扫一扫
关注微信公众号

物理隔离 Linux如何贯通安全通道(二)
2007-06-24   

Red Hat 7.2采用2.4.7-10内核,具有更加出色的网络配置、用户管理、防火墙机制和网络服务机制。MySQL是一个小巧玲珑的数据库服务器软件,对于中、小型应用系统是非常理想的。
除了支持标准的ANSI SQL语句外,最重要的是它还支持多种平台。在Unix/Linux系统上,MySQL支持多线程运行方式,从而能获得相当好的性能。
PHP则秉承Linux的GNU风格,能与Linux、Apache和MySQL紧密配合。同时,PHP第四代Zend(PHP4)的核心引擎正式版已经发布,整个程序的核心得到了大幅度改进,PHP程序的执行速度变得更快。因此,PHP在最佳化之后的效率已比传统CGI或ASP等程序有更好的表现。
采用这样一种软件设计体系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中,与Windows NT和其上的SQL Server相比,能节省大笔软件购置费用。
系统采集引擎的设计
执行采集任务的下载引擎是整个互联网信息安全采集系统的核心,扮演着极其重要的角色,它的效率直接影响整个系统的性能。
目前,Linux平台下比较流行的下载引擎是wget,这是一个从WWW上用HTTP和FTP两种协议方式下载文件的自由软件。wget可以在后台根据HTML的文档结构或FTP的目录树,递归地下载文件。wget在网速比较慢或网络连接不稳定的时候表现良好,它将不断地重试直到完全下载或达到最大的重试次数。
它的缺点主要是没有HASH机制,在处理大数量文件时速度大大降低;简单的递归导致内存消耗较多;深度优先递归搜索则下载结果树不平衡、不理想;没有使用多Socket,使得下载效率大打折扣;当网络速度较慢时不会及时跳出,而出现长时间等待。
针对实际应用,我们对wget算法进行修改,重写了程序,取得了较好的效果。改进后的新wget算法由于采用多套接字、多任务并发、非阻塞式I/O、I/O多路复用方式和轮询机制,在下载效率及内存占用等方面取得较为理想的效果。
虽然在系统初启,建立多任务的过程中会比其它程序稍慢一些,但随着程序的运行,在下载文件数达到十个以上时,程序的下载效率显著提高,尤其是网络带宽一般或对方网络响应速度较慢,特别是程序长时间运行时,其下载效率、内存占用、稳定性、可靠性、健壮性等方面的优势更为明显。
系统的工作流程
系统的工作流程简述如下:
(1)操作人员在采集管理服务器上定义若干下载任务模板;
(2)采集管理服务器根据任务模板的定义,生成需要执行的采集任务队列;
(3)采集管理服务器根据指定算法,将采集任务动态均衡地分配到各个采集服务器上;
(4)采集服务器接受、执行任务,并定时向中间服务器报告任务完成情况;
(5)在物理隔离器的控制下,中间服务器与内部服务器断开,与采集服务器连通,并取回采集任务结果;
(6)在物理隔离器的控制下,中间服务器与采集服务器断开,与内部服务器连通,并将采集任务结果送到内部服务器;
(7)内部服务器对接收到的采集任务结果进行特定的分析再处理后,向局域网用户提供虚拟上网的操作。
系统可以通过Web界面来定义任务模板、管理任务队列,任务队列的生成和分配将由系统内部调度程序自动完成,中间服务器与采集服务器、内部服务器的连通断开时间间隔由物理隔离器来设置。
系统的安全策略
系统为用户提供了一整套从底层操作系统到高端应用,从软件到硬件隔离的安全防护策略。系统从硬件到软件共以五个安全隐患为切入点,从不同层次上对内、外网信息进行了有效控制,对黑客、病毒起到了防护作用。
1.物理链路层安全采集(物理隔离设备)
系统对内网、外网信息的安全采集关键之处,就是采用了物理设备从物理链路层杜绝了内、外网相连的可能性,保证了资源的单向流通,从而绝对避免内网信息的泄漏。
2.操作系统级防护
系统所有功能模块都运行于Linux操作系统之上,采用最新Linux发行版本。众所周知,Linux作为开源系统,决无“后门”或“黑洞”隐患。同时,操作系统的进程、服务都是可控的,从而最大限度地对操作系统进行严格的访问控制,防止黑客有可乘之机。
3.应用级服务控制
对于安全采集系统,其本身是一个比较专用的功能平台,所以本系统对于Linux操作系统进行了有效的定制,对于系统提供的服务做了最大程度的裁减。该定制版本对每个功能服务器都略有不同。同时,在系统通信上对每个操作系统进行了严格控制,屏蔽所有控制系统基本所需之外的端口和服务。
4.控制系统本身安全采集
系统一共分为三个模块,对每个模块的运行系统都建立了一套完整的安全监控机制。除了对系统运行数据进行有效记录和分析之外,还对系统本身运行平台建立了一套严格监控技术,24小时不间断地观察和监控系统运行状况,发现异常立即发出警报。
5.用户管理
系统不仅给用户提供了一套完整有效的底层安全策略,同时还给用户提供了一套用户管理机制,对用户日常操作提供了一套有效的管理机制,建立普通用户和超级用户的操作行为划分,从而对内部破坏性行为进行了有效地控制。
实际应用
本系统自2001年研制成功并投入运行以来,经过不断地完善修改,运行稳定可靠,极大地丰富了内部局域网上的公用信息。该互联网信息安全采集系统适用于对网络安全要求很高的党、政机关、部队、团体、企事业单位等,实现在与互联网物理隔离的情况下,局域网用户访问部分互联网网站的目的。


热词搜索:

上一篇:物理隔离 Linux如何贯通安全通道(一)
下一篇:如何用Linux LiveCD评估系统安全性(一)

分享到: 收藏