主板：Intel D945GCLF2D 板载Atom230低功耗CPU，集成Intel GMA 950显示核心，板载百兆网卡。支持DDR2内存。

上图中字母指示位置的说明如下：
A PCI总线内置卡连接器
B 前面板音频接口
C 后面板连接器
D 12V处理器核心电压连接器(2×2)
E 后部风扇(3针)接口
f 处理器
G DDR2DIMM连接器
H 主电源连接器(2×12英寸)
I IDE连接器
J 串行ATA连接器(2)
K 前面板接头
L 电池
M BIOS配置跳线
N 高速USB2.0接头连接器
O S/PDIF连接器(3针)

点击查看D945GCLF2D主板Intel官方详细介绍

机箱：E-MINI系列2007C 使用120W DC-DC电源模块(LR1005)及12V/5A适配器供电，可以减少了机箱电源的噪音。而且这个小机箱同时支持Micro ATX和ITX主板，Micro ATX主板放进去箱内比较充实，而ITX主板放进去则还有不少的空余。

BIOS界面显示系统信息：

组装机箱和主板的时候拍的照片：

组装后用”北电海盗版“电量测试仪测试整机功耗，开机瞬时最高达到45w，平稳后在30w（正负2w）左右。在图中可以看到，我使用了一块9岁高龄的硬盘，这块硬盘噪音挺大，所以整机噪音还是不令人满意，不过除硬盘外其他部分（也就一块北桥风扇了，这个风扇不能撤，否则发热量还是挺大的）噪音极小，因此后续要考虑怎样控制硬盘噪音。而且，发现这个机箱给ATA硬盘供电的那支电源线太短了，如果按机箱提供的正规方式安装ATA硬盘，那电源线是够不到硬盘的，所以图中我的硬盘是反转了180度安装，就是为了硬盘的电源槽离主板电源主插槽近一些，当然这与电源主插槽在主板上的位置有关，如果主板的电源主插槽能尽量靠左（相对图中位置）一些，也没问题。

===== 2011-11-28 日更新 ====

今天换了一块2.5存笔记本硬盘，日立80G的，噪音小了不少，耳测感觉基本上硬盘和那个北桥小风扇的分贝数差不多了，硬盘工作的声音也是无法彻底消除的。

换了这个硬盘后，功率稍微小了一些：

附一些硬件信息以供参考：

处理器 英特尔 Atom(凌动) 230 @ 1.60GHz 上网本处理器
速度 1.60 GHz (133 MHz x 12.0) / 前端总线: 533 MHz
处理器数量 核心数: 1 / 线程数: 2
核心代号 Diamondville
生产工艺 45 纳米
插槽/插座 Socket 437 (FCBGA8)
一级数据缓存 24 KB, 6-Way, 64 byte lines
一级代码缓存 32 KB, 8-Way, 64 byte lines
二级缓存 512 KB, 8-Way, 64 byte lines
特征 MMX, SSE, SSE2, SSE3, SSSE3, HTT, EM64T

主板型号 英特尔 D945GCLF
芯片组 英特尔 945G - ICH7
序列号 AZLF013002H3
板载设备 Intel(R) Extreme Graphics 3 Controller / 视频设备 (启用)
板载设备 Realtek RTL8102E Ethernet Device / 网卡 (启用)
板载设备 Intel(R) High Definition Audio Device / 音频设备 (禁用)
BIOS 英特尔 Corp. LF94510J.56T.0008.2009.0429.1820
制造日期 04/29/2009

DIMM 0: 金士顿 DDR2 800MHz 1GB
型号 7F98 KTC1G-UDIMM
序列号: 651EEA3B

产品 日立 HTS722080K9A300
大小 80 GB
转速 7200 转/分
缓存 15203 KB
硬盘已使用 共 8 次，累计 1 小时
固件 DCBOC76A
接口 SATA II
数据传输率 300 MB/秒
特征 S.M.A.R.T, APM, 48-bit LBA, NCQ
硬盘已使用 共 8 次，累计 1 小时
主板制造日期 英特尔 2009 年 04 月 29 日
系统安装日期 Windows XP / 2011 年 11 月 28 日

主显卡 英特尔 945G Integrated Graphics Controller
显存 128 MB
制造商 英特尔
BIOS日期 08/28/20
驱动版本 6.14.10.4926
驱动日期 20080215

网卡 瑞昱 RTL8102E/8103E Family PCI-E Fast Ethernet NIC
制造商 英特尔

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

1,安装Ubuntu10.04 LTS server 版本。

Ubuntu 10.04是一个LTS长期维护版本，并且由于这里是要架设一个web服务器，所以选用了Server版本。这里可以下载安装光盘的镜像文件，注意选择10.04版本，以及你将要架设的计算机硬件所对应的32/64bit版本。

安装过程我就不赘述了，可以参考这篇文章的安装部分（主要是安装过程中注意选择LAMP server安装包以及OpenSSH安装包）。OpenSSH是为了将来远程SSH登录到这台Server上进行管理操作。

安装并启动后，要配置一下这台Server的网络。编辑“/etc/network/interfaces”文件，加入两行：

1
2

auto eth0
iface eth0 inet dhcp

这样服务器启动的时候就可以自动启动eth0接口的DHCP协商获取IP地址。当然记得确认你下你的计算机硬件连接ADSL的接口是eth0还是其他。

2，注册“花生壳”。

“花生壳”是一家提供DDNS动态IP域名解析服务的公司，也有其他一些相关网络基础设施产品。因为本文介绍的是使用通过ADSL连接Internet的家庭计算机建站，而ADSL拨号从ISP获取的Internet IP地址是动态的（每次拨号得到的地址可能与上次不同）所以这里使用“花生壳”来将一个固定域名自动动态的映射到每次获取到的IP上，以后无论IP如何变化，都可以使用这个域名来访问这台计算机。

“花生壳”官方网站上的这篇Lu文章很清晰的介绍了在linux平台下的安装和使用方法，按照文章操作即可。注意，如果你是使用家庭网关拨号接入Internet，那么你的家庭网关可能会禁止外部Internet的计算机访问你的这台内网计算机，所以，必须在家庭网关上配置DMZ功能来允许你的这台计算机被外网访问（这涉及一些NAT的知识，有兴趣可以自行google一下或查书，就不赘述了）。

为什么同一内网的计算机无法通过该花生壳的域名访问这台计算机？

安装并启动“花生壳”服务后，你可以尝试使用其提供的二级域名(一般是xxx.eicp.net等形式)来访问你的这台计算机。这里要注意的是，如果你是使用这台Linux计算机直接拨号ISP接入Internet的，那没有问题，而如果是通过一台路由器等家庭网关拨号的，那么你会发现，本地网络局域网（该家庭网关内部网络）的计算机（可能）是无法通过这个域名访问该计算机的，而外部Internet的远程电脑（例如邻居或你公司）可以访问。这是由于，当一台电脑访问这个域名时，花生壳将此域名解析到你的家庭网关设备的外网IP地址（附加端口信息等），然后家庭网关将外部访问NAT转换后到达内网计算机。而目前的情况是，从家庭网关内部的计算机访问这个域名，访问的地址是家庭网关的IP（附加端口信息等），而家庭网关默认（当然跟此网关设备的内部设计实现有关，不是必然的）不给内网对网关自己IP的访问进行NAT转换，此报文可能就被网关丢弃了。

要解决这个问题，有两个办法，原理都是绕过上面介绍的这个访问流程。其实，内网主机本来就可以直接访问内部其他主机，根本不应该向外部DNS请求一个自己网关的IP地址。所以，方法一，设置计算机（发起请求的那台）的hosts文件，将域名直接映射到这台Linux计算机的内网IP。这样就是内网直接访问了，不会有任何问题。但是这样需要内网的每台计算机都做同样的hosts文件设置，麻烦。所以，方法二，在你的家庭网关上做DNSmasq之类的设置（我使用的是刷了tomato家庭路由器，支持dnsmasp的设置），直接将这个域名映射到该Linux的内网IP，这样所有内网访问该域名都会直接解析到该内网IP，它们就可以直接在内网通信了。

3, 安装phpmyadmin。PHP环境下Web broswer方式配置MySQL的工具。将来维护MySQL数据库就靠它。

4，安装一个PHP的CMS来搭建web站点。我使用Drupal，因为它功能强大、配置灵活，是对网站有高端功能设计需求人士的首选。这里简单介绍一下Drupal的Clean URL功能的配置，如果你不关心，可以跳过这节。因为Drupal的PHP框架设计，Drupal的默认页面地址都是“domain.com/?q=node/1″这样的形式，可读性和搜索引擎友好度都不佳，CleanURL就是用来将这个地址转换为”domain.com/node/1″这样较好的形式。

首先打开apache2的rewrite模块：

1

#sudo a2enmod rewrite

然后通过#apache2ctl -M可以看到这一行，就说明该模块已经安装好了：rewrite_module (share)

然后需要改一下apache2的配置文件(在我的主机上，这个文件位于/etc/apache2/apache2.config，有的机器上可能是httpd.conf文件)，在<Directory /var/www>下面（当然，选哪个目录取决于你把Drupal放在了哪个目录）：
把AllowOverride None改为AllowOverride All

修改后是这个样子(如果你的配置文件中没有这个“Directory”，就把这些全都加到配置文件中)：

1
2
3
4
5
6
7
8

<Directory /var/www/example.com>
   AllowOverride All
   RewriteEngine on
   RewriteBase /
   RewriteCond %{REQUEST_FILENAME} !-f
   RewriteCond %{REQUEST_FILENAME} !-d
   RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]
</Directory>

最后重启apache2，就可以进入Drupal的控制面板打开Clean URL功能了。

5，使用顶级域名绑定“花生壳”的动态IP解析服务

目前，我们已经可以使用花生壳的二级域名访问这台家里的计算机上的站点了。如果这个站点是个比较正式的网站，那我们想更进一步，使用顶级域名访问它。

但是花生壳是不提供这个服务的，只好另找出路。可以使用域名的CNAME功能，直接将顶级域名映射给这个花生壳的二级域名，这样，访问该顶级域名和访问花生壳的二级域名效果完全一样（并不会跳到二级域名）。你可以先拿免费的”.tk”顶级域名试试看。这里是一篇注册tk顶级域名，以及介绍其使用方法的文章，也介绍到了CNAME的设置，可以按照它的介绍逐步进行。

OK,That’ all!

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

2, 解压，进入源码目录，编译之前，先配置：

1

./configure  --disable-ripd --disable-ripngd --disable-ospfd --disable-ospf6d  --disable-watchquagga --disable-doc --enable-user=root  --enable-group=root --enable-zebra --enable-vtysh

3,  开始编译 ：

1

make && make install

4,  建立配置文件： 

1

cp /usr/local/etc/zebra.conf.sample /usr/local/etc/zebra.conf

5, 启动zebra:    zebra -d

6, telnet登录zebra命令行:          

1

telnet 127.0.0.1 2601

备注：本试验的主机是Fedora14.

参考手册: http://www.quagga.net/docs/docs-info.php

相关阅读:

1. 更新家用网络组网拓扑(Linux透明网桥流控与无线网络的组合)
2. Debian和Ubuntu中APT的概要介绍和初级应用(一)
3. 编译Linux内核过程记录

家用网络组网拓扑(Linux流控与无线网络的组合)

说明:

根本目的是使用一台Linux PC(实际上是一块二手老主板改造的)作为网关（流控点，透明网桥），管理和优化各接入用户的网络流量。拓扑中还有两台无线路由器，一台LinkSys WRT54G(刷了tomato)，另一台是Netgear WGR614，它们各组织一个网络。

LinkSys WRT54G作为拨号节点，向ISP拨号连入互联网，配置其LAN口和Wireless口为192.168.2.0/24网段，接入此网络的PC将以这台LinkSys为网关接入互联网。PC1即是如此。

图中的Ubuntu即前面提到的那块二手主板[Celeron 2.30GHz处理器/256M内存]，装的Ubuntu8.04(这是一个LTS版本，比较稳定可靠)。在网络中，它以透明网桥的方式将周围设备连接起来，并接入Linksys拨入的ISP互联网络。之所以用作网桥而不是配置成路由模式，也是为了简化网络。用brctl建立一个透明网桥，将图中的eth0/eth1/eth2三个接口加入该透明网桥，brctl配置起来也非常简单，就不赘述了。针对此网桥配置了一些iptables、tc等安全和流控功能。

这里顺便将我在此环境下测试通过的一个实验附上 - linux bridge透明网桥加tc流控的小例子：

—————-  linux  透明网桥使用tc流控的例子开始 —————————

1，建立透明网桥(eth0为上行，eth2和eth3为下行):

1
2
3
4

brctl addbr tran_br
brctl addif tran_br eth2
brctl addif tran_br eth1
brctl addif tran_br eth0

2,建立tc流控规则

1
2
3
4
5
6
7
8
9

tc qdisc add dev eth2 root handle 1: cbq bandwidth 2Mbit avpkt 1000 cell 8 mpu 64
 
tc class add dev eth2 parent 1:0 classid 1:1 cbq bandwidth 2Mbit rate 2Mbit maxburst 20 allot 1514 prio 8 avpkt 1000 cell 8 weight 1Mbit
 
tc class add dev eth2 parent 1:1 classid 1:2 cbq bandwidth 2Mbit rate 0.2Mbit maxburst 20 allot 1514 prio 2 avpkt 1000 cell 8 weight 800Kbit split 1:0 bounded
tc class change dev eth2 parent 1:1 classid 1:3 cbq bandwidth 2Mbit rate 1Mbit maxburst 20 allot 1514 prio 1 avpkt 1000 cell 8 weight 100Kbit split 1:0 bounded     #速率控制为1Mbit/s
tc class add dev eth2 parent 1:1 classid 1:4 cbq bandwidth 2Mbit rate 1Mbit maxburst 20 allot 1514 prio 6 avpkt 1000 cell 8 weight 100Kbit split 1:0
#利用分类1:3来控制发往ip为192.168.2.104的PC的流量速率：
tc filter add dev eth2 parent 1:0 protocol ip prio 1 u32 match ip dst 192.168.2.104/32 flowid 1:3

经试验验证（可以用tc class change命令来改变1:3分类的速率值，并在192.168.2.104主机上下载一个大文件来观察验证配置是否成功），流控速率控制成功。

—————-  linux  透明网桥使用tc流控的例子结束 —————————

由于家里有很多无线设备（笔记本、手机、平板），如果让他们接入LinkSys的无线网络的话，就无法利用这台Linx来做流量管理了，所以，在该网桥上(图中eth1口)又接入了一个无线路由器(Netgear WGR614)，需要管理的无线设备将接入该无线路由器的无线网络。此无线路由器的WAN口接入Linux的网桥eth1口，则可以直接从LinkSys处DHCP获取192.168.2.0/24网段的IP作为其上行接入IP地址，而其下行的LAN和Wireless网络，配置为192.168.1.0/24网络。

目前经过一段时间的测试，PC1、PC2以及两个无线网段访问互联网(http/ftp)均很正常。

相关阅读:

1. 串口方式登录Virtualbox虚拟的ubuntu机器
2. Linux iptables建立网关的简单实例（支持NAT及FTP连接穿透）
3. 开源路由软件quagga快速安装

outside  —-  eth0+虚拟机A+eth1  —-  eth0+虚拟机B

*我的试验环境如上图所示，虚拟机A的eth0接口与宿主机的连接外网的网卡桥接，所以可以等价为虚拟机A的eth0接口与外网相连，虚拟机A的eth1接口和虚拟机B的eth0接口是使用virtualbox的内网相连。 其实，采用虚拟机组网仅仅是为了方便，针对本文介绍的全部内容，这些机器是否是虚拟机并没什么影响，完全可以将上图中的虚拟机看作实体主机，后面的操作完全与是否虚拟机无关。

*Outside网络中有一台DHCP服务器，以及DNS服务器，这些也不影响本文介绍的核心内容，后面涉及到这两个服务器时会再次说明。

[+]虚拟机A和B都运行Ubuntu8.04

[+]实现思路：虚拟机A配置iptables，使虚拟机A作为这个简单网络的一个安全网关，虚拟机B透过虚拟机A访问outside网络，对外部网络的服务器进行最基本的HTTP浏览和FTP上传下载。并且在一定程度上保护虚拟机B所在的网络不受outside网络的入侵。

配置步骤如下：
[1],先配置两台虚拟机的联通性，虚拟机A的eth1接口IP:10.10.11.1，虚拟机B的eth0接口IP:10.10.11.2，检查可互相ping通。
[2],将虚拟机A作为虚拟机B的默认网关： route add -net 0.0.0.0/0 gw 10.10.11.1
[3],下面就是配置虚拟机A的iptables了，看一下下面的脚本：

——————————-

simple-gateway.sh的内容:

#! /bin/sh

# If no rules, do nothing.
[ -f ./simple-gateway.rules ] || exit 0

case “$1″ in
start)
echo -n “Turning on gateway:”

/sbin/modprobe iptable_nat #only if using iptables

/sbin/modprobe ip_conntrack_ftp #support ftp
/sbin/modprobe ip_nat_ftp #support ftp
/sbin/modprobe ipt_MASQUERADE

./test.rules #run iptables rules

echo 1 > /proc/sys/net/ipv4/ip_forward # enable ip forward
# for RedHat users, the above line is not needed if you have
# FORWARD_IPV4=true in /etc/sysconfig/network file

echo “.”
;;
stop)
echo -n “Turning off gateway:”
echo 0 > /proc/sys/net/ipv4/ip_forward #disable ip forward
#clean iptables rules
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD

/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
echo “.”
;;
*)
echo “Usage: simple-gateway.sh {start|stop}”
exit 1
;;
esac

exit 0

—————————–
simple-gateway.rule的内容:

/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD

/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F #ignore if you get an error here
/sbin/iptables -X #deletes every non-builtin chain in the table

/sbin/iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state –state NEW -i ! eth0 -j ACCEPT
# only if both of the above rules succeed, use
/sbin/iptables -P INPUT DROP

/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state –state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# use this line if you have a static IP address from your ISP
# replace your IP with x.x.x.x  把下面的***部分换成虚拟机A的eth0接口从DHCP服务器获取到的IP地址（当然，在你的环境中，也可能是静态的IP，虚拟机使用这个IP连接outside网络）
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to x.x.x.x

# use this line only if you have dynamic IP address from your ISP
#/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -A FORWARD -i eth0 -o eth0 -j REJECT

————————-

在虚拟机A上 “./simple-gateway.sh start” 使能其网关功能后，虚拟机B就可以ping通outside网络中的地址了;修改虚拟机B的DNS配置文件”/etc/resolv.conf”（虚拟机A此时应该可以正常访问outside网络的域名，所以改成和虚拟机A的该文件一致即可），则虚拟机B即可解析出域名，访问outside网络的网站。
因为我们在”simple-gateway.sh”脚本中加载了iptables的ftp conntrack以及nat等相关模块，所以此时ftp不会被阻断，在虚拟机B上是可以ftp到outside网络中的FTP服务器的（登录、上传、下载都可以）。并且，虚拟机B所在的10.10.11.0网段在外网是无法访问的（虚拟机B通过虚拟机A做NAT映射访问outside），这样就达到了保护内网安全的目的。
在虚拟机A上 “./simple-gateway.sh stop” 即可关闭前面打开的网关功能，恢复初始状态。
当然，本文的iptables脚本非常的简陋，只能作为本文的一个小demo，真正的应用环境，还需要针对实际情况完善补充，才能支持更多的协议通过gateway，并且增加其安全性。

本文参考资料Setting up a Linux Home Gateway

EOF

相关阅读:

1. vsftpd快速匿名用户配置方法
2. 更新家用网络组网拓扑(Linux透明网桥流控与无线网络的组合)
3. Debian和Ubuntu中APT的概要介绍和初级应用(一)

虚拟机： VirtualBox虚拟的 Ubuntu8.04

目的，在Fedora上登录Ubuntu机器的串口。

步骤：

1、在VirtualBox上为Ubuntu这台虚拟机添加一个hostpipe形式的串口，并将其绑定到/tmp/vboxS0这个文件（如图）：

创建hostpipe串口

2,启动虚拟机

3,修改虚拟机系统的grub，加上”console=tty0 console=ttyS0,9600n8″，这是为了向串口输出，否则串口上什么也看不到。

4,在Fedora主机上将/tmp/vboxS0映射为TCP连接（如果前面的串口创建没问题，这里这个命令会阻塞等待连接，直到虚拟机关闭）

socat UNIX-CONNECT:/tmp/vboxS0 TCP-LISTEN:8888

5,在Fedora主机上telnet到step4创建的TCP连接上，此时，如果虚拟机有串口输出，就可以在这里看到输出信息了。

telnet localhost 8888

6,但是，一般ubuntu桌面版是没有设置串口登录的，所以现在在“串口”上看不到登录提示符。所以实际上在第三步时，还需要修改/etc/event.d/tty6 （也可以选别的tty号码)：
将”exec /sbin/getty 38400 tty6″改为”exec /sbin/getty -L /dev/ttyS0 9600 vt100″ 就是令串口登录是得到login提示符。
至此，配置完毕，应该可以正常使用了。

7,如果需要在串口上看到grub的菜单信息，还需要在menulist里增加这些配置:

serial –unit=0 –speed=9600 –word=8 –parity=no –stop=1

terminal –timeout=10 serial console

—————————-分割线——————————

BTW，如果不是使用虚拟机，而是直接使用串口线连接物理linux主机，也可以使用上述步骤（当然，步骤4、5就不需要了）。而如果发现串口可以显示linux的输出信息，但无法响应你的输入，那么请检查下图中的设置（以windows超级终端和secureCRT为例）：

secureCRT设置FlowContrl方式

windows超级终端设置FlowControl方式

原理参考这两篇文章：

RS232中RTS和CTS的作用

【已解决】secureCRT下的串口不能输入

[END]

相关阅读:

1. 更新家用网络组网拓扑(Linux透明网桥流控与无线网络的组合)
2. Debian和Ubuntu中APT的概要介绍和初级应用(一)
3. Debian和Ubuntu中APT的概要介绍和初级应用(二)

1, apt-get install(或者yum install) vsftpd， 这步就是最简单方便的安装，你要事有code自己编译安装也好。

2, service vsftpd restart   启动ftp服务

3, 如果本机启动了iptables，先service iptables stop暂停，否则ftp client会无法登录（出现No route to host报错）

4, 在vsftpd的配置文件 /etc/vsftpd/vsftpd.conf文件中加上下面几行：

anon_upload_enable=YES
anon_mkdir_write_enable=YES
anonymous_enable=YES
#配置匿名用户的权限，否则ftp用户无法下载
anon_umask=022

5, 查看ftp匿名用户的目录：

[root@hostname]#finger ftp
Login: ftp                        Name: FTP User
Directory: /var/ftp                     Shell: /sbin/nologin
Never logged in.
上面指出ftp用户的目录在 /var/ftp目录

6, 修改上传目录的权限：

chmod 777 /var/ftp/pub/  （如果没有这个目录请自行创建）

ok，如果一切顺利，现在匿名用户(usr/pass:ftp/ftp)应该可以访问ftp并上传文件了（记得登录后开始是在根目录/var/ftp下，先要cd 进入pub目录ftp用户才有权限上传、下载操作）。

相关阅读:

1. Linux iptables建立网关的简单实例（支持NAT及FTP连接穿透）
2. Debian和Ubuntu中APT的概要介绍和初级应用(一)
3. 编译Linux内核过程记录

这东西也许在某些地方如论坛、微博发帖时有用，可以用来对付某些限制。

链接在此，文本图片转换程序。

相关阅读:

1. 怎样使你的网页的外链链接更“安全”－PHP重定向机制
2. 介绍一个图片搜索引擎

1. A10的AX系列网络设备与F5的专利无关
2. A10及其员工从未侵犯任何enforceable商业机密
3. 所有F5专利是非强制执行(unenforceable)的，因为F5没有向美国专利和商标机关提交先有技术(prior art)的材料
4. 所有的F5专利在先有技术(prior art)方面是无效的

此外，A10已经向美国专利和商标机关提起复检请求，要求声明所有F5之前对A10的起诉无效。

SAN JOSE,Calif, 2010/12/15/PRNewswire/

来源: SAN JOSE,Calif, 2010/12/15/PRNewswire/

声明:本文为英中对译，不对文章表达含义负责，翻译如有偏差纯属技术问题，还请参考原文。

相关阅读:

1. A10 Networks反诉F5
2. A10网络的AX系列ADC应用交付器启动产品升级

A10正处于一场法律战役之中，主要缘起于八月份Brocade公司对其的一起诉讼。但是F5的这起诉讼也是比较严重的，因为作为一家startup公司，A10并没有广泛的portfolio of products。

这类诉讼case似乎要持续几年才会解决，但是在战略上对于A10来说保持客户的信心非常重要。值得注意的是，A10正在从正面反击F5，尽管F5的诉讼更早，但Brocade的诉讼应该是比F5这起更加严重的case。

相关阅读:

1. A10 Networks对F5 Networks提出专利反诉

通过本次升级，AX现在可以提供aVCS(Virtual Cluster Switching)功能，一个机架式系统，允许用户在一个虚拟集群中线性扩充最多8台AX系列设备；还提供L2/L3拓扑及平滑升级降级支持；另外，还包括L2/L3虚拟化增强(enabling high-performance multi-tenanc)以及softAX的升级。

Jim Lima，A10网络渠道总监说:“aVCS的优点就是使得客户可以随时在其中增加一台ADC设备来扩充整个系统的性能，这样，客户在建立他们的网络时就有了更多的选择。

AX系列的ADC产品提供aFlow工具，它可以管理终端用户的请求，在大流量的情况下将这些请求缓存排队以等待处理，而不是将其丢弃或者造成服务器超载运转；基于地理位置的特性可以阻挡来自特别地理位置的DDoS攻击；另外，DNS缓存特性可以监视DNS查询请求以自动分派DNS策略。

此外，还支持DNSSEC特性，以及为使用微软、Oracle、Juniper等厂商技术的企业数据中心用户设计的一个GUI图形化的专用负载均衡配置工具；支持Chrome、IE、Firefox及Safari浏览器；支持IPV4和IPV6的IS-IS路由；以及HTTP硬件压缩模块(支持AX2500/AX2600/AX3000)等特性。

所有的升级特性都在十月底的2.6软件版本即可使用，并且，所有现有的A10网络的AX产品客户均可免费升级。

“这些都是站在客户角度为方便客户部署和使用我们的产品而设计的易用特性”，Lima说。

Lima告诉记者，他看到A10网络作为ADC市场的新兴力量正在对行业中的重量级对手-例如F5发起挑战。

A10的渠道整改计划-包括今年早些时候针对方案商的产品更新升级激励计划-已经为A10获得了更多的客户，现在AX系列产品已经拥有800余家客户了。

“我们让事情变得简单，客户购买设备后就拥有所有的特性，而不需要再为激活特性而付费，我们的产品为客户节省了花销。”Lima说，“将有更多的市场开拓资金投入到即将到来的渠道改进计划中去”。Lima还预计2011年将开展合作商认证计划。

 (via:CRN)

相关阅读:

1. A10 Networks对F5 Networks提出专利反诉

• 策略如何评估？

一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比，Palo Alto防火墙的策略评估有很大不同。

举例来说，你有一组web浏览规则(rule)，这些规则与各种基于HTTP的应用相关。假设一个场景，用户登录到Google，然后打开一个新tab页面，访问Facebook，并开始Farmville应用。首先，搜索rules来检查用户是否可以访问HTTP服务，如果可以，Google页面被允许加载。然后当用户访问Facebook时，HTTP流量中的Facebook签名被检测到，因此触发Facebook策略检查，如果允许则加载Facebook的页面。当用户点击Farmville时，再对Farmville的策略进行检查，如果这次Farmville是被禁止的，那么，访问被禁止并记录日志。

当Facebook的访问开始时，一个字节计数器也开始工作。当用户关闭Facebook时，将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面，同样的，一条记录了Google页面总共使用的数据量的日志也自动生成。

上面这些都与具体的应用端口无关，当然，对于那些”正规”使用端口的传统协议的应用，你也可以指定端口。

• 策略对象

防火墙操作抽象对象，一个end-point对象可以这样表示：

一个32位掩码的主机地址
一个网络
一个命名对象
一个组成员
一个用户
一个或一组服务
一些应用

规则可以非常通用化，也可以比较特别。特别的规则优先。

• 网络地址转换(NAT)

NAT使用一个与流量策略相独立的单独的策略列表。

NAT的类型包括：

目的地址转换 - 用来允许外部用户访问使用似有IP的内部服务
源地址转换 - 用来允许内部私有IP用户访问外部公网

NAT策略与安全策略比较相似，有以下条目可供匹配：

源区域
目的区域
源地址
目的地址
服务类型

基于这些条目，你可以转换：

目的地址
源地址

当流量被日志记录时，它可能已经被NAT转换。日志为每个session会话记录了一个概要信息，点击”detail”图标(放大镜标志)可以查看很多的详细信息。

• 应用与应用控制中心(ACC)

Google搜索、Gmail、Gtalk、Google日历、Lotus Notes、Yahoo Messenger等等这些都是应用。其中某些使用80端口，某些使用其他端口，某些会自动搜索可用端口来使用。

应用控制中心(ACC)显示上一小时之内的应用、威胁、URL和数据过滤情况等等。ACC是防火墙日志的一个重要入口。

ACC为每个应用做出report。Facebook等应用是独立于WEB浏览器进程的独立应用。所有没有识别为专有应用的web流量被归纳为web流量统计报告中。

• 怎样识别一个应用？

四种方法：

协议解码
协议解密
应用签名
试探（Heuristic）

• 协议解码

HTTP报文之所以被识别为HTTP报文，是因为其中有特别的命令字，例如’GET’命令。然后，现实中存在协议嵌套(一个协议报文封装在另一个协议报文中)，协议解码就是负责实现识别被封装在其他报文中的协议。

• 协议解密

我们不希望病毒夹杂在加密的SSL报文中溜过防火墙，因此，Palo Alto防火墙允许一个中间人侦听SSL流。这个场景中，网络管理员允许防火墙作为一个合法的客户解密SSL流量并扫描被加密的内容。

• 应用签名

当一个特别的典型模型被识别为可独一无二的标识一种应用时，这个模型就是应用签名。
这些签名是一个社区驱动的数据库，(也许)客户可以申请在其中添加新的应用签名。

• 探索

有时没有特别的签名来标识一种数据流，这时，需要基于非特定模型及行为的最佳猜测(best-guess)，也就是”探索”(heuristitc)。例如，一个看起来像是包含了可执行程序的数据量，就有可能是windows的”.exe”文件。

• 模式转变

当用户点击页面改变其会话的特性时，将触发模式转变”mode shif”。例如，从静态web页面切换到视频流量或实时聊天。

未完待续 To be continued..

相关阅读:

1. 次世代防火墙具备六功能
2. 企业需要带有入侵防御系统及应用可见的下一代防火墙
3. 魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了

Palo Alto 下一代防火墙

近来，在防火墙市场上有一些新动向，这就是所谓的”下一代防火墙”。

多年来，我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中，但是，当所有这些功能都同时打开时，UTM设备的性能往往会出现严重的问题。最近一段时间，还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。

• 端口代表什么？

一个端口号码仅仅是服务器上一条服务连接的标识。一个服务器上可以有几千个这样的服务端口，0-1023这些端口我们称之为“知名端口”，通常提供一些常见的服务，例如我们熟知的80端口往往提供HTTP服务，我们的Internet世界的数据流量大多承载在80端口。但是现今有很多应用服务也在使用80端口(或者一些其他”知名端口”)，因为大多数防火墙都对80端口直接放行，这些应用可以顺畅地通过防火墙。一个典型的例子就是常见的BT应用以及聊天应用，他们都以80端口作为数据通道。

• 我们该如何应对？

Palo Alto防火墙不是一台UTM。Gartner称之为”下一代防火墙”。虽然它也像一台单独的IPS、反垃圾邮件、UTL过滤多功能设备一应运转，但是他们有两点主要的不同。

第一，所有这些功能特性可以同时打开而不影响设备的处理性能。它充分利用多线程技术和多核处理器性能同时对穿过防火墙的数据做各种检验处理和过滤操作。而传统的UTM设备先检查URL，再检查AV，，这样依次下去，这样，当各个特性都打开时，传统UTM的性能自然就会大幅下降。

第二点是Palo Alto防火墙与传统防火墙最显著的不同，Palo Alto防火墙首先基于应用签名过滤流量，而不是像传统防火墙那样仅仅基于端口号。也就是说，80端口和http流量不是直接相关的。任意端口上的web流量，无论它是聊天软件流量、文件传输流量或者bt及语音流量，都可以得到相应检查。端口号码并不是关键。

这是一个巨大的进步，传统防火墙并不能从web流量中区分出Farmville应用的流量(Farmville是一个来自Facebook网站提供的应用，它基于80端口，提供一些股票市场的信息)。而现在，你可以制定策略来允许web流量但是关闭Farmville应用。

• 一些Palo Alto防火墙的细节

接下来，你会发现一些Palo Alto防火墙的工作细节。这不是一个培训手册，也不是操作手册，更不是产品介绍和性能测试。我们的目的是揭示一些Palo Alto防火墙的独特特性。

注意：这些内容是基于PAN OS 3.0版软件系统的。3.1版本的一些新特性在这里有详细的介绍。

• 架构

Palo Alto防火墙有两个独立的处理器。一个负责设备管理，另一个负责网络数据流量的处理。两个处理器通过内部总线通信。

这种结构的优点是设备管理与网络流量的负载互相独立。

在Palo Alto的低端设备PA-500上，处理网络流量的处理器是一个独立的多核CPU，它的性能对于这种设备的吞吐量来说已经足够了。

而在支持更高吞吐量的设备上将有三个独立的专用处理器。其一是一个硬件加速网络处理器，其二，一个多核CPU与之相连处理SSL和IPSec流量，其三，就是flash-match引擎。

• Flash matching引擎

Flash matching引擎是一个硬件实现的专业正则表达式解析器-专为在数据流量中检查签名而设计。这个引擎实现的算法使得每个查询都在一定时间内完成。它的优点就是速度可预测而不是尽力而为的快。这意味着随机产生处理事件不会带来混乱。

通过细致的分类，数据流量的检查时间被尽可能地节省下来。例如，如果我们需要检查的是指一种影响ICQ聊天的病毒，那么，我们的检查就无需检查ICQ聊天应用的数据流之外的流量。

这种具有上下文意识的模型匹配使得flash match引擎更加高效。

• 流式处理

当设计一种过滤设备时，你可以选择抓取一次会话的全部数据，然后扫描并转发，也可以像处理流式数据一样扫描和转发。Palo Alto防火墙是一种流式处理设备。这意味着每个数据片被尽可能快的处理和转发，而且并不受数据量大小的限制。相反，传统方法需要抓取全部的数据流量之后（占用大量内存资源）再进行处理，之后转发，这种方案显然将受数据大小的限制，无法扫描大型文件。流量处理将带来转发的延迟，与那些抓取全部数据后检验和处理的设备相比，流式处理显然会更加快速。

在真实世界，往往是多条流量同时到达等待处理，Palo Alto防火墙最擅长处理这种情况。假设100个500M大小的文件的流量混杂在一起同时到达了防火墙的一个接口。流量处理器将把这一个检查过滤工作分为100个独立的分支任务并行处理完成。而传统防火墙面对这一情况时，不得不想尽办法怎么在有限的内存中分配空间来对付这些文件。

• 安全区域和接口

为什么那些对Facebook有不同防火墙策略需求的人都在一个子网上？当然，答案是“没有原因”。因此，我们没有理由根据IP地址来限制安全级别。

Palo Alto使用”安全区域”的概念。

（安全区域是一种逻辑区划概念，只有将之与接口绑定在一起才有实际意义。）

多个逻辑接口可以在同一个安全区域。
一个单独的物理接口仅可以有一个安全区域。
一个物理接口可以是一个L3接口，处理IP转发。
一个安全区域可以是一个L3区域，那么，它仅仅包含L3接口。
可以将两个物理接口直接连接作为一个”虚拟线路连接”插入网络（无需IP），检查通过的数据（无需路由）。这些”虚拟线路连接”可以是”虚拟线路区域”的一部分。
不可以将”虚拟线路区域”和”L3区域”。
第三种接口是”tap”接口。tap接口仅仅检测流量收集信息而不像虚拟线路连接和L3接口那样控制流量。
你可以对L3接口做NAT和路由处理。
所有一个虚拟路由器中的L3接口共享一个路由表。
每个L3接口有一个IP地址。
一个转发流量的接口需要一个IP地址，一个安全区域以及一个虚拟路由器。
一个虚拟路由器是一个被静态、动态路由信息驱动的实例。
动态路由来自RIP或者OSPF
可以为一个接口赋予DHCP服务器或者DHCP中继能力
可以创建静态ARP表项。
任何L3接口可以作为管理接口。
任意两个安全区域之间所有的流量流动都需要策略配置。

(Adreaman注:上面这段安全区划和接口的介绍感觉与下一代防火墙的特点并不相关，介绍了一些具体的配置细节，也没有展示出什么特别高级的设计，感觉和当前Juniper netscreen的一些设计思路非常近似）

To be continued 未完待续..

相关阅读:

1. 次世代防火墙具备六功能
2. 企业需要带有入侵防御系统及应用可见的下一代防火墙
3. 魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了

NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址，达到修改或隐藏某些网络应用的地址的目的的一种方案。

• Dynamic NAT

将报文的真实IP地址转换为预定义（地址池中）的映射IP地址，以达到在目的网络路由和隐藏真实地址的目的。只有来自真实地址一侧的报文才能建立这个转换连接。地址池中的地址可能少于需要转换的真实地址，一旦地址池中的地址用尽，Dynamic NAT就无法继续转换功能，此时可以配置后面介绍的PAT功能来完成（端口）地址转换。NAT将消耗一些目的网络的地址（就是地址池中那些），所以，如果目的网络的可路由地址有限，此方案难免捉襟见肘。

• Dynamic PAT

PAT功能将IP不同的报文的地址转换为一个同一IP的报文，但是IP不同的报文的端口号也将转换为互不相同。同Dynamic NAT一样，只有来自真实地址一侧的报文才能建立这个转换连接。PAT相对NAT节约了目的网络的IP地址（PAT甚至可以直接使用目的网络出接口的接口IP作为转换后的IP地址）。但是，PAT使得一些对端口号有特殊敏感需求的协议无法正常工作。

• Policy Dynamic NAT

当使用一般NAT时，所有匹配指定源地址的流将被该NAT规则转换，而策略Dynamic NAT不直接指定源地址，而是使用一个ACL匹配流量，则可以指定ACL策略（可指定源、目的地址和源、目的端口），匹配该ACL的流被指定的NAT转换。这样，就可以实现更高级和复杂的流量分类分别转换。例如，同样是来自A主机的IP，访问服务器X的流量会被某NAT规则转换，而访问服务器Y的流量会被另一条NAT规则转换。

• 思科Dynamic NAT(PAT)的配置实现

Dynamic NAT(PAT)的配置需要NAT命令和Global命令两条命令配置完成。NAT命令中指定入接口、nat_id和真实IP地址范围，Global命令指定出接口、nat_id和转换IP地址范围（或单个IP做PAT）。转换时，先在匹配NAT配置中的入接口和真实IP，再根据转发策略（路由等）确定出接口，然后在Global配置中匹配出接口和nat_id，如果找到，则根据找到的global配置来转换。如果既找到了NAT也找到了PAT，优先使用NAT。NAT命令的接口、nat_id和IP三元组标识一个NAT配置，可以重复配置NAT只要两个NAT的三元组不完全相同。同样的，Global可重复配置，只要两条Global的三元组不完全相同。例如，同样接口同样nat_id的Gloabl PAT可以配置多个，只要使用的转换IP不同（这样就可以突破单个ip的IP只有大约64000个的数目限制了）。
举例（动态策略NAT）：
access-list test-acl permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224
nat (inside) 1 access-list test-acl
global (outside) 1 209.165.202.129-209.165.202.155
举例（动态NAT）：
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 209.165.201.10-209.165.201.20
global (outside) 1 209.165.201.5

• Outside Dynamic NAT (bidirectional NAT) 外部NAT转换或称双向NAT

如果在某些网络应用拓扑中，需要NAT命令指定的接口的安全级别比对应（与之匹配）的Global命令指定的接口安全级别低，则需在配置NAT命令时，添加outside参数。这叫做outside NAT（外部NAT），或bidirectional NAT（双向NAT）。

• static NAT （静态NAT）

动态NAT使用一组映射地址（地址池）动态地为真实地址做映射转换，与动态NAT不同，静态NAT是一种固定从真实地址到映射地址的转换。而且，静态NAT允许目的网络的主机发起连接的建立（当然，前提是从非安全网络到安全网络的流量还需acl的允许）。

• 思科static Policy NAT（策略静态NAT）的配置实现

配置一条ACL（使用access-list命令），这条ACL的作用是制定匹配的流量，如果流量是从真实接口侧向转换地址侧的，则流量的源地址匹配这条acl命令中的第一个地址，目的地址匹配acl命令中的第二个地址，反之，如果流量是从转换接口侧的网络到真实接口侧的网络，则流量的目的地址匹配这条acl命令中的第一个地址，源地址匹配acl命令中的第二个地址。然后，在一个static命令中指定这个acl。例如：
access-list test-acl extended ip host 10.1.1.1 209.165.200.224 255.255.255.224
static (inside,outside)  192.168.1.1 access-list test-acl
这两条命令就形成了一个policy static NAT，这个static命令指定inside接口所在网络为真实接口网络，ouside接口网络为转换目的网络，转换后的映射地址使用192.168.1.1。当流量从inside网络流向outside网络时，如果流量的源地址为10.1.1.1，目的地址为209.165.200.224(掩码255.255.255.224)，则匹配了这个static命令的策略acl，就使用static命令指定的映射地址192.168.1.1修改源地址，将流量的源IP从10.1.1.1改为192.168.1.1；如果流量是从outside网络流向inside网络，且流量的目的IP为192.168.1.1，源地址匹配209.165.200.224(掩码255.255.255.224)，则将流量的目的IP从192.168.1.1转换为10.1.1.1。

• 思科static NAT的配置实现

举例：
static (inside,outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.5
当流量从inside网络流向outside网络，且流量的源地址为10.1.1.3，则将流量的的源地址转换为209.165.201.12；如果流量从outside网络流向inside网络，如果流量的目的地址匹配209.165.201.12，则将流量的目的地址转换为10.1.1.3。
特别注意：static NAT命令指定的掩码是同时指定真实网络地址和映射网络地址的掩码，例如：
static (inside,dms) 10.1.1.0 10.1.2.0 netmask 255.255.255.0
这里24位掩码是说inside接口的10.1.2.0/24网络和outside接口的10.1.1.0/24网络的地址一一对应转换。

因为静态NAT本身就可以支持两侧网络都可以发起连接的建立，所以，static NAT就不需要向outside Dynamic NAT那样的外部NAT（或双向NAT）了，已经天然支持了。

• 思科static policy PAT的配置实现

举例说明：
access-list test-acl permit tcp host 10.1.1.15 eq telnet 10.1.3.0 255.255.255.0
static (inside,outside) tcp 10.1.2.14 telnet access-list test-acl
上面两条命令描述了一个这一的PAT转换：从inside流向outside的，来自真实地址10.1.1.15主机端口23(telnet)且去往10.1.3.0/24网络的流量转换为来自10.1.2.14:23的流量，将outside网络流向inside网络的，且来自10.1.3.0/24网络的，去往10.1.2.14:23端口的流量转换为真实地址10.1.1.15的端口23(telnet)的流量。

• 思科static PAT的配置实现

举例说明：
static (inside,outside) tcp 10.1.2.45 80 10.1.1.6 8080 netmask 255.255.255.255
从inside网络流向outside网络的来自10.1.1.6:8080的流量，转换为来自10.1.2.45:80的流量；来自outside的去往10.1.2.45:80的流量，转换为去往10.1.1.6:8080的流量。

• NAT的匹配顺序

1、NAT Exemption
2、Static NAT(PAT) 包括策略static
3、策略Dynamic NAT(PAT)
4、Dynamic NAT(PAT)
注意：上述前三条是按照配置顺序逐个尝试匹配，而第四条动态NAT的匹配，是根据最长掩码匹配的原则来匹配的。

• NAT Control

一般情况下，如果没有NAT规则匹配，报文被直接转发，并不进行NAT转换，但是，当配置了NAT Control时：
1、从高安全级别的网络到低安全级别的网络的报文，必须匹配NAT后才能通过，如果没有匹配的NAT，则被丢弃
2、从低优先级网络到高优先级网络，或者同级网络之间，如果网络间未配置任何NAT，则报文可正常通过，如果网络间配置了NAT，则报文必须匹配NAT后经NAT转换后才可通过，否则被丢弃。
上述描述仅限Dynamic NAT，NAT Control并不影响Static NAT的原有行为。

在NAT Control下，对流量增加了安全限制，但是，在某些网络应用中，我们需要“稍微突破”一下这种限制，有以下三种方法：

• 三种bypass方法

1、Identify NAT (NAT 0命令): Identify NAT实际是一种特殊的Dynamic NAT，即一条不进行地址转换的NAT表项（无需global命令与之对应）。nat_id必须为0。有了它，流量就突破了NAT Control的无NAT不转发的封锁。由于Identify NAT(等价NAT)并不指定出接口，所以， 所有来自Identify NAT指定网络（经由此接口进入）的流量，无论转发到哪个网络，都不会进行NAT转换，这一点无法进行高级配置，这是Identify NAT的一个弱点。
2、Static Identify NAT: 静态等价NAT，实际就是真实地址和转换地址相同的静态NAT，如果是静态策略等价NAT，则acl中的主机地址必须和转换地址（也就是真实地址）相同，。相比Identify NAT，它既可以指定目的网络（出接口），又可以使用策略ACL匹配流量进行分流匹配。
3、NAT Exemption: NAT豁免，看起来就是Identify NAT（等价NAT）加了一个ACL匹配，但实际上，除了它们都不能指定目的接口这个相同点外，二者有如下几处不同：
1、Identify NAT只能内向外建立连接，而NAT Exemption可以双向建立连接
2、可以用ACL策略匹配流量（但是ACL的源目的端口参数失效）
3、NAT Exemption不支持MAX Tcp连接数等连接参数的设置

好了，NAT的一些基本概念就是这些，但是在具体的配置中还可能有很多特殊的场景和特别的处理，如果有任何问题，欢迎与adreaman(adreaman.hans#gmail.com)交流，也欢迎你为本文留下评论。

相关阅读:

1. 思科ASA防火墙filter命令配置与功能介绍
2. 配置思科防火墙介绍内部NAT与外部NAT
3. 魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了

根据 Gartner Inc. 研究副总裁 Greg Young 的观点，现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此，他将公司定位为2010年魔术象限中网络防火墙的领导者。

那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺，这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能，Young 说道。

“用户需求现在已超出供应商研发水平几年了，”他说。“存在的共同问题是创新不足…… 客户一直在说，‘快点！我们急需这个功能！’而防火墙供应商太过于关注对手而不是[创新]。”

根据Palo Alto产品销售主管 Chris King 的观点，在企业中使用 Web 2.0 应用和社交网络 ——以及针对这些应用的安全威胁——已经转变了传统的防火墙概念。Palo Alto在今年发布了它的第一个魔术象限产品，它被称为是主导了一场“迫使市场领导者应对的市场破坏。”

“防火墙的原始设计是，‘如果我能控制端口，我就能控制应用，’”King 说。“但现实情况是，每一个应用都能使用任何端口，而现在端口控制基本上没有意义了。如果您关掉 80 端口，那么您就关闭了您的业务 …… [所以]防火墙的确必须更智能。”

期望今天出现更真实的下一代防火墙

网络人员可以期望在今年看到更好的智能防火墙产品，Young 说。这意味着：

没有单独的 IPS —— 一个真正的下一代防火墙除了基本的防火墙功能，还将拥有“整合的高质量 IPS”，而不是将 IPS 作为一个单独的设备。

智能决策 —— 一个智能防火墙将以“将信息集中到防火墙中以便执行更佳决策”的方式工作，Young 说。“例如，如果一个 IP 地址只传输恶意软件 …… 那么为什么防火墙还要接收这个只发送攻击的位置的流量呢？”

不只是端口控制 —— 以前的防火墙是基于目标地址、IP 地址和端口号来应用策略的。下一代防火墙将分析每个 HTTP 和 HTTPS 请求，Young 说。

进入 7 层协议 —— 一个智能防火墙将在应用层评估流量，他说。“不仅仅是接管它们，还要能够标识应用：它是 Webmail？还是 P2P？还是 Salesforce.com？然后可以对应应用策略，而且还不仅仅是阻挡/允许两种操作。”

“防火墙市场的确需要苏醒，”Young 说。“当我看到围绕 IPS 这些市场增长成十亿级时，当我每天听到企业无法在供应商的解决方案找到他们需要的产品时……我认为情况要发生变化了。而我们最终也开始看到一些高质量的下一代防火墙产品的出现。”

发展智能防火墙的一些障碍

虽然他们不会无动于衷，但是现在的供应商想要改变并不是简单的事，他们已经在用户培训、支持团队和渠道伙伴方面投入很长的时间和很多的资金。可以肯定的是，魔术象限将唤醒大大小小在企业智能防火墙产品中碌碌无为的防火墙厂商 —— 包括 Check Point Software Technologies、Cisco Systems、Fortinet 等等。

“当您谈论防火墙分类流量的方法时，这就是关键。这是防火墙的灵魂，”King 说。“要改变它——就像洗脑一样。”

IT部门也需要改变，Young 说。即使他们相信防火墙方面还没有令人信服的下一代防火墙网络，然而继续不断地改进而不是等待“老旧的防火墙退市”是更保险的做法，他说。

Ed Garcia是位于San Francisco公共关系机构 Horn Group 的 IT 主管，他期望在明年更换新的防火墙，他坚持SonicWALL的“完美的” PRO 系列产品已经很多年了，但是他热切期盼更容易管理的下一代防火墙。

“我对有更多智能功能的防火墙感兴趣，但是[它们必须]能够[在]成本、性能和可用性上实现平衡，”Garcia 说。“较小的公司无法在所有位置都安排 IT 专家，所以我们通常都是多面手。我们需要能够[自己]实地工作的系统——只需要最少的管理。”

“这就是更加智能的体现，也是能够帮助现有的正在使用的安全系统的方面，”他补充说。“它的确不是[要]替换其它系统，但是新产品将获得更大的价值。”

智能防火墙产品出现

根据Juniper的高端安全系统业务部门的高级产品销售经理Don Meyer的介绍， Juniper Networks在市场上长期处于领先位置，在六年前就开始听到许多关于下一代防火墙的讨论，并因此研发了一个综合的 IPS。

“现在[企业]有着更多的要求。的确，我们能够过滤掉一些威胁，但实际上，我们想要在网关上实现更多智能，”Meyer说。“使用通用端口和协议的应用真的正在飞速增长。”

在2008年9月，Juniper提出了它的SRX系列产品——一组共八个分部和数据中心网关实现大量的综合特性，运行在它的Junos操作系统上。抛弃它的原有平台ScreenOS是它向下一代防火墙迈出的一大步，Young和flawless的共同创建人 John Pescatore 指出。

ScreenOS是针对防火墙创建的，所以设计上并不支持更多功能的整合，Meyer 说。Junos使用多线程切换不同的原生应用，如在 2009 年末发布的AppSecure服务套件，以将动态和更细粒度的策略附加到不同的网站应用、用户组、一天的不同时间和其它参数上，他说。

“当然，不是每个人都需要这么强大的产品，”Young 说。“您必须知道，‘IT对于我的业务有多重要？’而[这个问题的回答]对于每一个人都是不一样的。可以肯定的是，对于一个在线娱乐公司和一个制造公司—— 将得到非常不同的答复。”

作者：Jessica Scarpati   译者：曾少宁，陈柳   来源：TechTarget中国
英文原稿 http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci1507673,00.html

相关阅读:

1. 次世代防火墙具备六功能
2. 企业需要带有入侵防御系统及应用可见的下一代防火墙
3. 下一代防火墙 - Gartner报告

许多厂商和分析师谈论的下一代防火墙，设备都集成了传统防火墙性能以及其他网络安全性能，特别是应用层入侵防御系统（IPS）功能。

在最近的研究报告中，Gartner的分析师John Pescatore和Greg Young估计，目前所有企业互联网连接中的1%是被下一代防火墙保护。他们认为，到2014年，这个比例将上升到35%，其中所有新防火墙销售的60%都会是下一代产品。

定义下一代防火墙

许多厂商吹嘘他们的防火墙是下一代产品，但并不是所有的下一代防火墙都是一样的。该技术的定义有所不同，但大多数专家认为，在一个单一的设备中，多个网络安全功能的深层整合是必要的。

Forrester Research的高级分析师John Kindervag说，他将下一代防火墙视为统一威胁管理（UTM）。

下一代防火墙是网关设备，在决定是否允许通过一个端口时，它查看的不仅仅是第三层结构的包。它关注第三层至第七层并获取应用层可以理解的数据包，这使得它能够做出许多更复杂的决定。把这个决定做成功的关键是在于查看数据包一次，而不是将它从一个设备的功能传递到另一个。

“许多产品必须在防火墙打开数据包。如果数据包允许，它将重组包并将其传递到IPS，那么它的查看是在第七层而不是第三层，”Kindervag说。 “所有这些我们遇到的技术问题中，下一代防火墙模糊了UTM、防火墙和IPS之间的区别。它可以在一个简单的CPU，在一个时钟周期，单一路径或流内完成，所以有较低的时延。这具有成本效益，并且可能会逐渐取代多台设备。它拥有应用意识和用户身份意识，因此它可以提供更多的威胁信息预报。”

下一代防火墙可以整合网络安全操作

网络安全设备整合是John Shaffer决定从Juniper网络防火墙变更为Palo Alto网络防火墙的重要因素。Greenhill和Company合资财务咨询公司的全球系统和技术总监Shaffer说，他一向喜欢Juniper的防火墙，因为他们的易用性和VPN功能。但是，Juniper吹捧的作为下一代的IPS功能对他来说还不够稳固。

“我一直在寻找来自不同厂商的不同工具以对付恶意软件和间谍程序，这可能是拥有针对他们特定模块的任何供应商，”Shaffer说。“Tipping Point有它的模块，Blue Coat有它的模块。所以你需要拥有所有这些不同的模块并分开管理。这会变得有一些复杂。我们所关注的是能够阻止邮件。如何阻止它，从遵守的角度，还是从进入公司的角度？标准防火墙不这样做，因此你需要些别的东西。”

“为像我们一样拥有相当小的IT部门【少于10名工作人员】，找一个可以将那些功能整合到一个单一单元的供应商，实在是很大的问题，”Shaffer继续说，“因为有大量的工作需要保持这些东西工作和稳定。”

他决定在他的网络部署Palo Alto公司的防火墙，因为该公司提供IPS功能和应用可见性。他说，其实市场上也存在一些独立的IPS模块，他们可能会有比Palo Alto防火墙更好的性能，但是这些模块可能不会被充分利用，因为他的资源有限。一个IT管理员分别管理防火墙，网页过滤网关和IPS模块，就不会有足够时间优化这三个模块，但他能最有效的利用Palo Alto的IPS功能，因为在一个模块中管理IPS和基本防火墙会更容易。

“Palo Alto的应用可见性给你提供了更加深入的了解，有关什么在运行和哪种类型的应用程序在运行，”Shaffer说。“但是你不能100%保证你不会使其它的东西通过。如果你有旅游的人，你就不能保证人们不会从外网获得一些东西，然后将其带入（公司网络）。我想要不断尽最大可能的阻止更多威胁，但我认为这很微妙。如果你阻止过多，那你需要工作的事情可能就会被阻止。”

Kindervag说Plao Alto是市场上比较成功的下一代防火墙供应商之一，因为他的启动产品是相对较新。作为一个新的供应商意味着他不会有很多的遗留代码需要处理。它的硬件和软件是专为下一代功能打造。更多老牌厂商需要处理旧的代码库和旧的硬件架构，而且他们也不会从头开始研究新产品。

提防下一代防火墙噱头

一些较为传统的防火墙厂商正在逐步走向下一代设备，Kindervag说。

“Juniper网络公司，通过移动到JunOS，将有机会创造一些有意义的变化，”他说。“我不知道他们是否仍旧这样做。他们从ScreenOS到JunOS的过渡……尚未完成。”

在此期间，企业应当警惕厂商声称他们是生产下一代防火墙。每个人都有自己的定义，企业可能会发现他们的标准超过了一些供应商的。

“我认为目前很难通过市场炒作来降低影响，”Kindervag说。“你需要关注以下事情：查看硬件架构。转到下面的发动机罩，问是否有足够快的处理器来几乎实时处理这些所有通过第七层的数据包？因为我们不想让延迟来破坏应用程序，如VoIP。”

如果一个防火墙供应商使用的是传统服务器风格的硬件，他们拥有通用处理器，企业应该怀疑供应商能否得到所需的计算能力以查看来自多个层次的数据包，并执行所需的分析来完成企业寻找的所有下一代功能。

“另一件你需要关注的事是软件有多简练，”Kindervag说。“如果很难配置并难以管理，而且似乎是旧式产品，那它很有可能就是旧的。如果你需要做除了屏幕上命令行之外的很多事情，它很有可能是相当麻烦的旧代码，因为不会有人再创建这种接口的代码了。”

作者：Shamus McGillicuddy   译者：王波   来源：TechTarget中国
英文原稿 http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci1372865,00.html

相关阅读:

1. 魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了
2. 次世代防火墙具备六功能
3. 下一代防火墙 - Gartner报告

最近几年，传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。

首先，随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。如何“看清”应用中的内容并进行防御，这是对防火墙提出了新要求。其次，网络正在从千兆走向万兆甚至10万兆，网络带宽增长迅速，防火墙应有足够的性能和扩展性来应对这种变化。再次，随着远程办公的快速增长，要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，尤其重要的是能够识别加密过的数据。

显然，和其他网络设备一样，防火墙必须随需而变，升级到下一代防火墙，才能在变革的大潮中焕发新的生命力。

越“跑”越快

随着互联网的蓬勃发展，网络流量大幅提升，要求下一代防火墙必须具备更高性能、更低时延。Hillstone山石网科(以下简称山石网科)产品经理张龙勇向记者介绍，该公司的防火墙采用多核Plus G2架构和新一代的全并行流检测引擎技术，在同档的硬件配置下有多达5倍的性能提升。防火墙最高可达20万每秒新建连接、20Gbps吞吐量和1000万并发会话。

SonicWALL的下一代防火墙技术Project SuperMassive也采用大规模多核架构，运行于SonicWALL的多刀片机架之上。96核和384核的产品实施原型已经在Interop大会上展出。

SonicWALL首席技术官兼工程副总裁John Gmuender说：“面对不断增加的带宽速度以及互联网威胁的数量、频率及复杂性的不断上升，我们知道Project SuperMassive技术平台需要具备大规模的可扩展性。通过采用Cavium的卓越芯片技术，该平台可扩展到1024个核。同时，经安全与漏洞检测领先公司IXIA验证，其性能超过了40 Gbps。”

随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。

华为赛门铁克的高端安全网关设备则采用“NP +多核+分布式”架构，具备优异的防火墙性能，最多可支持8个业务处理模块，整机吞吐量可达到80Gbps，每秒新建连接数为160万，最大并发连接数为3200万。此外该系列产品还具备完善的VPN性能，目前业务处理模块并发隧道数量为4万，整机最高支持32万。

“性能与业务复杂度天生就是一对矛盾体，在一些要求较高的应用场合，就算是多核系统平台也很难做到功能、性能两全。”网御神州防火墙负责人王刚说。为了解决这个问题，网御神州的新一代防火墙基于“为多核加速”的设计理念，在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术。一方面，可编程ASIC加速引擎的引入，彻底解决了传统多核架构在网络层处理性能上的不足，尤其是“小包”处理性能的不足，可以达到64字节小包8G线速的处理性能; 另一方面，多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承;而多核负载均衡技术，解决了传统多核架构下由于没有高效的调度技术导致多核的并行处理效能无法得到充分释放的难题。多核负载均衡技术能够将需要应用层处理的流量按照比例分配到不同的CPU核上，最大程度地做到了多核间的并行处理， 大幅提升了设备的应用层处理性能，IPS吞吐可以轻松超过双向1Gbps线速。

看透应用

传统防火墙能够很好地防范网络层攻击。但是，随着富媒体应用的爆炸性增长，以及Web 2.0应用快速向业务环境渗透，隐藏在应用层中的恶意威胁越来越多，用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

Check Point的工程师向记者介绍，Check Point防火墙软件刀片采用智能检查技术—INSPECT，将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议，可以方便地扩展支持新的应用程序和应用协议。

随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。

在深度应用安全方面，山石网科的防火墙可对P2P、IM、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种，而且随着应用的发展每天都在增加。应用特征库可独立升级，不影响系统的稳定性。而且，其采用交叉检测技术，不仅对协议进行深度的分析，还通过综合分析用户状态、应用状态和行为状态，来确认协议的真正含义，实现更精准和更快速的定位。

当前Web 2.0 应用使企业面临着新的威胁以及与应用检测和控制相关的策略与法规遵从问题。在迈克菲的新一代防火墙解决方案—McAfee Firewall Enterprise第八版中，迈克菲扩展了防火墙现有的应用保护功能，能够帮助安全管理员发现和识别数千种应用并执行相应的安全策略，传统的防火墙技术无法做到这一点。通过集成迈克菲基于云的实时全球威胁智能感知系统，迈克菲防火墙还可提供更详细的内、外部威胁和漏洞信息，降低法规遵从和运营成本。

SonicWALL的“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制。通过持续地运用和更新2700多个独特的应用签名，应用智能可以根据应用标识、用户/群组标识及内容标识来识别和控制流量，并通过建立针对进入和外出带宽管理的政策(不是简单的‘阻止/允许’方案)来管理流量。另外，与其他只提供应用控制的方案不同，Project SuperMassive将应用智能与入侵防御及恶意软件拦截组件集成到了下一代防火墙中，形成了一个功能强大的网络安全平台。

现在，企业的数据中心普遍采用了虚拟化技术，但是，伴随虚拟化技术而来的，还有其本身的安全隐患。安全厂商已经着手解决虚拟化的安全问题，例如迈克菲的防火墙现在既可用于传统设备，也可用于新的虚拟化硬件设备，甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境以及引入新的虚拟环境时，充分利用虚拟化技术来降低成本，提高灵活性，而不必担心安全性。

随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。

从“云”中获取能量

绿盟产品市场部崔云鹏曾向记者表示，云安全是利用云计算的技术，在分布式计算的基础上，部署中心服务器或者安全系统，并利用互联网，将各个安全节点纳入到云安全中心系统中。在这个体系中，各个节点将会有效地利用云安全供应商提供的强有力服务和安全能力，实现原先单一节点不可能实现的安全防护机制。

目前，应用威胁的数量众多，快速多变。传统安全设备的处理机制已经无能为力。因此，新一代防火墙需要引入云安全，利用云计算加强和加速防御，这是解决当前安全需要快速反应的重要手段。

思科的防火墙已经率先进入“云”时代，思科将其称为云火墙。思科安全产品事业部技术专家郭庆向记者介绍，云火墙具备4大特征，包括：防僵尸网络/木马，防止网络内部主机感染;云检测—全球IPS联动;云接入—SSL VPN; 云监控—唯一支持Netflow的防火墙，实现了NOC和SOC二合一。云火墙的“大脑”是SensorBase。SensorBase提供全球安全威胁实时视图和电子邮件的“信用报告服务”，还能敏感监控僵尸网络的动态。SensorBase所更新的信息同步到所有云火墙。各种安全信息不但可以从 SensorBase传到云火墙，还可以从云火墙传到SensorBase，云火墙中的IPS可以在第一时间把攻击同步给 SensorBase，SensorBase再同步给其他云火墙。

迈克菲的防火墙解决方案中同样使用了云安全—全球信誉技术，包括基于信誉的拦截和地理位置功能，可以在不需要的流量到达网络之前将其过滤，也就是在攻击发生之前将其阻止。

下一代防火墙的几个特征

防火墙一方面可以阻止来自互联网的对受保护网络的未授权访问，另一方面允许内部网络用户对互联网进行访问。

回顾发展历程，防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。状态检测防火墙实现了对数据包连接状态的监控，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息，来监控基于连接的应用层协议。然而，它只能粗粒度地识别来自应用层的攻击行为，也无法针对数据内容做检查。

用户对防火墙提出了更高的要求。下一代防火墙不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略，具备出色的可视化性能和控制能力，可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容，并进行相应的控制。

要做到应用的可视化，下一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流，在多核的基础上，各家厂商还设计了“NP +多核+分布式”、“多核+ASIC”等架构。

当云计算成为无法阻挡的趋势时，防火墙也将借助云的力量变得更强大、更智能，部分国外厂商已经推出了采用此类技术的防火墙。

虚拟化技术是对防火墙的更大挑战，在如何保护虚拟环境的安全性方面，少数防火墙厂商已经提出了解决方案，我们希望能有更多的解决方案出现。

转载自网络

相关阅读:

1. 下一代防火墙 - Gartner报告
2. 次世代防火墙具备六功能
3. 看防火墙进化，论次世代防火墙技术

这让人不禁开始想探究，到底什么样的设备，才能被称为NGFW？而NGFW又会替企业的网络架构带来什么样的改变？目前NGFW还没有一个肯定的定义，但是对于企业来说，很多现有产品和研究报告所归纳出来的线索，或许已经可以提供给企业使用者在选购符合未来需求的设备时，一条明路。

NGFW没有统一定义，但功能已有明确方向

虽然目前NGFW还没有一个统一的定义，不过很多功能已经是众所公认为NGFW应该要具备的功能。其中最重要的，就是NGFW必须要有能力辨识应用层，看到不同应用程序的流量；在这之后，还必须要能够针对不同应用内细部的不同功能，做到管控的能力。举例来说，可以把Skype的文件传输功能关闭，但保留其他的功能。

或许透过不同研究机构的报告，可以更贴切的描述NGFW该具备的功能。2009年10月，调查机构Gartner推出了一份名为”Defining the Next Generation Firewall”报告，里面对于他们心目中的次世代防火墙，就提供了几个应该具备功能的定义。Gartner列出的几点NGFW该具备的功能如下：能够做为封包检测或安全政策执行的据点；并且拥有传统防火墙的功能，如NAT、封包过滤、VPN、传输协定检测等。除此之外，NGFW还需要具备有IDP的功能，并且有能力和防火墙的功能互相沟通，必要时可以透过防火墙阻断危险的流量。

在这些功能之外，Gartner在报告中也特别提到了应用程序流量辨识的能力，并且把这项能力视为NGFW的重点之一。也就是说，NGFW必须提供可视度（Visibility），不光是像过去的防火墙一样，只是透过特徵和连接池的号码来管控流量，还必须有能力看得懂第七层应用层，辨识流经的不同流量，分别属于哪些应用、哪些人使用、透过什么装置使用等信息。

因此，该份报告中还指出，NGFW必须有能力取得其他设备提供的信息，进而透过这些信息达到阻断恶意流量的效果。举例来说，NGFW可能要能够和身分辨识的AD架构、RADIUS等设备沟通，取得使用者身分的信息，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，并且能够快速的辨识出使用者位在何方。

最后，报告中谈到，NGFW还必须具备客制化扩充的能力，如此一来，在面对新威胁时，才能快速的反应。Gartner这份报告，排除了传统 UTM和中小企业，并且也不列入DLP（Data Leakage Prevention）、Web安全闸道器、信息安全闸道器等功能，报告中认为，这些功能都不算是NGFW需要必备的功能。

不过另一个安全训练与研究机构SANS（SysAdmin、Audit、Network、Security）协会，所定义的NGFW，则又是另一番面貌。SANS在2009年2月发表了一份探讨NGFW功能的报告，在其中指出，NGFW应该是除了具备传统防火墙功能外，还能提供包括基础 DLP、NAC（Network Access Control）、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。

SANS还在该份报告中指出，现有市面号称为NGFW的产品，在DLP、NAC、SSL Proxy这三项功能的提供上比较欠缺，未来NGFW的发展，应该要往增加这些功能的方向前进。

同时，报告中也指出NGFW所能带来的优势与可能面临的挑战。首先，由于NGFW能够整合了多种不同功能在单一设备上，于是部分对于时效性要求特别高的功能，如IPS与防火墙的联防，就能更有效率，也比较不会有互通上的难度。举例来说，当网站过滤的功能侦测到有使用者连上恶意的网站，就能快速的透过防火墙阻断连线，或是导引到其他地方。报告中也指出，这一点优势是十分重要的能力，因为根据研究，当使用者连上恶意位址而感染了恶意程序后，一般来说网络上的安全设备，如IDP等，要发现这项威胁，往往都在感染已经发生了数天或数月之后，无法防范于未然。此外，这样的做法也可以省下多数设备的投资，提供企业经济上的效益；并且管理和控管上也更为简便。

不过SANS的报告中也明白的指出，反过来看，这会让企业的网络安全防护更容易倾向只依赖少数的厂商，因为功能都整合到单一设备上，有可能会是一个隐忧。另外就是效能的问题，要提供这么多功能，效能很有可能会是瓶颈。SANS的报告中并没有排除DLP功能和UTM设备，从这一点来看，该份报告所描述的功能细节比起Gartner更为详细，但相对的包含的功能也比较发散。

更灵活的架构与扩充性，也将成为重点

由上述两份针对NGFW所做的报告内容，应该已经可以掌握NGFW大概的方向。不过毕竟这些报告主要针对的还是网络上单点设备的描述，事实上，随着虚拟化技术的发展，网络安全的需求已经越来越需要从网络架构的整体面来考量。因此，我们还可以再进一步归纳出报告中没有谈到的重点，那就是灵活的架构与扩充性。

更灵活的架构除了前述报告中谈到的客制化能力，还有一点很重要的就是硬件资源透过虚拟化技术进行分配的能力。举例来说，NGFW很有可能有能力可以将多台防火墙串连虚拟为单一的防火墙设备，或是将单台防火墙虚拟为多台小型的防火墙，达到分开处理流量的效果。而同时这些虚拟技术，都将让NGFW 在分配硬件资源上更灵活，而不再受限于实体的限制。目前已经有不少网络安全设备厂商，已经在往这个方面发展，或是已经有类似的功能，如Juniper、 Fortinet等。

而为了达到更灵活分配硬件资源的目标，NGFW其实还有一个发展趋势很值得注意，那就是软、硬件功能脐带割离的趋势。未来的NGFW，功能将不会再受到硬件的限制，取而代之的，将会逐渐转向以”空白的硬件”的方式，让设备的扩充性更佳。

接下来我们将列出NGFW应具备的6项重要功能，这些功能都是透过归纳市面上的产品现状，辅以各家调查机构所列出重点的整理而成。 Gartner在报告中，建议企业现在在选择防火墙这样的设备时，已经可以逐渐往NGFW的功能考量。而整理出的这6项功能，也同样希望能够提供读者对 NGFW这个概念有一定的认识。
【转载自：eNet硅谷动力专稿】

相关阅读:

1. 下一代防火墙 - Gartner报告
2. 次世代防火墙具备六功能
3. 企业需要带有入侵防御系统及应用可见的下一代防火墙

功能1：具备应用程序流量识别能力，进而强化管理

传统的防火墙，是依照封包的来源、连接池等网络层第三、第四层的信息，进行封包过滤，像水闸门一样，减少网络被恶意程序攻击的可能性，但是次世代防火墙必须做到更多。

首先，次世代防火墙（Next Generation Firewall，NGFW）要有能力看懂第七层应用层的流量，识别不同的应用程序流量，而且还要再更进一步，还能够识别使用者的身分、装置等信息。也就是说，NGFW必须提供比传统防火墙更好的可视性，如此一来面对许多新型态的攻击，如僵尸网络等，才能有能力反应。

事实上目前市面上不少提供防火墙功能的安全厂商，已经具备有这样的能力。举例来说，Palo Alto的防火墙，就是以这一点为号召。Palo Alto亚太区业务副总林本国表示，现在Palo Alto有能力识别900多种不同的应用，并且能透过图像化分析每种应用流量的使用者使用时间、占用频宽等信息，也能进一步看到每个使用者连线的状况与报表，并且透过政策控管流量的通过。而以人为基础的报表，则能协助企业在发生问题时快速找到问题的症结点。

除了Palo Alto外，如Juniper等厂商，也能透过IDP模组的功能看到类似的信息，再辅以与身分识别的AD架构、RADIUS等服务器的沟通，就能做到辨识使用者与应用流量的功能。

这项功能之所以对于次世代防火墙来说非常重要，主要的原因除了先前谈到可以协助快速找出问题外，还有一个重点，就是只有透过提供这种可视性，才能协助企业在NGFW上，做到基础的网络存取控管（Network Access Control，NAC）功能。这将能协助企业在安全政策和阻挡大规模感染上更有效率，有能力将感染限制在一定区域。

而且不仅于此，事实上NGFW应该还要能够更进一步的能够针对特定应用的特定功能去管控，举例来说，在Gartner的报告中就写到，可以针对Skype这种应用，只关闭档案传输的功能，类似这样的能力才能算是做到对应用程序识别管理的能力。这样的功能，现在也已经有部分产品可以达成。

提供可视性，进而透过这样的深层封包检测能力去管理流量，是次世代防火墙和传统防火墙最大的不同。可以预见的，未来会有越来越多提供防火墙功能的设备商，往这个方向前进。例如Check Point在2009年就并购了一家名为FaceTime的厂商，根据Check Point台湾区技术顾问陈建宏的说法，这次并购就是为了让Check Point的设备，在未来能提供应用程序识别的能力。

功能2：软、硬件将逐渐不被绑死，能更弹性调配

次世代防火墙其实还有一个很重要的特性，就在于能够提供更弹性和灵活的架构。而软、硬件功能的脐带被分割，就是其灵活特性所展现出来的一个重点。

有别于过去的防火墙产品，买了硬件，软件的功能就固定无法变动，NGFW将能够松动这一环羁绊。NGFW为了更灵活的调配硬件资源，将会走向软件功能与硬件分开来运作的道路，这样一来，在扩充硬件时，就不会有过去受到局限的问题，购买的就单纯是硬件资源，而软件功能则直接做在原有设备上。

举例来说，使用者如果要增加防火墙的硬件效能，就购买硬件的模组即可，每个模组并不是单独的防火墙，而是可以分配给不同功能的硬件资源。所以购买进来的硬件模组，比如说有4个处理器的话，也可以把这4个处理器的运算资源分配给NGFW的其他功能。同样的，软件的功能也能依照使用的需求增加或减少，而不会因为购买了特定硬件，就必须使用特定软件的功能，例如购买防火墙模组的插板，该模组就只能当防火墙用。

Juniper香港／台湾区技术总监游源滨表示，这样的灵活架构设计，将能够减少传统防火墙所面临的模组负载平衡等问题，并且打破硬件模组就是相当于独立设备的局限，减少很多使用上的麻烦。事实上，现在包括Juniper、思科的产品，都已经在往这个方向前进。例如Juniper的SRX，以及思科的ISG R2，都推出了单纯的硬件模组支援扩充。而Fortinet台湾区技术顾问刘乙也指出，随着Fortinet设备虚拟化的技术发展，未来也很有可能会往这个方向前进。此外，Check Point现在也提供软件功能增减的能力，让使用者能够依据需求和硬件的效能状况，自由增减要执行的软件。

软、硬件功能的松绑，也有助于设备的虚拟化发展，无论是将多台设备虚拟为单台；或是将单台设备透过虚拟化切割成不同的小台防火墙，都能让NGFW具备更灵活与更弹性资源分配能力。而这样的能力，对于之後将要谈到未来支援云端架构的需求来说，十分的重要。

功能3：必须要有能力提供客制化的功能，对新的威胁快速反应

和先前谈到的概念类似，NGFW之所以要在架构上变得更灵活，其实很大的因素就是要让使用者能够更快的面对新的威胁。

传统购买安全设备，能提供的功能就是厂商宣称的那些，未来如果有新功能推出，如果不是能够模组化抽换的设备，可能就必须重新购买才能使用到新功能。此外，当企业遇到一些独特的需求时，由厂商协助提供客制化过滤器或功能的可能性也非常低，或者是难度非常高。

不过，未来的NGFW，在这一点上将会有所改变。首先，正如先前谈到，由于已经可以打破软、硬件绑死的局限，NGFW在提供客制化功能或过滤器等能力时，将会相对比较容易。不过Check Point台湾区技术顾问陈建宏指出，虽然如此，但是要企业自己有办法写出过滤器或是新增一些专属的功能，企业往往也难以拥有这样的IT人才。在这样的状况下，未来NGFW应该是保留住提供升级新功能的弹性，让设备厂商有能力协助企业使用者建立这样的客制化功能。

目前很多厂商都已经开始提供这样的功能，前面提到的Palo Alto、Juniper、思科、Check Point等，其实都已经有不同的方案可以协助企业做到这一点，过滤器的客制化还较为容易，但功能的增加现在可能难度仍高。NGFW保留这样的能力是必需的，这将能有效的协助企业解决许多自己遭遇的独特状况，针对安全情况做出更快速的反应。
功能4：能够支援云端架构动态变化的需求

随着虚拟化和云端的大趋势开始起跑，其实次世代防火墙也必须要有能力支援未来这样的新架构。Juniper香港／台湾区技术总监游源滨表示，这代表NGFW在硬件功能上必须要能够有些新的变化，比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬件资源的分配等，都会是云端运算架构中需要面对的问题。

他接着指出，NGFW必须要有能力承受更高的每秒用户连线能力，而不光只是支援更高的同时在线人数。游源滨说：“光有很高的同时在线人数，就像你虽然有一个大水池，可是却只能让水慢慢的流进去，否则水池就会垮掉。”而在云端架构的基础下，企业根本没有办法限制用户的连线数。

除此之外，虚拟化的防护，也会是NGFW需要面对的重点问题，如何让防火墙能够与虚拟层沟通，进而能够针对每一台虚拟机器的流量做扫描与阻挡，而不会将之视为单一的实件服务器，这会是NGFW必须拥有的能力。事实上，现在虚拟化平台厂商如VMware，就有VMsafe这样的合作计划，让资讯安全设备能够透过与虚拟层的沟通，做到前述的能力。

其他诸如横向扩充与硬件资源灵活分配的能力，我们已经在功能2谈过，就现在来看，NGFW在这一块技术的发展，将会以自身设备的虚拟化来达成。设备的虚拟化，将让NGFW的硬件资源，能够依照不同功能负载量的状况动态分配，这也能够满足云端的需求，例如防火墙需要更多的硬件资源，就分更多给这项功能；QoS需要更多的硬件资源，就分享更多的资源给它。这和传统模组各自独立，硬件资源无法共用的状况完全不同，也会是NGFW的一个重要特色。

目前像是Juniper SRX的作法，就是以单台虚拟为多台，让设备的硬件资源能够灵活分配的作法，减少管理难度与扩充的问题。而据了解，未来Fortinet很有可能推出的作法，则将会是以多台设备虚拟为一台的方式，来达到类似的效果，降低横向扩充的难度。

Fortinet台湾区技术顾问刘乙认为，支援云端架构，将会是NGFW的一个重要功能特色。而只有更灵活与更弹性的设计，搭配设备本身虚拟化的技术，才有可能达成这一点。事实上，思科的ISR G2，虽然主要还是以路由器为主要功能，但根据台湾思科业务开发经理张志渊的说法，未来也会提供原本Iron Port的许多功能，强化其安全上的能力。而其新设计的硬件模组概念，就是要符合NGFW更灵活与更弹性架构的想法。

功能5：能与不同装置共同联防

谈到安全设备间的联防，很多人的直觉是想到类似NAC的架构，甚至在贩售产品的经销商，都有人有这种想法，然后因为NAC不容易实现，赚不了钱，所以避而不谈区域联防这种概念。不过事实上，这是以偏概全的想法，区域联防并不是这么一回事。

NAC只是安全设备联防的一种形式而已，而NGFW概念中的区域联防，则又是另一种形式的想法。我们甚至可以这么说，NGFW必须要具备与其他安全设备沟通的能力，这才是未来发展合理的走向。在现在的网络架构上，就算你拥有一台宛如超级英雄般的无敌安全设备，也不能确保企业的网络架构能够安全无虞，因为不可能所有的流量，都流经单台设备。

在这样的状况下，NGFW势必必须拥有与其他设备的联防的能力，举例来说，若能与其他设备，或自己设备中的网站过滤功能沟通，那么当使用者连结上到含有恶意连结的网站，或者是违反企业安全政策的网站时，NGFW就能扮演阻断流量的角色，把威胁的可能性在发生前就截断，防患于未然。

其他诸如IDP等功能，如果能与NGFW互通，也同样能够发挥类似的效果。目前来看，市面上有能力做到这样联防的设备还不多，多数还以拥有众多产品线的大型公司为主，如Juniper。而NGFW也能透过与其他设备的互通，做到部份NAC的功能。如与和身分辨识的AD架构、RADIUS等设备沟通，取得使用者身分的资讯，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，并且能够快速的辨识出使用者位在何方。

总而言之，在威胁日益增多的现在，过去单一设备铜墙铁壁的想法已经行不通了，也因此我们在思考NGFW这样的概念时，不能落入这样的陷阱。这也是为什么与其他设备联防，会被视作NGFW重要能力的原因。

功能6：整合更多强化的功能

前面的几个必备功能，我们比较着重在整件架构面的观察。而NGFW其实还有一个能力不能不提，那就是必需整合更多强化的功能。

过去UTM这样类型的安全设备，由于硬件技术的不足，当功能全开的时候，往往会有效能大幅降低的状况发生。不过随着硬件技术的发展，处理器现在运算能力甚至不会比不可程序化的ASIC差到哪里去，这也使得单一安全设备整合多功能的可行性越来越高。而NGFW也因此可以预见，未来一定能够整合更多传统防火墙所没有的功能。

我们拿安全训练与研究机构SANS（SysAdmin、Audit、Network、Security）协会，所定义的NGFW来看，就会发现NGFW除了该具备传统防火墙功能外，还必须要能提供包括基础DLP、NAC（Network Access Control）、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。

不但拥有更多功能，NGFW的功能也还要更为深入，例如NGFW的IDP功能，应该要能够透过不同技术辨识流量，如Header- based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的过滤器。而在防蠕虫的功能上，则必须做到减轻试图直接瘫痪攻击的影响程度，以及不让蠕虫的扩散。并且要有能力针对电子邮件去设定阻挡政策。此外，还必须要拥有部份路由和交换等功能，QoS能力也应该要具备，并且要能够和辨识不同应用程序流量的功能结合，针对不同的流量做出不同管理。
【转发自：eNet硅谷动力】

相关阅读:

1. 魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了
2. 企业需要带有入侵防御系统及应用可见的下一代防火墙
3. 下一代防火墙 - Gartner报告

不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0)，正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall，简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

• 一、什么是NGFW?

对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊性了。

Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：

1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。

3．支持新信息馈送和新技术集成的升级路径来应对未来的威胁。

举个例子，NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制，只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信，而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现，这意味着有许多NGFW可以识别和阻止不受欢迎的应用，即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为，消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。

• 二、什么不是NGFW?

现在有一些与NGFW相近，但不相同的基于网络的安全产品领域：

1．中小企业多功能防火墙或UTM设备：这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能，但它们不提供应用意识功能，而且不是集成的、单引擎产品。它们适合于在分支办事机构中节省费用，适用于较小的公司，但它们不能满足大型企业的需要。这类产品包括与低质量IPS搭配的第一代防火墙，其深度检查和应用控制特性，只不过同时出现在一台设备中，而不是紧密的集成。

2．基于网络的数据丢失防御(DLP)设备：这类设备执行对网络传输流的深度包检查，但将重点放在检测以前识别的数据类型是否经过检查点。它们在执行数据安全政策时没有实时要求，不能执行线速网络安全政策。

3．安全Web网关(SWG)：这类设备侧重于通过集成的URL过滤和Web杀毒，执行出站的用户访问控制和进站的恶意软件防御。它们侧重于在“使用任意协议的任意源到任意目的地”基础上，执行以用户为中心的Web安全政策，而不是网络安全政策。

4．消息安全网关：这类设备重点放在执行容忍延时的出站内容政策和执行入站防垃圾邮件和防恶意软件上，它们不执行线速网络安全政策。

尽管这些产品可能基于网络并使用类似的技术，但它们执行属于企业内不同运营部门的责任和权力的安全政策。Gartner认为，在IT和安全组织责任从根本上改变之前，这些领域不会融合在一起。

NGFW也不是“身份防火墙”，不是一种基于身份的访问控制机制。在多数环境中，网络安全部门没有在应用层上执行基于用户的访问控制政策的责任和权力。Gartner认为，NGFW将能够通过部门级合并身份信息来做出更好的网络安全决定，但它们一般将不用于执行细粒度的用户级执行决定。

• 三、NGFW将逐渐成功

目前，有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商，以及一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境，以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格，提供包含第一代防火墙和IPS特性的NGFW。

目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。

英文原文下载gartner-ngfw-research-note1

（转发自：计算机世界）

相关阅读:

1. 次世代防火墙具备六功能
2. 企业需要带有入侵防御系统及应用可见的下一代防火墙
3. 魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了

Google之所以选择香港域名继续服务，我理解为Google和中国ZF的推手和挑逗，是Google向中国ZF打出的又一张牌。

相关阅读:

1. Google退出中国市场事件对中国网民的影响

MacOS的PC破解版本对硬件较为挑剔，我们需要克服自己遇到的各种独特问题才能安装成功，看来，这需要一点运气。如果碰巧你和写安装教程的人的硬件相似，那成功的可能就会更大。

没办法，只好暂时放弃，本来还想试试iPhone软件开发的。

安装期间重点参考的帖子：
http://bbs.weiphone.com/read-htm-tid-517742.html

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

Failover是思科PIX防火墙的一种双机热备机制，用于在PIX发生软、硬件故障之后将用户业务快速倒换到备用机，并且由于备用机实时备份了系统的当前配置、TCP连接表等状态信息，所以进行倒换动作时用户不会感知到此次故障。PIX的面板上有指示灯表示当前本机处于主机状态还是备机状态。

二、应用场景描述：

两台PIX防火墙，同型号、同软件版本（PIX6.2以上）。
这两台PIX的inside口连接在一个交换机SwitchA上处于一个二层LAN，同样的，这两台PIX的outside口也连接在一个交换机SwitchB处于一个二层LAN中。SwitchA联通内网，SwitchB联通外网。两台PIX一台为主用状态一台为备用状态，主用状态的配置、TCP连接等信息将实时的备份到备用PIX上，一旦主用机发生软硬件故障，则自动切换到备用状态，原备用机升为主用状态，继续服务。

搭建Failover场景的两台PIX防火墙之间需要两条链接，一条叫做“Failover链接”，一条叫做“状态(state)链接”:

1、“Failover链接”用于在两台PIX之间传递主备协商消息和配置同步。可以用专用的failover串口线路来作为这个Failover链接，也可以用以太网连接作为Failover链接，前者叫做基于串口电缆的Failover（cable-base-failover），后者叫做基于LAN的Failover（LAN-based failover）。

A) 基于串口电缆的Failover：如果两台PIX的物理距离在6英尺以内，建议使用这种方式。这种专用的RS-232电缆一头标注着Primary，一头标注着Secondary，这样通过连接方式天然指定了哪台PIX作为主用设备。

B) 基于LAN的Failover：使用Ethernet链路作为Failover的链接，这个Ethernet接口就不能再同时用于其他用途。它的好处在于可以支持两台相距较远的PIX，并且配置的同步更快。

2、“状态链接”用于在两台PIX之间传递TCP链接状态等系统实时状态信息。状态链接仅支持用Ethernet链接。虽然这条状态链接也可以同时使用刚才介绍的基于LAN的Failover链接，但是建议为状态链接和基于LAN的Failover链接各准备一条各自专用的Ethernet链路。

三、配置实例：

实例一：使用基于串口电缆的Failover配置方案
1、用Failover串口电缆链接两台PIX设备，标有Primary的一端将作为Primary设备。（以下配置都在Primary设备上进行，Secondary设备无需配置）
2、选中一个Ethernet口作为“状态链接”的链路接口。假设选择了并nameif命名为state-if。
3、为接口配置IP。ip address state-if 192.168.2.1 255.255.255.0
4、配置接口的Failover IP。当本设备切换为备用机时，该接口将使用这个地址。此处无需配置子网掩码，但是必须与第3步配置的IP在同一网段。
5、明确指定这个接口为Failover使用的“状态链接”接口。failover link state-if 。 此处这个state-if就是我们之前命名的接口名称。
6、指定failover查询时间间隔。 failover pool 10  此处10表示查询间隔设置为10秒。可以配置3-15中任意的数值，不配置的话默认为15秒。
7、使能Failover。  命令为就是全局模式的failover。
8、启动备用机。
9、write memory。 这样，主备机分别将配置存储在Flash卡中。

实例二：使用基于LAN的Failover配置方案（基于LAN的Failover配置需要在主备机分别配置）
主机配置：
1、配置“Failover链接”
1.1 选中一个Ethernet口作为“Failover链接”的链路接口。假设将这个接口nameif命名为failover-if。
1.2 配置这个Failover链路接口的IP。注意，这个接口地址将一直使用在这台设备上，即使它切换为备用机时。
2、配置“状态链接”
2.1 选中一个Ethernet口作为“状态链接”的链路接口。假设将这个接口nameif命名为state-if。
2.2 为这个state-if配置IP地址
3、为接口设置Failover IP。当本设备切换为备用机时，该接口将使用这个地址。此处无需配置子网掩码，但是必须与接口的主IP在同一网段。注意：Failover链路的接口IP不会在倒换后发生切换，即无论怎样倒换，两台PIX的Failover接口的IP将一直保持两机备份系统初始时的值。
4、指定“状态链路”接口。failover link state-if
5、指定failover查询时间间隔。
6、指定本机为Primary设备（首次启动后作为主设备）。
7、指定“Failover链路”的接口。failover lan interface failover-if
8、指定failover通信的加密密钥。failover lan key string。其中string为密钥字符串。如果不配置本命令，将明文传输。
9、使能“基于LAN的Failover”。 failover lan enable。 不配置本命令时，即为默认的使用“基于串口电缆的Failover”。
10、使能Failover。 命令：failover。
11、保存配置  write memory。
备机配置：（相对主机的配置来说，备机只需要配置failover链路的相关配置）
1、选中作为failover链路的接口，并配置IP和nameif。假设nameif为failover-if
2、配置failover IP。 failover ip address failover-if 192.168.2.2 255.255.255.0
3、配置本机为Secondary设备。本配置不配也可，因为默认即为Secondary设备。
4、指定Failover链路接口。 failover lan interface failover-if。此处failover-if就是我们前面选定的接口的名称。
5、配置Failover链路传输的加密密钥。failover lan key string  此处string就是加密密钥字符串。此处务必使用和Primary设备相同的加密密钥。
6、使能Failover链路。 failover lan enabel
7、保存配置  write memory  保存前面配置的一些无法从主机获取的配置
8、使能failover
9、保存配置   write memory

四、其他命令

1、强制切换：在主机运行no failover active；在备机运行failover active
2、关闭failover功能： 在主机运行no failover，如果使用了基于LAN的failover链路，还需要运行 no failover lan enable

相关阅读:

1. 思科防火墙(PIX6.3版本)的组播功能和配置介绍
2. 思科PIX防火墙VPDN拨号配置命令整理 (PIX6.3版本,包括PPPoE/L2TP/PPTP)
3. 思科交换机DHCP功能和使用简介

2、配置静态组播表项
mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
这两条命令都是配置静态组播表项的命令，区别在于第一个命令是为pim模式配置，第二条命令是为stub组播配置。本文不介绍pim模式，所以忽略第一条命令。
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]中，input_if_name为上游接口，output_if_name为下游接口，下游接口接收igmp报文，并向上游接口转发。注意到此处只指定了组播源地址，不能指定组播组地址。distance参数指定该路由的优先级，在pim选择rpf接口时会比较静态路由的distance和单播路由的distance来进行优选。

3、disable接口的igmp功能
[no] igmp    此命令在接口视图下
在全局打开组播开关后，igmp默认是在所有接口使能的，可以用这个命令关闭接口的igmp功能。

4、配置igmp静态表项（接口视图下）
igmp join-group group-address
igmp static-group group-address
这两个命令都可以生成一个igmp组表项，出接口为本接口视图的接口。这两个命令功能非常相似，差别对于一般应用可以忽略不计。如果非要说有什么差别的话，static-group这个命令是创建一个静态转发表项，目的仅仅是转发组播流量；而join-group这个命令是将本机加入组播组，本机可以处理组播流量。
在组播源处ping（组播ping）使用static-group命令创建的组播地址是无法ping通的，即组播数据到了ASA就直接转发并未进入协议处理栈；而ping使用join-group命令创建的组播地址可以ping通，也就是组播数据得到了ASA的协议处理和响应。其实差别在于思科的实现细节，还是那句话，对于一般的应用这两条命令是没有区别的。

5、配置接口的组播acl过滤
igmp access-group acl

6、配置接口上支持的最大组播组个数
[no] igmp limit [number]   默认值500

7、配置igmp query查询间隔
igmp query-interval seconds

8、配置igmp query查询相应时间
igmp query-max-response-time seconds

9、配置igmp querier查询器超时时间
[no] igmp query-timeout [seconds]
不知道思科出于什么考虑增加这个配置，因为在PIX6.3中查询器超时时间（也就是igmp协议中的Other Querier Present Interval）是符合rfc标准的计算方式：
((the Robustness Variable) 乘(the Query Interval)) 加 (Query Response Interval/2)。而思科增加的这个配置接口，允许用户配置这个超时值，违反了RFC标准。

10、配置igmp支持版本
igmp version {1 | 2}

11、配置igmp报文转发
[no] igmp forward interface if-name

11、clear和show命令
clear configure multicast-routing
clear igmp group [group | interface name]
clear configure mroute

下面这两个清除igmp计数的命令不知道有什么区别：
clear igmp counters [if_name]
clear igmp traffic

show igmp groups [[reserved | group] [if_name] [detail]] | summary]
show igmp interface [if_name]
show igmp traffic

两点主要区别：
1、PIX6.3是默认不使能igmp，逐个接口配置后才使能。ASA是打开组播开关后所有接口igmp都使能，可以逐个接口各个disable
2、ASA上mroute静态路由无法指定组播组，并增加了distance参数。

相关阅读:

1. 思科防火墙(PIX6.3版本)的组播功能和配置介绍
2. 一个简单的思科ASA防火墙LDAP认证的实例
3. 思科ASA系统MPF框架介绍(之一)

相关阅读:

1. 思科ASA防火墙8.2版本的组播(不含PIM)介绍
2. 思科PIX防火墙(6.3版本)的Failover双机热备功能及配置简介
3. 一个简单的思科ASA防火墙LDAP认证的实例

首先，让我们左手戴上红手套，右手戴上绿手套，占在镜子面前，看自己在镜子中的映像，会发现镜中人的左手是绿手套，而右手是红手套，这种情况就是“左右翻转”，是我们习以为常的。但是，我们为什么没有看到镜中人的头部朝下，脚部朝上呢？

实际上，我们身体的任何一个部分，对于镜面反射成像来说都不会有什么不同，镜面不会针对我们的头和脚做出不同于针对双手的特别反射。

那为什么镜子中的人像不是上下颠倒的呢？

让我们再做一个实验，甲以面朝镜面的姿势横躺在镜面前的地上，平张双臂，乙正常站立在他的身后，假设甲的头部在乙左手边，甲的脚部在乙的右手边，即乙的头部在甲的右手边，乙的脚部在甲的左手边。即甲头和乙左在一点，甲脚和乙右在一点，乙头和甲右在一点，乙脚和甲左在一点。假设二人都是左手红手套，右手绿手套。则现在甲的红手套在乙的脚部，甲的绿手套在乙的头部，乙的红手套在甲的头部，乙的绿手套在甲的脚部。

现在，甲看到镜中的自己自己左手绿手套，右手红手套，即左手和右手发生对调翻转。但是，乙看到镜中甲的红手套依然在乙的脚部，绿手套仍然在乙的头部，而乙自己的头部仍然向上，脚依然向下，并没有任何翻转变化，所以，乙认为甲的左手和右手没有发生对调。

为什么会发生这样矛盾的情况？仔细分析上面一段话，实际上甲是先站在镜中甲的角度，然后以镜中甲的方位分出了左右手，然后给出了绿在左手、红在右手的答案；而乙是先以乙的头部和脚部形状的不同（或头指向天空，脚指向大地）分出了上下方向，然后根据这个上下方向给出了绿在上，红在下的答案。

可以这样解释：“左右”是以人的主观为中心的相对概念，而“上下”是在宏观体系中的一种“绝对”概念。

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

注：本文并非个人真实配置步骤的记录，而是思科配置手册的分析和注释，旨在帮助我们理解一个整体的配置思路。

• 一、 PPPoE的配置

• 1.1 定义PPPoE服务VPDN组

vpdn group group_name request dialout pppoe

• 1.2 指定PPP认证使用的协议

vpdn group group_name ppp authentication {chap | mschap | pap} mschap只支持v1。

• 1.3 将PPPoE客户端用户名绑定到该VPDN组

vpdn group group_name localname username

• 1.4 为用户指定密码

vpdn username username password password [store-local]

• 1.5 接口使能PPPoE功能

接口视图下 ip address pppoe [setroute] 注：相对于PIX6.3，此命令已经转移到接口视图下，所以无需指定接口名作为参数。

• 1.6 为接口指定VPDN组

接口视图下 pppoe client vpdn group grpname 注：PIX6.3下没有这个命令，如果不用此命令指定VPDN group，将随机使用一个VPDN组。

• 1.7 启动PPPoE，但是由用户指定IP地址

接口视图下 ip address ipaddress mask pppoe 由用户指定地址和掩码

• 1.8 show命令。

“show ip address outside pppoe ” 文档没有详细介绍，模拟器有此命令。
show vpdn session [l2tp | pppoe] [id sess_id | packets | state | window]
show vpdn tunnel [l2tp | pppoe] [id tnl_id | packets | state | summary | transport] 命令可以显示拨号的session信息和tunnel信息，
模拟器可以help出一些show命令，应该都可以支持。
show vpdn group [group_name] 8.2文档未介绍，从PIX6.3继承而来
show vpdn username [user_name] 8.2文档未介绍，从PIX6.3继承而来

• 1.9 debug命令。

“[no] debug pppoe event | error | packet”

• 二、 L2TP的配置

• 2.1 在开始L2TP的配置之前，先要配置ipsec（此处省略了IPsec的许多细节配置）

crypto ipsec transform-set transform_name algorithm
Example:
hostname(config)# crypto ipsec transform-set sales_l2tp_transform esp-3des

• 2.2 设置ipsec为传输模式

crypto ipsec transform-set trans_name mode transport
Example:
hostname(config)# crypto ipsec transform-set trans_name mode transport

• 2.3 设置一个L2TP/IPsec的组策略

vpn-tunnel-protocol l2tp-ipsec
Example:
hostname(config)# group-policy sales_policy attributes
hostname(config-group-policy)# vpn-tunnel-protocol l2tp-ipsec

• 2.4 为组策略中的客户端设置DNS服务器地址（命令位于组策略视图下）

dns value [none | IP_primary [IP_secondary] （注：命令行手册和模拟器上此命令为dns-server {value ip_address [ip_address] | none}，应以命令行手册为准）
Example:
hostname(config)# group-policy sales_policy attributes
hostname(config-group-policy)# dns value 209.165.201.1 209.165.201.2

• 2.5 为组策略中的客户端设置WINS服务器地址（命令位于组策略视图下）

wins-server value [none | IP_primary [IP_secondary]]
Example:
hostname (config-group-policy)# wins-server value 209.165.201.3 209.165.201.4

• 2.6 创建Tunnel组

tunnel-group name type ipsec-ra
注：此命令中指定的”ipsec-ra”类型在8.2版本应该已经和webvpn类型一起统一为remote-access类型，但8.2的配置文档中仍然沿用了ipsec-ra类型做介绍，所以本文沿用，真正配置时请注意区别。
Example:
hostname(config)# tunnel-group sales_tunnel type ipsec-ra
可用的type如下：
ciscoasa(config)# tunnel-group 111 type ?

configure mode commands/options:
ipsec-l2l IPSec Site to Site group
ipsec-ra IPSec Remote Access group (DEPRECATED) 注：已废止，变为remote-access类型
remote-access Remote access (IPSec and WebVPN) group
webvpn WebVPN group (DEPRECATED) 注：已废止，变为remote-access类型

• 2.7 开始配置Tunnel group的通用（General）属性（即进入Tunnel Group 通用属性配置视图）
  hostname(config)# tunnel-group sales_tunnel general-attributes
  （只有用”tunnel-group name type”命令创建了某种Tunnel组之后，才可以为该组输入下列属性配置命令进入属性配置视图。）
  • 2.7.1 关联Tunnel组和策略组（在Tunnel组通用属性配置视图下）

  default-group-policy name
  Example:
  hostname(config-tunnel-general)# default-group-policy sales_policy

  • 2.7.2 设置Tunnel组的认证方式（在Tunnel组通用属性配置视图下）

  authentication-server-group [(interface_name)] server_group [LOCAL | NONE]
  server_group 为使用 “aaa-server” 命令创建的AAA服务器组。 LOCAL 表示当所有的服务器通信失败时，使用本地用户组。server_group 处可以直接使用LOCAL关键字 ，表示只使用本地用户库做验证。
  no authentication-server-group [(interface_name)] server_group 删除本Tunnel group的认证服务器组
  Example:
  hostname(config-tunnel-general)# authentication-server-group sales_server

  • 2.7.3 指定Tunnel组的记账方式（在Tunnel组通用属性配置视图下）

  accounting-server-group aaa_server_group server_group为使用 “aaa-server” 命令创建的AAA服务器组。
  同上面介绍的指定认证组，此处为Tunnel组指定记账（accounting）使用的AAA服务器。
  Example:
  hostname(config-tunnel-general)# accounting-server-group sales_aaa_server

  • 2.7.4 设置为Tunnel组的客户端分配IP地址的IP池 （在Tunnel组通用属性配置视图下）

  address-pool [(interface name)] address_pool1 [...address_pool6] address_poolx为使用”ip local pool”命令配置的地址范围
  注意：在Group-policy视图下配置的address-pool会覆盖此处配置的地址池。此处配置的地址池排列顺序就是分配时选取地址的顺序。
  Example:
  hostname(config-tunnel-general)# address-pool sales_addresses

下列其他的一些属性视图：
tunnel-group general-attributes (对于ipsec-l2l类型和remote-access类型可用)
tunnel-group ipsec-attributes (对于ipsec-l2l类型和remote-access类型可用)
tunnel-group webvpn-attributes (对于remote-access类型可用)
tunnel-group ppp-attributes (对于remote-access类型可用)

• 2.8 开始配置Tunnel group的PPP属性（即进入Tunnel Group 的PPP属性配置视图）
  • 2.8.1 配置PPP的认证属性

  authentication auth_type
  auth_type可选如下：（命令行索引中没有介绍chap，但是模拟器可配）
  chap Enable ppp authentication protocol CHAP
  eap-proxy Enable ppp authentication to be proxied to an EAP enabled RADIUS server
  ms-chap-v1 Enable ppp authentication protocol MS-CHAP version 1
  ms-chap-v2 Enable ppp authentication protocol MS-CHAP version 2
  pap Enable ppp authentication protocol PAP

tunnel-group name ppp-attributes
Example:
hostname(config)# tunnel-group name ppp-attributes

• 2.9 配置l2tp的Hello间隔

l2tp tunnel hello seconds 全局配置视图

• 2.10 配置NAT穿越

略

ASA相对于PIX增加了策略组(Group policy)和隧道组（Tunnel group）的概念，思科在ASA版本中增加了很多此类封装型的配置概念，例如MPF框架中的策略、分类和服务，是对一组配置的封装，封装为一个“模块”，供其他“应用者”Link引用，以减少相同配置的多次重复配置。

附：思科PIX6.x支持PPPoE(拨出)、PPTP/L2TP(拨入)，统称VPDN(虚拟私有拨号网)。在软件版本升级到7.0后(包括7.0至7.2三个版本)，这三个功能全部消失。在6.x至7.x这次升级中，思科大幅度的调整了命令行的结构和配置方式，全面向IOS路由器的命令行形式靠拢，例如在filter和inspect(fixup)范畴加入了MPF组织框架，在VPN范畴中增加了Group policy/Tunnel Group机制，这些配置方式的变化是革命性的和令初学者望而却步的，PIX/ASA的配置不再像6.x版本那样直白和平铺直叙，而是将基础配置进行抽象封装模块化，从此配置变得更加灵活、易于扩展，但组织起来稍显复杂，也易于出错。在7.3之后，PPPoE回到了版本中，并继续位于原来的vpdn命令行中，而L2TP则被嵌入ipsec VPN的体系之中，并仅支持L2TP over IPsec。

<完>

相关阅读:

1. 思科PIX防火墙VPDN拨号配置命令整理 (PIX6.3版本,包括PPPoE/L2TP/PPTP)
2. 思科ASA防火墙filter命令配置与功能介绍
3. 思科ASA系统MPF框架介绍(之一)

CA，是certification  authorities 的缩写，中文字面意思为“权威认证”，是一套管理认证请求和发放数字证书的机制，也可以引申为CA的实施机构或一台CA服务器。举例来说，一个“陌生人X先生”向CA申请自己的数字证书，CA在核实它的身份后为他发放了经该CA认证授权的数字证书。这个数字证书中包含了可以识别该用户（或设备或其他实体）的信息，例如它的姓名、设备串号、所属公司、IP地址等等。也就是说，一旦从“X先生”那里拿到CA给它发放的证书，你就可以知道“X先生”的信息并对这些信息坚信不移，当然前提是你绝对信任这家CA机构。

现实世界中的CA举例：VeriSign，这是一家著名的Internet在线CA服务提供商，在它那里申请的证书是受到世界的广泛认可和信赖的，当然申请者将为此付出美刀的代价，大概万元人民币/年。类似的CA服务商还有很多，国内也有，但是可信赖度和认证级别就有差异了。除了服务商之外，用户如果仅需要在一个较小的范围内行使CA认证功能，也可以自己假设私有的CA服务器，要求在一个自己划定的”特定信任区“内绝对信任该CA服务器即可。这类服务器，包括Entrust、Baltimore、Microsoft等公司提供的CA服务器和软件产品。

下面具体以一个较真实的场景介绍CA的应用过程。

Alice和Bob希望建立一次”安全“的聊天，所谓”安全“就是聊天内容不被别人看到，要达到这一目的，首先就要将聊天内容加密。

加密就要用到密钥（英文称为Key）。说到密钥，一类是对称式密钥，一类是非对称式密钥。对称密钥是指加密者使用密钥Key加密信息，解密者也使用这个密钥key解密信息。而非对称密钥是指，加密者使用密钥key1加密，而解密者使用密钥key2解密。

如果Alice和Bob要使用对称式密钥加密他们的聊天信息，则前提是两人都知道这个密钥，双方怎么约定这个密钥（更正式的说法叫做密钥的传递）是秘密能否保证的关键，因为一旦密钥在”传递“过程中被别人窃听、盗取，则使用密钥加密也就无异于掩耳盗铃了。Diffie-Hellman密钥交换技术为我们提供了一种很好的交换密钥的方法，这种方法使得我们可以”在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密钥“，也就是说，在一次公开场合的谈话中，Bob和Alice彼此互相知会了一些信息，利用这次交谈的信息，Bob和Alice都可以经过计算得到同一个信息，这个信息就可以作为密钥，而一旁偷听这次谈话的人无法计算到这个密钥信息。具体的算法就不在这里介绍了，维基百科中的介绍很具体很清楚。

而非对称加密则是这样的场景：Alice有一对密匙（两个），用一个密钥加密的信息可以（且仅可以）用另一个解密回来，同样的，Bob也有一套这样的密钥对。这样，Alice可以把自己的其中的一个密钥正大光明的告诉Bob，Bob也可以把自己的一个密钥告诉Alice，而根本不怕别人知道密钥的内容。因为在”安全“的聊天时，Alice把自己要说的话用Bob告诉自己的那个密钥加密后发给Bob，Bob收到后就可以用他自己未公开的那个密钥解密，同样的，Bob也可以把自己要说的话用Alice告诉自己的那个密钥加密后发给Alice，Alice收到后就可以用她自己未公开的那个密钥解密。RSA就是这样的一种非对称加密算法，具体RSA算法还是请你认真查看维基百科的RSA条目。

有了这样的对称密钥或非对称密钥，我们的秘密聊天计划是不是很完美呢？

很遗憾，回答是No！Alice和Bob还是很危险！

Alice在开心的用上面的方式和Bob交换密码时，有没有想过一个问题，那就是，对方是Bob吗，真的是吗？

如果一开始跟你协商密码的人就是FBI的特工，厄，那Alice可就危险了。。。

所以，我们前面说到，”所谓‘安全’就是聊天内容不被别人看到，首先的就要将聊天内容加密“，而接下来就是另一个重点，如何保证对方的身份，也就是”身份认证“。

Alice和Bob可以事先协商好”天王盖地虎“之类的口令来认证对方。就好像我们输入Login密码登录计算机一样，这种方式叫做预先共享认证，也就是我们彼此已经事先知道认证口令。这种方式就将安全建立在口未被盗取的前提下了，假如叛徒将Bob的口令泄露给了FBI，噢，可怜的Alice。。。

还好Alice还有别的办法。前面介绍的非对称加密算法在这里也有用武之地，Bob将自己的名字用自己未公开的那个密匙加密后发给Alice，然后Alice用Bob公开的那个密匙解密，解开后一开，是”Bob“。因为这个世界上只有Bob的那把私有密匙加密后的信息是可以用Bob的公开密匙解密的，而且Alice用这把公钥加密的信息只有Bob用他的私钥才能解开。也就是说，非对称加密算法中，用公钥加密用私钥解密就可以用来加密信息，而用私钥加密用公钥解密就可以认证对方是私钥的主人。所以，这下对方应该是Bob无疑了吧。

但是，有一个前提，那就是Alice用来解密的那把Bob公开密匙千真万确、实实在在的是”真正的Bob“拥有的那把。因为，截止目前为止，这把用来解密的公开密匙也是目前这个”Bob“给Alice的。怎么办？

一切的信任都必须建立在另一个信任之上，所以，我们只能”定义“一个可以绝对的信任”机构“，它将是世界上公认的最公正的”机构“，而且NB哄哄的FBI也无法干扰它的公正。这个”机构“会有一个普天皆知公钥，有一个只有它自己才知道的私钥，当它发布信息时用它的私钥加密，然后大家收到信息后如果可以用”普天皆知“的那把公钥解开，就可以信任这确实是该机构发布的信息。

这样，如果该”机构“可以证明Alice手中的那把Bob的公钥确实是Bob的，一切问题就都解决了。怎么证明，就是用我们一开始介绍的”证书“，这家机构的角色，就是CA。（终于绕回来了）

Alice、Bob以及同样需要”安全聊天“的千千万万的人，都向CA申请一个”证书“，证书中记录了自己的公钥，以及一个用这把公钥加密过的自己的信息（这些信息最好能唯一的和该用户关联起来，而CA必须严格保证”证书“中这些用户信息的可靠性），然后这些信息（也会加上一些CA的信息）由CA用CA自己的私钥加密，这样，一个”证书“就做好了。

这样，Alice和Bob的聊天，可以”安全“地开始了。

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

• 一、PPPoE的配置

• 1.1 定义一个PPPoE拨出服务的VPDN组

vpdn group <name> request dialout pppoe
其中 name为用户自定义的该VPDN组的名称标识，最大长度为63字节。

• 1.2 指定PPP认证方式

vpdn group <name> ppp authentication pap|chap|mschap
其中mschap仅支持1.0版本。PPP协商的认证阶段将使用此处指定的认证协议来进行认证。对于一个vpdn group，可以使用本命令配置多个认证协议，例如，可以依次指定pap、chap，或支持全部三种认证协议。

• 1.3 输入拨号用户的用户名

vpdn group group_name localname username
其中 username为发起拨号请求的用户名称，即拨入ISP的用户名。该配置的主要作用是将拨号用户与该VPDN组关联起来。

• 1.4 输入拨号用户名和密码

vpdn username username password pass [store-local]
其中username和pass即为用户名和密码。此命令的作用是为之前指定的用户设置密码。store-local选项的作用是将密码存储在NVRAM中，而不是存储在配置中。此store-local选项应该是仅为PPPoE使用，PPTP和L2TP不使用此参数。

• 1.5 重启PPPoE客户端服务。

ip address ifName pppoe [setroute]
仅支持在outside口启动。不支持和DHCP一起工作，因为PPPoE获取IP地址。setroute选项的作用是如果没有默认路由，则将根据拨入PPPoE服务器的地址创建默认路由。MTU将被自动设置为1492。

• 1.6 启用PPPoE客户端，但是不使用PPPoE服务器分配的IP地址，由用户指定IP和掩码。

ip address ifname ipaddress mask pppoe
ifname、ipaddress、mask为用户配置的参数。

• 1.7 show命令。

show ip address outside pppoe  文档没有详细介绍，思科PIX模拟器有此命令。
show vpdn tunnel [l2tp|pptp|pppoe] [id tnl_id | packets | state | summary | transport]
show vpdn session [l2tp|pptp|pppoe] [id sess_id | packets | state| window]
这两条命令可以显示拨号的session信息和tunnel信息，

• 1.8 debug命令。

“[no] debug pppoe event | error | packet”

• 6.1.9 DHCP相关命令

dhcpd auto_config [client_ifx_name]
令dhcp直接使用PPP协商的DNS、WINS信息。

• 二、L2TP的配置

• 2.1 首先需要将IPsec配置好，并将其配置为传输模式。

crypto ipsec transform-set trans_name mode transport
PIX仅作为LNS接受Windows的L2TP拨入，windows的IPsec使用传输模式。

• 2.2 接受所有的L2TP和Ipsec报文，这些报文不经过acl、conduit。

sysopt connection permit-ipsec
sysopt connection permit-l2tp

• 2.3 定义一个L2TP拨入服务的VPDN组。

vpdn group group_name accept dial-in l2tp

• 2.4 定义PPP使用的认证方式。

vpdn group group_name ppp authentication pap/chap/mschap
对于一个vpdn group，可以使用本命令配置多个认证协议，例如，可以依次指定pap、chap，或支持全部三种认证协议。

• 2.5 指定为PPP客户端分配地址的地址池范围。

vpdn group group_name client configuration address local address_pool_name
其中，”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask] ” 配置好的一个地址池的名称。

• 2.6 指定为PPP客户端分配DNS服务地址。

vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
最多可以同时配置两个。

• 2.7 指定为PPP客户端分配WINS服务器地址。

vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
最多可以同时配置两个。

• 2.8 指定客户认证方式。

vpdn group group_name client authentication aaa aaa_server_tag   指定为AAA服务器认证
or
vpdn group group_name client authentication local   指定为PIX本地认证
其中，aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器：
[no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
[no] aaa-server server_tag max-failed-attempts <number>
[no] aaa-server server_tag protocol auth_protocol

• 2.9 指定客户记账使用的AAA服务器

vpdn group group_name client accounting aaa_server_tag

• 2.10 指定为客户做本地认证时使用的用户名及密码

vpdn username username password password

• 2.11 指定L2TP的hello报文间隔时间

vpdn group_name l2tp tunnel hello hello timeout   默认间隔时间为60秒，范围10-300。

• 2.12 在接口上使能拨号

vpdn enable ifname    仅支持inbound连接。

• 三、PPTP的配置

• 3.1 接受所有的L2TP和Ipsec报文，这些报文不经过acl、conduit。

sysopt connection permit-pptp

• 3.2 定义一个PPTP拨入服务的VPDN组。

vpdn group group_name accept dial-in pptp

• 3.3 定义PPP使用的认证方式。

vpdn group group_name ppp authentication pap/chap/mschap
对于一个vpdn group，可以使用本命令配置多个认证协议，例如，可以依次指定pap、chap，或支持全部三种认证协议。

• 3.4 指定为PPP客户端分配地址的地址池范围。

vpdn group group_name client configuration address local address_pool_name
其中，”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask]“配置好的一个地址池的名称。

• 3.5 指定为PPP客户端分配的DNS服务地址。

vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
最多可以同时配置两个。

• 3.6 指定为PPP客户端分配WINS服务器地址。

vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
最多可以同时配置两个。

• 3.7 指定客户认证方式。

vpdn group group_name client authentication aaa aaa_server_tag   指定为AAA服务器认证
or
vpdn group group_name client authentication local   指定为PIX本地认证
其中，aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器：
[no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
[no] aaa-server server_tag max-failed-attempts <number>
[no] aaa-server server_tag protocol auth_protocol

• 3.8 指定客户记账使用的AAA服务器

vpdn group group_name client accounting aaa_server_tag

• 3.9 指定为客户做本地认证时使用的用户名及密码

vpdn username username password password

• 3.10 指定PPP使用微软MPPE加密

vpdn group group_name ppp encryption mppe {40 | 128| auto} [required]     required选项表示要求MPPE加密为必选步骤，如MPPE加密协商未成功则连接无法建立。

• 3.11 在接口上使能拨号

vpdn enable ifname    仅支持inbound连接。
配置PPTP的注意点：如果使用了MPPE加密，则必须使用MSCHAP认证。如果”vpdn group group_name client authentication”指定了AAA服务器方式认证，则必须使用支持MSCHAP_MPPE_KEY属性的RADIUS服务器做AAA认证。

思科PIX防火墙的VPDN配置就是以上这些内容，稍后会增加根据思科配置手册整理出来的ASA8.0版本的VPDN配置方法，与PIX有一定的变化，敬请期待。

相关阅读:

1. 思科ASA防火墙VPDN拨号配置命令整理 (ASA版本8.2,包括PPPoE/L2TP)
2. PPP,PPPoE,PPTP,L2TP-VPN简介（之四）- PPTP和L2TP简介
3. 思科防火墙(PIX6.3版本)的组播功能和配置介绍

NAT转换实例图

 
1、下面的命令为一个动态内部NAT转换：

global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0

当inside网络中10.100.1.0/24网段的主机向outside网络的主机发送IP报文时，源IP地址由10.100.1.0/24网段的IP变为209.165.202.140-209.165.202.141范围的某个IP，并为这次转换建立转换表。
当outside网络中有主机向209.165.202.140-209.165.202.141网段发送IP报文（即目的地址为209.165.202.140-209.165.202.141网段的IP地址）时（路由下一跳指向inside网络），则将查找到之前建立的转换表，并根据转换表将目的地址逆向转换为10.100.1/24中的某IP。

2、下面的命令为一个静态内部NAT转换：

static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0

当inside网络中IP为10.100.1.2的主机向outside网络的主机发送IP报文时，源IP地址由10.100.1.2变为209.165.202.135，并为这次转换建立转换表。
当outside网络中有主机向209.165.202.135这个地址发送IP报文（即目的地址为209.165.202.135）时（路由下一跳指向inside网络），则将查找到之前建立的转换表，并根据转换表将目的地址转换为10.100.1.2。

3、下面的命令为一个静态外部NAT转换：

static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0

当outside网络中IP为209.165.202.129的主机向inside网络的主机发送IP报文时，源IP地址由209.165.202.129变为10.100.1.3，并为这次转换建立转换表。
当inside网络中有主机向10.100.1.3这个地址发送IP报文（即目的地址为10.100.1.3）时（路由下一跳指向outside网络），则将查找到之前建立的转换表，并根据转换表将目的地址转换为209.165.202.129。
当然，对于外部NAT转换，要允许outside网络访问inside网络，还需要ACL允许，对于本例就是：

access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

如何区分一个NAT转换是内部转换还是外部转换？

对于动态NAT来说，nat命令中指定的接口的安全级别比global命令中指定的接口的安全级别高，即为内部NAT转换。global命令中指定的接口的安全级别比nat命令中指定的接口的安全级别高，即为外部NAT转换。

对于静态NAT来说，static命令关键字后面的小括号中，前面的接口安全级别比后面接口的安全级别高时，为一个静态内部NAT转换，当后面的接口安全级别比前面的接口的安全级别高时，为一个静态外部NAT转换。

内部转换是转换出站流量的源IP，转换入站流量的目的IP。外部转换正相反，是转换入站流量的源IP，转换出站流量的目的IP。内部NAT转换直接即可打通流量，而外部NAT由于安全级别的限制，必须先在外部接口上用ACL允许入站的外部流量。

相关阅读:

1. 思科NAT(PAT)转换的一些关键概念解析和实例
2. 思科交换机DHCP功能和使用简介
3. 一个简单的思科ASA防火墙LDAP认证的实例

通过电脑，我们要么是查看资讯，要么是游戏娱乐。现在网络资讯繁多，无论是新闻资讯还是娱乐方式都是前所未有的丰富，让人应接不暇。就拿今天为例，我的思维就通过电脑的浏览器，穿越网线电缆、无线电波就来了一次漫长的神游之旅。

最近因工作相关，需要补充一些VPN技术的知识，首先要研究一番的就是VPN的一种封装技术IPsec，而IPsec中密匙相关的IKE又是保证IPsec的安全核心技术点，要研究IKE就涉及到DES加密、RSA非对称加密、Deffi-Hellman公匙交换、CA认证等一系列密码学知识，翻阅加密技术资料时又会关联到一些解密技术，这一下又扯出了量子计算机（因为这是密匙破解的一个重要发展方向）。

当我查看量子计算机的维基百科时，发现两位维基编撰者为应该是“量子计算机”还是“量子电脑”争论不休，一说是量子电脑是台湾习语，一说是错误定义，不得不增加关于“电脑”和“计算机”的大陆、台湾说明，此间还有编撰者就是否应为台湾后加“地区”二字而修编文档，直看得我不由得对维基百科的管理者担忧，这种非常易于产生争议的有关政治、民族、宗教的百科条目，怎么才能保证条目解释的正确性、权威性以及稳定性啊！

所以，不由得又敲入了“台湾”来维基一把，重点关注编撰者对“台湾”这个条目的修改历史记录。修改次数果然很多，虽然并没有大规模的有政治倾向的语言暴力冲突，但是大家也是对一些个敏感引述、推论修改得不亦乐乎。总的来说，大家口头上还是标榜自己正在“尽力保持客观和中立”。看来大家都是合格的外交家。风起云涌的网络愤青以及我党宣传部门似乎还没有重点关注这里。

而我顺带着温习了一下有关台湾的历史人文。

暂时到此小结一下吧，这就是“宅男”的一次小小的思维之旅，肉身静坐的我思绪飘过何止千里万里，在上述“思”绸之路的每个节点上，我都尽量地穷究深考，确实也收获颇丰。

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

• 三、应用/Service(启用策略服务)

3.1定义应用服务
命令：service-policy policymap_name
视图：pmap-c视图
说明: 为本match匹配的流量启用policymap_name指定的策略。

3.2启动应用服务
命令：service-policy policymap_name  global | interface intf
视图：全局视图
说明: 为指定的接口启用policymap_name指定的策略。global表示为所有的接口启用该policy。

3.3默认策略介绍

默认策略，初始化配置下show service-policy可以看到系统的默认MPF策略：

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0
      Inspect: ftp, packet 0, drop 0, reset-drop 0
      Inspect: h323 h225 _default_h323_map, packet 0, drop 0, reset-drop 0
      Inspect: h323 ras _default_h323_map, packet 0, drop 0, reset-drop 0
      Inspect: netbios, packet 0, drop 0, reset-drop 0
      Inspect: rsh, packet 0, drop 0, reset-drop 0
      Inspect: rtsp, packet 0, drop 0, reset-drop 0
      Inspect: skinny , packet 0, drop 0, reset-drop 0
      Inspect: esmtp _default_esmtp_map, packet 0, drop 0, reset-drop 0
      Inspect: sqlnet, packet 0, drop 0, reset-drop 0
      Inspect: sunrpc, packet 0, drop 0, reset-drop 0
      Inspect: tftp, packet 0, drop 0, reset-drop 0
      Inspect: sip , packet 0, drop 0, reset-drop 0
      Inspect: xdmcp, packet 0, drop 0, reset-drop 0
     
说明：可见，系统的默认情况下，启用了一个名为global_policy的全局策略的应用，所有match了名为inspection_default这个class-map的流量将使用这个策略，这个策略的动作是上面列出的这些各协议的Inspect动作（下面就将详细介绍Inspect）。

3.4显示MPF配置信息
show service-policy命令可以显示系统当前的MPF策略。

Firewall# show service-policy
Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: dns maximum-length 512, packet 363, drop 0, reset-drop 0
      Inspect: ftp, packet 0, drop 0, reset-drop 0
      Inspect: h323 h225, packet 0, drop 0, reset-drop 0
      Inspect: h323 ras, packet 0, drop 0, reset-drop 0
      Inspect: rsh, packet 0, drop 0, reset-drop 0
      Inspect: rtsp, packet 26601, drop 0, reset-drop 0
      Inspect: esmtp, packet 1668, drop 0, reset-drop 0
      Inspect: sqlnet, packet 0, drop 0, reset-drop 0
      Inspect: skinny, packet 0, drop 0, reset-drop 0
      Inspect: sunrpc, packet 0, drop 0, reset-drop 0
      Inspect: xdmcp, packet 0, drop 0, reset-drop 0
      Inspect: sip, packet 0, drop 0, reset-drop 0
      Inspect: netbios, packet 0, drop 0, reset-drop 0
      Inspect: tftp, packet 0, drop 0, reset-drop 0
      Inspect: http, packet 36614, drop 0, reset-drop 0
      Inspect: icmp, packet 3911, drop 0, reset-drop 0
      Inspect: icmp error, packet 171, drop 0, reset-drop 0
    Class-map: asa_class_tftp
      Inspect: tftp, packet 0, drop 0, reset-drop 0
Interface outside:
  Service-policy: test-policy
    Class-map: test
      Inspect: http, packet 369, drop 0, reset-drop 0
      Priority:
        Interface outside: aggregate drop 0, aggregate transmit 0
Interface inside:
  Service-policy: PolicyA
    Class-map: http_class
      Inspect: http test_http, packet 99400, drop 41, reset-drop 0
    Class-map: ftp_class
      Inspect: ftp strict Filter_ftp, packet 696, drop 0, reset-drop 0
    Class-map: test
      Priority:
        Interface inside: aggregate drop 0, aggregate transmit 0
Firewall#
–

• 四、Inspection（ASA7.0版本之前的fixup）功能：

4.1概述：
Inspection涉及协议众多，但各协议都遵循统一的配置规则，本文仅就这些共性的配置规则做介绍，就不逐一针对各协议介绍其细节命令了，其实各协议的配置基本都是类似的。先举例几个Inspection的配置：
（各协议在FWSM、PIX和ASA系统下的详细命令索引参见Cisco.Press.Cisco.ASA.PIX.and.FWSM.Handbook.2nd.Edition.Aug.2007文档第490页的Table 7-7）
TFTP协议：
TFTP— Firewall(config-pmap-c)# inspect tftp
FWSM— Firewall(config-pmap-c)# inspect tftp
PIX—- Firewall(config)# fixup protocol tftp [port[-port]]
HTTP协议：
ASA —- Firewall(config-pmap-c)# inspect http [http_pmap_name]
FWSM—- Firewall(config-pmap-c)# inspect http [http_map_name]
PIX—– Firewall(config)# fixup protocol http [port[-port]
H.323协议：
ASA —- Firewall(config-pmap-c)# inspect h323 [h323_pmap_name]
FWSM—- Firewall(config-pmap-c)# inspect h323 {h225 [h225_map] | ras}
PIX—– Firewall(config)# fixup protocol h323 {h225 | ras}  port[-port]

我们可以看到，使能fixup时只有在PIX系统才指定协议的端口号，因为在PIX7.0系统中，还不存在MPF框架机制，配置在全局视图下进行，而在ASA和FWSM的MPF框架中，各Inspection（fixup）在定义之时已经在相应的策略和分类视图下（如上面的TFTP），有的协议还可以指定全局配置的策略视图（如上面的HTTP指定了名为http_pmap_name的策略，H323指定了名为h323_pmap_name的策略，这类协议的策略视图下面可以使用parameters命令配置一些高级参数，后面详细介绍），所以就无需在此再指定端口了，并且，MPF的策略和分类机制提供了更加复杂和灵活的流量分类方法。

4.2支持parameters命令配置inspection的协议
如上面介绍的HTTP或H323使能fixup时指定的策略那样，ASA系统对于某些协议的Inspection，除了可以match本视图相应的流量，还可以指定全局配置的pmap，这类视图的一个“高级”之处在于可以在视图下使用parameters命令进入“config-pmap-p”视图配置一些高级参数。

可以像下面这样查看哪些协议的Inspection(fixup)可以如此指定高级属性参数策略，它们都可以在全局配置视图下用policy-map type inspect创建策略视图：
ciscoasa(config)# policy-map type inspect ?

configure mode commands/options:
  dcerpc             Configure a policy-map of type DCERPC
  dns                Configure a policy-map of type DNS
  esmtp              Configure a policy-map of type ESMTP
  ftp                Configure a policy-map of type FTP
  gtp                Configure a policy-map of type GTP
  h323               Configure a policy-map of type H.323
  http               Configure a policy-map of type HTTP
  im                 Configure a policy-map of type IM
  ipsec-pass-thru    Configure a policy-map of type IPSEC-PASS-THRU
  mgcp               Configure a policy-map of type MGCP
  netbios            Configure a policy-map of type NETBIOS
  radius-accounting  Configure a policy-map of type Radius Accounting
  rtsp               Configure a policy-map of type RTSP
  sip                Configure a policy-map of type SIP
  skinny             Configure a policy-map of type Skinny

4.3支持class-map type inspect方式创建cmap的协议
对于某些协议，不使用我们上面介绍的传统的class-map方式创建cmap，而使用一种特殊的class-map type inspect方式（因为这些协议的cmap下需要有一些专有的选项配置）：
ciscoasa(config)# class-map type inspect  ?

configure mode commands/options:
  dns   Configure a class-map of type DNS
  ftp   Configure a class-map of type FTP
  h323  Configure a class-map of type H323
  http  Configure a class-map of type HTTP
  im    Configure a class-map of type IM
  rtsp  Configure a class-map of type RTSP
  sip   Configure a class-map of type SIP
 
4.4Inspection的一个例子
以一个ASA系统HTTP的Inspection实例的配置，对上面的Inspection介绍做一个回顾加深认识：
Firewall(config)# class-map type inspect http match-any MyHTTPClass_drop
【注： 可以看到，之所以使用class-map type inspect方式定义cmap，因为下面这类match是http专有的】
Firewall(config-cmap)# match req-resp-content-type mismatch  
Firewall(config-cmap)# match request uri length gt 1024
Firewall(config-cmap)# exit
Firewall(config)# class-map type inspect http match-any MyHTTPClass_log
Firewall(config-cmap)# match response body active-x
Firewall(config-cmap)# match response body java-applet
Firewall(config-cmap)# exit
!
Firewall(config)# policy-map type inspect http MyHTTPPolicy
【注：这种使用policy-map type inspect定义的pmap策略视图可以用parameter命令进入(config-pmap-p)视图，进而配置一些高级参数。】
Firewall(config-pmap)# parameters
Firewall(config-pmap-p)# body-match-maximum 1000
Firewall(config-pmap-p)# exit

Firewall(config-pmap)# class MyHTTPClass_drop
Firewall(config-pmap-c)# drop-connection
Firewall(config-pmap-c)# exit
Firewall(config-pmap)# class MyHTTPClass_log
Firewall(config-pmap-c)# log
Firewall(config-pmap-c)# exit
Firewall(config-pmap)# exit
!
Firewall(config)# policy-map MyPolicy
Firewall(config-pmap)# class class-default
Firewall(config-pmap-c)# inspect http MyHTTPPolicy
Firewall(config-pmap-c)# exit
Firewall(config-pmap)# exit
Firewall(config)# service-policy MyPolicy interface outside

注意：在FWSM和ASA的7.2之前的版本中，使用下面这种方式定义cmap
MGCP协议： Firewall(config)# mgcp-map mgcp_map_name
HTTP协议： Firewall(config)# http-map Filter_http
GTP协议：Firewall(config)# gtp-map gtp_map_name
ASA7.2版本中，基本上所有协议已经不使用这样的方式了（统一换成了上面介绍的MPF框架机制），但是，不包括SNMP，它仍然采用如下方式：
snmp举例：
Firewall(config)# snmp-map Filter_snmp
Firewall(config-snmp-map)# deny version 1
Firewall(config-snmp-map)# deny version 2
Firewall(config-snmp-map)# exit
!
Firewall(config)# class-map _MyClass
Firewall(config-cmap)# match any
Firewall(config-cmap)# exit
Firewall(config)# policy-map MyPolicy
Firewall(config-pmap)# class MyClass
Firewall(config-pmap-c)# inspect snmp Filter_snmp
Firewall(config-pmap-c)# exit
Firewall(config-pmap)# exit
Firewall(config)# service-policy MyPolicy interface outside

<完>

仓促之间查阅资料和思科设备完成此文，如有不足不正之处，还请高人指点斧正，Adreaman感激不尽。

相关阅读:

1. 思科ASA系统MPF框架介绍(之一)
2. 思科ASA防火墙filter命令配置与功能介绍
3. 一个简单的思科ASA防火墙LDAP认证的实例

• 一、分类/class(匹配L3/L4流量)

1.1创建class

命令 ：class-map cmap名称
视图：全局配置视图下
说明： 定义class map。cmap名称长度在40字符以下，输入此命令后将进入config-cmap视图，即进入此L3/L4流量cmap的配置视图。

命令： rename cmap新名称
视图： cmap视图下
说明： 给cmap改名

命令： description text
视图： cmap视图下
说明： 给cmap增加描述说明文字（200字符以下）

(除了Match一个VPN Tunnel组和Match一个默认流量(default-inspection-traffic)之外(这两种分类在后面会介绍)，一个cmap只能match一条匹配规则)

1.2匹配端口

命令： match port {tcp | udp} {eq port | range start end}
视图： cmap视图
说明： 根据port范围定义match规则对流量分类匹配。指定match的端口号范围和TCP/UDP方式。
举例：
Firewall(config)# class-map class_http
Firewall(config-cmap)# match port tcp eq http
Firewall(config-cmap)# exit
Firewall(config)# class-map class_sip
Firewall(config-cmap)# match port udp eq sip
Firewall(config-cmap)# exit

1.3匹配ACL

命令： match access-list acl名称
视图： cmap视图
说明： 根据指定的ACL来定义match规则对流量分类匹配。注意，cmap忽略ACL语句中的permit和deny；另外ACL应该使用地址转换之后的地址。
举例：
Firewall(config)# access-list MyTraffic extended permit tcp any
  any eq http
Firewall(config)# access-list MyTraffic extended permit tcp any
  any eq https
Firewall(config)# access-list MyTraffic extended permit tcp any
  any eq 8080
Firewall(config)# class-map MyClass
Firewall(config-cmap)# match access-list MyTraffic

1.4匹配QOS字段
命令： match precedence value1 [value2 [value3 [value4]]]
视图： cmap视图
说明： 根据IP头的TOS部分的precedence数值来match规则对流量分类匹配。最多可以同时在一条match中指定4种TOS值。
附：TOS的precedence的8种二进制数值如下：
            111 - Network Control
            110 - Internetwork Control
            101 - CRITIC/ECP
            100 - Flash Override
            011 - Flash
            010 - Immediate
            001 - Priority
            000 – Routine
举例：
Firewall(config)# class-map high_precedence
Firewall(config-cmap)# match precedence 4 5
Firewall(config-cmap)# exit
           
           
命令： match dscp value1 [value2 ...[value8]]
视图： cmap视图
说明： 根据IP的DSCP数值来match规则对流量分类匹配。最多可以同时在一条match中指定8种DSCP值。可以用0-64的数值表示DSCP值，也可以使用DSCP服务名称表示。
附：DSCP数值和DSCP服务名称
对应的服务  DSCP(二进制) DSCP[dec][Hex] TOS(十六进制)
BE          0            0　　　　　   0            
AF1         001 010      10[0x0a]      40[0x28]     
AF1         001 100      12[0x0c]      48[0x30]     
AF1         001 110      14[0x0e]      56[0x38]     
AF2         010 010      18[0x12]      72[0x48]     
AF2         010 100      20[0x14]      80[0x50]     
AF2         010 110      22[0x16]      88[0x58]     
AF3         011 010      26[0x1a]      104[0x68]    
AF3         011 100      28[0x1c]      112[0x70]    
AF3         011 110      30[0x1e]      120[0x78]    
AF4         100 010      34[0x22]      136[0x88]    
AF4         100 100      36[0x24]      144[0x90]    
AF4         100 110      38[0x26]      152[0x98]    
EF          101 110      46[0x2E]      184[0xB8]    
CS6(INC)    110 000      48[0x30]      192[0xC0]    
CS7(NC)     111 000      56[0x38]      224[0xE0]        
      
举例：
Firewall(config)# class-map dscp_ef
Firewall(config-cmap)# match dscp ef
Firewall(config-cmap)# exit
Firewall(config)# class-map dscp_af4
Firewall(config-cmap)# match dscp af41 af42 af43
Firewall(config-cmap)# exit

1.5匹配RTP
命令： match rtp starting_port range
视图： cmap视图
说明： 匹配指定端口范围内的RTP流量。starting_port范围（2000-65535），range范围（0-16383）。
举例：
Firewall(config)# class-map rtp
Firewall(config-cmap)# match rtp 2000 100
Firewall(config-cmap)# exit

1.6匹配Tunnel组
命令：
match tunnel-group name
match flow ip destination-address
视图：cmap视图
说明：第一条命令匹配tunnel流量，第二条命令可以指定目的地址来匹配某条tunnel流。
举例：
hostname(config)# class-map cmap
hostname(config-cmap)# match tunnel-group
hostname(config-cmap)# match flow ip destination-address
hostname(config-cmap)# exit

1.7匹配所有
命令：match any
视图：cmap视图
说明：匹配所有流量。（系统默认有一个名为class-default的配置，在它的视图下就默认配置了match any）

1.8匹配默认常见端口
命令：match default-inspection-traffic
视图：cmap
说明：根据常见协议匹配流量。这是系统的初始默认配置，如下：
class-map inspection_default
 match default-inspection-traffic
在cmap视图下输入match加问好后，可以看到他的具体match情况：
default-inspection-traffic  Match default inspection traffic:
                              ctiqbe—-tcp–2748      dns——-udp–53      
                              ftp——-tcp–21        gtp——-udp–2123,3386
                              h323-h225-tcp–1720      h323-ras–udp–1718-1719
                              http——tcp–80        icmp——icmp         
                              ils——-tcp–389       mgcp——udp–2427,2727
                              netbios—udp–137-138   radius-acct—udp–1646
                              rpc——-udp–111       rsh——-tcp–514     
                              rtsp——tcp–554       sip——-tcp–5060    
                              sip——-udp–5060      skinny—-tcp–2000    
                              smtp——tcp–25        sqlnet—-tcp–1521    
                              tftp——udp–69        xdmcp—–udp–177     
也就是说，使用match default-inspection-traffic后，就将match这些常见协议的标准流量。

1.9匹配正则表达式

一个cmap还可以用正则表达式来设定规则：
命令：regex regex_name regular_expression
视图：全局
说明：定义一个正则表达式对象。参数：regex_name，为这个正则表达式指定一个名字；regular_expression，正则表达式字符串

命令：class-map type regex match-any regex_cmap_name
视图：全局配置视图
说明：定义一个正则表达式cmap。match-any表示只要流量与此cmap视图下的任意一个正则表达式匹配即可，目前这个match-any是必选且唯一的选项，regex_cmap_name是自定义的此class-map的名称。

命令：match regex regex_name
视图：cmap视图（且是正则表达式cmap）
说明：为此正则表达式cmap设置正则表达式对象（就是前面定义的正则表达式的名称）
举例：
hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
如果流量包含“example.com”或 “example2.com.”就将匹配。这样说来，这项匹配应该非常占用系统资源。

命令：test regex input_text  regular_expression
视图：EXEC视图
说明：测试正则表达式。如果输入文本或正则表达式包含空格，可以用引号括起。回车后，命令行将显示匹配结果，如“INFO: Regular expression match succeeded.”，或者“INFO: Regular expression match failed.”。

1.10管理流量的匹配

匹配管理流量(管理流量指终结在防火墙的流量，一般是管理连接的管理数据报文，对其进行检视可以防止对防火墙本身的攻击)

命令：class-map type management mgmt_cmap_name
视图：全局配置视图
说明：定义一个管理流量的class map。输入此命令后将进入config-cmap视图，即进入此管理流量cmap的配置视图。

与L3/L4流量match类似的，在管理流量的cmap视图下，可以使用ACL方式或端口范围方式指定此管理流量的匹配方式：
match access-list acl_name
match port {tcp | udp} {eq port_number | range low high}

• 二、策略/Policy(定义L3/L4流量处理策略)

2.1定义策略
命令：policy-map policy_map_name
视图：全局视图
说明：定义一个策略pmap，policy_map_name长度在40字符以下。命令成功后，进入该pmap的视图。

命令：rename name
视图：pmap视图
说明：重命名pmap名称

命令：description text
视图：pmap视图
说明：为pmap增加一些说明文字（200字符以下）

2.2为策略添加匹配分类
命令：class {class_map_name | class-default}
视图：pmap视图
说明：为此策略设置match的流量规则。class_map_name可以是“class-map cmap”命令或“class-map type management mgmt_cmap_name”命令创建的cmap名称，也可以是系统初始配置默认的“class-dafult”(上面介绍过，是一个系统默认配置，match any)。输入此命令后，进入“pmap-c”视图。

2.3为匹配流量设置策略
2.3.1设置匹配流量的TCP连接相关策略
命令：set connection timeout [embryonic {hh:mm:ss | 0}] [half-closed {hh:mm:ss | 0}] [tcp {hh:mm:ss | 0} dcd [retry_interval [max_retries]]
视图：pmap-c视图
说明：针对本match匹配的流量，设置TCP连接超时属性值。具体参数的解释暂略。

命令：set connection [conn-max n] [random-sequence-number {enable | disable}]
视图：pmap-c视图
说明：针对本match匹配的流量，设置连接数目。具体参数暂略。

命令：set connection advanced-options tcp_map_name
视图：pmap-c视图
说明：针对本match匹配的流量，设置tcp连接高级属性。tcp_map_name是用全局配置下命令“tcp-map tcp_map_name”配置的一个TCP属性map（tcp-map命令的具体介绍暂略）。
举例：
Firewall(config)# tcp-map conform_tcp
Firewall(config-tcp-map)# reserved-bits drop
Firewall(config-tcp-map)# tcp-options range 6 7 drop
Firewall(config-tcp-map)# tcp-options range 9 255 drop
Firewall(config-tcp-map)# exit
Firewall(config)# access-list acl_tcp permit tcp any any
Firewall(config)# class-map MyClass
Firewall(config-cmap)# match access-list acl_tcp
Firewall(config-cmap)# exit
Firewall(config)# policy-map MyPolicy
Firewall(config-pmap)# class MyClass
Firewall(config-pmap-c)# set connection advanced-options conform_tcp
Firewall(config-pmap-c)# exit
Firewall(config-pmap)# exit

2.3.2设置匹配流量的的策略为IPS处理
命令：
ips inline {fail-open | fail-close}
ips promiscuous {fail-open | fail-close}
视图：pmap-c视图
说明：针对本match匹配的流量，设置为IPS检查（IPS硬件模块检查）。inline方式表示将报文交给IPS检查，promiscuous表示IPS和ASA都做检查。 fail-open表示IPS检查失效后默认通过，fail-close表示IPS检查失效后默认阻断。

2.3.3设置匹配流量的的策略为CSC处理
命令：csc {fail-open | fail-close}
视图：pmap-c视图
说明：针对本match匹配的流量，设置为CSC检查（CSC硬件检查）。fail-open表示SCS检查失效后默认通过，fail-close表示CSC检查失效后默认阻断。
 
2.3.4设置匹配流量的的策略为带宽限制

命令：police {output | input} conform_rate [burst_bytes] [conform-action {drop | transmit}] [exceed-action {drop | transmit}]
视图：pmap-c视图
说明：针对本match匹配的流量，设置流量带宽限制。output/input指定outbound流量或inbound流量；conform_rate表示流量限制，单位bps，范围8000(8k)-2000,000,000(2G)；conform-action可指定未超过限制的流量的处理动作（drop或transmit），exceed-action可指定超过限制的流量的处理动作（drop或transmit）。burst-bytes(单位KB，范围1000[1KB]-512,000,000[512M]) 表示加入超过了conform_rate，但是未超过conform_rate+burst-bytes时，依旧按照未超过处理。本设置针对下行流量。

2.3.5设置匹配流量的的策略为优先
命令：priority
视图：pmap-c视图
说明：针对本match匹配的流量，设置为LLQ(Low‐Latency-Queuing)优先转发。本设置针对下行流量。

未完，点击查看后续部分

相关阅读:

1. 思科ASA系统MPF框架介绍(之二)
2. 思科ASA防火墙filter命令配置与功能介绍
3. 一个简单的思科ASA防火墙LDAP认证的实例

1、Google网站提供的功能：
包括网页、图片、视频、博客搜索引擎。
Gmail电子邮件服务
google地球、google地图（PC版、手机版）
翻译、图片（Picasa）、图书、代码、日历（calendar）、文档（Docs）

2、软件类：
google浏览器chrome、拼音输入法、google桌面、Gtalk

2、操作系统
Android操作系统（移动终端如智能手机、上网本等已广泛使用Android系统，涉及国内市场中的国内外终端厂商和电信运营商）

3、网络操作系统
ChromeOS，未来云计算的重要门户,包括接入ChromeOS的各种客户端终端。

4、其他
Google Adsense广告业务
涉及国内投资购买了Google广告业务的厂商以及众多展示GoogleAdsense广告获取收入的网站。

目前还不清楚Google退出的方式（关闭cn域名、撤销中国分部、关闭与中国相关业务）以及范围（是否包括台湾，是否影响对中文的服务？），但是仅仅罗列上面的若干深入社会文化、经济、科技领域的服务和产品，就可以想象一旦此次google退出的动作巨大，即将对众多领域造成深远影响，但是，更加可能的是，所谓Google退出中国，仅仅是“谷歌”公司的自我消亡，在中国的Google将重回2006年“谷歌”诞生之前而已，那样的话，于我们而言，Google并未发生什么惊天动地的变化，因为其实“谷歌”!=“Google”。

Let’s continue our Google.

相关阅读:

1. 香港谷歌？No，是美国Google。

内容过滤包括ActiveX和JavaApplet的过滤，功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序，因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。

先来了解一下HTMl中包含ActiveX和JavaApplet等对象的标准，只有知道他的标准格式，才能对其进行完美的过滤。

http://www.w3.org/TR/WD-object-970218
http://htmlhelp.com/reference/html40/special/object.html

W3C的标准文档http://www.w3.org/TR/WD-object-970218介绍了如何在HTML文档中插入多媒体对象(Multimedia object. 包括Java applet、微软的组件对象模型COM-例如一些Activex控件、或其他一些媒体插件)的标准方式。该标准定义了一个新的元素”<OBJECT>”，这个元素为嵌入各种多媒体对象提供了通用的解决方案。

插入JavaApplet例子

    <OBJECT
       CODETYPE=”application/java-vm”
       CODEBASE=”http://host/somepath/”
       CLASSID=”java:program.start”
       HEIGHT=100
       WIDTH=100
    >
    <PARAM NAME=”options” VALUE=”xqz”>
        Your browser does not know how to execute Java applications.
    </OBJECT>

ActiveX例子

    <OBJECT
       id=clock1
       classid=”clsid:663C8FEF-1EF9-11CF-A3DB-080036F12502″
       data=”http://www.acme.com/ole/clock.stm”
    >
    fall back …
    </OBJECT>

所以，防火墙对ActiveX或JavaApplet对象的过滤，实际就是检查HTTP协议流中的HTML字符串，解析其中的<Object> 、classid、codebase、codetype等字段，一旦发现嵌入ActiveX和JavaApplet的语句，就将其用<!–  –>符号注释掉。

下面介绍思科ASA防火墙的ActiveX和JavaApplet过滤的配置命令：

1. filter activex
   使能（或去使能）activex过滤功能，并指定检视的端口范围和源地址网段及目的地址网段。
   配置命令
   [no] filter activex <port> [-<port>] | except <local_ip> <mask> <foreign_ip> <foreign_mask>
   参数说明
   port:0-65535

 

2. filter java
   使能（或去使能）java applet过滤功能，并指定检视的端口范围和源地址网段及目的地址网段。
   配置命令
   [no] filter java <port> [-<port>] | except <local_ip> <mask> <foreign_ip> <foreign_mask>
   参数说明
   port:0-65535

URL过滤是指检查用户的网络客户端访问外网时指定的外网URL地址，例如，用户浏览网页时，浏览器地址栏中输入的URL就是防火墙检查的对象，FTP工具访问FTP服务器时，用户指定的服务器地址（域名或IP）就是防火墙检查的URL。思科ASA防火墙并不在防火墙本地进程检查URL，而是将检视请求发送给第三方的外部服务器来检视，第三方服务器检视完毕后再将结果返回给ASA防火墙，然后防火墙再根据检视结果处理网络数据报文。ASA支持的第三方服务器包括Websense和securecomputing(即原来的N2H2)这两家厂商提供的服务器，securecomputing现在属于McAfee公司。

1. 指定HTTP过滤使用的WEBSNS提供的URL过滤服务器并配置相关参数
   配置命令：
   [no] url-server [<(if_name)>] [vendor websense] host <local_ip> [timeout <seconds>] [protocol TCP|UDP [version 1|4]] [connections num_conns] ]
   参数说明：
   ifname:接口名（默认inside）.
   vendor: 可以不指定，默认为websense.
   Local_ip:也可以为主机名域名.
   Protocal:默认TCP，指定为TCP时可以指定connections，即与服务器的最大连接数(1-100)，默认5。
   Version：1或4.默认1，UDP时只能用4.
   timeoute(秒，10-120)  默认30可以同时最多存在16个同类(要么websns要么n2h2，不可同时存在)服务器.
2. 指定HTTP过滤使用的N2H2提供的URL过滤服务器并配置相关参数
   配置命令：
   [no] url-server [<(if_name)>] vendor {smartfilter | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP
   参数说明：
   ifname:接口名（默认inside）.
   vendor: 指定为smartfilter即原来的N2H2或secure-computing.
   Local_ip:也可以为主机名域名.
   Port number:1-65535 默认4005.
   Protocal:默认TCP，指定为TCP时可以指定connections，即与服务器的最大连接数(1-100)，默认5。
   Version：1或4.默认1，UDP时只能用4.
   timeoute(秒，10-120)  默认30可以同时最多存在16个同类(要么websns要么n2h2，不可同时存在)服务器.
3. 检视结果Cache功能。将检视结果缓存下来，供后续检视使用，可减少检视请求的发送次数。
   配置命令
   [no] url-cache { dst |   src_dst } kbytes [ kb ]
   参数说明
   dst: 指定仅针对目的地址缓存
   src_dst: 针对<源、目的地址>二元组来缓存
   kb: (1-128) 指定cache的大小 单位KB。
4. 缓存待检视报文(HTTP/FTP)。当检视未完成时，将web服务器或FTP服务器响应的HTTP/FTP数据报文缓存下来，等待得到检视结果后再处理。用户可以设置缓存的大小或关闭缓存功能。
   配置命令
   [no] url-block block block_buffer
   [no] url-block mempool-size memory_pool_size

参数说明
block_buffer: （1-128） 指定可以缓存多少个包(每个包1550字节)
memory_pool_size: （2-10240）指定缓存大小，单位KB。

5. 缓存报文的最大URL长度。只有URL长度在指定长度之下的报文才可以缓存
   配置命令
   [no] url-block url-size long_url_size
   参数说明
   long_url_size: 报文的URL最大长度，单位KB，范围2-4(websns)， 2-3(N2H2) ， 默认值2.
6. 使能HTTP检视并指定检视范围。指定哪些内网主机访问哪些web服务器时需要检视并设置相关选项参数
   配置命令
   [no] filter url <port> [-<port>] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [allow]
   [cgi-truncate] [longurl-truncate | longurl-deny] [proxy-block]
   参数说明
   port:0-65535
   except:指定except范围，在该范围内即跳过filter过程。
   allow: 检视服务器无法连接时允许跳过检视步骤。默认为不允许。
   Cgi-truncate: 移除CGI语句(即将问号之后的内容忽略) 默认关闭。
   longurl-truncate: 当URL长度超过最大值(由url-block url-size long_url_size命令指定)时，仅使用主机名或IP地址作为URL。
   longurl-deny: 当URL长度超过最大值(由url-block url-size long_url_size命令指定)时，禁止该URL地址的流量。
   proxy-block: 阻断代理方式的流量。默认不阻断。常见的代理请求的特征即在http的URL中嵌套URL。
7. 使能HTTPS检视并指定检视范围。指定哪些内网主机访问哪些web服务器时需要检视。HTTPS将HTTP协议封装在加密的SSL通道中传输，所以防火墙无法监视http协议和数据，只能检视目的web服务器的域名或IP。
   配置命令：
   no filter https <port> [-<port>] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [allow]
   参数说明：
   port:0-65535
   except:指定except范围，在该范围内即跳过filter过程。
   allow: 检视服务器无法连接时允许跳过检视步骤。默认为不允许。
8. 使能FTP检视并指定检视范围。指定哪些内网主机访问哪些FTP服务器时需要检视。
   配置命令：
   no filter ftp <port> [-<port>] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [allow]
   [interact-block]
   参数说明：
   port:0-65536
   except:指定except范围，在该范围内即跳过filter过程。
   allow: 检视服务器无法连接时允许跳过检视步骤。默认为不允许。
   Interact-block: 禁止交互式客户端的ftp（交互式客户端使用当前相对目录而不是绝对目录作为目录字段）

防火墙的过滤功能建立在对标准协议的透彻解析之上，类似于“中间人”攻击方式，只要防火墙获得了“中间人”的地位，所有的标准协议都是可以解析和修改的，同样一把手枪，在罪犯和警察的手中，功能相同，性质不同。

相关阅读:

1. 思科ASA系统MPF框架介绍(之一)
2. 思科ASA系统MPF框架介绍(之二)
3. 思科ASA防火墙VPDN拨号配置命令整理 (ASA版本8.2,包括PPPoE/L2TP)

使用b2install.php文件安装b2时，就是在用户指定的服务器的MySQL数据库上创建了上述五个数据表，并初始建立了一些文章、分类、评论、系统默认设置以及最初的管理员用户。

参考：b2install.php文件注释文档。

相关阅读:

1. b2/cafelog程序是什么？

b2/cafelog的官方主页在这里，我们可以从网络上获取到它的源代码，我们可以看到，b2 v.0.6.1 (2002年11月04日)这份代码是我们可以获取到的最老的版本，它小巧精短，是我们学习PHP和MySQL建站的好实例。

相关阅读:

1. 开源PHP BLOG程序b2(version0.6.1)的MySQL数据库表

据我所知，网络浏览的拦截无外乎下列三个方式：IP过滤、内容过滤和DNS劫持。这些过滤的前提就是浏览者“浏览”动作的相关IP报文均能被拦截者截获和分析。这一前提对于ISP来说是天然成立的。

先简单介绍一下一次浏览网页的技术流程。用户在终端上使用浏览器（IE、Firefox等）向网页服务器（例如IIS、Apache等等）发出一个HTTP协议的请求报文（一般是一个HTTP的GET或POST请求），这个请求报文中指明了浏览器想要获取的网页内容，网页服务器收到这个请求后把相应访问结果以HTTP响应的方式发回给浏览器（例如状态码200表示成功，404表示网页不存在，等等类似的一系列状态），而且如果是可正常处理的访问请求，就把用户请求的网页内容（一般就是HTML字符串）发送回用户的浏览器，浏览器收到之后，将HTML字符码解释后以网页的形式呈现在用户面前。当然，这一系列HTTP协议的交互是以TCP连接为通道通信的，TCP连接的建立和维护是这一切的基础和前提。

假如用户终端和网页服务器的TCP连接通道之间存在防火墙等类似的设备，这些设备就可以截获这个TCP连接的建立，乃至其上承载的HTTP交互动作，用户和服务器之间的任何HTTP通信都没有秘密可言，防火墙可以决定整个浏览过程的各个方面。

一、IP过滤（封IP）

拦截者（防火墙）截获了浏览者的HTTP请求，发现浏览器请求的网站的IP是“非法”、应该被禁止访问的，就可以直接丢弃掉（这样网页服务器就不能收到）这个请求，然后防火墙再分别把浏览器和网页服务器之前建立的TCP连接断开（可通过TCP的RST报文实现，实际上，TCP连接的建立也是在防火墙的监管下进行的）。对用户的每次请求都进行这样的处理，这样一来，搭建在这个IP地址上的网页服务器的所有网页就都无法访问到了。

二、内容过滤

网页服务器收到浏览器的请求后，会将自己的服务内容（网页内容）发回给浏览器，这时，位于浏览者和网页服务器之间的防火墙截获这一内容（一堆字符串），一旦发现这些内容有“非法”信息，丢掉这一内容报文，RST掉两端的TCP连接，这一含有“非法”内容的网页就不能被访问到了。

三、DNS劫持

浏览者访问网站时，一般是使用网站的域名来访问，也就是说，以这个域名为目的地建立前面提到的TCP连接、再发送HTTP请求报文等。但是TCP和HTTP这些IP报文，实际上是以IP地址来访问目的服务器主机的，所以，浏览器终端首先要把这个域名转换为IP地址。这个转换过程是通过DNS协议来进行的。浏览器发起DNS请求，问DNS服务器“这个域名的IP地址是多少？”，DNS服务器回应“这个域名的IP是xxx.xxx.xxx.xxx”。然后浏览器得到目的IP地址后，就可以如前面介绍的那样继续后面的浏览过程了。首先，网络服务商（ISP）给浏览器自动分配的DNS服务器是可以“捣乱”的，它提供的DNS服务是否“可靠”关系到DNS的结果；另外，防火墙当然可以截获浏览器终端和DNS服务器之间的 DNS报文（防火墙无所不能，因为它处于我们和服务器之间，我们与外面交互的所有报文都经过它），所以它可以让你获得不到这个IP地址，也可以给你假的IP地址!剩下的就不用多说了吧…

应对之策：

首先，孙猴斗不过如来，因为猴子永远在佛祖的手中。用户使用ISP的网络，就不可能有ISP对付不了的手段。

对于IP过滤，简单直接，封一个IP就换一个IP。

对于内容过滤，网页服务器提供HTTPS访问支持的话，浏览器用https方式访问网页服务器，所有的报文都是ssl方式加密的，那防火墙虽然可以截获报文，但是它无法“看懂”，也就无法过滤。浏览者拨入专用的VPN网络的技术也是在此范畴之内。

对于DNS劫持，可以不使用ISP提供的DNS而自己指定更可靠的DNS，另外，浏览终端的操作系统也可以跳过DNS解析这一步，例如HOSTS文件等。

另外，如果浏览者可以找到并使用合适的代理服务器（就是一个位于防火墙和网页服务器之间的服务器主机），浏览者就可以通过这个代理服务器跳过某些防火墙的封锁。

相关阅读:

1. 一个简单的思科ASA防火墙LDAP认证的实例
2. 思科ASA系统MPF框架介绍(之一)
3. 思科ASA系统MPF框架介绍(之二)

当年这场风潮的发端，就是甲骨文公司的CEO拉里-埃里森, 在1997年，为了挑战软件巨擘微软和硬件大鳄Intel的成熟市场，埃里森推出了一款革命性的产品，NC（Net Computer 网络计算机），它无需硬盘存储，无需强大的处理能力，无需繁冗的操作系统，仅仅需要网络连接外加轻便的网络浏览器，就可以完成常用的计算机工作。瞧，跟如今的云计算和上网本的概念如出一辙，或者说，这根本就是同一技术理念的传承。可叹当年单薄的Internet网络并不足以提供给NC以肥沃的土壤，再加上强势的微软和Intel的市场打压，“网络计算机”的概念如昙花一现，很快就烟消云散了，但是在十余年后的今天，成熟的计算机互联网以及各大厂商积极发展的云计算战略，让我们看到计算机世界离埃里森当年想象的NC世界已经越来越近了。

当年的NC产品，Acorn NetStation，造型在今天看来有些落伍，但是其独特的内在特质（网络操作系统）是足以傲视天下的。

从使用说明书上我们可以看到，在系统启动时，AcornNetStation将自动寻找网络服务器并连接，然后NC就作为网络终端用户直接在远端网络服务器上运行。

相关链接：

硬体大厂精简型终端进化史

Acorn NetStation 产品介绍

Chrome，埃里森和他的NC

本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。

dede:field.body 是dede cms的文章正文标签，官方帮助文档中没有介绍这个标签有什么属性和参数，但是，对于标签可以使用 function 进行扩展，function所使用的函数可以是系统函数，也可以是自定义的函数。所以我们可以使用function调用函数对字符串做截断操作以达到我们的目的。

{dede:field.body function=' substr(@me,0,810)'/}

substr是PHP的系统函数，作用是取部份字符串。

语法: string substr(string string, int start, int [length]);

返回值: 字符串

将字符串 string 的第 start 位起的字符串取出 length 个字符。若 start 为负数，则从字符串尾端算起。若可省略的参数 length 存在，但为负数，则表示取到倒数第 length 个字符。

例如：
echo substr(”abcdef”, 1, 3); // 返回 “bcd”
echo substr(”abcdef”, -2); // 返回 “ef”
echo substr(”abcdef”, -3, 1); // 返回 “d”
echo substr(”abcdef”, 1, -1); // 返回 “bcde”
?>

截断功能经我验证完全有效，dede版本5.5。你也来试试看吧。

相关阅读:

1. 使用帝国网站管理系统CMS时遇到的一个小问题（已经解决）