http://adreaman.com Footprints access to my dream Mon, 28 Nov 2011 15:33:35 +0000 http://backend.userland.com/rss092 en 目的：攒一台家用计算机，要求省电、静音，并且稍微美观一些，用来完成一些家庭服务器的功能，例如数据服务器、web服务器等。 主板：Intel D945GCLF2D 板载Atom230低功耗CPU，集成Intel GMA 950显示核心，板载百兆网卡。支持DDR2内存。 上图中字母指示位置的说明如下： A PCI总线内置卡连接器 B 前面板音频接口 C 后面板连接器 D 12V处理器核心电压连接器(2x2) E 后部风扇(3针)接口 f 处理器 G DDR2DIMM连接器 H 主电源连接器(2x12英寸) I IDE连接器 J 串行ATA连接器(2) K ... http://adreaman.com/1127mini-pc-diy-liren-2007c-intel-itx-atom-motherboad.html 本文目的：在家庭ADSL拨号的计算机上架设一台可供外部Internet访问的使用LAMP软件包的web服务器。 1,安装Ubuntu10.04 LTS server 版本。 Ubuntu 10.04是一个LTS长期维护版本，并且由于这里是要架设一个web服务器，所以选用了Server版本。这里可以下载安装光盘的镜像文件，注意选择10.04版本，以及你将要架设的计算机硬件所对应的32/64bit版本。 安装过程我就不赘述了，可以参考这篇文章的安装部分（主要是安装过程中注意选择LAMP server安装包以及OpenSSH安装包）。OpenSSH是为了将来远程SSH登录到这台Server上进行管理操作。 安装并启动后，要配置一下这台Server的网络。编辑“/etc/network/interfaces”文件，加入两行： auto eth0 iface eth0 inet dhcp 这样服务器启动的时候就可以自动启动eth0接口的DHCP协商获取IP地址。当然记得确认你下你的计算机硬件连接ADSL的接口是eth0还是其他。 2，注册“花生壳”。 “花生壳”是一家提供DDNS动态IP域名解析服务的公司，也有其他一些相关网络基础设施产品。因为本文介绍的是使用通过ADSL连接Internet的家庭计算机建站，而ADSL拨号从ISP获取的Internet IP地址是动态的（每次拨号得到的地址可能与上次不同）所以这里使用“花生壳”来将一个固定域名自动动态的映射到每次获取到的IP上，以后无论IP如何变化，都可以使用这个域名来访问这台计算机。 “花生壳”官方网站上的这篇Lu文章很清晰的介绍了在linux平台下的安装和使用方法，按照文章操作即可。注意，如果你是使用家庭网关拨号接入Internet，那么你的家庭网关可能会禁止外部Internet的计算机访问你的这台内网计算机，所以，必须在家庭网关上配置DMZ功能来允许你的这台计算机被外网访问（这涉及一些NAT的知识，有兴趣可以自行google一下或查书，就不赘述了）。 为什么同一内网的计算机无法通过该花生壳的域名访问这台计算机？ 安装并启动“花生壳”服务后，你可以尝试使用其提供的二级域名(一般是xxx.eicp.net等形式)来访问你的这台计算机。这里要注意的是，如果你是使用这台Linux计算机直接拨号ISP接入Internet的，那没有问题，而如果是通过一台路由器等家庭网关拨号的，那么你会发现，本地网络局域网（该家庭网关内部网络）的计算机（可能）是无法通过这个域名访问该计算机的，而外部Internet的远程电脑（例如邻居或你公司）可以访问。这是由于，当一台电脑访问这个域名时，花生壳将此域名解析到你的家庭网关设备的外网IP地址（附加端口信息等），然后家庭网关将外部访问NAT转换后到达内网计算机。而目前的情况是，从家庭网关内部的计算机访问这个域名，访问的地址是家庭网关的IP（附加端口信息等），而家庭网关默认（当然跟此网关设备的内部设计实现有关，不是必然的）不给内网对网关自己IP的访问进行NAT转换，此报文可能就被网关丢弃了。 要解决这个问题，有两个办法，原理都是绕过上面介绍的这个访问流程。其实，内网主机本来就可以直接访问内部其他主机，根本不应该向外部DNS请求一个自己网关的IP地址。所以，方法一，设置计算机（发起请求的那台）的hosts文件，将域名直接映射到这台Linux计算机的内网IP。这样就是内网直接访问了，不会有任何问题。但是这样需要内网的每台计算机都做同样的hosts文件设置，麻烦。所以，方法二，在你的家庭网关上做DNSmasq之类的设置（我使用的是刷了tomato家庭路由器，支持dnsmasp的设置），直接将这个域名映射到该Linux的内网IP，这样所有内网访问该域名都会直接解析到该内网IP，它们就可以直接在内网通信了。 3, 安装phpmyadmin。PHP环境下Web broswer方式配置MySQL的工具。将来维护MySQL数据库就靠它。 4，安装一个PHP的CMS来搭建web站点。我使用Drupal，因为它功能强大、配置灵活，是对网站有高端功能设计需求人士的首选。这里简单介绍一下Drupal的Clean URL功能的配置，如果你不关心，可以跳过这节。因为Drupal的PHP框架设计，Drupal的默认页面地址都是“domain.com/?q=node/1"这样的形式，可读性和搜索引擎友好度都不佳，CleanURL就是用来将这个地址转换为"domain.com/node/1"这样较好的形式。 首先打开apache2的rewrite模块： #sudo a2enmod rewrite 然后通过#apache2ctl -M可以看到这一行，就说明该模块已经安装好了：rewrite_module (share) 然后需要改一下apache2的配置文件(在我的主机上，这个文件位于/etc/apache2/apache2.config，有的机器上可能是httpd.conf文件)，在<Directory /var/www>下面（当然，选哪个目录取决于你把Drupal放在了哪个目录）： 把AllowOverride None改为AllowOverride All 修改后是这个样子(如果你的配置文件中没有这个“Directory”，就把这些全都加到配置文件中)： AllowOverride All RewriteEngine on RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ index.php?q=$1 [L,QSA] 最后重启apache2，就可以进入Drupal的控制面板打开Clean URL功能了。 5，使用顶级域名绑定“花生壳”的动态IP解析服务 目前，我们已经可以使用花生壳的二级域名访问这台家里的计算机上的站点了。如果这个站点是个比较正式的网站，那我们想更进一步，使用顶级域名访问它。 但是花生壳是不提供这个服务的，只好另找出路。可以使用域名的CNAME功能，直接将顶级域名映射给这个花生壳的二级域名，这样，访问该顶级域名和访问花生壳的二级域名效果完全一样（并不会跳到二级域名）。你可以先拿免费的".tk"顶级域名试试看。这里是一篇注册tk顶级域名，以及介绍其使用方法的文章，也介绍到了CNAME的设置，可以按照它的介绍逐步进行。 OK,That' ... http://adreaman.com/1106home-adsl-lamp-server-ubuntu-ddns-drupal-tk.html 1, 下载最新的quagga源码  http://www.quagga.net/download/ 2, 解压，进入源码目录，编译之前，先配置： ./configure --disable-ripd --disable-ripngd --disable-ospfd --disable-ospf6d --disable-watchquagga --disable-doc --enable-user=root --enable-group=root --enable-zebra --enable-vtysh 3,  开始编译 ： make && make install 4,  建立配置文件：  cp /usr/local/etc/zebra.conf.sample /usr/local/etc/zebra.conf 5, 启动zebra:    zebra -d 6, telnet登录zebra命令行:           telnet 127.0.0.1 2601 备注：本试验的主机是Fedora14. 参考手册: http://www.quagga.net/docs/docs-info.php 相关阅读:更新家用网络组网拓扑(Linux透明网桥流控与无线网络的组合)Debian和Ubuntu中APT的概要介绍和初级应用(一)编译Linux内核过程记录 http://adreaman.com/0705quagga-quick-start-guide.html 以实验的目的，更新了家里的网络组网，稍微复杂了一点，如下图: [caption id="attachment_135" align="aligncenter" width="300" caption="家用网络组网拓扑(Linux流控与无线网络的组合)"][/caption] 说明: 根本目的是使用一台Linux PC(实际上是一块二手老主板改造的)作为网关（流控点，透明网桥），管理和优化各接入用户的网络流量。拓扑中还有两台无线路由器，一台LinkSys WRT54G(刷了tomato)，另一台是Netgear WGR614，它们各组织一个网络。 LinkSys WRT54G作为拨号节点，向ISP拨号连入互联网，配置其LAN口和Wireless口为192.168.2.0/24网段，接入此网络的PC将以这台LinkSys为网关接入互联网。PC1即是如此。 图中的Ubuntu即前面提到的那块二手主板[Celeron 2.30GHz处理器/256M内存]，装的Ubuntu8.04(这是一个LTS版本，比较稳定可靠)。在网络中，它以透明网桥的方式将周围设备连接起来，并接入Linksys拨入的ISP互联网络。之所以用作网桥而不是配置成路由模式，也是为了简化网络。用brctl建立一个透明网桥，将图中的eth0/eth1/eth2三个接口加入该透明网桥，brctl配置起来也非常简单，就不赘述了。针对此网桥配置了一些iptables、tc等安全和流控功能。 这里顺便将我在此环境下测试通过的一个实验附上 - linux bridge透明网桥加tc流控的小例子： ----------------  linux  透明网桥使用tc流控的例子开始 --------------------------- 1，建立透明网桥(eth0为上行，eth2和eth3为下行): brctl addbr tran_br brctl addif tran_br eth2 brctl addif tran_br eth1 brctl addif tran_br eth0 2,建立tc流控规则 tc qdisc add dev eth2 root handle 1: cbq bandwidth 2Mbit avpkt 1000 cell 8 mpu 64 tc class add dev eth2 parent 1:0 classid ... http://adreaman.com/0630home-networks-linux-bridge-wireless-router.html [+]网络拓扑： outside  ----  eth0+虚拟机A+eth1  ----  eth0+虚拟机B *我的试验环境如上图所示，虚拟机A的eth0接口与宿主机的连接外网的网卡桥接，所以可以等价为虚拟机A的eth0接口与外网相连，虚拟机A的eth1接口和虚拟机B的eth0接口是使用virtualbox的内网相连。 其实，采用虚拟机组网仅仅是为了方便，针对本文介绍的全部内容，这些机器是否是虚拟机并没什么影响，完全可以将上图中的虚拟机看作实体主机，后面的操作完全与是否虚拟机无关。 *Outside网络中有一台DHCP服务器，以及DNS服务器，这些也不影响本文介绍的核心内容，后面涉及到这两个服务器时会再次说明。 [+]虚拟机A和B都运行Ubuntu8.04 [+]实现思路：虚拟机A配置iptables，使虚拟机A作为这个简单网络的一个安全网关，虚拟机B透过虚拟机A访问outside网络，对外部网络的服务器进行最基本的HTTP浏览和FTP上传下载。并且在一定程度上保护虚拟机B所在的网络不受outside网络的入侵。 配置步骤如下： [1],先配置两台虚拟机的联通性，虚拟机A的eth1接口IP:10.10.11.1，虚拟机B的eth0接口IP:10.10.11.2，检查可互相ping通。 [2],将虚拟机A作为虚拟机B的默认网关： route add -net 0.0.0.0/0 gw 10.10.11.1 [3],下面就是配置虚拟机A的iptables了，看一下下面的脚本： ------------------------------- simple-gateway.sh的内容: #! /bin/sh # If no rules, do nothing. [ -f ./simple-gateway.rules ] || exit 0 case "$1" in start) echo -n "Turning on gateway:" /sbin/modprobe iptable_nat #only if using iptables /sbin/modprobe ip_conntrack_ftp #support ftp /sbin/modprobe ip_nat_ftp #support ftp /sbin/modprobe ipt_MASQUERADE ./test.rules #run iptables rules echo 1 > /proc/sys/net/ipv4/ip_forward # enable ... http://adreaman.com/0630ubuntu-linux-iptables-nat-ftp-gateway.html 环境：主机 Fedora 14, 虚拟机： VirtualBox虚拟的 Ubuntu8.04 目的，在Fedora上登录Ubuntu机器的串口。 步骤： 1、在VirtualBox上为Ubuntu这台虚拟机添加一个hostpipe形式的串口，并将其绑定到/tmp/vboxS0这个文件（如图）： [caption id="attachment_130" align="aligncenter" width="300" caption="创建hostpipe串口"][/caption] 2,启动虚拟机 3,修改虚拟机系统的grub，加上"console=tty0 console=ttyS0,9600n8"，这是为了向串口输出，否则串口上什么也看不到。 4,在Fedora主机上将/tmp/vboxS0映射为TCP连接（如果前面的串口创建没问题，这里这个命令会阻塞等待连接，直到虚拟机关闭） socat UNIX-CONNECT:/tmp/vboxS0 TCP-LISTEN:8888 5,在Fedora主机上telnet到step4创建的TCP连接上，此时，如果虚拟机有串口输出，就可以在这里看到输出信息了。 telnet localhost 8888 6,但是，一般ubuntu桌面版是没有设置串口登录的，所以现在在“串口”上看不到登录提示符。所以实际上在第三步时，还需要修改/etc/event.d/tty6 （也可以选别的tty号码)： 将"exec /sbin/getty 38400 tty6"改为"exec /sbin/getty -L /dev/ttyS0 9600 vt100" 就是令串口登录是得到login提示符。 至此，配置完毕，应该可以正常使用了。 7,如果需要在串口上看到grub的菜单信息，还需要在menulist里增加这些配置: serial --unit=0 --speed=9600 --word=8 --parity=no --stop=1 terminal --timeout=10 serial console ----------------------------分割线------------------------------ BTW，如果不是使用虚拟机，而是直接使用串口线连接物理linux主机，也可以使用上述步骤（当然，步骤4、5就不需要了）。而如果发现串口可以显示linux的输出信息，但无法响应你的输入，那么请检查下图中的设置（以windows超级终端和secureCRT为例）： [caption id="attachment_132" align="aligncenter" width="300" caption="secureCRT设置FlowContrl方式"][/caption] [caption id="attachment_133" align="aligncenter" width="279" caption="windows超级终端设置FlowControl方式"][/caption] 原理参考这两篇文章： RS232中RTS和CTS的作用 【已解决】secureCRT下的串口不能输入 [END] 相关阅读:更新家用网络组网拓扑(Linux透明网桥流控与无线网络的组合)Debian和Ubuntu中APT的概要介绍和初级应用(一)Debian和Ubuntu中APT的概要介绍和初级应用(二) http://adreaman.com/0621console-login-virtualbox-machine.html 我们有时候会想最快速地架设一个ftp服务器，需求是只要能匿名使用上传、下载功能就可以，并没有什么安全考虑，这里就介绍以下快速的vsftpd服务器的安装和配置(适于常见的fedora或者ubuntu环境，本文讲究的就是快速解决普遍问题)： 1, apt-get install(或者yum install) vsftpd， 这步就是最简单方便的安装，你要事有code自己编译安装也好。 2, service vsftpd restart   启动ftp服务 3, 如果本机启动了iptables，先service iptables stop暂停，否则ftp client会无法登录（出现No route to host报错） 4, 在vsftpd的配置文件 /etc/vsftpd/vsftpd.conf文件中加上下面几行： anon_upload_enable=YES anon_mkdir_write_enable=YES anonymous_enable=YES #配置匿名用户的权限，否则ftp用户无法下载 anon_umask=022 5, 查看ftp匿名用户的目录： [root@hostname]#finger ftp Login: ftp                        Name: FTP User Directory: /var/ftp                     Shell: /sbin/nologin Never logged in. 上面指出ftp用户的目录在 /var/ftp目录 6, 修改上传目录的权限： chmod 777 /var/ftp/pub/  （如果没有这个目录请自行创建） ok，如果一切顺利，现在匿名用户(usr/pass:ftp/ftp)应该可以访问ftp并上传文件了（记得登录后开始是在根目录/var/ftp下，先要cd 进入pub目录ftp用户才有权限上传、下载操作）。 相关阅读:Linux iptables建立网关的简单实例（支持NAT及FTP连接穿透）Debian和Ubuntu中APT的概要介绍和初级应用(一)编译Linux内核过程记录 http://adreaman.com/0619quick-setup-vsftpd-anonymous-ftp.html 使用PHP的GD库将文本画在图片上，程序非常简单，就不share了，主要的工作量是根据文本的长度调整换行和图片大小等细节的东西。 这东西也许在某些地方如论坛、微博发帖时有用，可以用来对付某些限制。 链接在此，文本图片转换程序。 相关阅读:怎样使你的网页的外链链接更“安全”－PHP重定向机制介绍一个图片搜索引擎 http://adreaman.com/0219text-to-image-php-program.html A10 Networks，应用交付(Application Delivery Controllers)业界领先厂商，今天（2010/12/15）宣布该公司已经就F5 Networks侵犯自己专利提起诉讼。A10是在对F5诉讼A10的反诉讼中提起此项主张的。F5此前声称A10侵犯其知识产权和商业机密。A10已经完全否认了F5的这些诉讼声明： A10的AX系列网络设备与F5的专利无关 A10及其员工从未侵犯任何enforceable商业机密 所有F5专利是非强制执行(unenforceable)的，因为F5没有向美国专利和商标机关提交先有技术(prior art)的材料 所有的F5专利在先有技术(prior art)方面是无效的 此外，A10已经向美国专利和商标机关提起复检请求，要求声明所有F5之前对A10的起诉无效。 SAN JOSE,Calif, 2010/12/15/PRNewswire/ 来源: SAN JOSE,Calif, 2010/12/15/PRNewswire/ 声明:本文为英中对译，不对文章表达含义负责，翻译如有偏差纯属技术问题，还请参考原文。 相关阅读:A10 Networks反诉F5A10网络的AX系列ADC应用交付器启动产品升级 http://adreaman.com/1219a10-networks-files-patent-countersuits-against-f5-networks.html A10 Networks，L4-7层网络设备厂商，对F5 Networks发起一项专利反诉，声称其侵犯了A10的专利。此外，A10拒绝了针对四月时F5对A10的专利诉讼进行辩护声明。 A10正处于一场法律战役之中，主要缘起于八月份Brocade公司对其的一起诉讼。但是F5的这起诉讼也是比较严重的，因为作为一家startup公司，A10并没有广泛的portfolio of products。 这类诉讼case似乎要持续几年才会解决，但是在战略上对于A10来说保持客户的信心非常重要。值得注意的是，A10正在从正面反击F5，尽管F5的诉讼更早，但Brocade的诉讼应该是比F5这起更加严重的case。 相关阅读:A10 Networks对F5 Networks提出专利反诉 http://adreaman.com/1217a10-countersues-f5.html A10网络(A10 networks)于本周一(2010-10-18)对其旗舰产品AX系列ADC(应用交付控制器)进行了一次软件版本升级，进一步增强了A10的ADC产品在虚拟化和云计算市场的力量。   通过本次升级，AX现在可以提供aVCS(Virtual Cluster Switching)功能，一个机架式系统，允许用户在一个虚拟集群中线性扩充最多8台AX系列设备；还提供L2/L3拓扑及平滑升级降级支持；另外，还包括L2/L3虚拟化增强(enabling high-performance multi-tenanc)以及softAX的升级。 Jim Lima，A10网络渠道总监说:“aVCS的优点就是使得客户可以随时在其中增加一台ADC设备来扩充整个系统的性能，这样，客户在建立他们的网络时就有了更多的选择。 AX系列的ADC产品提供aFlow工具，它可以管理终端用户的请求，在大流量的情况下将这些请求缓存排队以等待处理，而不是将其丢弃或者造成服务器超载运转；基于地理位置的特性可以阻挡来自特别地理位置的DDoS攻击；另外，DNS缓存特性可以监视DNS查询请求以自动分派DNS策略。 此外，还支持DNSSEC特性，以及为使用微软、Oracle、Juniper等厂商技术的企业数据中心用户设计的一个GUI图形化的专用负载均衡配置工具；支持Chrome、IE、Firefox及Safari浏览器；支持IPV4和IPV6的IS-IS路由；以及HTTP硬件压缩模块(支持AX2500/AX2600/AX3000)等特性。 所有的升级特性都在十月底的2.6软件版本即可使用，并且，所有现有的A10网络的AX产品客户均可免费升级。 “这些都是站在客户角度为方便客户部署和使用我们的产品而设计的易用特性”，Lima说。 Lima告诉记者，他看到A10网络作为ADC市场的新兴力量正在对行业中的重量级对手-例如F5发起挑战。 A10的渠道整改计划-包括今年早些时候针对方案商的产品更新升级激励计划-已经为A10获得了更多的客户，现在AX系列产品已经拥有800余家客户了。 “我们让事情变得简单，客户购买设备后就拥有所有的特性，而不需要再为激活特性而付费，我们的产品为客户节省了花销。”Lima说，“将有更多的市场开拓资金投入到即将到来的渠道改进计划中去”。Lima还预计2011年将开展合作商认证计划。  (via:CRN) 相关阅读:A10 Networks对F5 Networks提出专利反诉 http://adreaman.com/1019a10-makes-sweeping-updates-to-ax-series.html <续上节> 策略如何评估？ 一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比，Palo Alto防火墙的策略评估有很大不同。 举例来说，你有一组web浏览规则(rule)，这些规则与各种基于HTTP的应用相关。假设一个场景，用户登录到Google，然后打开一个新tab页面，访问Facebook，并开始Farmville应用。首先，搜索rules来检查用户是否可以访问HTTP服务，如果可以，Google页面被允许加载。然后当用户访问Facebook时，HTTP流量中的Facebook签名被检测到，因此触发Facebook策略检查，如果允许则加载Facebook的页面。当用户点击Farmville时，再对Farmville的策略进行检查，如果这次Farmville是被禁止的，那么，访问被禁止并记录日志。 当Facebook的访问开始时，一个字节计数器也开始工作。当用户关闭Facebook时，将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面，同样的，一条记录了Google页面总共使用的数据量的日志也自动生成。 上面这些都与具体的应用端口无关，当然，对于那些"正规"使用端口的传统协议的应用，你也可以指定端口。 策略对象 防火墙操作抽象对象，一个end-point对象可以这样表示： 一个32位掩码的主机地址 一个网络 一个命名对象 一个组成员 一个用户 一个或一组服务 一些应用 规则可以非常通用化，也可以比较特别。特别的规则优先。 网络地址转换(NAT) NAT使用一个与流量策略相独立的单独的策略列表。 NAT的类型包括： 目的地址转换 - 用来允许外部用户访问使用似有IP的内部服务 源地址转换 - 用来允许内部私有IP用户访问外部公网 NAT策略与安全策略比较相似，有以下条目可供匹配： 源区域 目的区域 源地址 目的地址 服务类型 基于这些条目，你可以转换： 目的地址 源地址 当流量被日志记录时，它可能已经被NAT转换。日志为每个session会话记录了一个概要信息，点击"detail"图标(放大镜标志)可以查看很多的详细信息。 应用与应用控制中心(ACC) Google搜索、Gmail、Gtalk、Google日历、Lotus Notes、Yahoo Messenger等等这些都是应用。其中某些使用80端口，某些使用其他端口，某些会自动搜索可用端口来使用。 应用控制中心(ACC)显示上一小时之内的应用、威胁、URL和数据过滤情况等等。ACC是防火墙日志的一个重要入口。 ACC为每个应用做出report。Facebook等应用是独立于WEB浏览器进程的独立应用。所有没有识别为专有应用的web流量被归纳为web流量统计报告中。 怎样识别一个应用？ 四种方法： 协议解码 协议解密 应用签名 试探（Heuristic） 协议解码 HTTP报文之所以被识别为HTTP报文，是因为其中有特别的命令字，例如'GET'命令。然后，现实中存在协议嵌套(一个协议报文封装在另一个协议报文中)，协议解码就是负责实现识别被封装在其他报文中的协议。 协议解密 我们不希望病毒夹杂在加密的SSL报文中溜过防火墙，因此，Palo Alto防火墙允许一个中间人侦听SSL流。这个场景中，网络管理员允许防火墙作为一个合法的客户解密SSL流量并扫描被加密的内容。 应用签名 当一个特别的典型模型被识别为可独一无二的标识一种应用时，这个模型就是应用签名。 这些签名是一个社区驱动的数据库，(也许)客户可以申请在其中添加新的应用签名。 探索 有时没有特别的签名来标识一种数据流，这时，需要基于非特定模型及行为的最佳猜测(best-guess)，也就是"探索"(heuristitc)。例如，一个看起来像是包含了可执行程序的数据量，就有可能是windows的".exe"文件。 模式转变 当用户点击页面改变其会话的特性时，将触发模式转变"mode shif"。例如，从静态web页面切换到视频流量或实时聊天。 未完待续 To be continued.. 相关阅读:次世代防火墙具备六功能企业需要带有入侵防御系统及应用可见的下一代防火墙魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了 http://adreaman.com/080402-expose-palo-alto-next-generation-firewall.html 看了Gartner关于下一代防火墙的定义，以及今年以来Palo Alto防火墙以“下一代防火墙”为旗帜口号的声势，Adreaman不禁对Palo Alto的防火墙设备充满了好奇心，它到底创新在哪些方面，将对防火墙产品的发展产生哪些影响，要回答这些问题，就不得不对Palo Alto防火墙的真正工作细节做深入的学习和理解。因此，我在网络上搜寻了一番，找到一篇较为深入介绍Palo Alto防火墙的文章，译为中文，期望能帮助我们加深对下一代防火墙的理解。 Palo Alto 下一代防火墙 近来，在防火墙市场上有一些新动向，这就是所谓的"下一代防火墙"。 多年来，我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中，但是，当所有这些功能都同时打开时，UTM设备的性能往往会出现严重的问题。最近一段时间，还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。 端口代表什么？ 一个端口号码仅仅是服务器上一条服务连接的标识。一个服务器上可以有几千个这样的服务端口，0-1023这些端口我们称之为“知名端口”，通常提供一些常见的服务，例如我们熟知的80端口往往提供HTTP服务，我们的Internet世界的数据流量大多承载在80端口。但是现今有很多应用服务也在使用80端口(或者一些其他"知名端口")，因为大多数防火墙都对80端口直接放行，这些应用可以顺畅地通过防火墙。一个典型的例子就是常见的BT应用以及聊天应用，他们都以80端口作为数据通道。 我们该如何应对？ Palo Alto防火墙不是一台UTM。Gartner称之为"下一代防火墙"。虽然它也像一台单独的IPS、反垃圾邮件、UTL过滤多功能设备一应运转，但是他们有两点主要的不同。 第一，所有这些功能特性可以同时打开而不影响设备的处理性能。它充分利用多线程技术和多核处理器性能同时对穿过防火墙的数据做各种检验处理和过滤操作。而传统的UTM设备先检查URL，再检查AV，，这样依次下去，这样，当各个特性都打开时，传统UTM的性能自然就会大幅下降。 第二点是Palo Alto防火墙与传统防火墙最显著的不同，Palo Alto防火墙首先基于应用签名过滤流量，而不是像传统防火墙那样仅仅基于端口号。也就是说，80端口和http流量不是直接相关的。任意端口上的web流量，无论它是聊天软件流量、文件传输流量或者bt及语音流量，都可以得到相应检查。端口号码并不是关键。 这是一个巨大的进步，传统防火墙并不能从web流量中区分出Farmville应用的流量(Farmville是一个来自Facebook网站提供的应用，它基于80端口，提供一些股票市场的信息)。而现在，你可以制定策略来允许web流量但是关闭Farmville应用。 一些Palo Alto防火墙的细节 接下来，你会发现一些Palo Alto防火墙的工作细节。这不是一个培训手册，也不是操作手册，更不是产品介绍和性能测试。我们的目的是揭示一些Palo Alto防火墙的独特特性。 注意：这些内容是基于PAN OS 3.0版软件系统的。3.1版本的一些新特性在这里有详细的介绍。 架构 Palo Alto防火墙有两个独立的处理器。一个负责设备管理，另一个负责网络数据流量的处理。两个处理器通过内部总线通信。 这种结构的优点是设备管理与网络流量的负载互相独立。 在Palo Alto的低端设备PA-500上，处理网络流量的处理器是一个独立的多核CPU，它的性能对于这种设备的吞吐量来说已经足够了。 而在支持更高吞吐量的设备上将有三个独立的专用处理器。其一是一个硬件加速网络处理器，其二，一个多核CPU与之相连处理SSL和IPSec流量，其三，就是flash-match引擎。 Flash matching引擎 Flash matching引擎是一个硬件实现的专业正则表达式解析器-专为在数据流量中检查签名而设计。这个引擎实现的算法使得每个查询都在一定时间内完成。它的优点就是速度可预测而不是尽力而为的快。这意味着随机产生处理事件不会带来混乱。 通过细致的分类，数据流量的检查时间被尽可能地节省下来。例如，如果我们需要检查的是指一种影响ICQ聊天的病毒，那么，我们的检查就无需检查ICQ聊天应用的数据流之外的流量。 这种具有上下文意识的模型匹配使得flash match引擎更加高效。 流式处理 当设计一种过滤设备时，你可以选择抓取一次会话的全部数据，然后扫描并转发，也可以像处理流式数据一样扫描和转发。Palo Alto防火墙是一种流式处理设备。这意味着每个数据片被尽可能快的处理和转发，而且并不受数据量大小的限制。相反，传统方法需要抓取全部的数据流量之后（占用大量内存资源）再进行处理，之后转发，这种方案显然将受数据大小的限制，无法扫描大型文件。流量处理将带来转发的延迟，与那些抓取全部数据后检验和处理的设备相比，流式处理显然会更加快速。 在真实世界，往往是多条流量同时到达等待处理，Palo Alto防火墙最擅长处理这种情况。假设100个500M大小的文件的流量混杂在一起同时到达了防火墙的一个接口。流量处理器将把这一个检查过滤工作分为100个独立的分支任务并行处理完成。而传统防火墙面对这一情况时，不得不想尽办法怎么在有限的内存中分配空间来对付这些文件。 安全区域和接口 为什么那些对Facebook有不同防火墙策略需求的人都在一个子网上？当然，答案是“没有原因”。因此，我们没有理由根据IP地址来限制安全级别。 Palo Alto使用"安全区域"的概念。 （安全区域是一种逻辑区划概念，只有将之与接口绑定在一起才有实际意义。） 多个逻辑接口可以在同一个安全区域。 一个单独的物理接口仅可以有一个安全区域。 一个物理接口可以是一个L3接口，处理IP转发。 一个安全区域可以是一个L3区域，那么，它仅仅包含L3接口。 可以将两个物理接口直接连接作为一个"虚拟线路连接"插入网络（无需IP），检查通过的数据（无需路由）。这些"虚拟线路连接"可以是"虚拟线路区域"的一部分。 不可以将"虚拟线路区域"和"L3区域"。 第三种接口是"tap"接口。tap接口仅仅检测流量收集信息而不像虚拟线路连接和L3接口那样控制流量。 你可以对L3接口做NAT和路由处理。 所有一个虚拟路由器中的L3接口共享一个路由表。 每个L3接口有一个IP地址。 一个转发流量的接口需要一个IP地址，一个安全区域以及一个虚拟路由器。 一个虚拟路由器是一个被静态、动态路由信息驱动的实例。 动态路由来自RIP或者OSPF 可以为一个接口赋予DHCP服务器或者DHCP中继能力 可以创建静态ARP表项。 任何L3接口可以作为管理接口。 任意两个安全区域之间所有的流量流动都需要策略配置。 (Adreaman注:上面这段安全区划和接口的介绍感觉与下一代防火墙的特点并不相关，介绍了一些具体的配置细节，也没有展示出什么特别高级的设计，感觉和当前Juniper netscreen的一些设计思路非常近似） To be continued 未完待续.. 相关阅读:次世代防火墙具备六功能企业需要带有入侵防御系统及应用可见的下一代防火墙魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了 http://adreaman.com/080101-expose-palo-alto-next-generation-firewall.html 一般人的头脑中或多或少对NAT都有所了解，但是往往只了解一些表面化的地址转换思路，但是具体到一些NAT转换的细节和具体场景，例如NAT Control、NAT 豁免、等价NAT，内部、外部转换场景，以及各种NAT的区别、特点等等，可能就会发现思路并不那么顺畅，所以，adreaman特意整理了这篇NAT关键概念的解析文档，以思科ASA防火墙的NAT配置为实例，梳理一下相关概念和应用场景。 NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址，达到修改或隐藏某些网络应用的地址的目的的一种方案。 Dynamic NAT 将报文的真实IP地址转换为预定义（地址池中）的映射IP地址，以达到在目的网络路由和隐藏真实地址的目的。只有来自真实地址一侧的报文才能建立这个转换连接。地址池中的地址可能少于需要转换的真实地址，一旦地址池中的地址用尽，Dynamic NAT就无法继续转换功能，此时可以配置后面介绍的PAT功能来完成（端口）地址转换。NAT将消耗一些目的网络的地址（就是地址池中那些），所以，如果目的网络的可路由地址有限，此方案难免捉襟见肘。 Dynamic PAT PAT功能将IP不同的报文的地址转换为一个同一IP的报文，但是IP不同的报文的端口号也将转换为互不相同。同Dynamic NAT一样，只有来自真实地址一侧的报文才能建立这个转换连接。PAT相对NAT节约了目的网络的IP地址（PAT甚至可以直接使用目的网络出接口的接口IP作为转换后的IP地址）。但是，PAT使得一些对端口号有特殊敏感需求的协议无法正常工作。 Policy Dynamic NAT 当使用一般NAT时，所有匹配指定源地址的流将被该NAT规则转换，而策略Dynamic NAT不直接指定源地址，而是使用一个ACL匹配流量，则可以指定ACL策略（可指定源、目的地址和源、目的端口），匹配该ACL的流被指定的NAT转换。这样，就可以实现更高级和复杂的流量分类分别转换。例如，同样是来自A主机的IP，访问服务器X的流量会被某NAT规则转换，而访问服务器Y的流量会被另一条NAT规则转换。 思科Dynamic NAT(PAT)的配置实现 Dynamic NAT(PAT)的配置需要NAT命令和Global命令两条命令配置完成。NAT命令中指定入接口、nat_id和真实IP地址范围，Global命令指定出接口、nat_id和转换IP地址范围（或单个IP做PAT）。转换时，先在匹配NAT配置中的入接口和真实IP，再根据转发策略（路由等）确定出接口，然后在Global配置中匹配出接口和nat_id，如果找到，则根据找到的global配置来转换。如果既找到了NAT也找到了PAT，优先使用NAT。NAT命令的接口、nat_id和IP三元组标识一个NAT配置，可以重复配置NAT只要两个NAT的三元组不完全相同。同样的，Global可重复配置，只要两条Global的三元组不完全相同。例如，同样接口同样nat_id的Gloabl PAT可以配置多个，只要使用的转换IP不同（这样就可以突破单个ip的IP只有大约64000个的数目限制了）。 举例（动态策略NAT）： access-list test-acl permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224 nat (inside) 1 access-list test-acl global (outside) 1 209.165.202.129-209.165.202.155 举例（动态NAT）： nat (inside) 1 10.1.1.0 255.255.255.0 global (outside) 1 209.165.201.10-209.165.201.20 global (outside) 1 209.165.201.5 Outside Dynamic NAT (bidirectional NAT) 外部NAT转换或称双向NAT 如果在某些网络应用拓扑中，需要NAT命令指定的接口的安全级别比对应（与之匹配）的Global命令指定的接口安全级别低，则需在配置NAT命令时，添加outside参数。这叫做outside NAT（外部NAT），或bidirectional NAT（双向NAT）。 static NAT （静态NAT） 动态NAT使用一组映射地址（地址池）动态地为真实地址做映射转换，与动态NAT不同，静态NAT是一种固定从真实地址到映射地址的转换。而且，静态NAT允许目的网络的主机发起连接的建立（当然，前提是从非安全网络到安全网络的流量还需acl的允许）。 思科static Policy NAT（策略静态NAT）的配置实现 配置一条ACL（使用access-list命令），这条ACL的作用是制定匹配的流量，如果流量是从真实接口侧向转换地址侧的，则流量的源地址匹配这条acl命令中的第一个地址，目的地址匹配acl命令中的第二个地址，反之，如果流量是从转换接口侧的网络到真实接口侧的网络，则流量的目的地址匹配这条acl命令中的第一个地址，源地址匹配acl命令中的第二个地址。然后，在一个static命令中指定这个acl。例如： access-list test-acl extended ... http://adreaman.com/0729cisco-nat-pat-key-concept-explain-and-sample.html 下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法，你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布，但是 Gartner 的魔术象限报告认为市场风向正在转变，曾经沉睡的市场开始复苏。 根据 Gartner Inc. 研究副总裁 Greg Young 的观点，现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此，他将公司定位为2010年魔术象限中网络防火墙的领导者。 那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺，这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能，Young 说道。 “用户需求现在已超出供应商研发水平几年了，”他说。“存在的共同问题是创新不足…… 客户一直在说，‘快点！我们急需这个功能！’而防火墙供应商太过于关注对手而不是[创新]。” 根据Palo Alto产品销售主管 Chris King 的观点，在企业中使用 Web 2.0 应用和社交网络 ——以及针对这些应用的安全威胁——已经转变了传统的防火墙概念。Palo Alto在今年发布了它的第一个魔术象限产品，它被称为是主导了一场“迫使市场领导者应对的市场破坏。” “防火墙的原始设计是，‘如果我能控制端口，我就能控制应用，’”King 说。“但现实情况是，每一个应用都能使用任何端口，而现在端口控制基本上没有意义了。如果您关掉 80 端口，那么您就关闭了您的业务 …… [所以]防火墙的确必须更智能。” 期望今天出现更真实的下一代防火墙 网络人员可以期望在今年看到更好的智能防火墙产品，Young 说。这意味着： 没有单独的 IPS —— 一个真正的下一代防火墙除了基本的防火墙功能，还将拥有“整合的高质量 IPS”，而不是将 IPS 作为一个单独的设备。 智能决策 —— 一个智能防火墙将以“将信息集中到防火墙中以便执行更佳决策”的方式工作，Young 说。“例如，如果一个 IP 地址只传输恶意软件 …… 那么为什么防火墙还要接收这个只发送攻击的位置的流量呢？” 不只是端口控制 —— 以前的防火墙是基于目标地址、IP 地址和端口号来应用策略的。下一代防火墙将分析每个 HTTP 和 HTTPS 请求，Young ... http://adreaman.com/0728mgic-quadrant-time-to-next-generation-firewall.html 第一代防火墙的日子屈指可数了，因为企业开始对这些网络安全设备的需求更多而不仅仅是标准端口和协议保护。 许多厂商和分析师谈论的下一代防火墙，设备都集成了传统防火墙性能以及其他网络安全性能，特别是应用层入侵防御系统（IPS）功能。 在最近的研究报告中，Gartner的分析师John Pescatore和Greg Young估计，目前所有企业互联网连接中的1%是被下一代防火墙保护。他们认为，到2014年，这个比例将上升到35%，其中所有新防火墙销售的60%都会是下一代产品。 定义下一代防火墙 许多厂商吹嘘他们的防火墙是下一代产品，但并不是所有的下一代防火墙都是一样的。该技术的定义有所不同，但大多数专家认为，在一个单一的设备中，多个网络安全功能的深层整合是必要的。 Forrester Research的高级分析师John Kindervag说，他将下一代防火墙视为统一威胁管理（UTM）。 下一代防火墙是网关设备，在决定是否允许通过一个端口时，它查看的不仅仅是第三层结构的包。它关注第三层至第七层并获取应用层可以理解的数据包，这使得它能够做出许多更复杂的决定。把这个决定做成功的关键是在于查看数据包一次，而不是将它从一个设备的功能传递到另一个。 “许多产品必须在防火墙打开数据包。如果数据包允许，它将重组包并将其传递到IPS，那么它的查看是在第七层而不是第三层，”Kindervag说。 “所有这些我们遇到的技术问题中，下一代防火墙模糊了UTM、防火墙和IPS之间的区别。它可以在一个简单的CPU，在一个时钟周期，单一路径或流内完成，所以有较低的时延。这具有成本效益，并且可能会逐渐取代多台设备。它拥有应用意识和用户身份意识，因此它可以提供更多的威胁信息预报。” 下一代防火墙可以整合网络安全操作 网络安全设备整合是John Shaffer决定从Juniper网络防火墙变更为Palo Alto网络防火墙的重要因素。Greenhill和Company合资财务咨询公司的全球系统和技术总监Shaffer说，他一向喜欢Juniper的防火墙，因为他们的易用性和VPN功能。但是，Juniper吹捧的作为下一代的IPS功能对他来说还不够稳固。 “我一直在寻找来自不同厂商的不同工具以对付恶意软件和间谍程序，这可能是拥有针对他们特定模块的任何供应商，”Shaffer说。“Tipping Point有它的模块，Blue Coat有它的模块。所以你需要拥有所有这些不同的模块并分开管理。这会变得有一些复杂。我们所关注的是能够阻止邮件。如何阻止它，从遵守的角度，还是从进入公司的角度？标准防火墙不这样做，因此你需要些别的东西。” “为像我们一样拥有相当小的IT部门【少于10名工作人员】，找一个可以将那些功能整合到一个单一单元的供应商，实在是很大的问题，”Shaffer继续说，“因为有大量的工作需要保持这些东西工作和稳定。” 他决定在他的网络部署Palo Alto公司的防火墙，因为该公司提供IPS功能和应用可见性。他说，其实市场上也存在一些独立的IPS模块，他们可能会有比Palo Alto防火墙更好的性能，但是这些模块可能不会被充分利用，因为他的资源有限。一个IT管理员分别管理防火墙，网页过滤网关和IPS模块，就不会有足够时间优化这三个模块，但他能最有效的利用Palo Alto的IPS功能，因为在一个模块中管理IPS和基本防火墙会更容易。 “Palo Alto的应用可见性给你提供了更加深入的了解，有关什么在运行和哪种类型的应用程序在运行，”Shaffer说。“但是你不能100%保证你不会使其它的东西通过。如果你有旅游的人，你就不能保证人们不会从外网获得一些东西，然后将其带入（公司网络）。我想要不断尽最大可能的阻止更多威胁，但我认为这很微妙。如果你阻止过多，那你需要工作的事情可能就会被阻止。” Kindervag说Plao Alto是市场上比较成功的下一代防火墙供应商之一，因为他的启动产品是相对较新。作为一个新的供应商意味着他不会有很多的遗留代码需要处理。它的硬件和软件是专为下一代功能打造。更多老牌厂商需要处理旧的代码库和旧的硬件架构，而且他们也不会从头开始研究新产品。 提防下一代防火墙噱头 一些较为传统的防火墙厂商正在逐步走向下一代设备，Kindervag说。 “Juniper网络公司，通过移动到JunOS，将有机会创造一些有意义的变化，”他说。“我不知道他们是否仍旧这样做。他们从ScreenOS到JunOS的过渡……尚未完成。” 在此期间，企业应当警惕厂商声称他们是生产下一代防火墙。每个人都有自己的定义，企业可能会发现他们的标准超过了一些供应商的。 “我认为目前很难通过市场炒作来降低影响，”Kindervag说。“你需要关注以下事情：查看硬件架构。转到下面的发动机罩，问是否有足够快的处理器来几乎实时处理这些所有通过第七层的数据包？因为我们不想让延迟来破坏应用程序，如VoIP。” 如果一个防火墙供应商使用的是传统服务器风格的硬件，他们拥有通用处理器，企业应该怀疑供应商能否得到所需的计算能力以查看来自多个层次的数据包，并执行所需的分析来完成企业寻找的所有下一代功能。 “另一件你需要关注的事是软件有多简练，”Kindervag说。“如果很难配置并难以管理，而且似乎是旧式产品，那它很有可能就是旧的。如果你需要做除了屏幕上命令行之外的很多事情，它很有可能是相当麻烦的旧代码，因为不会有人再创建这种接口的代码了。” 作者：Shamus McGillicuddy   译者：王波   来源：TechTarget中国 英文原稿 http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci1372865,00.html 相关阅读:魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了次世代防火墙具备六功能下一代防火墙 - Gartner报告 http://adreaman.com/0728application-visible-and-ips-next-generation-firewall.html 随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。 最近几年，传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。 首先，随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。如何“看清”应用中的内容并进行防御，这是对防火墙提出了新要求。其次，网络正在从千兆走向万兆甚至10万兆，网络带宽增长迅速，防火墙应有足够的性能和扩展性来应对这种变化。再次，随着远程办公的快速增长，要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，尤其重要的是能够识别加密过的数据。 显然，和其他网络设备一样，防火墙必须随需而变，升级到下一代防火墙，才能在变革的大潮中焕发新的生命力。 越“跑”越快 随着互联网的蓬勃发展，网络流量大幅提升，要求下一代防火墙必须具备更高性能、更低时延。Hillstone山石网科(以下简称山石网科)产品经理张龙勇向记者介绍，该公司的防火墙采用多核Plus G2架构和新一代的全并行流检测引擎技术，在同档的硬件配置下有多达5倍的性能提升。防火墙最高可达20万每秒新建连接、20Gbps吞吐量和1000万并发会话。 SonicWALL的下一代防火墙技术Project SuperMassive也采用大规模多核架构，运行于SonicWALL的多刀片机架之上。96核和384核的产品实施原型已经在Interop大会上展出。 SonicWALL首席技术官兼工程副总裁John Gmuender说：“面对不断增加的带宽速度以及互联网威胁的数量、频率及复杂性的不断上升，我们知道Project SuperMassive技术平台需要具备大规模的可扩展性。通过采用Cavium的卓越芯片技术，该平台可扩展到1024个核。同时，经安全与漏洞检测领先公司IXIA验证，其性能超过了40 Gbps。” 随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。 华为赛门铁克的高端安全网关设备则采用“NP +多核+分布式”架构，具备优异的防火墙性能，最多可支持8个业务处理模块，整机吞吐量可达到80Gbps，每秒新建连接数为160万，最大并发连接数为3200万。此外该系列产品还具备完善的VPN性能，目前业务处理模块并发隧道数量为4万，整机最高支持32万。 “性能与业务复杂度天生就是一对矛盾体，在一些要求较高的应用场合，就算是多核系统平台也很难做到功能、性能两全。”网御神州防火墙负责人王刚说。为了解决这个问题，网御神州的新一代防火墙基于“为多核加速”的设计理念，在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术。一方面，可编程ASIC加速引擎的引入，彻底解决了传统多核架构在网络层处理性能上的不足，尤其是“小包”处理性能的不足，可以达到64字节小包8G线速的处理性能; 另一方面，多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承;而多核负载均衡技术，解决了传统多核架构下由于没有高效的调度技术导致多核的并行处理效能无法得到充分释放的难题。多核负载均衡技术能够将需要应用层处理的流量按照比例分配到不同的CPU核上，最大程度地做到了多核间的并行处理， 大幅提升了设备的应用层处理性能，IPS吞吐可以轻松超过双向1Gbps线速。 看透应用 传统防火墙能够很好地防范网络层攻击。但是，随着富媒体应用的爆炸性增长，以及Web 2.0应用快速向业务环境渗透，隐藏在应用层中的恶意威胁越来越多，用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。 Check Point的工程师向记者介绍，Check Point防火墙软件刀片采用智能检查技术—INSPECT，将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议，可以方便地扩展支持新的应用程序和应用协议。 随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。 在深度应用安全方面，山石网科的防火墙可对P2P、IM、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种，而且随着应用的发展每天都在增加。应用特征库可独立升级，不影响系统的稳定性。而且，其采用交叉检测技术，不仅对协议进行深度的分析，还通过综合分析用户状态、应用状态和行为状态，来确认协议的真正含义，实现更精准和更快速的定位。 当前Web 2.0 应用使企业面临着新的威胁以及与应用检测和控制相关的策略与法规遵从问题。在迈克菲的新一代防火墙解决方案—McAfee Firewall Enterprise第八版中，迈克菲扩展了防火墙现有的应用保护功能，能够帮助安全管理员发现和识别数千种应用并执行相应的安全策略，传统的防火墙技术无法做到这一点。通过集成迈克菲基于云的实时全球威胁智能感知系统，迈克菲防火墙还可提供更详细的内、外部威胁和漏洞信息，降低法规遵从和运营成本。 SonicWALL的“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制。通过持续地运用和更新2700多个独特的应用签名，应用智能可以根据应用标识、用户/群组标识及内容标识来识别和控制流量，并通过建立针对进入和外出带宽管理的政策(不是简单的‘阻止/允许’方案)来管理流量。另外，与其他只提供应用控制的方案不同，Project SuperMassive将应用智能与入侵防御及恶意软件拦截组件集成到了下一代防火墙中，形成了一个功能强大的网络安全平台。 现在，企业的数据中心普遍采用了虚拟化技术，但是，伴随虚拟化技术而来的，还有其本身的安全隐患。安全厂商已经着手解决虚拟化的安全问题，例如迈克菲的防火墙现在既可用于传统设备，也可用于新的虚拟化硬件设备，甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境以及引入新的虚拟环境时，充分利用虚拟化技术来降低成本，提高灵活性，而不必担心安全性。 随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。 从“云”中获取能量 绿盟产品市场部崔云鹏曾向记者表示，云安全是利用云计算的技术，在分布式计算的基础上，部署中心服务器或者安全系统，并利用互联网，将各个安全节点纳入到云安全中心系统中。在这个体系中，各个节点将会有效地利用云安全供应商提供的强有力服务和安全能力，实现原先单一节点不可能实现的安全防护机制。 目前，应用威胁的数量众多，快速多变。传统安全设备的处理机制已经无能为力。因此，新一代防火墙需要引入云安全，利用云计算加强和加速防御，这是解决当前安全需要快速反应的重要手段。 思科的防火墙已经率先进入“云”时代，思科将其称为云火墙。思科安全产品事业部技术专家郭庆向记者介绍，云火墙具备4大特征，包括：防僵尸网络/木马，防止网络内部主机感染;云检测—全球IPS联动;云接入—SSL VPN; 云监控—唯一支持Netflow的防火墙，实现了NOC和SOC二合一。云火墙的“大脑”是SensorBase。SensorBase提供全球安全威胁实时视图和电子邮件的“信用报告服务”，还能敏感监控僵尸网络的动态。SensorBase所更新的信息同步到所有云火墙。各种安全信息不但可以从 SensorBase传到云火墙，还可以从云火墙传到SensorBase，云火墙中的IPS可以在第一时间把攻击同步给 SensorBase，SensorBase再同步给其他云火墙。 迈克菲的防火墙解决方案中同样使用了云安全—全球信誉技术，包括基于信誉的拦截和地理位置功能，可以在不需要的流量到达网络之前将其过滤，也就是在攻击发生之前将其阻止。 下一代防火墙的几个特征 防火墙一方面可以阻止来自互联网的对受保护网络的未授权访问，另一方面允许内部网络用户对互联网进行访问。 回顾发展历程，防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。状态检测防火墙实现了对数据包连接状态的监控，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息，来监控基于连接的应用层协议。然而，它只能粗粒度地识别来自应用层的攻击行为，也无法针对数据内容做检查。 用户对防火墙提出了更高的要求。下一代防火墙不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略，具备出色的可视化性能和控制能力，可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容，并进行相应的控制。 要做到应用的可视化，下一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流，在多核的基础上，各家厂商还设计了“NP +多核+分布式”、“多核+ASIC”等架构。 当云计算成为无法阻挡的趋势时，防火墙也将借助云的力量变得更强大、更智能，部分国外厂商已经推出了采用此类技术的防火墙。 虚拟化技术是对防火墙的更大挑战，在如何保护虚拟环境的安全性方面，少数防火墙厂商已经提出了解决方案，我们希望能有更多的解决方案出现。 转载自网络 相关阅读:下一代防火墙 - Gartner报告次世代防火墙具备六功能看防火墙进化，论次世代防火墙技术 http://adreaman.com/0728ngfw-points-discussion.html 随着网络安全威胁的手法越来越多，传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下，逐渐出现称作次世代防火墙（Next Generation Firewall，NGFW）的产品，不少调查机构与研究单位，也开始发表对于NGFW的定义。 这让人不禁开始想探究，到底什么样的设备，才能被称为NGFW？而NGFW又会替企业的网络架构带来什么样的改变？目前NGFW还没有一个肯定的定义，但是对于企业来说，很多现有产品和研究报告所归纳出来的线索，或许已经可以提供给企业使用者在选购符合未来需求的设备时，一条明路。 NGFW没有统一定义，但功能已有明确方向 虽然目前NGFW还没有一个统一的定义，不过很多功能已经是众所公认为NGFW应该要具备的功能。其中最重要的，就是NGFW必须要有能力辨识应用层，看到不同应用程序的流量；在这之后，还必须要能够针对不同应用内细部的不同功能，做到管控的能力。举例来说，可以把Skype的文件传输功能关闭，但保留其他的功能。 或许透过不同研究机构的报告，可以更贴切的描述NGFW该具备的功能。2009年10月，调查机构Gartner推出了一份名为”Defining the Next Generation Firewall”报告，里面对于他们心目中的次世代防火墙，就提供了几个应该具备功能的定义。Gartner列出的几点NGFW该具备的功能如下：能够做为封包检测或安全政策执行的据点；并且拥有传统防火墙的功能，如NAT、封包过滤、VPN、传输协定检测等。除此之外，NGFW还需要具备有IDP的功能，并且有能力和防火墙的功能互相沟通，必要时可以透过防火墙阻断危险的流量。 在这些功能之外，Gartner在报告中也特别提到了应用程序流量辨识的能力，并且把这项能力视为NGFW的重点之一。也就是说，NGFW必须提供可视度（Visibility），不光是像过去的防火墙一样，只是透过特徵和连接池的号码来管控流量，还必须有能力看得懂第七层应用层，辨识流经的不同流量，分别属于哪些应用、哪些人使用、透过什么装置使用等信息。 因此，该份报告中还指出，NGFW必须有能力取得其他设备提供的信息，进而透过这些信息达到阻断恶意流量的效果。举例来说，NGFW可能要能够和身分辨识的AD架构、RADIUS等设备沟通，取得使用者身分的信息，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，并且能够快速的辨识出使用者位在何方。 最后，报告中谈到，NGFW还必须具备客制化扩充的能力，如此一来，在面对新威胁时，才能快速的反应。Gartner这份报告，排除了传统 UTM和中小企业，并且也不列入DLP（Data Leakage Prevention）、Web安全闸道器、信息安全闸道器等功能，报告中认为，这些功能都不算是NGFW需要必备的功能。 不过另一个安全训练与研究机构SANS（SysAdmin、Audit、Network、Security）协会，所定义的NGFW，则又是另一番面貌。SANS在2009年2月发表了一份探讨NGFW功能的报告，在其中指出，NGFW应该是除了具备传统防火墙功能外，还能提供包括基础 DLP、NAC（Network Access Control）、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。 SANS还在该份报告中指出，现有市面号称为NGFW的产品，在DLP、NAC、SSL Proxy这三项功能的提供上比较欠缺，未来NGFW的发展，应该要往增加这些功能的方向前进。 同时，报告中也指出NGFW所能带来的优势与可能面临的挑战。首先，由于NGFW能够整合了多种不同功能在单一设备上，于是部分对于时效性要求特别高的功能，如IPS与防火墙的联防，就能更有效率，也比较不会有互通上的难度。举例来说，当网站过滤的功能侦测到有使用者连上恶意的网站，就能快速的透过防火墙阻断连线，或是导引到其他地方。报告中也指出，这一点优势是十分重要的能力，因为根据研究，当使用者连上恶意位址而感染了恶意程序后，一般来说网络上的安全设备，如IDP等，要发现这项威胁，往往都在感染已经发生了数天或数月之后，无法防范于未然。此外，这样的做法也可以省下多数设备的投资，提供企业经济上的效益；并且管理和控管上也更为简便。 不过SANS的报告中也明白的指出，反过来看，这会让企业的网络安全防护更容易倾向只依赖少数的厂商，因为功能都整合到单一设备上，有可能会是一个隐忧。另外就是效能的问题，要提供这么多功能，效能很有可能会是瓶颈。SANS的报告中并没有排除DLP功能和UTM设备，从这一点来看，该份报告所描述的功能细节比起Gartner更为详细，但相对的包含的功能也比较发散。 更灵活的架构与扩充性，也将成为重点 由上述两份针对NGFW所做的报告内容，应该已经可以掌握NGFW大概的方向。不过毕竟这些报告主要针对的还是网络上单点设备的描述，事实上，随着虚拟化技术的发展，网络安全的需求已经越来越需要从网络架构的整体面来考量。因此，我们还可以再进一步归纳出报告中没有谈到的重点，那就是灵活的架构与扩充性。 更灵活的架构除了前述报告中谈到的客制化能力，还有一点很重要的就是硬件资源透过虚拟化技术进行分配的能力。举例来说，NGFW很有可能有能力可以将多台防火墙串连虚拟为单一的防火墙设备，或是将单台防火墙虚拟为多台小型的防火墙，达到分开处理流量的效果。而同时这些虚拟技术，都将让NGFW 在分配硬件资源上更灵活，而不再受限于实体的限制。目前已经有不少网络安全设备厂商，已经在往这个方面发展，或是已经有类似的功能，如Juniper、 Fortinet等。 而为了达到更灵活分配硬件资源的目标，NGFW其实还有一个发展趋势很值得注意，那就是软、硬件功能脐带割离的趋势。未来的NGFW，功能将不会再受到硬件的限制，取而代之的，将会逐渐转向以”空白的硬件”的方式，让设备的扩充性更佳。 接下来我们将列出NGFW应具备的6项重要功能，这些功能都是透过归纳市面上的产品现状，辅以各家调查机构所列出重点的整理而成。 Gartner在报告中，建议企业现在在选择防火墙这样的设备时，已经可以逐渐往NGFW的功能考量。而整理出的这6项功能，也同样希望能够提供读者对 NGFW这个概念有一定的认识。 【转载自：eNet硅谷动力专稿】 相关阅读:下一代防火墙 - Gartner报告次世代防火墙具备六功能企业需要带有入侵防御系统及应用可见的下一代防火墙 http://adreaman.com/0728talk-about-next-generation-firewall-technology.html 随着网络安全威胁的手法越来越多，传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下，逐渐出现称作次世代防火墙（Next Generation Firewall，NGFW）。今天eNet安全频道就这种防火墙所应具备的几类功能强化进行归类总结如下： 功能1：具备应用程序流量识别能力，进而强化管理 传统的防火墙，是依照封包的来源、连接池等网络层第三、第四层的信息，进行封包过滤，像水闸门一样，减少网络被恶意程序攻击的可能性，但是次世代防火墙必须做到更多。 首先，次世代防火墙（Next Generation Firewall，NGFW）要有能力看懂第七层应用层的流量，识别不同的应用程序流量，而且还要再更进一步，还能够识别使用者的身分、装置等信息。也就是说，NGFW必须提供比传统防火墙更好的可视性，如此一来面对许多新型态的攻击，如僵尸网络等，才能有能力反应。 事实上目前市面上不少提供防火墙功能的安全厂商，已经具备有这样的能力。举例来说，Palo Alto的防火墙，就是以这一点为号召。Palo Alto亚太区业务副总林本国表示，现在Palo Alto有能力识别900多种不同的应用，并且能透过图像化分析每种应用流量的使用者使用时间、占用频宽等信息，也能进一步看到每个使用者连线的状况与报表，并且透过政策控管流量的通过。而以人为基础的报表，则能协助企业在发生问题时快速找到问题的症结点。 除了Palo Alto外，如Juniper等厂商，也能透过IDP模组的功能看到类似的信息，再辅以与身分识别的AD架构、RADIUS等服务器的沟通，就能做到辨识使用者与应用流量的功能。 这项功能之所以对于次世代防火墙来说非常重要，主要的原因除了先前谈到可以协助快速找出问题外，还有一个重点，就是只有透过提供这种可视性，才能协助企业在NGFW上，做到基础的网络存取控管（Network Access Control，NAC）功能。这将能协助企业在安全政策和阻挡大规模感染上更有效率，有能力将感染限制在一定区域。 而且不仅于此，事实上NGFW应该还要能够更进一步的能够针对特定应用的特定功能去管控，举例来说，在Gartner的报告中就写到，可以针对Skype这种应用，只关闭档案传输的功能，类似这样的能力才能算是做到对应用程序识别管理的能力。这样的功能，现在也已经有部分产品可以达成。 提供可视性，进而透过这样的深层封包检测能力去管理流量，是次世代防火墙和传统防火墙最大的不同。可以预见的，未来会有越来越多提供防火墙功能的设备商，往这个方向前进。例如Check Point在2009年就并购了一家名为FaceTime的厂商，根据Check Point台湾区技术顾问陈建宏的说法，这次并购就是为了让Check Point的设备，在未来能提供应用程序识别的能力。 功能2：软、硬件将逐渐不被绑死，能更弹性调配 次世代防火墙其实还有一个很重要的特性，就在于能够提供更弹性和灵活的架构。而软、硬件功能的脐带被分割，就是其灵活特性所展现出来的一个重点。 有别于过去的防火墙产品，买了硬件，软件的功能就固定无法变动，NGFW将能够松动这一环羁绊。NGFW为了更灵活的调配硬件资源，将会走向软件功能与硬件分开来运作的道路，这样一来，在扩充硬件时，就不会有过去受到局限的问题，购买的就单纯是硬件资源，而软件功能则直接做在原有设备上。 举例来说，使用者如果要增加防火墙的硬件效能，就购买硬件的模组即可，每个模组并不是单独的防火墙，而是可以分配给不同功能的硬件资源。所以购买进来的硬件模组，比如说有4个处理器的话，也可以把这4个处理器的运算资源分配给NGFW的其他功能。同样的，软件的功能也能依照使用的需求增加或减少，而不会因为购买了特定硬件，就必须使用特定软件的功能，例如购买防火墙模组的插板，该模组就只能当防火墙用。 Juniper香港／台湾区技术总监游源滨表示，这样的灵活架构设计，将能够减少传统防火墙所面临的模组负载平衡等问题，并且打破硬件模组就是相当于独立设备的局限，减少很多使用上的麻烦。事实上，现在包括Juniper、思科的产品，都已经在往这个方向前进。例如Juniper的SRX，以及思科的ISG R2，都推出了单纯的硬件模组支援扩充。而Fortinet台湾区技术顾问刘乙也指出，随着Fortinet设备虚拟化的技术发展，未来也很有可能会往这个方向前进。此外，Check Point现在也提供软件功能增减的能力，让使用者能够依据需求和硬件的效能状况，自由增减要执行的软件。 软、硬件功能的松绑，也有助于设备的虚拟化发展，无论是将多台设备虚拟为单台；或是将单台设备透过虚拟化切割成不同的小台防火墙，都能让NGFW具备更灵活与更弹性资源分配能力。而这样的能力，对于之後将要谈到未来支援云端架构的需求来说，十分的重要。 功能3：必须要有能力提供客制化的功能，对新的威胁快速反应 和先前谈到的概念类似，NGFW之所以要在架构上变得更灵活，其实很大的因素就是要让使用者能够更快的面对新的威胁。 传统购买安全设备，能提供的功能就是厂商宣称的那些，未来如果有新功能推出，如果不是能够模组化抽换的设备，可能就必须重新购买才能使用到新功能。此外，当企业遇到一些独特的需求时，由厂商协助提供客制化过滤器或功能的可能性也非常低，或者是难度非常高。 不过，未来的NGFW，在这一点上将会有所改变。首先，正如先前谈到，由于已经可以打破软、硬件绑死的局限，NGFW在提供客制化功能或过滤器等能力时，将会相对比较容易。不过Check Point台湾区技术顾问陈建宏指出，虽然如此，但是要企业自己有办法写出过滤器或是新增一些专属的功能，企业往往也难以拥有这样的IT人才。在这样的状况下，未来NGFW应该是保留住提供升级新功能的弹性，让设备厂商有能力协助企业使用者建立这样的客制化功能。 目前很多厂商都已经开始提供这样的功能，前面提到的Palo Alto、Juniper、思科、Check Point等，其实都已经有不同的方案可以协助企业做到这一点，过滤器的客制化还较为容易，但功能的增加现在可能难度仍高。NGFW保留这样的能力是必需的，这将能有效的协助企业解决许多自己遭遇的独特状况，针对安全情况做出更快速的反应。 功能4：能够支援云端架构动态变化的需求 随着虚拟化和云端的大趋势开始起跑，其实次世代防火墙也必须要有能力支援未来这样的新架构。Juniper香港／台湾区技术总监游源滨表示，这代表NGFW在硬件功能上必须要能够有些新的变化，比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬件资源的分配等，都会是云端运算架构中需要面对的问题。 他接着指出，NGFW必须要有能力承受更高的每秒用户连线能力，而不光只是支援更高的同时在线人数。游源滨说：“光有很高的同时在线人数，就像你虽然有一个大水池，可是却只能让水慢慢的流进去，否则水池就会垮掉。”而在云端架构的基础下，企业根本没有办法限制用户的连线数。 除此之外，虚拟化的防护，也会是NGFW需要面对的重点问题，如何让防火墙能够与虚拟层沟通，进而能够针对每一台虚拟机器的流量做扫描与阻挡，而不会将之视为单一的实件服务器，这会是NGFW必须拥有的能力。事实上，现在虚拟化平台厂商如VMware，就有VMsafe这样的合作计划，让资讯安全设备能够透过与虚拟层的沟通，做到前述的能力。 其他诸如横向扩充与硬件资源灵活分配的能力，我们已经在功能2谈过，就现在来看，NGFW在这一块技术的发展，将会以自身设备的虚拟化来达成。设备的虚拟化，将让NGFW的硬件资源，能够依照不同功能负载量的状况动态分配，这也能够满足云端的需求，例如防火墙需要更多的硬件资源，就分更多给这项功能；QoS需要更多的硬件资源，就分享更多的资源给它。这和传统模组各自独立，硬件资源无法共用的状况完全不同，也会是NGFW的一个重要特色。 目前像是Juniper SRX的作法，就是以单台虚拟为多台，让设备的硬件资源能够灵活分配的作法，减少管理难度与扩充的问题。而据了解，未来Fortinet很有可能推出的作法，则将会是以多台设备虚拟为一台的方式，来达到类似的效果，降低横向扩充的难度。 Fortinet台湾区技术顾问刘乙认为，支援云端架构，将会是NGFW的一个重要功能特色。而只有更灵活与更弹性的设计，搭配设备本身虚拟化的技术，才有可能达成这一点。事实上，思科的ISR G2，虽然主要还是以路由器为主要功能，但根据台湾思科业务开发经理张志渊的说法，未来也会提供原本Iron Port的许多功能，强化其安全上的能力。而其新设计的硬件模组概念，就是要符合NGFW更灵活与更弹性架构的想法。 功能5：能与不同装置共同联防 谈到安全设备间的联防，很多人的直觉是想到类似NAC的架构，甚至在贩售产品的经销商，都有人有这种想法，然后因为NAC不容易实现，赚不了钱，所以避而不谈区域联防这种概念。不过事实上，这是以偏概全的想法，区域联防并不是这么一回事。 NAC只是安全设备联防的一种形式而已，而NGFW概念中的区域联防，则又是另一种形式的想法。我们甚至可以这么说，NGFW必须要具备与其他安全设备沟通的能力，这才是未来发展合理的走向。在现在的网络架构上，就算你拥有一台宛如超级英雄般的无敌安全设备，也不能确保企业的网络架构能够安全无虞，因为不可能所有的流量，都流经单台设备。 在这样的状况下，NGFW势必必须拥有与其他设备的联防的能力，举例来说，若能与其他设备，或自己设备中的网站过滤功能沟通，那么当使用者连结上到含有恶意连结的网站，或者是违反企业安全政策的网站时，NGFW就能扮演阻断流量的角色，把威胁的可能性在发生前就截断，防患于未然。 其他诸如IDP等功能，如果能与NGFW互通，也同样能够发挥类似的效果。目前来看，市面上有能力做到这样联防的设备还不多，多数还以拥有众多产品线的大型公司为主，如Juniper。而NGFW也能透过与其他设备的互通，做到部份NAC的功能。如与和身分辨识的AD架构、RADIUS等设备沟通，取得使用者身分的资讯，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，并且能够快速的辨识出使用者位在何方。 总而言之，在威胁日益增多的现在，过去单一设备铜墙铁壁的想法已经行不通了，也因此我们在思考NGFW这样的概念时，不能落入这样的陷阱。这也是为什么与其他设备联防，会被视作NGFW重要能力的原因。 功能6：整合更多强化的功能 前面的几个必备功能，我们比较着重在整件架构面的观察。而NGFW其实还有一个能力不能不提，那就是必需整合更多强化的功能。 过去UTM这样类型的安全设备，由于硬件技术的不足，当功能全开的时候，往往会有效能大幅降低的状况发生。不过随着硬件技术的发展，处理器现在运算能力甚至不会比不可程序化的ASIC差到哪里去，这也使得单一安全设备整合多功能的可行性越来越高。而NGFW也因此可以预见，未来一定能够整合更多传统防火墙所没有的功能。 我们拿安全训练与研究机构SANS（SysAdmin、Audit、Network、Security）协会，所定义的NGFW来看，就会发现NGFW除了该具备传统防火墙功能外，还必须要能提供包括基础DLP、NAC（Network Access Control）、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。 不但拥有更多功能，NGFW的功能也还要更为深入，例如NGFW的IDP功能，应该要能够透过不同技术辨识流量，如Header- based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的过滤器。而在防蠕虫的功能上，则必须做到减轻试图直接瘫痪攻击的影响程度，以及不让蠕虫的扩散。并且要有能力针对电子邮件去设定阻挡政策。此外，还必须要拥有部份路由和交换等功能，QoS能力也应该要具备，并且要能够和辨识不同应用程序流量的功能结合，针对不同的流量做出不同管理。 【转发自：eNet硅谷动力】 相关阅读:魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了企业需要带有入侵防御系统及应用可见的下一代防火墙下一代防火墙 - Gartner报告 http://adreaman.com/0728six-functions-of-ngfw.html 防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0)，正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall，简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 一、什么是NGFW? 对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW至少具有以下属性： 1．支持联机“bump-in-the-wire”配置，不中断网络运行。 2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。 3．支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 举个例子，NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制，只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信，而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现，这意味着有许多NGFW可以识别和阻止不受欢迎的应用，即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为，消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。 二、什么不是NGFW? 现在有一些与NGFW相近，但不相同的基于网络的安全产品领域： 1．中小企业多功能防火墙或UTM设备：这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能，但它们不提供应用意识功能，而且不是集成的、单引擎产品。它们适合于在分支办事机构中节省费用，适用于较小的公司，但它们不能满足大型企业的需要。这类产品包括与低质量IPS搭配的第一代防火墙，其深度检查和应用控制特性，只不过同时出现在一台设备中，而不是紧密的集成。 2．基于网络的数据丢失防御(DLP)设备：这类设备执行对网络传输流的深度包检查，但将重点放在检测以前识别的数据类型是否经过检查点。它们在执行数据安全政策时没有实时要求，不能执行线速网络安全政策。 3．安全Web网关(SWG)：这类设备侧重于通过集成的URL过滤和Web杀毒，执行出站的用户访问控制和进站的恶意软件防御。它们侧重于在“使用任意协议的任意源到任意目的地”基础上，执行以用户为中心的Web安全政策，而不是网络安全政策。 4．消息安全网关：这类设备重点放在执行容忍延时的出站内容政策和执行入站防垃圾邮件和防恶意软件上，它们不执行线速网络安全政策。 尽管这些产品可能基于网络并使用类似的技术，但它们执行属于企业内不同运营部门的责任和权力的安全政策。Gartner认为，在IT和安全组织责任从根本上改变之前，这些领域不会融合在一起。 NGFW也不是“身份防火墙”，不是一种基于身份的访问控制机制。在多数环境中，网络安全部门没有在应用层上执行基于用户的访问控制政策的责任和权力。Gartner认为，NGFW将能够通过部门级合并身份信息来做出更好的网络安全决定，但它们一般将不用于执行细粒度的用户级执行决定。 三、NGFW将逐渐成功 目前，有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商，以及一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境，以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格，提供包含第一代防火墙和IPS特性的NGFW。 目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。 英文原文下载gartner-ngfw-research-note1 （转发自：计算机世界） 相关阅读:次世代防火墙具备六功能企业需要带有入侵防御系统及应用可见的下一代防火墙魔术象限(Magic Quadrant)称：部署下一代防火墙的时机到了 http://adreaman.com/0728next-generation-firewall-gartner.html 从google.com.hk的域名看起来，谷歌中国(google.cn，服务器位于北京)自动跳转到了香港谷歌，Google官方解释说从此搜索适用香港法律而不再过滤，而且，简洁的主页上也显著标明“欢迎您来到谷歌搜索在中国的新家”。但是，实际上此时访问的服务器并不在中国境内，而是架设在美国的加州Google总部。 可以看一下用just-ping测试的ping结果。 你也可以自己试一下ping google.com.hk ping: google.com.hk Location Result min. rrt avg. rrt max. rrt IP Singapore, Singapore: Okay 1.0 1.2 1.5 216.239.61.104 Amsterdam2, Netherlands: Okay 5.8 5.9 6.0 209.85.227.106 Florida, U.S.A.: Okay 15.1 15.2 15.3 74.125.67.106 Amsterdam3, Netherlands: Okay 5.3 5.4 5.6 209.85.227.104 Hong Kong, China: Okay 2.1 2.3 2.6 64.233.189.103 Sydney, Australia: Okay 132.5 132.7 133.6 72.14.203.147 Munchen, Germany: Okay 17.3 17.7 18.0 74.125.77.147 Cologne, Germany: Okay 4.2 4.4 4.7 74.125.39.99 New York, U.S.A.: Okay 6.5 6.7 7.3 66.249.90.104 Stockholm, Sweden: Okay 31.7 31.7 31.8 74.125.77.147 Santa Clara, U.S.A.: Okay 98.4 98.8 99.3 66.249.80.104 Vancouver, Canada: Okay 77.0 78.4 83.5 66.249.80.104 Krakow, Poland: Okay 38.6 39.2 39.6 74.125.77.104 London, United Kingdom: Okay 7.1 7.6 7.9 209.85.229.147 Madrid, Spain: Okay 29.6 29.9 31.8 209.85.229.147 Padova, Italy: Okay 33.5 34.8 39.6 209.85.229.99 Austin, U.S.A.: Okay 43.8 43.9 43.9 74.125.115.147 Amsterdam, Netherlands: Okay 4.7 4.9 5.2 74.125.79.99 Paris, France: Okay 21.7 22.3 22.9 74.125.39.99 Melbourne, Australia: Okay 14.4 14.9 15.9 66.102.11.99 Shanghai, China: Okay 58.7 59.1 59.5 72.14.203.99 Copenhagen, Denmark: Okay 22.7 23.1 23.6 74.125.79.104 Lille, France: Okay 18.4 18.7 19.0 209.85.229.99 San Francisco, U.S.A.: Okay 173.3 174.0 174.7 216.239.61.104 Zurich, Switzerland: Okay 27.4 27.6 28.3 74.125.39.147 Mumbai, India: Packets lost (10%) 29.5 30.3 31.9 209.85.231.104 Chicago, U.S.A.: Okay 11.7 11.9 12.1 209.85.225.103 Johannesburg, South Africa: Okay 269.7 271.5 282.0 209.85.227.103 Nagano, Japan: Okay 36.2 36.5 36.9 72.14.203.104 Haifa, Israel: Okay 76.7 77.9 85.0 209.85.229.104 Auckland, New Zealand: Okay 163.4 164.9 169.1 72.14.203.105 Antwerp, Belgium: Okay 8.4 8.8 9.3 74.125.79.147 Groningen, Netherlands: Okay 1.6 2.2 3.0 74.125.77.147 Moscow, Russia: Okay 37.9 38.1 38.5 74.125.87.103 Dublin, ... http://adreaman.com/0323google-hongkong-another-challenge.html Athlon3000+单核版不支持VT，所以无法用vmware虚拟机安装；用TransMac破解再leopard硬盘安装助手写入硬盘后用bootthink启动安装，启动10秒左右就自动关机（显示器有图象，-v无报错，但主板有明显的掉电关机声），可能是mach_kernel破解文件没用对，期间还找了ATA接口kext文件解决了阻止安装图标问题，删除掉电源管理kext解决了一个“四国问题”；换了一个mach_kernel再试，又遇到ACPI版本报错，升级了主板BIOS也搞不定；用2年前自己刻的一张曾经成功安装的老版本安装盘也没成功，进入安装界面前停止。 MacOS的PC破解版本对硬件较为挑剔，我们需要克服自己遇到的各种独特问题才能安装成功，看来，这需要一点运气。如果碰巧你和写安装教程的人的硬件相似，那成功的可能就会更大。 没办法，只好暂时放弃，本来还想试试iPhone软件开发的。 安装期间重点参考的帖子： http://bbs.weiphone.com/read-htm-tid-517742.html 本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。 http://adreaman.com/0319failed-to-install-snow-leopard-to-pc.html 一、简介 Failover是思科PIX防火墙的一种双机热备机制，用于在PIX发生软、硬件故障之后将用户业务快速倒换到备用机，并且由于备用机实时备份了系统的当前配置、TCP连接表等状态信息，所以进行倒换动作时用户不会感知到此次故障。PIX的面板上有指示灯表示当前本机处于主机状态还是备机状态。 二、应用场景描述： 两台PIX防火墙，同型号、同软件版本（PIX6.2以上）。 这两台PIX的inside口连接在一个交换机SwitchA上处于一个二层LAN，同样的，这两台PIX的outside口也连接在一个交换机SwitchB处于一个二层LAN中。SwitchA联通内网，SwitchB联通外网。两台PIX一台为主用状态一台为备用状态，主用状态的配置、TCP连接等信息将实时的备份到备用PIX上，一旦主用机发生软硬件故障，则自动切换到备用状态，原备用机升为主用状态，继续服务。 搭建Failover场景的两台PIX防火墙之间需要两条链接，一条叫做“Failover链接”，一条叫做“状态(state)链接”: 1、“Failover链接”用于在两台PIX之间传递主备协商消息和配置同步。可以用专用的failover串口线路来作为这个Failover链接，也可以用以太网连接作为Failover链接，前者叫做基于串口电缆的Failover（cable-base-failover），后者叫做基于LAN的Failover（LAN-based failover）。 A) 基于串口电缆的Failover：如果两台PIX的物理距离在6英尺以内，建议使用这种方式。这种专用的RS-232电缆一头标注着Primary，一头标注着Secondary，这样通过连接方式天然指定了哪台PIX作为主用设备。 B) 基于LAN的Failover：使用Ethernet链路作为Failover的链接，这个Ethernet接口就不能再同时用于其他用途。它的好处在于可以支持两台相距较远的PIX，并且配置的同步更快。 2、“状态链接”用于在两台PIX之间传递TCP链接状态等系统实时状态信息。状态链接仅支持用Ethernet链接。虽然这条状态链接也可以同时使用刚才介绍的基于LAN的Failover链接，但是建议为状态链接和基于LAN的Failover链接各准备一条各自专用的Ethernet链路。 三、配置实例： 实例一：使用基于串口电缆的Failover配置方案 1、用Failover串口电缆链接两台PIX设备，标有Primary的一端将作为Primary设备。（以下配置都在Primary设备上进行，Secondary设备无需配置） 2、选中一个Ethernet口作为“状态链接”的链路接口。假设选择了并nameif命名为state-if。 3、为接口配置IP。ip address state-if 192.168.2.1 255.255.255.0 4、配置接口的Failover IP。当本设备切换为备用机时，该接口将使用这个地址。此处无需配置子网掩码，但是必须与第3步配置的IP在同一网段。 5、明确指定这个接口为Failover使用的“状态链接”接口。failover link state-if 。 此处这个state-if就是我们之前命名的接口名称。 6、指定failover查询时间间隔。 failover pool 10  此处10表示查询间隔设置为10秒。可以配置3-15中任意的数值，不配置的话默认为15秒。 7、使能Failover。  命令为就是全局模式的failover。 8、启动备用机。 9、write memory。 这样，主备机分别将配置存储在Flash卡中。 实例二：使用基于LAN的Failover配置方案（基于LAN的Failover配置需要在主备机分别配置） 主机配置： 1、配置“Failover链接” 1.1 选中一个Ethernet口作为“Failover链接”的链路接口。假设将这个接口nameif命名为failover-if。 1.2 配置这个Failover链路接口的IP。注意，这个接口地址将一直使用在这台设备上，即使它切换为备用机时。 2、配置“状态链接” 2.1 选中一个Ethernet口作为“状态链接”的链路接口。假设将这个接口nameif命名为state-if。 2.2 为这个state-if配置IP地址 3、为接口设置Failover IP。当本设备切换为备用机时，该接口将使用这个地址。此处无需配置子网掩码，但是必须与接口的主IP在同一网段。注意：Failover链路的接口IP不会在倒换后发生切换，即无论怎样倒换，两台PIX的Failover接口的IP将一直保持两机备份系统初始时的值。 4、指定“状态链路”接口。failover link state-if 5、指定failover查询时间间隔。 6、指定本机为Primary设备（首次启动后作为主设备）。 7、指定“Failover链路”的接口。failover lan interface failover-if 8、指定failover通信的加密密钥。failover lan key string。其中string为密钥字符串。如果不配置本命令，将明文传输。 9、使能“基于LAN的Failover”。 failover lan enable。 不配置本命令时，即为默认的使用“基于串口电缆的Failover”。 10、使能Failover。 命令：failover。 11、保存配置  write memory。 备机配置：（相对主机的配置来说，备机只需要配置failover链路的相关配置） 1、选中作为failover链路的接口，并配置IP和nameif。假设nameif为failover-if 2、配置failover IP。 failover ip address failover-if 192.168.2.2 255.255.255.0 3、配置本机为Secondary设备。本配置不配也可，因为默认即为Secondary设备。 4、指定Failover链路接口。 failover lan interface ... http://adreaman.com/0310cisco-pix-6-3-failover-configuration.html ASA8.2版本组播支持stub组播（即PIX上原有的类似igmp代理的组播）以及PIM组播（真正的组播选路），但是二者不能同时配置，即一台ASA要么处于stub网络的igmp组播代理模式，要么处于pim功能模式（作为一个组播网络的节点）。本文仅介绍思科ASA8.2的stub multicast功能，不介绍pim功能。 1、全局使能组播开关 multicast-routing 2、配置静态组播表项 mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance] mroute src_ip src_mask input_if_name [dense output_if_name] [distance] 这两条命令都是配置静态组播表项的命令，区别在于第一个命令是为pim模式配置，第二条命令是为stub组播配置。本文不介绍pim模式，所以忽略第一条命令。 mroute src_ip src_mask input_if_name [dense output_if_name] [distance]中，input_if_name为上游接口，output_if_name为下游接口，下游接口接收igmp报文，并向上游接口转发。注意到此处只指定了组播源地址，不能指定组播组地址。distance参数指定该路由的优先级，在pim选择rpf接口时会比较静态路由的distance和单播路由的distance来进行优选。 3、disable接口的igmp功能 [no] igmp    此命令在接口视图下 在全局打开组播开关后，igmp默认是在所有接口使能的，可以用这个命令关闭接口的igmp功能。 4、配置igmp静态表项（接口视图下） igmp join-group group-address igmp static-group group-address 这两个命令都可以生成一个igmp组表项，出接口为本接口视图的接口。这两个命令功能非常相似，差别对于一般应用可以忽略不计。如果非要说有什么差别的话，static-group这个命令是创建一个静态转发表项，目的仅仅是转发组播流量；而join-group这个命令是将本机加入组播组，本机可以处理组播流量。 在组播源处ping（组播ping）使用static-group命令创建的组播地址是无法ping通的，即组播数据到了ASA就直接转发并未进入协议处理栈；而ping使用join-group命令创建的组播地址可以ping通，也就是组播数据得到了ASA的协议处理和响应。其实差别在于思科的实现细节，还是那句话，对于一般的应用这两条命令是没有区别的。 5、配置接口的组播acl过滤 igmp access-group acl 6、配置接口上支持的最大组播组个数 [no] igmp limit [number]   默认值500 7、配置igmp query查询间隔 igmp query-interval seconds 8、配置igmp query查询相应时间 igmp query-max-response-time seconds 9、配置igmp querier查询器超时时间 [no] igmp query-timeout [seconds] 不知道思科出于什么考虑增加这个配置，因为在PIX6.3中查询器超时时间（也就是igmp协议中的Other Querier Present Interval）是符合rfc标准的计算方式： ((the Robustness Variable) 乘(the Query Interval)) ... http://adreaman.com/0304cisco-asa-8-2-multicast-function-introduction.html 因为防火墙在网络中的位置特殊，处于内网和外网的连接点，即一个stub网络的外部接口点，所以PIX防火墙的组播功能要求比较简单，仅仅是一个类似igmp代理的功能，主要完成两个任务：一是在组播下游接口接收igmp报文并向上游接口转发，二是向这些接口转发组播报文，至于pim协议组播选路等相关功能是没有的。 下面详细介绍各个配置命令: 1、multicast interface interface-name 参数“interface-name”为接口名称。本命令配置名为interface-name的接口支持组播流量并进入该接口的组播配置视图。实际上类似于在该接口上使能了igmp功能，可以接收处理下游主机的igmp报文。 2、igmp max-groups n 配置该接口上最多支持的组播组数目。n的范围为0-2000，0表示不允许组播组加入。 3、igmp forward interface mc-source-if-name 本命令使能该接口igmp报文转发。参数mc-source-if-name为连向组播源的接口的名称，即组播RPF接口，实际就是将下游接口收到的igmp报文向上游转发的出接口。 4、igmp join-group group-address 参数group-address为组播组地址。本命令在该接口上使能“静态组播组加入”，即使下游主机未发送该组的igmp加入报文，防火墙也将向上游加入该组并向下游转发该组的组播数据。 5、igmp access-group acl_ID 参数acl_ID为访问控制列表ID。本命令为该接口配置acl过滤，只有该acl允许的组播组该可以在该接口上通过防火墙igmp join加入，如果该接口收到的igmp报文无法通过acl过滤则直接被丢弃。 6、igmp version {1 | 2} 配置接口支持的igmp版本 7、igmp query-interval seconds 配置接口的igmp query查询报文的发送时间间隔。 默认60秒 8、igmp query-max-response-time seconds 配置接口的查询最大响应时间。此参数和查询间隔参数共同决定下游主机加入的组的超时时间。本配置默认值为10秒。 9、[no] mroute src smask in_if_name dst dmask out_if_name 配置静态组播表项。手动指定组播源、组播源掩码、入接口、组播组地址和掩码、下游接口。 10、clear mroute [src-addr | group-addr | interface interface_name] 清除指定的组播静态表项。 相关阅读:思科ASA防火墙8.2版本的组播(不含PIM)介绍思科PIX防火墙(6.3版本)的Failover双机热备功能及配置简介一个简单的思科ASA防火墙LDAP认证的实例 http://adreaman.com/0303cisco-pix-6-3-multicast-function-introduction.html 在网上偶然看到一个有趣的小题目，为什么照镜子只是左右反转而不是上下翻转，感觉这是一个很有趣又不好解答清楚的题目，而且该文给出的解释也比较粗略，我就将自己琢磨的理解记录下来吧。 首先，让我们左手戴上红手套，右手戴上绿手套，占在镜子面前，看自己在镜子中的映像，会发现镜中人的左手是绿手套，而右手是红手套，这种情况就是“左右翻转”，是我们习以为常的。但是，我们为什么没有看到镜中人的头部朝下，脚部朝上呢？ 实际上，我们身体的任何一个部分，对于镜面反射成像来说都不会有什么不同，镜面不会针对我们的头和脚做出不同于针对双手的特别反射。 那为什么镜子中的人像不是上下颠倒的呢？ 让我们再做一个实验，甲以面朝镜面的姿势横躺在镜面前的地上，平张双臂，乙正常站立在他的身后，假设甲的头部在乙左手边，甲的脚部在乙的右手边，即乙的头部在甲的右手边，乙的脚部在甲的左手边。即甲头和乙左在一点，甲脚和乙右在一点，乙头和甲右在一点，乙脚和甲左在一点。假设二人都是左手红手套，右手绿手套。则现在甲的红手套在乙的脚部，甲的绿手套在乙的头部，乙的红手套在甲的头部，乙的绿手套在甲的脚部。 现在，甲看到镜中的自己自己左手绿手套，右手红手套，即左手和右手发生对调翻转。但是，乙看到镜中甲的红手套依然在乙的脚部，绿手套仍然在乙的头部，而乙自己的头部仍然向上，脚依然向下，并没有任何翻转变化，所以，乙认为甲的左手和右手没有发生对调。 为什么会发生这样矛盾的情况？仔细分析上面一段话，实际上甲是先站在镜中甲的角度，然后以镜中甲的方位分出了左右手，然后给出了绿在左手、红在右手的答案；而乙是先以乙的头部和脚部形状的不同（或头指向天空，脚指向大地）分出了上下方向，然后根据这个上下方向给出了绿在上，红在下的答案。 可以这样解释：“左右”是以人的主观为中心的相对概念，而“上下”是在宏观体系中的一种“绝对”概念。 本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。 http://adreaman.com/0209100why-mirro-image-reversal-left-right-but-not-up-down.html 本文是Adreaman根据思科ASA8.2配置文档手册中的L2TP和PPPoE功能介绍整理出来的，介绍思科ASA（软件版本8.2）防火墙中PPPoE/L2TP这两种VPDN特性的配置步骤。可与本博客之前介绍的《思科PIX防火墙VPDN拨号配置命令整理》对比查看。思科ASA防火墙支持作为PPPoE客户端拨号，支持作为L2TP服务器接受拨入，并且，仅支持L2TP over IPsec方式拨入，不支持纯L2TP方式拨入。ASA思科文档中未介绍PPTP，并且命令行中也去掉了PPTP的部分，应该已经取消了对于PPTP的支持。 注：本文并非个人真实配置步骤的记录，而是思科配置手册的分析和注释，旨在帮助我们理解一个整体的配置思路。 一、 PPPoE的配置 1.1 定义PPPoE服务VPDN组 vpdn group group_name request dialout pppoe 1.2 指定PPP认证使用的协议 vpdn group group_name ppp authentication {chap | mschap | pap} mschap只支持v1。 1.3 将PPPoE客户端用户名绑定到该VPDN组 vpdn group group_name localname username 1.4 为用户指定密码 vpdn username username password password [store-local] 1.5 接口使能PPPoE功能 接口视图下 ip address pppoe [setroute] 注：相对于PIX6.3，此命令已经转移到接口视图下，所以无需指定接口名作为参数。 1.6 为接口指定VPDN组 接口视图下 pppoe client vpdn group grpname 注：PIX6.3下没有这个命令，如果不用此命令指定VPDN group，将随机使用一个VPDN组。 1.7 启动PPPoE，但是由用户指定IP地址 接口视图下 ip address ipaddress ... http://adreaman.com/0208httpadreamancom0129asa-8-2-vpdn-l2tp-pppoe-configurationhtml.html 最近Adreaman在学习IPsec VPN，看到CA这部分内容后，本想总结一下CA的应用，结果一下子就带出了一系列的关于建立一次安全连接的场景和技术点，希望能以这样简明的形式和通俗易懂的语言把自己的一些理解分享给大家。 CA，是certification  authorities 的缩写，中文字面意思为“权威认证”，是一套管理认证请求和发放数字证书的机制，也可以引申为CA的实施机构或一台CA服务器。举例来说，一个“陌生人X先生”向CA申请自己的数字证书，CA在核实它的身份后为他发放了经该CA认证授权的数字证书。这个数字证书中包含了可以识别该用户（或设备或其他实体）的信息，例如它的姓名、设备串号、所属公司、IP地址等等。也就是说，一旦从“X先生”那里拿到CA给它发放的证书，你就可以知道“X先生”的信息并对这些信息坚信不移，当然前提是你绝对信任这家CA机构。 现实世界中的CA举例：VeriSign，这是一家著名的Internet在线CA服务提供商，在它那里申请的证书是受到世界的广泛认可和信赖的，当然申请者将为此付出美刀的代价，大概万元人民币/年。类似的CA服务商还有很多，国内也有，但是可信赖度和认证级别就有差异了。除了服务商之外，用户如果仅需要在一个较小的范围内行使CA认证功能，也可以自己假设私有的CA服务器，要求在一个自己划定的”特定信任区“内绝对信任该CA服务器即可。这类服务器，包括Entrust、Baltimore、Microsoft等公司提供的CA服务器和软件产品。 下面具体以一个较真实的场景介绍CA的应用过程。 Alice和Bob希望建立一次”安全“的聊天，所谓”安全“就是聊天内容不被别人看到，要达到这一目的，首先就要将聊天内容加密。 加密就要用到密钥（英文称为Key）。说到密钥，一类是对称式密钥，一类是非对称式密钥。对称密钥是指加密者使用密钥Key加密信息，解密者也使用这个密钥key解密信息。而非对称密钥是指，加密者使用密钥key1加密，而解密者使用密钥key2解密。 如果Alice和Bob要使用对称式密钥加密他们的聊天信息，则前提是两人都知道这个密钥，双方怎么约定这个密钥（更正式的说法叫做密钥的传递）是秘密能否保证的关键，因为一旦密钥在”传递“过程中被别人窃听、盗取，则使用密钥加密也就无异于掩耳盗铃了。Diffie-Hellman密钥交换技术为我们提供了一种很好的交换密钥的方法，这种方法使得我们可以”在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密钥“，也就是说，在一次公开场合的谈话中，Bob和Alice彼此互相知会了一些信息，利用这次交谈的信息，Bob和Alice都可以经过计算得到同一个信息，这个信息就可以作为密钥，而一旁偷听这次谈话的人无法计算到这个密钥信息。具体的算法就不在这里介绍了，维基百科中的介绍很具体很清楚。 而非对称加密则是这样的场景：Alice有一对密匙（两个），用一个密钥加密的信息可以（且仅可以）用另一个解密回来，同样的，Bob也有一套这样的密钥对。这样，Alice可以把自己的其中的一个密钥正大光明的告诉Bob，Bob也可以把自己的一个密钥告诉Alice，而根本不怕别人知道密钥的内容。因为在”安全“的聊天时，Alice把自己要说的话用Bob告诉自己的那个密钥加密后发给Bob，Bob收到后就可以用他自己未公开的那个密钥解密，同样的，Bob也可以把自己要说的话用Alice告诉自己的那个密钥加密后发给Alice，Alice收到后就可以用她自己未公开的那个密钥解密。RSA就是这样的一种非对称加密算法，具体RSA算法还是请你认真查看维基百科的RSA条目。 有了这样的对称密钥或非对称密钥，我们的秘密聊天计划是不是很完美呢？ 很遗憾，回答是No！Alice和Bob还是很危险！ Alice在开心的用上面的方式和Bob交换密码时，有没有想过一个问题，那就是，对方是Bob吗，真的是吗？ 如果一开始跟你协商密码的人就是FBI的特工，厄，那Alice可就危险了。。。 所以，我们前面说到，”所谓‘安全’就是聊天内容不被别人看到，首先的就要将聊天内容加密“，而接下来就是另一个重点，如何保证对方的身份，也就是”身份认证“。 Alice和Bob可以事先协商好”天王盖地虎“之类的口令来认证对方。就好像我们输入Login密码登录计算机一样，这种方式叫做预先共享认证，也就是我们彼此已经事先知道认证口令。这种方式就将安全建立在口未被盗取的前提下了，假如叛徒将Bob的口令泄露给了FBI，噢，可怜的Alice。。。 还好Alice还有别的办法。前面介绍的非对称加密算法在这里也有用武之地，Bob将自己的名字用自己未公开的那个密匙加密后发给Alice，然后Alice用Bob公开的那个密匙解密，解开后一开，是”Bob“。因为这个世界上只有Bob的那把私有密匙加密后的信息是可以用Bob的公开密匙解密的，而且Alice用这把公钥加密的信息只有Bob用他的私钥才能解开。也就是说，非对称加密算法中，用公钥加密用私钥解密就可以用来加密信息，而用私钥加密用公钥解密就可以认证对方是私钥的主人。所以，这下对方应该是Bob无疑了吧。 但是，有一个前提，那就是Alice用来解密的那把Bob公开密匙千真万确、实实在在的是”真正的Bob“拥有的那把。因为，截止目前为止，这把用来解密的公开密匙也是目前这个”Bob“给Alice的。怎么办？ 一切的信任都必须建立在另一个信任之上，所以，我们只能”定义“一个可以绝对的信任”机构“，它将是世界上公认的最公正的”机构“，而且NB哄哄的FBI也无法干扰它的公正。这个”机构“会有一个普天皆知公钥，有一个只有它自己才知道的私钥，当它发布信息时用它的私钥加密，然后大家收到信息后如果可以用”普天皆知“的那把公钥解开，就可以信任这确实是该机构发布的信息。 这样，如果该”机构“可以证明Alice手中的那把Bob的公钥确实是Bob的，一切问题就都解决了。怎么证明，就是用我们一开始介绍的”证书“，这家机构的角色，就是CA。（终于绕回来了） Alice、Bob以及同样需要”安全聊天“的千千万万的人，都向CA申请一个”证书“，证书中记录了自己的公钥，以及一个用这把公钥加密过的自己的信息（这些信息最好能唯一的和该用户关联起来，而CA必须严格保证”证书“中这些用户信息的可靠性），然后这些信息（也会加上一些CA的信息）由CA用CA自己的私钥加密，这样，一个”证书“就做好了。 这样，Alice和Bob的聊天，可以”安全“地开始了。 小花絮：之所以加解密技术的书籍都喜欢用Alice和Bob这两个人来举例，据说是因为当年FBI的密码学者曾经密切监视过两个叫做Alice和Bob的人的秘密联络。:) 本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。 http://adreaman.com/0130how-to-establish-secret-session-with-cryptology-rsa-ca.html 本文是Adreaman根据思科PIX6.3配置文档手册中的VPDN功能介绍整理出来的，介绍思科PIX（软件版本6.3）防火墙中PPPoE/L2TP/PPTP这三种VPDN特性的配置步骤。思科PIX防火墙支持作为PPPoE客户端拨号，支持作为L2TP和PPTP服务器接受拨入，并且，仅支持L2TP over IPsec方式拨入，不支持纯L2TP方式拨入。 一、PPPoE的配置 1.1 定义一个PPPoE拨出服务的VPDN组 vpdn group <name> request dialout pppoe 其中 name为用户自定义的该VPDN组的名称标识，最大长度为63字节。 1.2 指定PPP认证方式 vpdn group <name> ppp authentication pap|chap|mschap 其中mschap仅支持1.0版本。PPP协商的认证阶段将使用此处指定的认证协议来进行认证。对于一个vpdn group，可以使用本命令配置多个认证协议，例如，可以依次指定pap、chap，或支持全部三种认证协议。 1.3 输入拨号用户的用户名 vpdn group group_name localname username 其中 username为发起拨号请求的用户名称，即拨入ISP的用户名。该配置的主要作用是将拨号用户与该VPDN组关联起来。 1.4 输入拨号用户名和密码 vpdn username username password pass [store-local] 其中username和pass即为用户名和密码。此命令的作用是为之前指定的用户设置密码。store-local选项的作用是将密码存储在NVRAM中，而不是存储在配置中。此store-local选项应该是仅为PPPoE使用，PPTP和L2TP不使用此参数。 1.5 重启PPPoE客户端服务。 ip address ifName pppoe [setroute] 仅支持在outside口启动。不支持和DHCP一起工作，因为PPPoE获取IP地址。setroute选项的作用是如果没有默认路由，则将根据拨入PPPoE服务器的地址创建默认路由。MTU将被自动设置为1492。 1.6 启用PPPoE客户端，但是不使用PPPoE服务器分配的IP地址，由用户指定IP和掩码。 ip address ifname ipaddress mask pppoe ifname、ipaddress、mask为用户配置的参数。 1.7 show命令。 show ip address outside pppoe  文档没有详细介绍，思科PIX模拟器有此命令。 show vpdn tunnel [l2tp|pptp|pppoe] [id ... http://adreaman.com/0129pix-6-3-vpdn-l2tp-pppoe-pptp-configuration.html 网络拓扑如下图：防火墙左侧为inside网络，网段10.100.1.x/24，其中有一台主机IP为10.100.1.2；右侧为outside网络，网段为209.165.202.x/28，有一台主机IP为209.165.202.129。 [caption id="attachment_94" align="aligncenter" width="500" caption="NAT转换实例图"][/caption]   1、下面的命令为一个动态内部NAT转换： global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224 nat (inside) 5 10.100.1.0 255.255.255.0 当inside网络中10.100.1.0/24网段的主机向outside网络的主机发送IP报文时，源IP地址由10.100.1.0/24网段的IP变为209.165.202.140-209.165.202.141范围的某个IP，并为这次转换建立转换表。 当outside网络中有主机向209.165.202.140-209.165.202.141网段发送IP报文（即目的地址为209.165.202.140-209.165.202.141网段的IP地址）时（路由下一跳指向inside网络），则将查找到之前建立的转换表，并根据转换表将目的地址逆向转换为10.100.1/24中的某IP。 2、下面的命令为一个静态内部NAT转换： static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0 当inside网络中IP为10.100.1.2的主机向outside网络的主机发送IP报文时，源IP地址由10.100.1.2变为209.165.202.135，并为这次转换建立转换表。 当outside网络中有主机向209.165.202.135这个地址发送IP报文（即目的地址为209.165.202.135）时（路由下一跳指向inside网络），则将查找到之前建立的转换表，并根据转换表将目的地址转换为10.100.1.2。 3、下面的命令为一个静态外部NAT转换： static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0 当outside网络中IP为209.165.202.129的主机向inside网络的主机发送IP报文时，源IP地址由209.165.202.129变为10.100.1.3，并为这次转换建立转换表。 当inside网络中有主机向10.100.1.3这个地址发送IP报文（即目的地址为10.100.1.3）时（路由下一跳指向outside网络），则将查找到之前建立的转换表，并根据转换表将目的地址转换为209.165.202.129。 当然，对于外部NAT转换，要允许outside网络访问inside网络，还需要ACL允许，对于本例就是： access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0 access-group 101 in interface outside 如何区分一个NAT转换是内部转换还是外部转换？ 对于动态NAT来说，nat命令中指定的接口的安全级别比global命令中指定的接口的安全级别高，即为内部NAT转换。global命令中指定的接口的安全级别比nat命令中指定的接口的安全级别高，即为外部NAT转换。 对于静态NAT来说，static命令关键字后面的小括号中，前面的接口安全级别比后面接口的安全级别高时，为一个静态内部NAT转换，当后面的接口安全级别比前面的接口的安全级别高时，为一个静态外部NAT转换。 内部转换是转换出站流量的源IP，转换入站流量的目的IP。外部转换正相反，是转换入站流量的源IP，转换出站流量的目的IP。内部NAT转换直接即可打通流量，而外部NAT由于安全级别的限制，必须先在外部接口上用ACL允许入站的外部流量。 相关阅读:思科NAT(PAT)转换的一些关键概念解析和实例思科交换机DHCP功能和使用简介一个简单的思科ASA防火墙LDAP认证的实例 http://adreaman.com/0127internal-external-nat.html 领导大人（注：自家行政区划）曾经说我“在电脑旁一坐可以一天不动窝，只要给你备好粮食和水就不用管了”，在电脑旁我不生事、低消耗，真是绿色又环保。为什么我能在电脑旁久坐不腻，好似僧人打坐？ 通过电脑，我们要么是查看资讯，要么是游戏娱乐。现在网络资讯繁多，无论是新闻资讯还是娱乐方式都是前所未有的丰富，让人应接不暇。就拿今天为例，我的思维就通过电脑的浏览器，穿越网线电缆、无线电波就来了一次漫长的神游之旅。 最近因工作相关，需要补充一些VPN技术的知识，首先要研究一番的就是VPN的一种封装技术IPsec，而IPsec中密匙相关的IKE又是保证IPsec的安全核心技术点，要研究IKE就涉及到DES加密、RSA非对称加密、Deffi-Hellman公匙交换、CA认证等一系列密码学知识，翻阅加密技术资料时又会关联到一些解密技术，这一下又扯出了量子计算机（因为这是密匙破解的一个重要发展方向）。 当我查看量子计算机的维基百科时，发现两位维基编撰者为应该是“量子计算机”还是“量子电脑”争论不休，一说是量子电脑是台湾习语，一说是错误定义，不得不增加关于“电脑”和“计算机”的大陆、台湾说明，此间还有编撰者就是否应为台湾后加“地区”二字而修编文档，直看得我不由得对维基百科的管理者担忧，这种非常易于产生争议的有关政治、民族、宗教的百科条目，怎么才能保证条目解释的正确性、权威性以及稳定性啊！ 所以，不由得又敲入了“台湾”来维基一把，重点关注编撰者对“台湾”这个条目的修改历史记录。修改次数果然很多，虽然并没有大规模的有政治倾向的语言暴力冲突，但是大家也是对一些个敏感引述、推论修改得不亦乐乎。总的来说，大家口头上还是标榜自己正在“尽力保持客观和中立”。看来大家都是合格的外交家。风起云涌的网络愤青以及我党宣传部门似乎还没有重点关注这里。 而我顺带着温习了一下有关台湾的历史人文。 暂时到此小结一下吧，这就是“宅男”的一次小小的思维之旅，肉身静坐的我思绪飘过何止千里万里，在上述“思”绸之路的每个节点上，我都尽量地穷究深考，确实也收获颇丰。 本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。 http://adreaman.com/0123homeboy-diary.html 接上文  三、应用/Service(启用策略服务) 3.1定义应用服务 命令：service-policy policymap_name 视图：pmap-c视图 说明: 为本match匹配的流量启用policymap_name指定的策略。 3.2启动应用服务 命令：service-policy policymap_name  global | interface intf 视图：全局视图 说明: 为指定的接口启用policymap_name指定的策略。global表示为所有的接口启用该policy。 3.3默认策略介绍 默认策略，初始化配置下show service-policy可以看到系统的默认MPF策略： Global policy:   Service-policy: global_policy     Class-map: inspection_default       Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0       Inspect: ftp, packet 0, drop 0, reset-drop 0       Inspect: h323 h225 _default_h323_map, packet 0, drop 0, reset-drop 0       Inspect: h323 ras _default_h323_map, packet 0, drop 0, ... http://adreaman.com/0116cisco-asa-firewall-mpf-framework-introduction-2.html MPF（Modular Policy Framework, 模块式策略框架）是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成，分类（class）、策略（policy）和应用（service），其中分类是将报文分类的机制，定义各种灵活的规则将报文划分为不同的“流”；策略是对“流”采取的“动作”；应用（service）是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect（即fixup）功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富（旧版本的fixup和filter过滤命令依然存在，以向后兼容）。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。 一、分类/class(匹配L3/L4流量) 1.1创建class 命令 ：class-map cmap名称 视图：全局配置视图下 说明： 定义class map。cmap名称长度在40字符以下，输入此命令后将进入config-cmap视图，即进入此L3/L4流量cmap的配置视图。 命令： rename cmap新名称 视图： cmap视图下 说明： 给cmap改名 命令： description text 视图： cmap视图下 说明： 给cmap增加描述说明文字（200字符以下） (除了Match一个VPN Tunnel组和Match一个默认流量(default-inspection-traffic)之外(这两种分类在后面会介绍)，一个cmap只能match一条匹配规则) 1.2匹配端口 命令： match port {tcp | udp} {eq port | range start end} 视图： cmap视图 说明： 根据port范围定义match规则对流量分类匹配。指定match的端口号范围和TCP/UDP方式。 举例： Firewall(config)# class-map class_http Firewall(config-cmap)# match port tcp eq http Firewall(config-cmap)# exit Firewall(config)# class-map class_sip Firewall(config-cmap)# match port udp eq sip Firewall(config-cmap)# exit 1.3匹配ACL 命令： match access-list acl名称 视图： cmap视图 说明： ... http://adreaman.com/0116cisco-asa-firewall-mpf-framework-introduction-1.html Google退出中国市场（链接1，链接2）也许是玩真格的吧，我无法预知这一事件是将逐渐平息在人们的记忆深处，还是会如多米诺一般触发连锁反应。现在只能稍加整理一下如果google退出、取消某些国内服务，甚至全面地被中国惩罚性地GFWed，将对我们国内网民产生什么影响，这也可以从一个侧面反应出此事的性质。 1、Google网站提供的功能： 包括网页、图片、视频、博客搜索引擎。 Gmail电子邮件服务 google地球、google地图（PC版、手机版） 翻译、图片（Picasa）、图书、代码、日历（calendar）、文档（Docs） 2、软件类： google浏览器chrome、拼音输入法、google桌面、Gtalk 2、操作系统 Android操作系统（移动终端如智能手机、上网本等已广泛使用Android系统，涉及国内市场中的国内外终端厂商和电信运营商） 3、网络操作系统 ChromeOS，未来云计算的重要门户,包括接入ChromeOS的各种客户端终端。 4、其他 Google Adsense广告业务 涉及国内投资购买了Google广告业务的厂商以及众多展示GoogleAdsense广告获取收入的网站。 目前还不清楚Google退出的方式（关闭cn域名、撤销中国分部、关闭与中国相关业务）以及范围（是否包括台湾，是否影响对中文的服务？），但是仅仅罗列上面的若干深入社会文化、经济、科技领域的服务和产品，就可以想象一旦此次google退出的动作巨大，即将对众多领域造成深远影响，但是，更加可能的是，所谓Google退出中国，仅仅是“谷歌”公司的自我消亡，在中国的Google将重回2006年“谷歌”诞生之前而已，那样的话，于我们而言，Google并未发生什么惊天动地的变化，因为其实“谷歌”!=“Google”。 Let's continue our Google. 相关阅读:香港谷歌？No，是美国Google。 http://adreaman.com/0114google-quit-china.html 思科的filter过滤可以分为内容过滤和URL地址过滤两个大的方面。 内容过滤包括ActiveX和JavaApplet的过滤，功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序，因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。 先来了解一下HTMl中包含ActiveX和JavaApplet等对象的标准，只有知道他的标准格式，才能对其进行完美的过滤。 http://www.w3.org/TR/WD-object-970218 http://htmlhelp.com/reference/html40/special/object.html W3C的标准文档http://www.w3.org/TR/WD-object-970218介绍了如何在HTML文档中插入多媒体对象(Multimedia object. 包括Java applet、微软的组件对象模型COM-例如一些Activex控件、或其他一些媒体插件)的标准方式。该标准定义了一个新的元素"<OBJECT>"，这个元素为嵌入各种多媒体对象提供了通用的解决方案。 插入JavaApplet例子     <OBJECT        CODETYPE="application/java-vm"        CODEBASE="http://host/somepath/"        CLASSID="java:program.start"        HEIGHT=100        WIDTH=100     >     <PARAM NAME="options" VALUE="xqz">         Your browser does not know how to execute Java applications.     </OBJECT> ActiveX例子     <OBJECT        id=clock1        classid="clsid:663C8FEF-1EF9-11CF-A3DB-080036F12502"        data="http://www.acme.com/ole/clock.stm"     >     fall back ...     </OBJECT> 所以，防火墙对ActiveX或JavaApplet对象的过滤，实际就是检查HTTP协议流中的HTML字符串，解析其中的<Object> 、classid、codebase、codetype等字段，一旦发现嵌入ActiveX和JavaApplet的语句，就将其用<!--  -->符号注释掉。 下面介绍思科ASA防火墙的ActiveX和JavaApplet过滤的配置命令： filter activex 使能（或去使能）activex过滤功能，并指定检视的端口范围和源地址网段及目的地址网段。 配置命令 [no] filter activex <port> [-<port>] | except <local_ip> <mask> <foreign_ip> <foreign_mask> 参数说明 port:0-65535   filter java 使能（或去使能）java applet过滤功能，并指定检视的端口范围和源地址网段及目的地址网段。 配置命令 [no] filter ... http://adreaman.com/0113asa-cisco-filter-funcition-command-and-introduction.html b2程序使用了5张数据库表，分别为文章数据表（表名存储在$tableposts，默认为b2posts），用户数据表（表名存储在$tableusers ，默认为b2users），系统设置表（表名存储在$tablesettings，默认为b2settings），文章分类表（表名存储在$tablecategories，默认为b2categories），留言评论表（表名存储在$tablecomments，默认为b2comments）。 使用b2install.php文件安装b2时，就是在用户指定的服务器的MySQL数据库上创建了上述五个数据表，并初始建立了一些文章、分类、评论、系统默认设置以及最初的管理员用户。 参考：b2install.php文件注释文档。 相关阅读:b2/cafelog程序是什么？ http://adreaman.com/0109blog-b2-mysql-database-table.html b2/cafelog是鼎鼎大名的开源PHP BLOG程序WordPress的前身。直至2003年5月，大约有2,000个网志在使用它。它的作者是WordPress的开发者之一Michel Valdrighi。b2/cafelog基于PHP语言和MySQL数据库。 WordPress 的首次出现就是来自于Matt Mullenweg和Mike Little合力创作的一个b2/cafelog的分支版本。[1] b2/cafelog的官方主页在这里，我们可以从网络上获取到它的源代码，我们可以看到，b2 v.0.6.1 (2002年11月04日)这份代码是我们可以获取到的最老的版本，它小巧精短，是我们学习PHP和MySQL建站的好实例。 相关阅读:开源PHP BLOG程序b2(version0.6.1)的MySQL数据库表 http://adreaman.com/0109what-is-b2-cafelog.html 我国网络界“和”风劲吹，GFW威力无边，网民不断抱怨网站被“墙”，这固然是制度、利益等政策性原因导致的，我们这里就不多言政治了，仅仅对相关技术问题探究一二。 据我所知，网络浏览的拦截无外乎下列三个方式：IP过滤、内容过滤和DNS劫持。这些过滤的前提就是浏览者“浏览”动作的相关IP报文均能被拦截者截获和分析。这一前提对于ISP来说是天然成立的。 先简单介绍一下一次浏览网页的技术流程。用户在终端上使用浏览器（IE、Firefox等）向网页服务器（例如IIS、Apache等等）发出一个HTTP协议的请求报文（一般是一个HTTP的GET或POST请求），这个请求报文中指明了浏览器想要获取的网页内容，网页服务器收到这个请求后把相应访问结果以HTTP响应的方式发回给浏览器（例如状态码200表示成功，404表示网页不存在，等等类似的一系列状态），而且如果是可正常处理的访问请求，就把用户请求的网页内容（一般就是HTML字符串）发送回用户的浏览器，浏览器收到之后，将HTML字符码解释后以网页的形式呈现在用户面前。当然，这一系列HTTP协议的交互是以TCP连接为通道通信的，TCP连接的建立和维护是这一切的基础和前提。 假如用户终端和网页服务器的TCP连接通道之间存在防火墙等类似的设备，这些设备就可以截获这个TCP连接的建立，乃至其上承载的HTTP交互动作，用户和服务器之间的任何HTTP通信都没有秘密可言，防火墙可以决定整个浏览过程的各个方面。 一、IP过滤（封IP） 拦截者（防火墙）截获了浏览者的HTTP请求，发现浏览器请求的网站的IP是“非法”、应该被禁止访问的，就可以直接丢弃掉（这样网页服务器就不能收到）这个请求，然后防火墙再分别把浏览器和网页服务器之前建立的TCP连接断开（可通过TCP的RST报文实现，实际上，TCP连接的建立也是在防火墙的监管下进行的）。对用户的每次请求都进行这样的处理，这样一来，搭建在这个IP地址上的网页服务器的所有网页就都无法访问到了。 二、内容过滤 网页服务器收到浏览器的请求后，会将自己的服务内容（网页内容）发回给浏览器，这时，位于浏览者和网页服务器之间的防火墙截获这一内容（一堆字符串），一旦发现这些内容有“非法”信息，丢掉这一内容报文，RST掉两端的TCP连接，这一含有“非法”内容的网页就不能被访问到了。 三、DNS劫持 浏览者访问网站时，一般是使用网站的域名来访问，也就是说，以这个域名为目的地建立前面提到的TCP连接、再发送HTTP请求报文等。但是TCP和HTTP这些IP报文，实际上是以IP地址来访问目的服务器主机的，所以，浏览器终端首先要把这个域名转换为IP地址。这个转换过程是通过DNS协议来进行的。浏览器发起DNS请求，问DNS服务器“这个域名的IP地址是多少？”，DNS服务器回应“这个域名的IP是xxx.xxx.xxx.xxx”。然后浏览器得到目的IP地址后，就可以如前面介绍的那样继续后面的浏览过程了。首先，网络服务商（ISP）给浏览器自动分配的DNS服务器是可以“捣乱”的，它提供的DNS服务是否“可靠”关系到DNS的结果；另外，防火墙当然可以截获浏览器终端和DNS服务器之间的 DNS报文（防火墙无所不能，因为它处于我们和服务器之间，我们与外面交互的所有报文都经过它），所以它可以让你获得不到这个IP地址，也可以给你假的IP地址!剩下的就不用多说了吧... 应对之策： 首先，孙猴斗不过如来，因为猴子永远在佛祖的手中。用户使用ISP的网络，就不可能有ISP对付不了的手段。 对于IP过滤，简单直接，封一个IP就换一个IP。 对于内容过滤，网页服务器提供HTTPS访问支持的话，浏览器用https方式访问网页服务器，所有的报文都是ssl方式加密的，那防火墙虽然可以截获报文，但是它无法“看懂”，也就无法过滤。浏览者拨入专用的VPN网络的技术也是在此范畴之内。 对于DNS劫持，可以不使用ISP提供的DNS而自己指定更可靠的DNS，另外，浏览终端的操作系统也可以跳过DNS解析这一步，例如HOSTS文件等。 另外，如果浏览者可以找到并使用合适的代理服务器（就是一个位于防火墙和网页服务器之间的服务器主机），浏览者就可以通过这个代理服务器跳过某些防火墙的封锁。 相关阅读:一个简单的思科ASA防火墙LDAP认证的实例思科ASA系统MPF框架介绍(之一)思科ASA系统MPF框架介绍(之二) http://adreaman.com/0102internet-web-snooping-block-filter-firewall-gfw.html 计算机真正在中国家庭的普及不过是上世纪90年代中前期的事情，而Internet在中国的萌芽也不早于1996年，“云计算”、“上网本”这些计算机领域新鲜词汇也是在2007年左右才开始进入人们的视野，可是，早在十几年前，当时的主流计算机软硬件厂商其实就已经在“网络计算机”这一概念领域内掀起风潮，并且当时已有成型商用产品面世。由此可见，一项发明科技由概念到产品化再到市场成熟，有时是要经过漫长的孕育孵化期的。 当年这场风潮的发端，就是甲骨文公司的CEO拉里-埃里森, 在1997年，为了挑战软件巨擘微软和硬件大鳄Intel的成熟市场，埃里森推出了一款革命性的产品，NC（Net Computer 网络计算机），它无需硬盘存储，无需强大的处理能力，无需繁冗的操作系统，仅仅需要网络连接外加轻便的网络浏览器，就可以完成常用的计算机工作。瞧，跟如今的云计算和上网本的概念如出一辙，或者说，这根本就是同一技术理念的传承。可叹当年单薄的Internet网络并不足以提供给NC以肥沃的土壤，再加上强势的微软和Intel的市场打压，“网络计算机”的概念如昙花一现，很快就烟消云散了，但是在十余年后的今天，成熟的计算机互联网以及各大厂商积极发展的云计算战略，让我们看到计算机世界离埃里森当年想象的NC世界已经越来越近了。   当年的NC产品，Acorn NetStation，造型在今天看来有些落伍，但是其独特的内在特质（网络操作系统）是足以傲视天下的。 从使用说明书上我们可以看到，在系统启动时，AcornNetStation将自动寻找网络服务器并连接，然后NC就作为网络终端用户直接在远端网络服务器上运行。 相关链接： 硬体大厂精简型终端进化史 Acorn NetStation 产品介绍 Chrome，埃里森和他的NC 本BLOG所有文章均属Adreaman.Hans原创，感谢您的订阅，希望你能喜欢这里。 http://adreaman.com/1228ten-years-ago-cloud-computing-oracle-net-computer.html 使用dede CMS制作文章页面时，有时需要截取文章正文的一部分来显示，究竟怎么做呢？在网上搜索了一通也没找到答案，就自己摸索实验了一下。 dede:field.body 是dede cms的文章正文标签，官方帮助文档中没有介绍这个标签有什么属性和参数，但是，对于标签可以使用 function 进行扩展，function所使用的函数可以是系统函数，也可以是自定义的函数。所以我们可以使用function调用函数对字符串做截断操作以达到我们的目的。 {dede:field.body function=' substr(@me,0,810)'/} substr是PHP的系统函数，作用是取部份字符串。 语法: string substr(string string, int start, int [length]); 返回值: 字符串 将字符串 string 的第 start 位起的字符串取出 length 个字符。若 start 为负数，则从字符串尾端算起。若可省略的参数 length 存在，但为负数，则表示取到倒数第 length 个字符。 例如： echo substr("abcdef", 1, 3); // 返回 "bcd" echo substr("abcdef", -2); // 返回 "ef" echo substr("abcdef", -3, 1); // 返回 "d" echo substr("abcdef", 1, -1); // 返回 ... http://adreaman.com/1220dede-cms-body-text-truncat.html