【正文】 一旦病毒導(dǎo)致系統(tǒng)無法正常啟動，或者病毒在引導(dǎo)過程中傳染了內(nèi)存，急救盤可使系統(tǒng)快速從癱瘓狀態(tài)恢復(fù)正常。InoculateIT和Vet兩大世界著名病毒掃描引擎利用不同掃描機(jī)制，100%查殺已知病毒。使用防病毒軟件檢查和清除病毒；病毒數(shù)據(jù)庫的升級。病毒的傳播途徑可分為：通過軟盤、光盤、磁帶傳播；通過FTP、電子郵件傳播；通過WEB瀏覽傳播，主要來自惡意的JAVA控件及ACTIVEX控件網(wǎng)站；通過群件系統(tǒng)傳播等方式。我們的URL過濾和他們的機(jī)制完全不同，URL過濾的速度完全是恒定的，取決于WebCM的處理速度，而WebCM服務(wù)器在這方面進(jìn)行了很多優(yōu)化，即使是查找100萬條記錄以上的URL數(shù)據(jù)庫，速度也非?？欤疫€有各種各樣的分類處理，可以制定各種靈活的策略，比其他防火墻的所謂的URL過濾領(lǐng)先了不知多少。IP地址欺騙：攻擊者通過改變自己的IP來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的抱文，以擾亂正常網(wǎng)絡(luò)的數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報文來更改路由信息，以竊取信息。硬件防火墻不僅可防范多種Dos的攻擊手段還能抵御以下幾種類型的外來惡意攻擊方式：拒絕服務(wù)攻擊（SYN Flooding Attack/DoS）：一種典型的利用協(xié)議漏洞進(jìn)行攻擊的方式，黑客不停地向服務(wù)器發(fā)SYN請求，直到服務(wù)器服務(wù)器緩存溢出而崩潰。 NetST防火墻的操作系統(tǒng)是在Linux的基礎(chǔ)上通過精簡和優(yōu)化、安全加固技術(shù)，同時配合清華得實(shí)獨(dú)有得管理控制接口技術(shù)的操作系統(tǒng)。清華得實(shí)NetST174。硬件防火墻與其他防火墻的比較清華得實(shí)是國際安全聯(lián)盟OPSEC組織的成員，最新產(chǎn)品NetST174。防火墻的安全解決方案 NetST174。防火墻在內(nèi)核設(shè)計中引入自動反掃描機(jī)制，當(dāng)“黑客”用掃描器掃描防火墻或防火墻保護(hù)的服務(wù)器時，將掃描不到任何端口，使“黑客”無從下手。有效防范外來攻擊NetST174。用戶需要首先進(jìn)行登錄，由防火墻/外置的身份驗(yàn)證服務(wù)器驗(yàn)證用戶的身份和網(wǎng)絡(luò)訪問的權(quán)限，防火墻根據(jù)用戶登錄的情況動態(tài)調(diào)整規(guī)則允許以用戶工作站訪問網(wǎng)絡(luò)；用戶在結(jié)束網(wǎng)絡(luò)使用后需要注銷用戶。防火墻利用MIME協(xié)議附加在郵件上的附件文件類型，讓用戶可自行設(shè)定危險的附件文件類型表，NetST174。防火墻利用MIME協(xié)議附加在郵件上的附件文件類型，讓用戶可自行設(shè)定拒絕發(fā)送的郵件附件文件類型表，并禁止對此文件類型范圍內(nèi)的郵件發(fā)送請求。定義一種新的FTP服務(wù)，允許在執(zhí)行PUT和GET命令時將數(shù)據(jù)傳送到內(nèi)容過濾服務(wù)器，PUT包含了所有FTP寫操作，GET包含了所有FTP讀操作。FTP協(xié)議內(nèi)容過濾NetST174。防火墻還支持各種多媒體類型數(shù)據(jù)的過濾，包括圖像、聲頻、視頻等，以提高網(wǎng)絡(luò)帶寬的有效利用率，提高企業(yè)員工的工作效率。防火墻通過創(chuàng)建規(guī)則來指定數(shù)據(jù)包的來源、目標(biāo)和傳送到內(nèi)容過濾服務(wù)器。這些病毒可以通過用戶下載的Jave和ActiveX小程序（Applet）進(jìn)行傳播。對協(xié)議的過濾行為有丟棄（“drop”，拒絕數(shù)據(jù)包通過）、接受（“accept”，允許數(shù)據(jù)包通過）和進(jìn)行內(nèi)容過濾（“content”，進(jìn)行數(shù)據(jù)包的內(nèi)容檢查）三種，網(wǎng)絡(luò)中常用的協(xié)議有tcp、udp、icmp等。協(xié)議過濾NetST174。靜態(tài)地址轉(zhuǎn)換是把一個內(nèi)部IP地址轉(zhuǎn)換為一個相對應(yīng)的合法的IP地址。NetST防火墻系統(tǒng)支持動態(tài)、靜態(tài)、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（Bidirectional NAT）。8．實(shí)時在線監(jiān)視和詳細(xì)記錄分析清華得實(shí)NetST174。6．方便靈活的網(wǎng)絡(luò)監(jiān)控管理清華得實(shí)NetST174。防火墻支持對最常用的應(yīng)用層協(xié)議進(jìn)行內(nèi)容過濾，使用戶可以根據(jù)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行管理和控制，從而使企業(yè)網(wǎng)絡(luò)運(yùn)行更加快速有效。密鑰管理：自動IKE密鑰管理與手動IPSEC相結(jié)合。防火墻支持對目前國際上主要的網(wǎng)絡(luò)攻擊方法的判別，并且進(jìn)行有效阻斷。 用戶可以根據(jù)自己的需要，使用三個網(wǎng)絡(luò)接口，配置防火墻。在本系統(tǒng)中，我們選用清華得實(shí)Netst2103防火墻，它支持120000并發(fā)連接，包括內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)3個100M端口一太網(wǎng)端口NetST174。由于防火墻技術(shù)的針對性很強(qiáng)，它已成為實(shí)現(xiàn)Internet網(wǎng)絡(luò)安全的重要保障之一。Server Microsoft Windows NT Server Microsoft Windows174。處理器 GHz GHz、 GHz GHz、 GHz、 GHz Intel Xeon MP 處理器（處理器隨服務(wù)器型號不同而不同），具有超線程（HyperThreading）技術(shù)、集成化的 3 級高速緩存架構(gòu)和 Intel NetBurst? 微架構(gòu)可提供多功能、高性能、高價值和高可靠性。xSeries 255 服務(wù)器靈活的機(jī)械設(shè)計特性，可以簡單安裝或擴(kuò)展－可以配置為機(jī)柜安裝或塔型服務(wù)器。Intel174。對于洪桐廣電的主機(jī)系統(tǒng)，我們建議對服務(wù)器操作系統(tǒng)選用Windows NT（Windows 2000），Mail服務(wù)器操作系統(tǒng)為 LINUX四、主機(jī)設(shè)備簡介IBM xSeries 255是高性能的4路基于Intel 處理器的服務(wù)器，設(shè)計用于滿足不斷增長的商業(yè)環(huán)境以運(yùn)行關(guān)鍵商務(wù)應(yīng)用程序。操作系統(tǒng)還必須提供進(jìn)程間的通信功能，及具有C2級的安全防護(hù)措施，可以有效地防止非法侵入，保證數(shù)據(jù)安全，并有強(qiáng)大的防病毒能力。能夠?qū)⑽募⑽募夸浐驮O(shè)備統(tǒng)一處理，進(jìn)行順序或隨機(jī)存取，并使得文件、文件目錄和設(shè)備具有相同的語法語義和相同的保護(hù)機(jī)制。WWW服務(wù)器配置清單如下：WWW服務(wù)器　1xSeries 255 ，Xeon MP，512MB ECC，開放式，48x 868541X12512MB PC1600 ECC DDR SDRAM RDIMM33L328313ServeRAID4Mx Ultra 160 SCSI控制器06P573614 10Krpm Ultra 160 SCSI熱插拔薄型硬盤06P57543DNS服務(wù)器配置說明本系統(tǒng)中的DNS服務(wù)器選擇IBM xSeries 255，采用Intel Xeon ,配置1G內(nèi)存, 48x光盤驅(qū)動器，*2,通過采用RAID5技術(shù),*1, 硬盤選用10Krpm Ultra 160 SCSI熱插拔薄型硬盤,另配ServeRAID4Mx Ultra 160 SCSI控制器。二、主機(jī)配置選擇方案我們綜合以往建設(shè)同等規(guī)模網(wǎng)絡(luò)的經(jīng)驗(yàn)，在應(yīng)用服務(wù)器的選型過程中，我們選用業(yè)界知名廠商的服務(wù)器，組成高可靠、高性能的處理系統(tǒng)。原則二：關(guān)鍵主機(jī)采用高可用雙機(jī)熱備，保證系統(tǒng)的不間斷運(yùn)行；必須具有足夠的CPU處理能力、內(nèi)存、外存容量原則三：CPU數(shù)量、內(nèi)存、內(nèi)置/外置硬盤容量、I/O及系統(tǒng)本身都有能滿足未來要求的擴(kuò)展能力，以適應(yīng)處理大數(shù)據(jù)量及系統(tǒng)發(fā)展需要?？蓴U(kuò)充性作為一個面向新世紀(jì)的信息系統(tǒng)，在系統(tǒng)設(shè)計的過程中，除了考慮滿足當(dāng)前的業(yè)務(wù)需求外，還必須考慮今后一段時期內(nèi)業(yè)務(wù)量的增長。高可靠性對于WWW、MAIL、數(shù)據(jù)庫、應(yīng)用系統(tǒng)，高可靠性是系統(tǒng)成功的關(guān)鍵。第四章 主機(jī)系統(tǒng)設(shè)計一、洪桐廣電寬帶接入主機(jī)系統(tǒng)設(shè)計原則洪桐廣電的服務(wù)器不僅要滿足現(xiàn)有的業(yè)務(wù)的需要，更要能夠適應(yīng)將來快速發(fā)展的需要，因此在主機(jī)選型時首要目標(biāo)是高的性能起點(diǎn)和高的性能擴(kuò)展能力，同時兼顧機(jī)型的先進(jìn)性和投資保護(hù)能力。使運(yùn)營商在運(yùn)營上更加趨向有序化、規(guī)范化?？梢哉feFlow DBrAS的trunk功能大大降低了管理開銷同時也消除了采用DBrAS接入方式對運(yùn)營商網(wǎng)絡(luò)帶來的廣播影響。eFlow DBrAS可對用戶進(jìn)行以32kbps為單位的速率控制，提供了保證用戶服務(wù)質(zhì)量的手段。eFlow DBrAS可為用戶提供多種服務(wù)，與運(yùn)營商的管理需求和eFlow用戶認(rèn)證管理系統(tǒng)結(jié)合，可為每用戶定制不同的服務(wù)級別，包括上下行帶寬的分配，固定或動態(tài)IP地址。Eflow DBrAS產(chǎn)品運(yùn)營特性Eflow DBrAS產(chǎn)品內(nèi)嵌DHCP Server 支持DHCP地址分配，支持DHCP Reley、Agent，方便運(yùn)營商無縫割接網(wǎng)絡(luò)，保持網(wǎng)絡(luò)的正常運(yùn)行。結(jié)合Radius實(shí)現(xiàn)集中式的用戶認(rèn)證、授權(quán)和計費(fèi)，方便運(yùn)營商統(tǒng)一規(guī)劃網(wǎng)絡(luò)、統(tǒng)一管理用戶和對用戶計費(fèi)，實(shí)現(xiàn)電信級的運(yùn)營；支持多Radius同時計費(fèi)，同時也可以支持主備方式的Radius認(rèn)證計費(fèi)認(rèn)證，當(dāng)主Radius出現(xiàn)意外時，可以自動切換到備用Radius進(jìn)行認(rèn)證；結(jié)合Radius可實(shí)現(xiàn)對最小單位為32kbps的帶寬控制，實(shí)現(xiàn)簡單的QoS服務(wù)；結(jié)合Radius可實(shí)現(xiàn)靈活的計費(fèi)策略控制，包括預(yù)付費(fèi)（時長）和按時長、流量的后付費(fèi)和移動用戶計費(fèi)；eFlow DBrAS產(chǎn)品功能特性采用專用的實(shí)時操作系統(tǒng)實(shí)現(xiàn)，在大量用戶接入時仍然可以保障其網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的實(shí)時性，按設(shè)備不同型號可支持并發(fā)在線用戶128~2048用戶；轉(zhuǎn)發(fā)效率高，100M端口利用率 90%；支持DHCP SERVER；支持DHCP RELAY，方便采用DHCP接入的運(yùn)營商集中IP分配和管理；自動捕獲未認(rèn)證用戶瀏覽器請求并導(dǎo)向認(rèn)證頁面，用戶不用安裝任何客戶端認(rèn)證軟件，也不需要用戶自己在瀏覽器里主動輸入認(rèn)證頁面的URL。由于DHCP用戶一開機(jī)就要占用IP地址資源，因此采用DHCP運(yùn)營的環(huán)境中不可避免地要用到NAT，節(jié)省有限的公網(wǎng)地址資源，也可以讓用戶的地址不外泄，保證用戶上網(wǎng)機(jī)器的安全；內(nèi)置的IP 包過濾功能。 以下是一個采用DBrAS接入和認(rèn)證的簡單示例，用戶在瀏覽器里輸入一個合法URL請求后被重定向到DBrAS的認(rèn)證頁面（該頁面可由運(yùn)營商根據(jù)需要定制）：用戶認(rèn)證成功后被重定向到運(yùn)營商的Portal頁面，同時一個浮動窗口被打開，在該窗口內(nèi)用戶可以看到自己的上網(wǎng)時間，預(yù)付時長的用戶可以看到自己的剩余可用時長，用戶可以通過該窗口斷開上網(wǎng)服務(wù)（用戶主動按斷開按鈕或者可用時長耗盡），該頁面也是可以定制的，運(yùn)營商可以在該頁面內(nèi)做一些廣告或者通知用戶一些新的服務(wù)項(xiàng)目：eFlow DBrAS產(chǎn)品技術(shù)特點(diǎn)實(shí)現(xiàn)技術(shù)eFlow DBrAS采用專用的實(shí)時操作系統(tǒng)實(shí)現(xiàn)，直接基于系統(tǒng)的內(nèi)核實(shí)現(xiàn)，在大量用戶接入時仍然可以保障其網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的實(shí)時性；作為地址分配的主要手段，eFlow DBrAS內(nèi)置實(shí)現(xiàn)了標(biāo)準(zhǔn)的DHCP服務(wù)，可以直接接受DHCP客戶的請求，也可以接受下面設(shè)備中繼過來的DHCP請求，并且可以根據(jù)中繼設(shè)備的地址分配不同網(wǎng)段的IP地址。對于移動場所的用戶（例如酒店），eFlow DBrAS系列產(chǎn)品實(shí)現(xiàn)了即插即用（Plug amp?？紤]到洪桐廣電現(xiàn)階段的接入需求，建議先使用支持1024并發(fā)用戶的D_BrAS寬帶接入服務(wù)器和5000用戶版本的RADIUS計費(fèi)系統(tǒng)以節(jié)約開支，在系統(tǒng)升級時，這些系統(tǒng)可以很方便的進(jìn)行對應(yīng)的升級，支持更多的并發(fā)用戶?；诓考捏w系結(jié)構(gòu)基于部件的體系結(jié)構(gòu)，允許部署中繼、目錄以及消息存儲器等諸如此類的信息傳遞服務(wù)，以此作為單獨(dú)部件，從而優(yōu)化性能，并以最佳方式分配硬件資源。預(yù)定規(guī)則政策，可以包括用戶文件夾的老化政策以及整個系統(tǒng)和用戶的郵箱配額政策。通過多種信息存儲服務(wù)器，可以實(shí)現(xiàn)水平可伸縮性。提供基于部件的大規(guī)模可伸縮體系結(jié)構(gòu)，以適應(yīng)數(shù)以百萬計的用戶擴(kuò)展需求。Sendmail提供一種Local ，對郵件目標(biāo)地址進(jìn)行認(rèn)證，若合法則將郵件寫入用戶的郵箱，否則將郵件退回?？梢员ＷC充分滿足該系統(tǒng)的需求第三章 洪桐廣電寬帶接入系統(tǒng)的郵件、RADIUS、計費(fèi)服務(wù)一、郵件服務(wù)我們選用免費(fèi)Sendmail高性能信息傳遞來實(shí)現(xiàn)本網(wǎng)絡(luò)中的郵件服務(wù)。雖然這樣會導(dǎo)致信道的一定擁塞，但考慮 到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用PAT還是很值得的。 在Internet中使用PAT時，所有不同的TCP和UDP信息流看起來仿佛都來源于同 一個IP地址。 使用PAT PAT在遠(yuǎn)程訪問產(chǎn)品中得到了大量的應(yīng)用，特別是在遠(yuǎn)程撥號用戶使用的設(shè)備 中。例如，SNMP管理站利用IP地址來跟蹤設(shè)備的運(yùn)行情況。那么 ，內(nèi)部網(wǎng)可以訪問Internet上的任何服務(wù)器，Internet上的任何主機(jī)也能通過TC P或UDP訪問到內(nèi)部網(wǎng)。其中的路由器可以把內(nèi)部網(wǎng)和企業(yè) 網(wǎng)連接起來，使之能相互訪問。 使用NAT池 使用NAT池，可以從未注冊的地址空間中提供被外部訪問的服務(wù)，也可以從內(nèi) 部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，而不需要重新配置內(nèi)部網(wǎng)絡(luò)中的每臺機(jī)器的IP地址。靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映射成 外部網(wǎng)絡(luò)中的某個合法的地址。但這對于一般的網(wǎng)絡(luò)來說是微不足道的，除非是有許多主機(jī)的大型網(wǎng)絡(luò) 。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。當(dāng)然，隨著IPv6的出臺，這個問題應(yīng)當(dāng)能夠 得到解決。接入Internet 、訪問Internet成為當(dāng)今信息業(yè)最為迫切的需求。由此可見，通過Qos服務(wù)的提供，網(wǎng)絡(luò)在提高隊(duì)多媒體，視頻等先進(jìn)的應(yīng)用程序的同時，并不犧牲網(wǎng)絡(luò)的性能。根據(jù)服務(wù)類別加權(quán)公平排隊(duì)(WFQ)：WFQ提供了這樣一種能力，在為較低優(yōu)先級業(yè)務(wù)公平分配現(xiàn)有帶寬的同時，保證要求低延時的高優(yōu)先級和低優(yōu)先級流。加權(quán)RED，基于服務(wù)類的擁塞管理：WRED結(jié)合了IP優(yōu)先權(quán)和RED功能，為不同類別的服務(wù)提供不同的性能對優(yōu)先權(quán)較高的分組優(yōu)先處理。RED與抗干擾的傳輸協(xié)議(如TCP)協(xié)同工作，可根據(jù)如下的實(shí)現(xiàn)算法智能化地避免網(wǎng)絡(luò)擁塞：區(qū)分網(wǎng)絡(luò)可適應(yīng)的臨時性流量爆炸和將耗盡網(wǎng)絡(luò)資源的極度超載。CAR閾值可根據(jù)訪問端口、IP地址和應(yīng)用程序設(shè)定。IP優(yōu)先權(quán)可被映射到鄰接技術(shù)(如標(biāo)記交換、幀中繼或ATM)，在非均勻網(wǎng)絡(luò)環(huán)境下提供端到端的QoS策略。網(wǎng)絡(luò)管理員可以定義多達(dá)六個服務(wù)類，并利用擴(kuò)展訪問控制列表(擴(kuò)展ACL)，為每個服務(wù)類定義擁塞處理和帶寬分配策略。同時也可以加強(qiáng)網(wǎng)絡(luò)信息的安全性。在一個虛擬網(wǎng)里增加、移動和改變一個成員可通過軟件實(shí)現(xiàn)，減少網(wǎng)絡(luò)管理的時間及費(fèi)用。虛擬網(wǎng)技術(shù)實(shí)現(xiàn)是最近一兩年的事情。劃分子網(wǎng)的好處是將通信量限制在各自的子網(wǎng)內(nèi)，并保證網(wǎng)絡(luò)的安全。路由算法使用不同因