全技術（10頁）（一）硬件防火墻（二）網閘（三）網關（四）DMZ（五）還原卡（六）Langate：實證研究及結論（10-12頁）（一），實證問題概述（二），需要解決的主要問題（三），解決方案（四），重點過程描述（五），實證結論前言隨著網絡技術的發展和網上各種應用的不斷豐富,網絡安全問題日益成為人們關注的焦點。人們在網絡安全部署策略中更多地注重網絡邊界的安全，防病毒、防黑客、數據備份是目前常用的數據保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網絡，一套僅用于內部員工辦公和資源共享，稱之為內部網絡;另一套用于連接互聯網檢索資料，稱之為外部網絡，同時使內外網物理斷開;另外采用防火墻、入侵檢測設備等，但據統計超過50%的網絡及信息安全問題源于內部人員所為，其次才是外部黑客的攻擊。由于內網是一個由網絡設備與信息系統組成的復雜環境，連接便捷、應用系統多、重要數據多是其顯著特點,如果疏于對內網的安全防范,那么就極易出現應用系統被非法使用、數據被竊取和被破壞等情況，因此注重內網安全系統建設、有效防范源自內部的安全問題，其意義較之于外網安全防范更為重大。目前，在我國的各個行業系統中，無論是涉及科學研究的大型研究所，還是擁有自主知識產權的發展中企業，都有大量的技術和業務機密存儲在計算機和網絡中，如何有效地保護這些機密數據信息，已引起各單位的巨大關注!第一章軟件應用的部署技術（一）部署技術概述什么是部署？簡單的說部署就是把設計好的程序或是硬件放到一定的環境系統中運行，從而發揮它的作用，這就是部署。我所要研究的重點是網絡安全中的硬件部署，那么就離不開各種硬件配置、網絡環境、計算機的操作系統，下面我將詳細的作介紹。一硬件配置1防火墻所謂防火墻指的是一個有軟件和硬件設備組隙內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.2.網閘網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。網關網關守護著企業網絡以防終端用戶被植入后門程序或病毒下載器。4還原卡硬盤還原卡，又稱電腦還原卡，使用創新的安全硬盤管理技術HDSafe，硬件級解決電腦教室的管理問題，具備強大的數據保護和還原功能是誤刪除、誤格式化、感染病毒等不希望發生的硬盤數據改變，在下一次開機時能夠瞬間還原。5磁盤陣列是利用數組方式來作磁盤組，配合數據分散排列的設計，提升數據的安全性。6WinPassCA證書服務器Win-PassCA證書服務器系統是PKI公共密鑰安全體系中的關鍵設備，注冊、簽發、管理和發布網絡系統中各種設備和用戶的證書，用于建立和保障網絡通信中的身份認證和相互信任體系。7LanGate是基于專用芯片及專業網絡安全平臺的新一代整體網絡安全硬件產品。二網絡環境一個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全，還要保護數據安全等。因此針對計算機網絡本身可能存在的安全問題，實施網絡安全保護方案以確保計算機網絡自身的安全性是每一個計算機網絡都要認真對待的一個重要問題。網絡安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。計算機病毒是我們大家都比較熟悉的一種危害計算機系統和網絡安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段，盜取密碼侵入他人計算機網絡，非法獲得信息、盜用特權等，如非法轉移銀行資金、盜用他人銀行帳號購物等。隨著網絡經濟的發展和電子商務的展開，嚴防黑客入侵、切實保障網絡交易的安全，不僅關系到個人的資金安全、商家的貨物安全，還關系到國家的經濟安全、國家經濟秩序的穩定問題，因此各級組織和部門必須給予高度重視。三操作系統Windows2000Server的安全機制是建立在WindowsNT4．0提供的安全機制上的。Windows2000的安全模式使各組織可以與合作伙伴、供應商以及在信任關系之上使用基于Internet技術的消費者安全地交互。Windows2000的活動目錄對用戶、組及計算機賬戶信息采用分層命名，存儲了所有的域安全策略和賬戶信息?？梢岳媒M策略編輯器設置各種功能，包括軟件設置、應用程序配置選項、腳本、用戶設置、文檔選項及安全設置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標準安全協議的鑒別，采用Kerberos5作為默認鑒別協議。它使用Internet安全協議IPSec。Windows2000使用基于Internet技術的虛擬專用網VPN，通過ISP，IIS及VPN服務器來建立Inter—net連接。可利用VPN通過公共網來傳輸專用網數據。此外，可利用Windows2000提供的加密文件系統EFS對文件進行加密保護。數據庫系統的安全機制SQLServer的安全性與權限管理，數據庫安全性是用戶權限管理等方面的內容，這種安全性以信息資源和信息資源的用戶為主要管理對象，一個用戶只要具有對某個對象的訪問權限，就可以對信息資源進行操作。作為網絡操作系統上的服務，SQLServer的安全性還可以與操作系統的安全性建立某種聯系，這就是SQLServer的安全性模式。它有3種安全模式：標準安全、集成安全、混合安全。標準安全完全由SQLServer自身維護安全性，對所有連接采用SQLServer本身的登錄證實過程，通過使用LoginID和口令來訪問數據庫服務器。集成安全允許SQLServer用Windows2000的認證機制來證實SQLServer的所有連接。混合安全使得SQLServ—er的用戶和Windows2000的用戶都可以獲得訪問數據庫的權限。當然，可以不使用SQLServer自身的用戶管理，只允許Windows2000的用戶具有訪問數據庫的權限。在SQLServer中，權限分兩大級別：連接權、訪問權。連接權指是否可以訪問SQLServer，訪問權指是否可以查詢或修改數據庫。每一個網絡用戶在訪問SQLServer數據之前，必須使用一個win—dows2000的賬號或SQLServer的LoginID以及口令，與SQLServer建立連接，SQLServer的安全系統通過對用戶提供的登錄信息的驗證決定是否允許這個用戶連接。在連接成功后，用戶還需要在每個數據庫中都有一個數據庫用戶賬號，或者是用戶別名，查詢或者修改數據時，SQLServer的安全系統根據這個賬號或者別名的權限決定是否允許用戶請求的操作。（二）內部網絡的安全現狀目前很多企事業單位都加快了企業信息化的進程，在網絡平臺上建立了內部網絡和外部網絡，并按照國家有關規定實行內部網絡和外部網絡的物理隔離;在應用上從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，典型的應用如財務系統、PDM系統甚至到計算機集成制造(CIMS)或企業資源計劃(ERP)，逐步實現企業信息的高度集成，構成完善的企事業問題解決鏈。在網絡安全方面系統內大多企業或是根據自己對安全的認識，或是根據國家和系統內部的相關規定，購置部分網絡安全產品，如防火墻、防病毒、入侵檢測等產品來配置在網絡上，然而這些產品主要是針對外部網絡可能遭受到安全威脅而采取的措施，在內部網絡上的使用雖然針對性強，但往往有很大的局限性。由于內部網絡的高性能、多應用、涉密信息分散的特點，各種分立的安全產品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業中普遍存在的焦點問題。由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。所以，計算機網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。內部網絡更易受到攻擊為什么內部網絡更容易受到攻擊呢?主要原因如下：(1)信息網絡技術的應用正日益普及，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。網絡已經是許多企業不可缺少的重要的組成部分，基于Web的應用在內部網正日益普及，典型的應用如財務系統、PDM系統、ERP系統、SCM系統等，這些大規模系統應用密切依賴于內部網絡的暢通。(2)在對Internet嚴防死守和物理隔離的措施下，對網絡的破壞，大多數來自網絡內部的安全空隙。另外也因為目前針對內部網絡安全的重視程度不夠，系統的安裝有大量的漏洞沒有去打上補丁。也由于內部擁有更多的應用和不同的系統平臺，自然有更多的系統漏洞。(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內部網絡往往具有很大的危害性。這是內部人員(包括對計算機技術不熟悉的人)能夠對內部網絡造成巨大損害的原因之一。(4)內部網絡更脆弱。由于網絡速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。(5)為了簡單和易用，在內網傳輸的數據往往是不加密的，這為別有用心者提供了竊取機密數據的可能性。(6)內部網絡的用戶往往直接面對數據庫、直接對服務器進行操作，利用內網速度快的特性，對關鍵數據進行竊取或者破壞。(7)眾多的使用者所有不同的權限，管理更困難，系統更容易遭到口令和越權操作的攻擊。服務器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。(8)涉密信息不僅僅限于服務器，同時也分布于各個工作計算機中，目前對個人硬盤上的涉密信息缺乏有效的控制和監督管理辦法。(9)由于人們對口令的不重視，弱口令很容易產生，很多人用諸如生日、姓名等作為口令，在內網中，黑客的口令破解程序更易奏效。第二章：軟件應用中常見的安全問題及解決辦法1黑客黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術高明的惡作劇。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不象絕大多數電腦使用者那樣，只規規矩矩地了解別人指定了解的狹小部分知識。”由這些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識，并有能力通過創新的方法剖析系統?！昂诳汀蹦苁垢嗟木W絡趨于完善和安全，他們以保護網絡為目的，而以不正當侵入為手段找出網絡漏洞。另一種入侵者是那些利用網絡漏洞破壞網絡的人。他們往往做一些重復的工作（如用暴力法破解口令），他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當然還有一種人兼于黑客與入侵者之間。隨著互聯網上黑客病毒泛濫、信息恐怖、計算機犯罪等威脅日益嚴重，防火墻的攻破率不斷上升，在政府、軍隊、企業等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施。物理隔離網閘最早出現在美國、以色列等國家的軍方，用以解決涉密網絡與公共網絡連接時的安全。在電子政務建設中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網絡空間。涉密域就是涉及國家秘密的網絡空間。非涉密域就是不涉及國家的秘密，但是涉及到本單位，本部門或者本系統的工作秘密的網絡空間。公共服務域是指不涉及國家秘密也不涉及工作秘密，是一個向互聯網絡完全開放的公共信息交換空間。國家有關文件就嚴格規定，政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網絡要實行邏輯隔離，按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，互聯網就是公共服務域。國家有關研究機構已經研究了安全網閘技術，以后根據需求，還會有更好的網閘技術出現。通過安全網閘，把內網和外網聯系起來；因此網閘成為電子政務信息系統必須配置的設備，由此開始，網閘產品與技術在我國快速興起，成為我國信息安全產業發展的一個新的增長點。2病毒、蠕蟲、特洛伊木馬病毒(n.)：以自我復制為明確目的編寫的代碼。病毒附著于宿主程序，然后試圖在計算機之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴重性分類（從Ebola病毒到普通的流感病毒）一樣，計算機病毒也有輕重之分，輕者僅產生一些干擾，重者徹底摧毀設備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會傳播。必須通過某個人共享文件和發送電子郵件來將它一起移動。病毒是附著于程序或文件中的一段計算機代碼，它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟件、硬件和文件。蠕蟲(n.)：病毒的子類。通常，蠕蟲傳播無需用戶操作，并可通過網絡分發它自己的完整副本（可能有改動）。蠕蟲會消耗內存或網絡帶寬，從而可能導致計算機崩潰。蠕蟲的傳播不必通過“宿主”程序或文件，因此可潛入您的系統并允許其他人遠程控制您的計算機。最近的蠕蟲示例包括Sasser蠕蟲和Blaster蠕蟲。與病毒相似，蠕蟲也是設計用來將自己從一臺計算機復制到另一臺計算機，但是它自動進行。首先，它控制計算機上可以傳輸文件或信息的功能。一旦您的系統感染蠕蟲，蠕蟲即可獨自傳播。最危險的是，蠕蟲可大量復制。例如，蠕蟲可向電子郵件地址簿中的所有聯系人發送自己的副本，那些聯系人的計算機也將執行同樣的操作，結果造成多米諾效應（網絡通信負擔沉重），使商業網絡和整個Internet的速度減慢。當新的蠕蟲爆發時，它們傳播的速度非常快。它們堵塞網絡并可能導致您（以及其他每個人）等很長的時間才能查看Internet上的網頁。特洛伊木馬(n.)：一種表面上有用、實際上起破壞作用的計算機程序。一旦用戶禁不起誘惑打開了以為來自合法來源的程序，特洛伊木馬便趁機傳播。為了更好地保護用戶，Microsoft常通過電子郵件發出安全公告，但這些郵件從不包含附件。在用電子郵件將安全警報發送給客戶之前，我們也會在安全網站上公布所有安全警報。在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊特洛伊城的希臘士兵?，F在，特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。最近的特洛伊木馬以電子郵件的形式出現，電子郵件包含的附件聲稱是Microsoft安全更新程序，但實際上是一些試圖禁用防病毒軟件和防火墻軟件的病毒?；诰W絡的防病毒LanGate是網關級的安全設備，它不同于單純的防病毒產品。LanGate在網關上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經不同網絡方向的病毒掃描或阻斷，其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫。3網絡安全漏洞漏洞是存在于系統中的一個弱點或者缺點。廣義的漏洞是指非法用戶未經授權獲得訪問或提高其訪問層次的硬件或軟件特征。實際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如IBM兼容機的CMOS口令在CMOS的電池供電不足、不能供電或被移走情況下會丟失CMOS信息也是漏洞;操作系統、瀏覽器、TCP/IP、免費電子郵箱等都存在漏洞。微軟對漏洞的明確定義：“漏洞是可以在攻擊過程中利用的弱點，可以是軟件、硬件、程序缺點、功能設計或者配置不當等。”漏洞掃描是一種自動檢測計算機安全脆弱點的技術。掃描程序集中了已知的常用攻擊方法，針對系統可能存在的各種脆弱點進行掃描，輸出掃描結果，以便審查人員分析并發現系統存在的漏洞。掃描程序還可以通過TCP/IP端口查詢，記錄目標響應的情況，收集相關的有用信息，以發現網絡系統的安全漏洞。利用漏洞掃描技術可以快速地在大范圍內發現已知的系統安全漏洞。網絡漏洞掃描系統是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器，系統管理員能夠發現所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現在互聯網上的安全漏洞，從而在計算機網絡系統安全保衛戰中做到“有的放矢”，及時修補漏洞，構筑堅固的安全長城。4數據丟失如果使用過計算機或者管理過機房，您就可能會有這樣的經歷，誤操作，不正常關機，Windows提示非法操作，遭遇神出鬼沒的病毒，以及學生的好奇和失誤導致的文件丟失、系統損毀等等。相信您對這些都會記憶猶新，我們覺得您有必要找一個專業維護人員，而不是由您親自維護每臺計算機，所以我們向您推薦硬盤還原卡。只要將還原卡插入計算機，并且指定需要維護的數據區域，這樣您就能夠一勞永逸，任由學生刪除、格式化、安裝、卸載，盡最大可能地提供寬松的上機實驗環境。因為對您來說，只要重新啟動計算機，一切都會復原，硬盤還原卡讓從前的煩惱永遠地成為了歷史。第三章：基于部署的軟件應用安全技術一硬件防火墻防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問，對內部強化設備監管、控制對服務器與外部網絡的訪問，在被保護網絡和外部網絡之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。防火墻基礎原理1、防火墻技術防火墻通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。下面，我們將介紹這些手段的工作機理及特點，并介紹一些防火墻的主流產品。包過濾技術是一種簡單、有效的安全控制技術，它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。包過濾的最大優點是對用戶透明，傳輸性能高。但由于安全控制層次在網絡層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態檢測是比包過濾更為有效的安全控制方法。對新建的應用連接，狀態檢測檢查預先設置的安全規則，允許符合規則的連接通過，并在內存中記錄下該連接的相關信息，生成狀態表。對該連接的后續數據包，只要符合狀態表，就可以通過。這種方式的好處在于：由于不需要對每個數據包進行規則檢查，而是一個連接的后續數據包（通常是大量的數據包）通過散列算法，直接進行狀態檢查，從而使得性能得到了較大提高；而且，由于狀態表是動態的，因而可以有選擇地、動態地開通1024號以上的端口，使得安全性得到進一步地提高。2、防火墻工作原理（1）包過濾防火墻包過濾防火墻一般在路由器上實現，用以過濾用戶定義的內容，如IP地址。包過濾防火墻的工作原理是：系統在網絡層檢查數據包，與應用層無關。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統對應用層信息無感知，也就是說，防火墻不理解通信的內容，所以可能被黑客所攻破。圖1：包過濾防火墻工作原理圖（2）應用網關防火墻應用網關防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火墻是通過打破客戶機／服務器模式實現的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火墻具有可伸縮性差的缺點。（圖2）圖2：應用網關防火墻工作原理圖（3）狀態檢測防火墻狀態檢測防火墻基本保持了簡單包過濾防火墻的優點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火墻的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理?？梢赃@樣說，狀態檢測包過濾防火墻規范了網絡層和傳輸層行為，而應用代理型防火墻則是規范了特定的應用協議上的行為。（圖3）圖3：狀態檢測防火墻工作原理圖（4）復合型防火墻復合型防火墻是指綜合了狀態檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。（圖4）圖4：復合型防火墻工作原理圖二網閘如今，網絡隔離技術已經得到越來越多用戶的重視，重要的網絡和部門均開始采用隔離網閘產品來保護內部網絡和關鍵點的基礎設施。目前世界上主要有三類隔離網閘技術，即SCSI技術，雙端口RAM技術和物理單向傳輸技術。SCSI是典型的拷盤交換技術，雙端口RAM也是模擬拷盤技術，物理單向傳輸技術則是二極管單向技術。本文就是和大家一起來探討物理隔離交換技術的應用。網閘的概念網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。物理隔離網閘應用定位1)涉密網與非涉密網之間：2)局域網與互聯網之間（內網與外網之間）：有些局域網絡，特別是政府辦公網絡，涉及政府敏感信息，有時需要與互聯網在物理上斷開，用物理隔離網閘是一個常用的辦法。3)辦公網與業務網之間：由于辦公網絡與業務網絡的信息敏感程度不同，例如，銀行的辦公網絡和銀行業務網絡就是很典型的信息敏感程度不同的兩類網絡。為了提高工作效率，辦公網絡有時需要與業務網絡交換信息。為解決業務網絡的安全，比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘，實現兩類網絡的物理隔離。4)電子政務的內網與專網之間：在電子政務系統建設中要求政府內望與外網之間用邏輯隔離，在政府專網與內網之間用物理隔離?，F常用的方法是用物理隔離網閘來實現。5）業務網與互聯網之間：電子商務網絡一邊連接著業務網絡服務器，一邊通過互聯網連接著廣大民眾。為了保障業務網絡服務器的安全，在業務網絡與互聯網之間應實現物理隔離。三網關管道網關管道是通過不兼容的網絡區域傳輸數據的比較通用的技術。數據分組被封裝在可以被傳輸網絡識別的幀中，到達目的地時，接收主機解開封裝，把封裝信息丟棄，這樣分組就被恢復到了原先的格式。管道技術只能用于3層協議，從SNA到IPv6。雖然管道技術有能夠克服特定網絡拓撲限制的優點，它也有缺點。管道的本質可以隱藏不該接受的分組，簡單來說，管道可以通過封裝來攻破防火墻，把本該過濾掉的數據傳給私有的網絡區域。專用網關很多的專用網關能夠在傳統的大型機系統和迅速發展的分布式處理系統間建立橋梁。典型的專用網關用于把基于PC的客戶端連到局域網邊緣的轉換器。該轉換器通過X.25網絡提供對大型機系統的訪問。shoO這些網關通常是需要安裝在連接到局域網的計算機上的便宜、單功能的電路板，這使其價格很低且很容易升級。2層協議網關2層協議網關提供局域網到局域網的轉換，它們通常被稱為翻譯網橋而不是協議網關。在使用不同幀類型或時鐘頻率的局域網間互連可能就需要這種轉換。安全網關安全網關是各種技術有趣的融合，具有重要且獨特的保護作用，其范圍從協議級過濾到十分復雜的應用級過濾1、包過濾器包過濾是安全映射最基本的形式，路由軟件可根據包的源地址、目的地址或端口號建立許可權，對眾所周知的端口號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的數據操作，在網絡層實現過濾意味著路由器可以為所有應用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分，這種過濾可在任何可路由的網絡中自由使用，但不要把它誤解為萬能的，包過濾有很多弱點，但總比沒有好。包過濾很難做好，尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包，基于包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定，這種技術存在許多潛在的弱點。首先，它直接依賴路由器管理員正確地編制權限集，這種情況下，拼寫的錯誤是致命的，可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員準確地設計了權限，其邏輯也必須毫無破綻才行。雖然設計路由似乎很簡單，但開發和維護一長套復雜的權限也是很麻煩的，必須根據防火墻的權限集理解和評估每天的變化，新添加的服務器如果沒有明確地被保護，可能就會成為攻破點。隨著時間的推移，訪問權限的查找會降低路由器的轉發速度。每當路由器收到一個分組，它必須識別該分組要到達目的地需經由的下一跳地址，這必將伴隨著另一個很耗費CPU的工作：檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長，此過程要花的時間就越多。包過濾的第二個缺陷是它認為包頭信息是有效的，無法驗證該包的源頭。頭信息很容易被精通網絡的人篡改，這種篡改通常稱為“欺騙”。包過濾的種種弱點使它不足以保護你的網絡資源，最好與其它更復雜的過濾機制聯合使用，而不要單獨使用。2、鏈路網關鏈路級網關對于保護源自私有、安全的網絡環境的請求是很理想的。這種網關攔截TCP請求，甚至某些UDP請求，然后代表數據源來獲取所請求的信息。該代理服務器接收對萬維網上的信息的請求，并代表數據源完成請求。實際上，此網關就象一條將源與目的連在一起的線，但使源避免了穿過不安全的網絡區域所帶來的風險。3、應用網關應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網絡層包過濾設備的數據的通用保護，而應用網關在每個需要保護的主機上放置高度專用的應用軟件，它防止了包過濾的陷阱，實現了每個主機的堅固的安全。應用網關的一個例子是病毒掃描器，這種專用軟件已經成了桌面計算的主要產品之一。它在啟動時調入內存并駐留在后臺，持續地監視文件不受已知病毒的感染，甚至是系統文件的改變。病毒掃描器被設計用于在危害可能產生前保護用戶不受到病毒的潛在損害。這種保護級別不可能在網絡層實現，那將需要檢查每個分組的內容，驗證其來源，確定其正確的網絡路徑，并確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載，嚴重影響網絡性能。4、組合過濾網關使用組合過濾方案的網關通過冗余、重疊的過濾器提供相當堅固的訪問控制，可以包括包、鏈路和應用級的過濾機制。這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點，通常稱為邊緣網關或防火墻。這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個組件構成的安全網關：一個路由器和一個處理機。結合在一起后，它們可以提供協議、鏈路和應用級保護。這種專用的網關不象其它種類的網關一樣，需要提供轉換功能。作為網絡邊緣的網關，它們的責任是控制出入的數據流。顯然的，由這種網關聯接的內網與外網都使用IP協議，因此不需要做協議轉換，過濾是最重要的。保護內網不被非授權的外部網絡訪問的原因是顯然的。控制向外訪問的原因就不那么明顯了。在某些情況下，是需要過濾發向外部的數據的。例如，用戶基于瀏覽的增值業務可能產生大量的WAN流量，如果不加控制，很容易影響網絡運載其它應用的能力，因此有必要全部或部分地阻塞此類數據。聯網的主要協議IP是個開放的協議，它被設計用于實現網段間的通信。這既是其主要的力量所在，同時也是其最大的弱點。為兩個IP網提供互連在本質上創建了一個大的IP網，保衛網絡邊緣的衛士--防火墻--的任務就是在合法的數據和欺騙性數據之間進行分辨。5、實現中的考慮實現一個安全網關并不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則，在深入理解安全和開銷的基礎上定義可接受的折衷方案，這些規則建立了安全策略。安全策略可以是寬松的、嚴格的或介于二者之間。在一個極端情況下，安全策略的基始承諾是允許所有數據通過，例外很少，很易管理，這些例外明確地加到安全體制中。這種策略很容易實現，不需要預見性考慮，保證即使業余人員也能做到最小的保護。另一個極端則極其嚴格，這種策略要求所有要通過的數據明確指出被允許，這需要仔細、著意的設計，其維護的代價很大，但是對網絡安全有無形的價值。從安全策略的角度看，這是唯一可接受的方案。在這兩種極端之間存在許多方案，它們在易于實現、使用和維護代價之間做出了折衷，正確的權衡需要對危險和代價做出仔細的評估。四DMZDMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。一般網絡分成內網和外網，也就是LAN和WAN,那么，當你有1臺物理位置上的1臺服務器，需要被外網訪問，并且，也被內網訪問的時候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因為防火墻默認情況下，是為了保護內網的，所以，一般的策略是禁止外網訪問內網，許可內網訪問外網。但如果這個服務器能被外網所訪問，那么，就意味著這個服務器已經處于不可信任的狀態，那么，這個服務器就不能（主動）訪問內網。構建DMZ的策略1.內網可以訪問外網內網的用戶顯然需要自由地訪問外網。在這一策略中，防火墻需要進行源地址轉換。2.內網可以訪問DMZ此策略是為了方便內網用戶使用和管理DMZ中的服務器。3.外網不能訪問內網很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。4.外網可以訪問DMZDMZ中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。5.DMZ不能訪問內網很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。6.DMZ不能訪問外網此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網，否則將不能正常工作。DMZ的實現根據以上訪問控制策略可以設定Linux防火墻的過濾規則。下面將在一個虛構的網絡環境中，探討如何根據以上六條訪問控制策略建立相應的防火墻過濾規則。這里的討論和具體應用會有所區別，不過這種討論將有助于實際應用。用戶在實際應用時可根據具體的情況進行設置。該虛擬環境的網絡拓撲如圖1。如圖1所示，路由器連接Internet和防火墻。作為防火墻的Linux服務器使用三塊網卡：網卡eth0與路由器相連，網卡eth1與DMZ區的Hub相連，網卡eth2與內網Hub相連。作為一個抽象的例子，我們用“[內網地址]”來代表“/24”之類的具體數值。同理還有“[外網地址]”和“[DMZ地址]”。所以，如果服務器放在內網（通過端口重定向讓外網訪問），一旦這個服務器被攻擊，則內網將會處于非常不安全的狀態。但DMZ就是為了讓外網能訪問內部的資源，也就是這個服務器，而內網呢，也能訪問這個服務器，但這個服務器是不能主動訪問內網的。DMZ就是這樣的一個區域。為了讓物理位置在內網的，并且，希望能被外網所訪問的這樣的一個區域。五還原卡工作原理還原卡的主體是一種硬件芯片，插在主板上與硬盤的MBR（主引導扇區）協同工作。大部分還原卡的原理都差不多，其加載驅動的方式十分類似DOS下的引導型病毒：接管BIOS的INT13中斷，將FAT、引導區、CMOS信息、中斷向量表等信息都保存到卡內的臨時儲存單元中或是在硬盤的隱藏扇區中，用自帶的中斷向量表來替換原始的中斷向量表；再另外將FAT信息保存到臨時儲存單元中，用來應付我們對硬盤內數據的修改；最后是在硬盤中找到一部分連續的空磁盤空間，然后將我們修改的數據保存到其中。每當我們向硬盤寫入數據時，其實還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于保護卡接管INT13，當發現寫操作時，便將原先數據目的地址重新指向先前的連續空磁盤空間，并將先前備份的第二份FAT中的被修改的相關數據指向這片空間。當我們讀取數據時，和寫操作相反，當某程序訪問某文件時，保護卡先在第二份備份的FAT中查找相關文件，如果是啟動后修改過的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關文件。刪除和寫入數據相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉。硬盤還原卡是一種基于硬件的硬盤保護系統，跟還原軟件的作用相同都是在系統損壞或數據丟失時及時恢復。還原卡將計算機的系統分區或其他需要保護的分區保護起來，用戶可以將還原卡設定為下次啟動或過一定的時間后對系統進行自動還原，這樣，在此期間內對系統所作的修改將不復存在，免去了系統每使用一段時間后就由于種種原因造成系統紊亂、經常出現死機而不得不再次重裝系統之苦。計算機系統恢復時的操作更加方便，只需重啟一下計算機即可，并且還原卡的保護效果也遠遠的好于軟件還原，能防止各種病毒的侵襲。還原卡的原理是在操作系統啟動之前獲得機器的控制權。用戶對硬盤的操作，實際上不是對原來數據的修改，而是對還原卡保留區進行操作，從而達到對系統數據保護的功能。具體來說：（一）控制權的獲得要得到控制權就要求還原卡里的程序趕在操作系統引導以前運行。計算機的啟動過程是在BIOS（基本輸入輸出系統）的控制下進行的。BIOS是直接與硬件打交道的底層代碼，它為操作系統提供了控制硬件設備的基本功能。BIOS包括有系統BIOS（即常說的主板BIOS）、顯卡BIOS和其它設備（例如IDE控制器、SCSI卡或網卡等）的BIOS，BIOS一般被存放在ROM(只讀存儲芯片)之中，即使在關機或掉電以后，這些代碼也不會消失。而絕大部分硬件還原卡程序正是駐留在網卡的BIOS里。計算機的啟動過程是這樣的，當按下電源開關時，電源開始向主板和其它設備供電，這時CPU從固定的內存地址開始執行一條跳轉指令，跳到系統BlOS中真正的啟動代碼處裝載系統BlOS程序。接著系統BIOS的啟動代碼首先要做的事情就是進行POST(加電后自檢)，POST的主要任務是檢測系統中一些關鍵設備是否存在和能否正常工作。接下來BIOS將查找顯卡的BlOS，對顯卡進行初始化工作。查找網卡等其它BIOS并裝載運行之。還原卡上的程序正是利用這個時機將自己裝載到內存中的特定地址。緊接著是對CPU、內存等一系列設備的測試。系統BlOS的啟動代碼的最后一項工作就是讀取并執行硬盤上的主引導記錄里的主引導程序。我們看到還原卡程序是在硬盤啟動前得到了機器的控制權，從而達到對計算機運行時硬盤的全程監控。（二）對數據保護我們先來看看是什么改變和破壞了硬盤內的數據。首先是用戶的修改和刪除數據，其次是計算機病毒的影響。我們引用較為普遍計算機病毒定義：計算機病毒是一種人為制造的、隱藏在計算機系統的數據資源中的、能夠自我復制進行傳播的程序。可見用戶和病毒對數據的改變都是通過寫操作和刪除操作引起的，而還原卡正是通過對這兩項操作加以影響而達到對硬盤數據的保護的。操作物理機的最低層是ROMBIOS，而層次越低適用范圍越廣，因為上層都要調用它。因此截取到ROMBIOS的硬盤讀寫例程，就能攔截到系統運行時所有的硬盤讀寫操作。而ROMBIOS的程序是由許多中斷程序所組成，完成硬盤操作的中斷是INTl3，因此還原卡程序啟動后的第一件工作便是查找到系統BlOS的中斷向量表，用自己的INTl3程序替換掉原有的INTl3程序。來達到對硬盤讀寫的攔截。那么還原卡程序如何通過攔截INTl3來達到對硬盤的保護呢?還原卡程序接管BIOS的INT13中斷，將FAT（文件分配表）、引導區、CMOS信息、中斷向量表等信息都保存到卡內的臨時儲存單元中或是在硬盤的隱藏扇區中，用自帶的中斷向量表來替換原始的中斷向量表，再另外將FAT信息保存到臨時儲存單元中，用來應付我們對硬盤內數據的修改；最后是在硬盤中找到一部分連續的空磁盤空間作為保留區，然后將我們修改的數據保存到其中。每當我們向硬盤寫入數據時，其實還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于還原卡接管INT13，當發現寫操作時，便將原先數據目的地址重新指向先前的連續空磁盤空間，并將先前備份的第二份FAT中的被修改的相關數據指向這片空間。當我們讀取數據時，和寫操作相反，先在第二份備份的FAT中查找相關文件，如果是啟動后修改過的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關文件。刪除和寫入數據相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉。可見還原卡的主要功能就是改變原有讀寫數據的地址。使其對原有數據的讀寫轉向到對保留區里的數據進行操作，而并沒有對數據存在的原有地址進行讀寫，從而達到對原有數據的保護七LangateLanGate是網關級的安全設備，它不同于單純的防病毒產品。LanGate在網關上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經不同網絡方向的病毒掃描或阻斷，其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫。基于用戶策略的安全管理整個網絡安全服務策略可以基于用戶進行管理，相比傳統的基于IP的管理方式，提供了更大的靈活性。防火墻功能LanGate系列產品防火墻都是基于狀態檢測技術的，保護企業的計算機網絡免遭來自Internet的攻擊。防火墻通過“外->內”、“內->外”?ⅰ澳?->內”（子網或虛擬子網之間）的接口設置，提供了全面的安全控制策略。VPN功能LanGate支持IPSec、PPTP及L2TP的VPN網絡傳輸隧道。內容過濾功能LanGate的內容過濾不同于傳統的基于主機系統結構內容處理產品。LanGate設備是網關級的內容過濾，是基于專用芯片硬件技術實現的。LanGate專用芯片內容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內容與成千上萬種關鍵詞或其它模式的特征相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾，還提供了免屏蔽列表和組合關鍵詞過濾的功能。同時，LanGate還能對郵件、聊天工具進行過濾及屏蔽。入侵檢測功能LanGate內置的網絡入侵檢測系統（IDS）是一種實時網絡入侵檢測傳感器，它能對外界各種可疑的網絡活動進行識別及采取行動。IDS使用攻擊特征庫來識別過千種的網絡攻擊。同時LanGate將每次攻擊記錄到系統日志里，并根據設置發送報警郵件或短信給網絡管理員。垃圾郵件過濾防毒功能包括：對SMTP服務器的IP進行黑白名單的識別垃圾郵件指紋識別實時黑名單技術對所有的郵件信息病毒掃描帶寬控制（QoS）LanGate為網絡管理者提供了監測和管理網絡帶寬的手段，可以按照用戶的需求對帶寬進行控制，以防止帶寬資源的不正常消耗，從而使網絡在不同的應用中合理分配帶寬，保證重要服務的正常運行。帶寬管理可自定義優先級，確保對于流量要求苛刻的企業，最大限度的滿足網絡管理的需求。系統報表和系統自動警告LanGate系統內置詳細直觀的報表，對網絡安全進行全方位的實時統計，用戶可以自定義閥值，所有超過閥值的事件將自動通知管理管理人員，通知方式有Email及短信方式（需結合短信網關使用）。多鏈路雙向負載均衡提供了進出流量的多鏈路負載均衡，支持自動檢測和屏蔽故障多出口鏈路，同時還支持多種靜態和動態算法智能均衡多個ISP鏈路的流量。支持多鏈路動態冗余，流量比率和智能切換；支持基于每條鏈路限制流量大?。恢С侄喾NDNS解析和規劃方式，適合各種用戶網絡環境；支持防火墻負載均衡。：實證研究及結論，實證問題概述網絡安全技術是當前信息化應用的重中之重，其實現方式通常包括硬件和軟件兩種，本題目主要以《鐵道部貨檢集中監控系統技術條件》為需求，研究軟件應用安全的主要問題、基于部署的主要解決方案，目前，哈爾濱鐵路局機房啟用了4臺服務器，承擔著中間站網絡的運行（貨運站及貨運處網站）。經過幾年來的運行，數據量不斷增大，子系統不斷增加，導致信息冗余加劇。加之鐵道部使用的應用平臺沒有經過專業測試，未能判斷程序間的兼容性，在與鐵路局信息互訪、統一辦公過程中，各方面數據相互沖突，網絡內部數據互訪、信息鏈接、數據冗余沒有經過系統劃分，雜亂無章，造成了應用程序混亂，從而導致系統響應緩慢，鏈接失敗，站段不能正常上傳信息，進而影響了整體路局的網絡辦公體系。隨著計算機的不斷升級換代，網絡應用的不斷深入，毋庸置疑，局域網已經成為信息傳遞的重要載體和平臺?？蛻舳说牟粩嘣黾?，信息化的迅速發展，數據庫的不斷升級擴容，100Mbit/s已經不能滿足現行網絡大量傳輸。因此，信息鏈路的簡潔化實施已經迫在眉睫，必須改造網絡的端口速率，調整各自應用平臺，確保正常辦公。根據哈爾濱電子所機房實地考察，從網絡分布、硬件及配置、軟件現狀三個方面作以簡要描述。鐵路局八臺服務器物理分布（如圖1所示）。中間站為服務器1、服務器2、服務器3、服務器4；鐵道部危險品監控系統為服務器5（鐵道部規章）、服務器6；報價系統為服務器7、服務器8。發現問題：在月初和月末文件傳輸當中出現無法上傳、網絡響應慢或者鏈接超時，引起各站段不能正常辦公。網絡分布圖1：網絡簡易圖硬件及配置1、服務器服務器計算機名用戶名/口令remontecontrol口令配置參數中間站服務器一ZJZ-1administratorhebhyctoechebtoec134C2.66G/R8G/H146*2服務器二ZJZ-2administratorhebhyctoechebtoecC2.66G/R8G/H146*3服務器三ZJZ-3administratorhebhyctoechebtoec137C2.66G/R8G/H146*3服務器四（數據庫）hyc-web.hyc.dnsadministratorhycwz0802C3.2G/R4G/H73*4危險品及鐵道部規章服務器五hebhycadministrator缺hebtoecC3.2G/R8G/H73*4服務器六（新增）hebhycadministratorhebwxptoec空C3.0G/R8G/H146*3保價系統服務器七hebbj1administratorhebbjhebhyaqC3.0G/R8G/H146*3服務器八hebbj2administratorhebbjhebhyaqC3.0G/R8G/H146*32、網絡設備設備名稱參數用戶名/密碼備注負載均衡AIP:9VIP:0admin/admin中間站使用路由模式負載均衡BIP:9VIP:0admin/admin中間站備用路由模式負載均衡CIP:6VIP:7admin/admin危險品使用交換機24口百兆+2口千兆，背板帶寬4.4GLAN交換24口百兆交換機，背板帶寬2.4GWAN交換軟件現狀服務器IP地址應用備注服務器1貨運站系統，其中包括貨運站網頁、裝載加固系統、問題庫、hebweb網頁、規章系統、設備專用線系統、人力資源、培訓考核。，貨運處系統包括貨運處網頁、裝載加固系統、問題庫、hebweb網頁服務器1：貨運處管理系統、規章系統、設備專用線系統、培訓教材、技術表演賽。服務器2：設備專用線系統中的“設備圖形”文件及FTP文件服務器2服務器33服務器410貨運站系統、貨運處系統、各子系統的數據庫SQL數據庫服務器511鐵道部危險品監控系統和鐵道部規章系統及鐵道部危險品數據庫服務器5：鐵道部危險品數據庫SQL,規章數據庫Oracle服務器65服務器711保價系統服務器812（二）、需要解決的主要問題硬件分析整體網絡物理分布位置不統一。數據庫與應用服務器分布在不同機房，中間鏈接無法確認，使得應用服務器訪問數據庫需要經過N個接點，出現冗余信息影響網絡正常通信，加大了訪問時間。為滿足日益增加的各站段數據錄入，數據處理的需求，我們曾將中間站3臺服務器部署成集群模式，以提高服務器的性能。但因長期數據積累，信息量大，使得百兆的交換機無法滿足當前的應用環境，即使在集群模式下也會出現端口瓶頸，引起網絡阻塞，導致網絡頁面響應緩慢、延遲及無法響應等現象。危險品數據庫（服務器5）、中間站數據庫（服務器4）硬盤空間不足。服務器型號老，接口不統一，擴充能力差，無法滿足后期應用需求。軟件分析中間站三臺服務器安裝的應用有差別，沒有真正達到集群要求。鐵路局和鐵道部的應用部署混亂，數據不能明確劃分，導致系統響應緩慢，信息讀取延時，影響整體應用的穩定性。（三），解決方案1、帶寬提升增加網絡帶寬，提升端口吞吐量，升級百兆端口到千兆，端口模式設為全雙工，實現端口匯聚功能，保證網絡內部無瓶頸。2、優化鏈接簡化網絡物理鏈接結構，優化網絡設備分布，減少冗余鏈路。從而提升網絡讀寫速度，保證多客戶端信息上傳、下載流暢無延時。3、數據整合合并中間站數據庫和危險品數據庫，保證一臺服務器專門處理單一形式文件，防止應用繁瑣而導致系統崩潰或響應延時現象。在一臺磁盤容量可擴展的服務器上安裝中間站數據庫SQL、鐵道部危險品數據庫SQL及鐵道部規章數據庫Oracle,提供6*146G大容量磁盤空間，提供高可用性的RAID-5保證數據的安全性。4、集群設計負載均衡調整為橋接模式，進行服務器間應用的均衡。通過權重比安排服務器各自承載的數據量，保證每臺相同負載均衡下的服務器應用軟件統一，從而提供多臺冗余，保證集群7*24小時運行，避免軟件不統一導致單臺服務器宕機，影響局部應用無法正常運行。5、信息分離八臺服務器中的應用進行物理隔離，鐵道部的危險品監控系統及鐵道部保價系統進行單獨劃分，與中間站的應用分割在不同服務器，從而保證各自系統安全穩定、安全、獨立運行，減少單獨系統資源非正常被占用情況，便于維護及升級。應用鏈接網站中各子系統鏈接之間減少數據處理，數據編輯，添加數據庫鏈接，提取現有數據，提高網絡讀取速度。7、性能標準確保服務器硬件、應用軟件及機器本身性能滿足安全1+1+1；權限1/3+1/3+1/3；性能3A標準。硬件冗余硬盤數據需要做本地或異地備份，防止因硬盤損壞而丟失數據。（二）物理設計1、網絡規劃設計如圖2所示圖2：規劃圖2、服務器部署服務器配置參數備注中間站服務器一C2.66G/R8G/H146*2貨運站及貨運處網站服務器二C2.66G/R8G/H146*2服務器三C2.66G/R8G/H146*2危險品及鐵道部規章服務器四C3.2G/R4G/H73*4鐵道部危險品系統及鐵道部規章服務器五C3.2