温室小花.技术.博客 --纯粹的unix技术博客 » 技术方案

xDSL宽带共享建设方案.

admin — Mon, 06 Jul 2009 15:04:33 +0000

xDSL宽带共享建设方案.

为了节省上网费用和提高工作效率，不少人都借助xDSL的路由功能，实现了多台计算机共享上网的目的。不过，要想享受xDSL共享上网，还需要从细节出发，学会对xDSL的合理调教。　　

　　按需搭配硬件设备

　　这里所说的“搭配”，就是指xDSL宽带调制解调器究竟是和交换机搭配还是和集线器搭配；尽管这两种搭配都可以实现共享上网的目的，不过它们达到的上网效果却是不一样的。一般来说，xDSL宽带调制解调器和集线器搭配时，会采用广播工作模式，在该工作模式状态下，集线器的任意一个端口工作时都会对其他端口造成影响，倘若当集线器的多个端口同时工作时，每个端口的网络性能将会受到严重影响，表现出来的现象就是数据丢包严重，网络反应速度迟钝；而且集线器的所有端口只能以半双工模式工作，并且每个端口平分带宽。如果xDSL宽带调制解调器和交换机搭配，各端口通信时不会对其他端口造成影响，每个端口分别独享带宽，并且既能工作于全双工模式下又能工作于半双工模式下。更为重要的是，xDSL宽带调制解调器和交换机搭配时，交换机可以自动处理数据传输过程中产生的信号碎片，从而提高信息传输的效率。

　　在实际进行xDSL共享组网时，我们应该根据上网的目的有针对性地选择好搭配方式。如果使用共享上网仅仅是为了简单的文件共享和传输，而且共享上网的工作站数量不是太多的话，那么可以考虑使用xDSL宽带调制解调器和集线器搭配的上网方式，毕竟这种方式比较经济，而且对小规模局域网的上网速度影响不大；如果共享上网经常需要处理大容量的数据信息，并且局域网的组网规模较大时，建议最好使用xDSL宽带调制解调器和交换机搭配的上网方式，因为这种方式能够高效传输数据。当然，如果我们手头比较宽裕的话，尽量使用后一种搭配方式，以方便日后的扩展和升级。　　

　　计费方式影响设置

　　如果选用按时计费方法时，就必须对xDSL宽带调制解调器的工作方式进行正确设置，希望其能够自动检测当前是否有上网连接请求，如果没有的话最好将当前网络连接断开；如果我们选用包月上网方式的话，就没有必要让xDSL宽带调制解调器自动检测上网连接请求了，因为这种上网方式不受时间的约束，相反我们应该阻止 xDSL宽带调制解调器进行自动断网，以提高共享上网的工作效率。

　　在进行上面的设置时，我们不妨参照下面的步骤来进行：用鼠标右键单击桌面上的“网上邻居”图标，从弹出的右键菜单中单击“属性”命令，打开网络连接列表窗口；在该窗口中再右键单击一下xDSL宽带拨号图标，从弹出的快捷菜单中单击“属性”命令，打开xDSL拨号参数设置对话框；单击该对话框中的“选项”标签，进入到如图1所示的标签页面，如果将其中的“挂断前的空闲时间”参数修改为“从不”的话，就能阻止xDSL宽带调制解调器进行自动断网，这种参数设置适合包月上网方式；如果将其中的“挂断前的空闲时间”参数修改为某一特定数值的话，那么xDSL宽带调制解调器在某一段时间检测不到网络连接存在的话，就会自动将网络连接断开，这样可以有效地节省上网连接费用，该参数设置方式适合按时计费上网方法。

网线连接有学问

　　无论xDSL宽带调制解调器是和集线器搭配还是和交换机搭配，都需要先准备好网线，然后用网线将它们连接起来。不过，使用不同制作标准的网线进行连接操作时，具体的连接方法是不同的，如果朋友们不注意网线连接中的区别的话，很有可能就无法实现xDSL共享上网的目的。

　　正常情况下，购买到的xDSL宽带调制解调器会随机赠送一根网线，该网线通常属于交叉型网线，也就是说网线的一端是按照568B接线标准制作的，网线的另一端是按照568A接线标准制作的；不过在观察网线是否属于交叉型网线时，只要将网线两端的RJ45接头并排摆放在一起，然后仔细观察接头中的布线情况，倘若两端布线完全一样的话，肯定不是交叉型网线，而应该属于平行型网线，倘若两端布线不同的话应该属于交叉型网线。在使用交叉型网线连接xDSL宽带调制解调器和交换机或集线器时，应该将网线一端的RJ45接头插入到xDSL宽带调制解调器的LAN端口中，将网线另外一端的RJ45接头插入到交换机或者集线器的“UPLINK”端口。在使用平行型网线连接xDSL宽带调制解调器和交换机或集线器时，应该将网线一端的RJ45接头插入到xDSL宽带调制解调器的LAN端口中，将网线另外一端的RJ45接头插入到交换机或者集线器的“UPLINK”除外的端口中，也就是说网线另外一端必须和交换机或者集线器的普通端口相连接，其他共享上网的计算机只要使用平行线连接到交换机或者集线器的普通端口上就可以了。

　　小提示：交叉型网线通常用于连接那些支持级联功能的交换机或者集线器，而且它们的级联端口通常是和第一个端口或者最后一个端口共用的，因此一旦使用了交叉型连接法后，就不能再使用第一个端口或者最后一个端口了。平行型网线通常用于连接那些不支持级联功能的交换机或者集线器的。

TCP/IP属性配置

　　这里所说的“配置”，就是指对本地连接中的“TCP/IP属性”进行的参数设置，如果对该参数进行了不同配置的话，那么系统启动的速度就会不一样。例如要是不对本地的“TCP/IP属性”进行参数配置的话，windows系统在启动的过程中，将会耗费一定的时间对本地上网参数进行检查，一旦发现该参数没有配置的话，系统可能就会自动做主对其设置，这样系统启动速度就会受到影响；相反，要是我们为“TCP/IP属性”配置好合适的参数，不但会提高系统启动的速度，而且也会提高上网冲浪的速度。

　　在为“TCP/IP属性”配置参数时，可以先用鼠标右键单击桌面上的 “网上邻居”图标，从弹出的右键菜单中单击“属性”命令，打开网络连接列表窗口；在该窗口中，再用鼠标右键单击一下“本地连接”图标，并执行快捷菜单中的 “属性”命令，打开“本地连接”参数设置对话框；单击该对话框中的“常规”标签，选中对应标签页面中的“TCP/IP属性”选项，打开如图2所示的设置界面，将本地连接的IP地址设为“自动获得”，将首选DNS服务器的IP地址设置为xDSL宽带调制解调器的IP地址，一般为“192.168.1.1”，将备用DNS服务器的IP地址设置为本地ISP提供的DNS服务器地址。完成好上面的参数设置操作后，单击“确定”按钮退出参数设置窗口，最后重新启动计算机系统后，就会感觉到系统启动速度比没有配置“TCP/IP属性”时的速度要快一些。

　　小提示：如果我们使用了xDSL宽带调制解调器的路由共享功能的话，必须事先在宽带调制解调器中，将其DNS服务配置成本地的DNS服务器IP地址，这样可以提高共享上网的速度。在为xDSL宽带调制解调器设置DNS参数时，可以先打开IE浏览器窗口，并在其地址栏中输入宽带调制解调器默认的IP地址（一般为 192.168.1.1），单击回车键后，打开管理登录窗口，此时我们可以从xDSL宽带调制解调器的说明书中查找到默认的用户名和密码，正确输入它们后，就能进入到xDSL宽带调制解调器的后台管理配置界面。单击后台界面中的“服务”标签，并在对应的标签页面中再单击“DNS”选项，就能打开如图3所示的设置页面；在该页面中先将“启用”选项选中，然后将本地ISP提供的DNS服务器IP地址正确输入，再依次单击“添加”按钮和“提交”按钮，就能完成 DNS参数的设置任务了，之后不要忘记执行保存操作，不然前面设置的参数是不会起作用的。

开关路由功能

　　通常情况下，xDSL宽带调制解调器在不打开内置的路由功能上网时，它只起到信息转发的作用，病毒或黑客的攻击通常直接会作用在客户端计算机上，此时我们所采取的安全措施，一般就是在客户端计算机上安装各种安全防范工具，例如安装最新版本的防病毒工具、最新版本的网络防火墙、最新版本的入侵检测工具等。

　　倘若xDSL宽带调制解调器打开内置的路由功能来上网时，那么病毒或黑客的攻击就会直接作用在xDSL宽带调制解调器上，此时要是不对它采取安全保护措施的话，它就会不断地发生断流现象，从而降低共享上网的效率。考虑到一般的xDSL宽带调制解调器都具有内置防火墙功能，因此我们首先应该将该功能启用，以保护它不受非法攻击；在启用该功能时，可以先按照前面介绍的方法，进入到xDSL宽带调制解调器的后台管理配置界面；然后单击该界面中的“服务”标签，并在对应的标签页面中单击“防火墙”选项，打开如图4所示的设置页面：将该页面中的“Attack protection”设置为“Enable”，将“DOS Protection”设置为“Enable”，再单击“提交”按钮，最后再执行保存操作，将上面设置好的参数保存到xDSL宽带调制解调器中，并重新启动一下xDSL宽带调制解调器，就能使内置的防火墙生效了。　　

　　除了通过防火墙来保护xDSL宽带调制解调器不受攻击外，我们也可以通过修改宽带调制解调器默认的服务端口，来拒绝外来攻击，例如默认的WEB端口为“80”，如果我们将它修改为“8080”的话，其他攻击者就无法找到攻击入口了，这样自然就无法向xDSL宽带调制解调器发起攻击了。在修改服务端口时，我们也需要按照前面的操作方法，进入到 xDSL宽带调制解调器的后台管理配置界面；然后单击该界面中的“管理”标签，并在对应的标签页面中单击“端口设置”选项，以后就能在对应的设置页面中任意修改服务端口号码了；其他的服务端口号码修改方法也是完全一样，修改好所有端口号码后，也需要保存好参数并重新启动xDSL宽带调制解调器。

xdsl 断线全自动重连接解决方案.

admin — Mon, 06 Jul 2009 15:03:25 +0000

xdsl 断线全自动重连接解决方案.

全自動重撥 PPPoE xDSL 連線

——————————————————————————–
不管是 Linux 或是 BSD 下所使用的 PPPoE 撥號程式,在遇到很多奇怪的斷線狀況似乎並不能很自動的自己重撥,所以寫這個 Script , 相信很多人都用的上.

因為後來新版的 Perl 對 system/exec 等指令的傳回值處理方式似乎已經不同,最好的偵測方式是用 Perl Module,而不是呼叫系統指令,所以需要先裝 Net::Ping::External

用 CPAN 來安裝的話請依照以下步驟 ( CPAN 還沒設定過的請先設定):

perl -MCPAN -e shell

cpan shell — CPAN exploration and modules installation (v1.7601)
ReadLine support enabled

cpan> install Net::Ping::External

裝好用就可以使用下面這個 script . 使用的環境是 FreeBSD , 如果不是這個環境請自行修裡面有用到的系統指令的路徑,還有修改 $PPPoE_command 變數.

在跟 PC Zone 阿土站長討論過以後,稍微改一下程式並附上自己的 ppp.conf
不使用 killall 來砍掉 ppp 的 pid 是顧慮到這個 command 在 Linux 可能沒有,所以採用比較傳統的方式處理.

————————————————————-
以下是的 /etc/ppp.conf 內容 (參考 FreeBSD Handbook):

default:set log Phase tun command # you can add more detailed logging if you wishset ifaddr 10.0.0.1/0 10.0.0.2/0hinet:set device PPPoE:rl0set authname 你的帳號@hinet.netset authkey 你的密碼set dialset loginadd default HISADDRnat enable yes
啟動 PPPoE 的方式是建議寫在 /etc/rc.local ,加上一行:

/usr/sbin/ppp -ddial hinet

———————————————————
以下為 Script 內容:
##############################################
#!/usr/local/bin/perl

$|=1;

#=============================================
# Programming by Dekuo Kuo in 2005/02/13
# http://www.dekuo.com/
#
# This script is running on FreeBSD.
# When you run it on other Unix like OS,
# modify below variable $PPPoE_command and
# system command path used in this script

$PPPoE_command = ‘/usr/sbin/ppp -ddial hinet’;
#=============================================

if (ping_basic(’168.95.1.1′) != 1 && ping_basic(’192.72.80.36′) != 1) {
$pid_reference = get_pid(“$PPPoE_command”);
print “ADSL Link Down\n”;

foreach $pid (@$pid_reference) {
print “Kill pid=$pid …\n”;
system(“/bin/kill $pid”) if $pid != ”;
}

system(“$PPPoE_command”);
system(“/bin/date >> /var/log/check_pppoe.log”);
} else {
print “ADSL Link Up\n”;
}

sub get_pid {
$process_string = $_[0];
$process_string = “\’” . $process_string . “\’”;
@ps_data = grep {!/grep/} `ps -ax | grep $process_string`;

my @pid_list;
foreach (@ps_data) {
@ps_line = grep { $_ ne ”} split(/\s+/,$_);
push(@pid_list,$ps_line[0]);
}

return \@pid_list;
}

sub ping_basic {
use Net::Ping::External qw(ping);
my $device_ipv4 = $_[0];
my $alive = ping(hostname => “$device_ipv4″, timeout => 5, count => 5, size => 1024);
return $alive;
}
##############################################

最後 ,當然不要忘在 crontab 裡加一行 … 大概 5 分鐘檢查一次應該夠

crontab 範例 (當然要先建立 /root/script 這個目錄) :
*/5 * * * * /root/script/check_pppoe.pl

如果您用的是 FreeBSD 5.x 的版本, 請在 crontab 最上面放下面這兩行敘述:
SHELL=/bin/tcsh
PATH=/etc:/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin

否則會讓 perl 找不到相關 module

也就是說,如果您用的是 FreeBSD 5.x 以上的版本, 您的 crontab 內容就必須是這樣:
SHELL=/bin/tcsh
PATH=/etc:/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin
*/5 * * * * /root/script/check_pppoe.pl

為什麼 FreeBSD 5.x 不能夠使用 /etc/crontab 的 Shell 參數,這點還不明白,如果有人瞭解的還請麻煩留言告知

另外, 如果有人在 Linux 環境下使用, 也請及时反馈, 想知道 Linux 下的 Command 路徑有沒有變

数据备份与恢复建设方案.

admin — Mon, 06 Jul 2009 15:02:17 +0000

数据备份与恢复建设方案.

随着各单位局域网和互联网络的深入应用，系统内的服务器担负着企业的关键应用，存储着重要的信息和数据，为领导及决策部门提供综合信息查询的服务，为网络环境下的大量客户机提供快速高效的信息查询、数据处理和 internet 等的各项服务。因此，建立可靠的网络数据备份系统，保护关键应用的数据安全是网络建设的重要任务 , 在发生人为或自然灾难的情况下 , 保证数据不丢失。

一、数据备份需求分析

计算机和通信技术在信息的收集、处理、存储、传输和分发中扮演着极其重要的角色，也大大提高了工作效率，但是，随之也带来了一些新的问题，其中最值得我们关注的就是系统失效，数据丢失或遭到破坏。威胁数据的安全，造成系统失效的主要原因有以下几个方面。
* 硬盘驱动器损坏，由于一个系统或电器的物理损坏导致文件、数据的丢失
* 人为错误，人为删除一个文件或格式化一个磁盘（占数据灾难的 80% ）
* 黑客的攻击，黑客侵入计算机系统，破坏计算机系统
* 病毒，使计算机系统感染，甚至损坏计算机数据
* 自然灾害，火灾、洪水或地震也会无情地毁灭计算机系统
* 电源浪涌，一个瞬间过载电功率损害计算机驱动器上的文件
* 磁干扰，生活、工作中常见的磁场可以破坏磁碟中的文件
因此，建立完整的网络数据备份系统必须考虑以下内容。
* 计算机网络数据备份的自动化，以减少系统管理员的工作量。
* 使数据备份工作制度化 , 科学化。
* 对介质管理的有效化，防止读写操作的错误。
* 对数据形成分门别类的介质存储 , 使数据的保存更细致、科学。
* 自动介质的清洗轮转 , 提高介质的安全性和使用寿命。
* 以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点。
* 维护人员可以容易地恢复损坏的整个文件系统和各类数据。
* 备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。

二、备份设备的选择

所谓数据备份，就是使用较低廉的存储介质，定期将系统业务数据备份下来，以保证数据意外丢失时能尽快恢复，将用户的损失降到最低点。常用的存储介质类型有：磁盘、磁带、光盘和 mo （磁光盘）等，其中，磁带和光盘的费效比较高，在大容量的数据存储方面比较常用。

1 、几种磁带技术的比较

目前，磁带技术与产品主要有 AIT 、 DLT 、 LTO 、 DAT 等几种。 AIT 格式（先进的智能磁带机）采用螺旋扫描技术，由 SONY 公司在快速访问高密度磁带录制技术的创新。 DLT 原为 quantum （昆腾）公司的专利技术，现以 oem 方式向多厂家开放。 LTO （ line tape open ）技术，最新由 hp ， seagate 及 ibm 等厂商推出的敖群（ ultrium ）磁带机采用这是一项开放的标准磁带技术，可确保来自不同厂商的 ultrium 磁带机实现数据的互换性。

下面就几种技术作简单比较：

AIT-3

LTO

S-DLT

外形

3.5 ” F.F.

5.25 ” F.H.

磁带格式

8mm 螺旋

1/ 2 ” 线性

磁带材料

AME （先进的金属汽化附著）

IBM Ultrium

磁带长度

230m

580m

548m

未压缩的容量

100G

110G

数据传输速率

12MB/S

15MB/S

16MB/S

突发传输速率

160MB/S

80MB/S

MTBF

>400,000 小时

250,000 小时

磁头寿命

50,000 小时

30,000 小时

媒介安装时间

<10 秒

15 秒

40 秒

文件访问时间

<27 秒

65 秒

70 秒

功率消耗

18W

20-41W

26W

2 、数据备份的容量计算

用户要求准确地计算出备份设备的容量，可以通过以下因素选取采用多大容量的备份设备：
* 网络中的总数据量， q1
* 数据备份时间表（即增量备份的天数），假设用户每天作一个增量备份，周末作一个全备份， d=6 天
* 每日数据改变量，即 q2
* 期望无人干涉的时间，假定为 3 个月， m=3
* 数据增长量的估计，假定每年以 20% 递增， i=20%
* 考虑坏带，不可预见因素，一般为 30% ，假定 u=30%
通过以上各因素考虑，可以较准确地推算出备份设备的大概容量为：
c=[ （ q1+q2*d ） *4*m*(1+i)]* （ 1+u ）
dlt 磁带单盒容量为 40g ， lto 磁带单盒容量为 100g ，用户根据推算的备份容量，再考虑一定的冗余，即可选择需要多少槽位的磁带库。如果需要提高备份速度，可考虑增加磁带库的驱动器。对于一般的网络环境，如果通过网络进行数据备份，采用 dlt9 槽位的磁带库已能够满足要求。对于需要进行更大规模的数据备份，建议选择目前较流行的 san （光纤通道为基础的区域存储网络）数据备份方案。

三、分析应用环境 -- 选择备份管理软件

通常数据备份的核心是数据库的备份，我们知道目前市场流行数据库如 oracle,sybase,ms-sql 等均有自己的数据库备份工具，但它们既不能实现自动备份，而且只能将数据备份到磁带机或硬盘上，不能驱动磁带库等自动加载设备。显然利用数据库本身的备份工具远远达不到客户的要求，必须采用具有自动加载功能的磁带库硬件产品与数据库在线备份功能的自动备份软件。目前流行的备份软件有多种，如 legato networker 、 ca arcserve 、 hp openview omnibackii 、 ibm adsm 及 veritas 公司的 netbackup 等。各家软件在备份管理方式上各有千秋。它们都具有自动定时备份管理、备份介质自动管理，数据库在线备份管理等功能。其中， legato ， veritas 和 ca 是独立软件开发商，注重于对各种操作系统和数据库平台的支持，而惠普和 ibm 等更注重于对本公司软 / 硬件产品的支持。以下我们针对各种备份软件做以比较。

在惠普小型机或工作站设备占主流的应用环境中，以及在多平台操作系统和拥有多不同数据库的用户环境中， hp omnibackii 拥有绝大部分的用户市场。在微软操作系统平台上 ca 公司的 arcserverit 备份软件具有一定的竞争优势，但其只适合于单一平台下的数据在线备份，而无法实现异构平台上的数据库在线备份。 legato 和 veritas 是美国专业从事企业数据安全管理软件开发的公司，他们均能够提供跨平台网络数据的自动备份管理，可实现备份系统的分布处理，集中管理，备份机器分组管理、备份介质分组管理、备份数据分类、分组管理及备分介质自动重复使用等多项功能，备份的数据可在每个备份客户机上按需恢复。也可在同平台上按用户权限交叉恢复，而备份操作可采用集中自动执行或手动执行。因此，对于跨多平台多业务的系统，可以考虑选择 veritas 或 legato 。

四、存储备份策略

选择了存储备份软件、存储备份技术（包括存储备份硬件及存储备份介质）后，首先需要确定数据备份的策略。备份策略指确定需备份的内容、备份时间及备份方式。各个单位要根据自己的实际情况来制定不同的备份策略。目前被采用最多的备份策略主要有以下三种。

1 、完全备份（ full backup ）

就是每天对自己的系统进行完全备份。例如，星期一用一盘磁带对整个系统进行备份，星期二再用另一盘磁带对整个系统进行备份，依此类推。这种备份策略的好处是：当发生数据丢失的灾难时，只要用一盘磁带（即灾难发生前一天的备份磁带），就可以恢复丢失的数据。然而它亦有不足之处，首先，由于每天都对整个系统进行完全备份，造成备份的数据大量重复。这些重复的数据占用了大量的磁带空间，这对用户来说就意味着增加成本。其次，由于需要备份的数据量较大，因此备份所需的时间也就较长。对于那些业务繁忙、备份时间有限的单位来说，选择这种备份策略是不明智的。

2 、增量备份 (incremental backup)

就是在星期天进行一次完全备份，然后在接下来的六天里只对当天新的或被修改过的数据进行备份。这种备份策略的优点是节省了磁带空间，缩短了备份时间。但它的缺点在于，当灾难发生时，数据的恢复比较麻烦。例如，系统在星期三的早晨发生故障，丢失了大量的数据，那么现在就要将系统恢复到星期二晚上时的状态。这时系统管理员就要首先找出星期天的那盘完全备份磁带进行系统恢复，然后再找出星期一的磁带来恢复星期一的数据，然后找出星期二的磁带来恢复星期二的数据。很明显，这种方式很繁琐。另外，这种备份的可靠性也很差。在这种备份方式下，各盘磁带间的关系就象链子一样，一环套一环，其中任何一盘磁带出了问题都会导致整条链子脱节。比如在上例中，若星期二的磁带出了故障，那么管理员最多只能将系统恢复到星期一晚上时的状态。

3 、差分备份 (differential backup)

管理员先在星期天进行一次系统完全备份，然后在接下来的几天里，管理员再将当天所有与星期天不同的数据（新的或修改过的）备份到磁带上。差分备份策略在避免了以上两种策略的缺陷的同时，又具有了它们的所有优点。首先，它无需每天都对系统做完全备份，因此备份所需时间短，并节省了磁带空间，其次，它的灾难恢复也很方便。系统管理员只需两盘磁带，即星期一磁带与灾难发生前一天的磁带，就可以将系统恢复。

在实际应用中，备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份，每周日进行全备份，每月底进行一次全备份，每年底进行一次全备份。

五、项目实施过程应注意的问题

1 、统计备份客户机信息

在实施备份方案之前，必须详细了解各台备份主机的系统配置、备份数据量、备份方式（文件、数据库在线）、允许的备份时间窗口，每日数据增量等信息。同时确定各机器的网络配置信息，如 ip 地址，主机名，域名等。

2 、做好培训工作

在项目实施过程中，必须做好对系统管理员的培训工作。培训需准备好各种操作系统的计算机主机、磁带库设备和投影仪等。培训内容一般包括备份软件的基本结构，备份管理程序的安装使用，数据库在线备份模块的安装与使用，数据备份与恢复方法，系统灾难备份方法，日常维护等。

3 、制定备份策略

* 制定备份日程表
分析各备份客户机的数据量、数据增量、备份窗口等因素，制定可行的备份日程表。
* 制定备份客户机分组方案
每组客户机有相同的备份启动时间，可以使用具有属于本组的备份介质。同组机器也可以有相同的备份时间（日程）表。
* 制定备份卷分组方案
根据备份数据分类存储需求，建立不同的卷标格式和卷池（ pool ）。并对备份介质做格式化。
* 配置各客户机选项
设定数据源、选择时间表、选择组别、设定与数据库备份有关的特殊选项、设定远程访问权限。
* 其它选项配置
包括管理员设置，数据远程恢复权限设置，设备并行流设置，设备自动管理选项，数据压缩选项等。

4 、日常维护有关问题

备份系统安装调试成功结束后，日常维护包含两方面工作，即硬件维护和软件维护。如果硬件设备具有很好的可靠性，系统正常运行后基本不需要经常维护。一般来说，磁带库的易损部件是磁带驱动器，当出现备份读写错误时应首先检查驱动器的工作状态。如果发生意外断电等情况，系统重新启动运行后，应检查设备与软件的联接是否正常。磁头自动清洗操作一般可以由备份软件自动管理，一盘 dlt 清洗带可以使用 20 次，一般一个月清洗一次磁头。软件系统工作过程检测到的软硬件错误和警告信息都有明显提示和日志，可以通过电子邮件发送给管理员。管理员也可以利用远程管理的功能，全面监控备份系统的运行情况。

网络数据备份系统的建成，对保障系统的安全运行，保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。通过自动化带库及集中的运行管理，保证数据备份的质量，加强数据备份的安全管理。同时，近线磁带库技术的引进，无疑对数据的恢复和利用提供了更加方便的手段。希望更多的单位能够更快地引进这些技术，让系统管理员做到数据无忧。
数据备份与恢复建设方案.

一、数据备份需求分析

二、备份设备的选择

1 、几种磁带技术的比较

下面就几种技术作简单比较：

AIT-3

LTO

S-DLT

外形

3.5 ” F.F.

5.25 ” F.H.

磁带格式

8mm 螺旋

1/ 2 ” 线性

磁带材料

AME （先进的金属汽化附著）

IBM Ultrium

磁带长度

230m

580m

548m

未压缩的容量

100G

110G

数据传输速率

12MB/S

15MB/S

16MB/S

突发传输速率

160MB/S

80MB/S

MTBF

>400,000 小时

250,000 小时

磁头寿命

50,000 小时

30,000 小时

媒介安装时间

<10 秒

15 秒

40 秒

文件访问时间

<27 秒

65 秒

70 秒

功率消耗

18W

20-41W

26W

2 、数据备份的容量计算

三、分析应用环境 — 选择备份管理软件

四、存储备份策略

1 、完全备份（ full backup ）

2 、增量备份 (incremental backup)

3 、差分备份 (differential backup)

五、项目实施过程应注意的问题

1 、统计备份客户机信息

2 、做好培训工作

3 、制定备份策略

4 、日常维护有关问题

ROUTEROS 路由器解决方案 .

admin — Mon, 06 Jul 2009 15:01:09 +0000

ROUTEROS 路由器解决方案 .

无线接入方案
如众所知，作为一种实现宽带无线 IP 接入的典型方式， WLAN 由于具备接入速率高、部署灵活、可支持移动计算、系统费用低廉及可扩展性较好等长处，在城市热点地区得到日益广泛的应用，成为近年来全球信息通信领域的一个亮点。 2004 至 2005 年的平均年增长率可达 50 ％左右。从 WLAN 应用状况来看， 2.4GHz 频段 802.11b 的发展态势较好，今年的应用步伐会继续加快。另外，随着产品价格的逐渐走低，具备更高传输速率的 802.11g 、 802.11a 也将获得较大的发展。无线应用的最终方向是逐渐趋于大众化，企业用户及家庭用户是无线局域网最大的潜在用户群。从今年的市场状况来看， WLAN 企业用户将获得较大幅度的增长，家庭用户也会稳步增加。

RouterOS 提供了强大的无线配置功能，能适应较低的成本实现一个方便而灵活的无线网络连接， RouterOS 提供了多种无线连接方式：点对点连接、点对多点连、无线接力、无线漫游等。下面具体介绍这几种方式：

点对点连接方案

当两个局域网之间采用光纤或双绞线等有线方式难以连接时，可采用点对点的无线连接方式。只需在每个网段中都安装一个 AP ，即可实现网段之间点到点连接，也能够实现有线主干的扩展 ( 如图 1 所示 ) 。在点对点连接方式中，一个 AP 配置为 Master ，一个 AP 配置为 Slave 。在点对点连接方式中，无线天线最好全部采用定向天线。

点对多点连接方案

当三个或三个以上的局域网之间采用光纤或双绞线等有线方式难以连接时，可采用点对多点的无线连接方式。只需在每个网段中都安装一个 AP ，即可实现网段之间点到点连接，也能够实现有线主干的扩展 ( 如图 2 所示 ) 。在点对多点连接方式中，一个 AP 配置为 Master ，其他 AP 则全部配置为 Slave 。在点对多点连接方式中， Master 必须采用全向天线， Slave 则最好采用定向天线。

无线接力方案

当两个局域网络间的距离已超过无线网络产品所允许的最大传输距离时，或，虽然两个网络间的距离并不遥远，在两个网络之间有较高的阻挡物时，能够在两个网络之间或在阻挡物上架设一个户外无线 AP ，实现传输信号的接力，如图 3 所示。

无线漫游方案（ WDS ）

基站设备能够为在网络范围内各个位置之间漫游的移动式无线客户机工作站设备服务。多基站配置中的漫游无线工作站具备以下功能：

一、在需要时自动在基站设备之间转换，从而保持和网络的无线连接。

二、只要在网络中的基站设备的无线范围内，就能够和基础架构进行通信。

在网络跨度很大的大型企业中，某些员工可能需要完全的移动能力，此时，能够在网络中配置多个 AP ，使装备有无线网卡的移动终端实现如手机般的漫游功能（如图 4 ）。使用无线漫游方案，移动办公员工能够自由地在公司设施内，随时访问他们所需要的网络资源。

当员工在设施内移动时，虽然在移动设备和网络资源之间传输的数据的路径是变化的，但他们却感觉不到这一点，这就是所谓的无缝漫游，在移动的同时保持连接。原因很简单， AP 除具备网桥功能外，还具备传递功能。这种传递功能能够将移动的工作站从一个 AP“ 传递 ” 给下一个 AP ，以确保在移动工作站和有线主干之间总能保持稳定的连接，从而实现漫游功能，如图 4 所示。需要注意的是，实现漫游所使用的 AP ，是通过有线网络连接起来的。

IPFW防火墙建设方案.

admin — Mon, 06 Jul 2009 14:59:49 +0000

IPFW防火墙建设方案.

　　假设某公司共有10台Web服务器，使用Redhat Linux 作为操作系统，分布在全国各大城市，主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢，甚至不能访问，检查后发现是受到 DDoS攻击（分布式拒绝服务攻击）。由于服务器分布太散，不能采用硬件防火墙的方案，虽然IPtables功能很强大，足以应付大部分的攻击，但 Linux系统自身对DDoS攻击的防御力本来就弱，只好另想办法。

　　一、Freebsd的魅力

　　发现Freebsd的好处是在一次偶然的测试中，在LAN里虚拟一个Internet，用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包（常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成）。Windows在达到10个包的时候就完全停止响应，Linux在达到10个数据包的时候开始连接不正常，而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。

　　在使用Freebsd后，的确过一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问，表现症状为用户打开网页速度缓慢，或者直接显示为找不到网站。用netstat –a查看到来自某IP的连接刚好50个，状态均为FIN_WAIT 1，这是属于明显的DDoS攻击，看来Freebsd没有防火墙也不是万能的啊，于是就想到装防火墙。

　　看N多资料，解到Freebsd下最常见的防火墙叫IP FireWall，中文字面意思叫IP防火墙，简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑，在编译结束后，IPFW是默认拒绝所有网络服务，包括对系统本身都会拒绝，这下我就彻底“寒”，我放在外地的服务器可怎么弄啊？

　　大家这里一定要小心，配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装Freebsd 5.0 Release的服务器上进行测试。

　　二、配置IPFW

　　其实我们完全可以把安装IPFW看作一次软件升级的过程，在Windows里面，如果要升级一款软件，则需要去下载升级包，然后安装；在Freebsd 中升级软件过程也是如此，但我们今天升级的这个功能是系统本身已经内置的，我们只需要利用这个功能即可。打开这个功能之前，我们还要做一些准备工作。

　　下面开始配置IPFW的基本参数。

　　Step1：准备工作
　　在命令提示符下进行如下操作：
　　 #cd /sys/i386/conf
　　如果提示没有这个目录，那说明你的系统没有安装ports服务，要记住装上。
　　 #cp GENERIC ./kernel_IPFW

　　Step2：内核规则
　　用编辑器打开kernel_IPFW这个文件，在该文件的末尾加入以下四行内容：
　　 options IPFIREWALL
　　将包过滤部分的代码编译进内核。
　　 options IPFIREWALL_VERBOSE
　　启用通过Syslogd记录的日志；如果没有指定这个选项，即使你在过滤规则中指定记录包，也不会真的记录它们。
　　 options IPFIREWALL_VERBOSE_LI
　　 MIT=10
　　限制通过Syslogd记录的每项包规则的记录条数。如果你受到大量的攻击，想记录防火墙的活动，但又不想由于Syslog洪水一般的记录而导致你的日记写入失败，那么这个选项将会很有用。有这条规则，当规则链中的某一项达到限制数值时，它所对应的日志将不再记录。
　　 options IPFIREWALL_DEFAULT_TO
　　 _ACCEPT

　　这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是，在默认状态下，IPFW会接受任何的数据，也就是说服务器看起来像没有防火墙一样，如果你需要什么规则，在安装完成后直接添加就可以。

　　输入完成后保存kernel_IPFW文件并退出。

　　三、编译系统内核

　　由于Freebsd和Linux一样，都是公开源代码的操作系统，不像Windows那样代码是封装的，出问题我们只能猜测，或者咨询微软公司；由于 Freebsd系统内核在不断升级，我们为使用新版本中的功能，或者定制一个更高效、更稳定的系统，通常需要编译系统内核。

　　当然，我们在这里编译内核，是为能得到一个更高效的系统，而不是使用新版本的功能；

　　在编译的过程中，可能会提示一些错误，为尽可能减少错误提示，我们已将配置文件缩减到最少，如果再出现什么错误提示，请仔细检查是否有输入错误等细小问题。

　　Step1：编译所需的命令
　　在命令行上执行如下命令：
　　 #/usr/sbin/config kernel_IPFW
　　执行结束后会出现如下提示：Kernel build directory is ../compile/kernel_IPFW Don’t forget to do a make depend’
　　 #cd ../compile/kernel_IPFW
　　在这个地方注意一下，Freebsd 4.X版本是../../compile/kernel_IPFW，但Freebsd 5.0版本却是../compile/kernel_IPFW。
　　 #make
　　 #make install

　　Step2：开始编译内核

　　根据系统性能差异，时间也有不同，普通双P4 XEON 1GB内存的服务器大约5分钟左右即可完成。

　　四、加载启动项

　　编译完成，我们要让系统自动启动IPFW并记录日志，需要进行如下操作：

　　Step1：编辑器编辑/etc/rc.conf
　　加入如下参数：
　　 firewall_enable=”YES”
　　激活Firewall防火墙
　　 firewall_script=”/etc/rc.firewall”
　　 Firewall防火墙的默认脚本
　　 firewall_type=”/etc/ipfw.conf”
　　 Firewall自定义脚本
　　 firewall_quiet=”NO”
　　启用脚本时，是否显示规则信息；假如你的防火墙脚本已经不会再有修改，那么就可以把这里设置成“YES”。
　　 firewall_logging_enable=”YES”
　　启用Firewall的Log记录

　　Step2：编辑/etc/syslog.conf文件
　　在文件最后加入如下内容：
　　 !ipfw
　　 *.* /var/log/ipfw.log

　　这行的作用是将IPFW的日志写到/var/log/ipfw.log文件里，当然，你也可以为日志文件指定其他目录。

　　以上步骤完成后重启电脑。

　　五、使用并保存规则

　　完成后，你就会发现你能用SSH登录你的远程服务器。

　　Step1：测试
　　刚登录的时候你不会发现你的系统发生什么变化，但你可以试试以下这个命令：#ipfw show，将输出以下结果：65535 322 43115 allow ip from any to any。它告诉我们，IPFW已经成功启用，而且允许任何的连接。

　　Step2：使用
　　在命令提示符下输入如下命令：#ipfw add 10001 deny all from 218.249.20.135 to any。
　　拒绝来自218.249.20.135的任何服务，执行完成后，你就会发现来自IP218.249.20.135的所有服务都会被拒绝。

　　Step3：保存
　　把这句代码加在/etc/rc.firewall文件里：ipfw add 10001 deny all from 218.249.20.135 to any，运行如下这个命令：#sh /etc/rc.firew
　　 all

　　表示保存到rc.firewall里面时，不需要前面的#号，然后重新载入IPFW规则。

　　或者重启一次你的系统，你的IPFW就生效，只要你不手动解除，来自218.249.20.135的所有信息全部都会被拒绝。

vpn服务器建设方案.

admin — Mon, 06 Jul 2009 14:55:57 +0000

vpn服务器建设方案.

一、方案简述

1 、 VPN 系统简介
接入范围 : 不管是国内或者国外，只要能通过某种方式接入 Internet 就可以使用 VPN 组网。
如 ADSL 、 ISDN 或者拨号方式接入 Internet 。

其它宽带接入方式。
接入设备 : 对于企业总部或者分部在原有 Internet 接入的基础上根据需要增加 SnapGear VPN 设备，对于家庭或者移动办公的个人，可以使用相应的 SnapGear VPN 设备，也可以使用 VPN 软件。

网络拓扑示意图

2 、 VPN 的特点：
在实际应用中，用户需要的是什么样的 VPN 呢？一般情况下，一个高效、成功的 VPN 应具备以下几个特点：

1 ．安全保障
虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 ExtranetVPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

2 ．服务质量保证（ QoS ）
VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。 QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3 ．可扩充性和灵活性
VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4 ．可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在 VPN 管理方面， VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。 VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上， VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS 管理等内容。
先进的硬件 VPN 设备：采用 SnapGear 硬件 VPN 设备，处理能力强大，节点可定义、可管理，可以远程 Telnet 。节点可定义性、防火墙可管理，可以远程 Telnet 。 VPN 的连接是网状的，各点之间可以自由通讯，所以可以提供 VOIP 、视频会议、文件共享等功能。具有 IPSEC 128 位 3DES 256 位 AES 专业加密算法，可以用于企业、政府、证券、银行等部门行业。
产品系列完整：提供多种型号，适应从家庭到小、中、大型企业的不同需求。

3. 利用 VPN 可以做什么

连接企业内部网络计算机
在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。

采用 VPN 方案，通过使用一台 VPN 服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。使用 VPN 服务器，但是企业网络管理人员通过使用 VPN 服务器，指定只有符合特定身份要求的用户才能连接 VPN 服务器获得访问敏感信息的权利。此外，可以对所有 VPN 数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。

二、适用对象
产品系列完整，提供多种型号，适应从家庭到小、中、大型企业的不同需求。可以用于企业、政府、证券、银行等部门行业。

三、功能概述
带宽叠加及负载均衡技术（ SME 570/575 特有）
特有的带宽叠加技术 , 可以同时使用两个不同的 ISP 叠加起来上网 . 同时当其中的一条线路中断时 , 负均衡功能载自动切换到另一条线路 , 使得 VPN 隧道和上网不会中断 .

DMZ 功能（ SME 570/575 特有）
DMZ 功能 , 能把所有端口映射到局域网内某台服务器上 , 方便企业建立公司的网页服务器 , 同时保证了公司局域网的网络安全

QOS 分配
在企业应用中 , 有些数据对时延非常敏感 , 如 VOIP 电话 ; 有些数据对时延不敏感 , 如邮件 . 因此在 VPN 网络中需要对不同的服务提供不同的 Qos 保证 . Snapgear 能够为不同的服务定义带宽分配规则 , 从而实现不同服务的 Qos 保证 .

DDNS 功能
内置 DDNS 客户端软件，并支持国内外多间公司的 DDNS 服务商，包括国内的 3322.ORG 等。即使没有固定 IP ，也能通过 DDNS （动态域名解析）方便地建立 VPN

Nat-T 穿越功能
Nat-T 穿越功能亦就是 VPN pass through , 当路由器放在局域网内也能通过这一功能与另一端的 VPN 路由器连接，适应各种的网络环境

高强度的 VPN 数据加密
支持最新的 AES 高强度加密 , 提高数据传输的安全性 , 及可靠性 , 这也是 SNAPGEAR 的一大卖点可同时作为 VPN Server 、 VPN Client 同时支持 VPN 接入，及拨出功能，这一功能可方便与微软 WINDOWS 操作系统连接 . 同时作为客户端或服务器端 , 防火墙功能使用 IPTables 高性能包过滤防火墙功能，可对防火墙进行自定义设置 , 大大提高其可扩展性。

高性能路由
支持现时主流的各种连接方式，包括 ADSL CABLE-MODEM 小区宽带专线接入等，其高速的路由吞吐量能满足大量业务需要。

CMS 中心管理软件
通过该软件可以集中对各分点的 SNAPGEAR 路由器集中管理，免去管理员维护之苦。

支持第三方 IPSEC 连接软件
IPSEC 相对于 PPTP 具有高速安全的特性，现时著名的第三方 IPSEC 连接软件有 SAFENET 及 SSH ，经测试两套软件均能与 SNAPGEAR 互联。
日志记录外挂功能通过安装 KIWI 公司推出的 LOG 记录软件，可把路由器的所有日志文件记录下来。帮助系统分析员分析网络存在的问题，改善公司的网络环境。

SME 系列比较表

四、技术支持与服务

1 、将为客户提供良好、快捷的售后技术服务，承诺两年免费服务支持。用户可以购买三年的硬件免费更换服务。用户如果已购买 3 年保修服务，在 3 年有效期内，用户购买设备有故障，我们将免费提供硬件更换。

维修承诺
(1) 对于开箱就发现有问题的产品，立即更换；

(2) 对于销售不到 30 天发现硬件故障的产品，以新货更换；

2 、公司制定售后服务客户反馈信息制度，将客户对售后服务人员的服务质量及意见，以书面方式填单，反馈到公司，使公司能及时了解客户的意见，为公司进一步改善和提高服务质量，提供依据并督促售后服务人员，时时牢记 “ 用户至上 ” 的服务宗旨，不断地提高售后服务技术水平和服务态度，解决用户的后顾之忧。

3 、不断向用户提供有关方面的最新先进技术，以使用户应用系统得到不断的技术升级更新，为用户开发更多的应用功能，使系统工程投资得到最好的回报。

五、典型案例

1 、背景
XX 公司是一家大型物流公司，公司在全国各地都有分公司和办事处，由于公司业务发展需要，为了提高公司办事效率各公司都实现了电脑化办公，由著名软件公司提供了 ERP 系统，实现各地分公司业务数据的整合。但同时由于总公司与各地分公司之间数据传送要通过 Internet 传送，所以对数据要求安全且可靠地传送。

2 、设计方案要点

实施 ERP 系统的网络硬件要求：
在实施 ERP 的数据流中，有很多数据是需要保密传输的
在实施 ERP 的数据流中，有很多数据是需要稳定传输的
公司不可能在网络建设方面投很大费用，网络建造要尽可能低廉，低维护量，安装简单，方便。但同时要数据传送可靠稳定。
　　数据要在 Internet 传送上面安全地传送，如果用专线，对于全国这么多分支公司，无疑是一笔很大的费用，而由于各地分公司都安装了宽带上网，所以希望在现有条件基础上实现数据安全传送。在现阶段，能实现以上需要的可以使用 VPN 搭建安全系统网络，通过隧道方式实现各地间数据的安全传送。

3 、实施方案
中心点选用电信提供的 10M 专线，分点分别使用 ADSL 、 Cable Modem 、小区宽带、 56K Modem 拨号连接到互联网上，并且各分点计算机数量均不同，少则一台，多则数十台，按照该特点，我们分别选用 SnapGear SME530 ， SME550 ， SME570/575 。
各分点通过 VPN IPSEC 3DES 加密连接起来，流动远程的用户则通过 WINDOWS 自带的 VPN PPTP 拨号工具连接到中心点。
中心点安装一台 Radius 的服务器，用作验证用户登陆身份。及一台大型的数据服务器，用作存放数据文件及 ERP 程序。

1 ．中心点设备选用
选用 SnapGear SME575 VPN 路由器
采用日立 Hitachi SH4 240MHZ CPU ， 64M 内存， 16M FLASH
带有最先进的双 WAN 口技术，提供双倍带宽及 DMZ 功能，
最高支持 750 IPSEC 隧道， 25 个 PPTP VPN 拨号。
路由吞吐量达到 100M ，防火墙吞吐量达到 140M
经过 ICSA 认证的网络防火墙保证网络安全，为网络的安全运行提供了保证
支持 Radius 服务器认证，方便对用户帐号进行管理

2. 中型分点设备选用
中型分点一般有 40-50 台电脑，根据这一特点，我们选用 SnapGear SME550
日立 Hitachi SH4 166Mhz CPU ， 16M 内存， 4M FLASH
最高支持 500 条 IPSEC 隧道， 20 个 PPTP VPN 拨号。
额外增加了一块有 SOFTNET 公司提供的硬件加解密芯片，提供数据处理速度
支持 DHCP 功能，无用户数限制
路由吞吐量达到 35M ，防火墙吞吐量达到 35M
支持 IPSEC 168 位 3DES 256 位 AES 加密
并且支持线路容错技术，当主线路因某种原因断开，备用 MODEM 线路将会自动接上
经过 ICSA 认证的网络防火墙保证网络安全，为网络的安全运行提供了保证

3. 小型分点设备选用
小型分点一般有 10-20 台电脑，根据这一特点，我们选用 SnapGear SME530
日立 Hitachi SH4 166Mhz CPU ， 16M 内存， 4M FLASH
最高支持 500 条 IPSEC 隧道， 20 个 PPTP VPN 拨号。
支持 56K MODEM 拨号， ADSL ， CABLE MODEM ，小区宽带
路由吞吐量达到 35M ，防火墙吞吐量达到 35M
LAN-TO-LAN 流量达到 3M
支持 IPSEC 168 位 3DES 256 位 AES 加密
并且支持线路容错技术，当主线路因某种原因断开，备用 MODEM 线路将会自动接上
经过 ICSA 认证的网络防火墙保证网络安全，为网络的安全运行提供了保证

1 、方案特点：
从图中可以看出，各分公司内部资源享用者通过 Internet 与总部数据服务器进行数据传递与处理，数据在 Internet 通过 VPN 隧道加密传送，加密之后，即使是 ISP 网管中心都无法看到数据包的内容，即使是用户不对其数据加密，通信双方的 VPN 防火墙也能自动协商加密传输，保护数据不受破坏和被他人窃取，传送而利用传统的 WAN 组建技术，彼此之间要有专线相连才可以达到同样的目的，而且费用昂贵。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。

使用 VPN 的优点在于：
1. 防止数据中心服务器直接暴露在公网上，防止黑客病毒的袭击，最大限度地保证了网络的安全
2. 使用 VPN 更可减少了租用专线的费用，节约企业大笔的资源。
3. 可扩展性强，无论何时何地只需加装一个设备，进行简单的调试，即可进行 VPN 连接，无需等待铺用专线所花费的时间。
选用 Snapgear VPN 路由器的优点在于
4. 性能出众， VPN 路由处理速度快，能应付多变的网络环境。
5. 性价比高，价格是其他 VPN 路由器的一半，甚至更低。
6. 网络防火墙功能强大，通过世界级 ICSA 认证。
集中管理，通过 CMS 软件可对数十个分点进行统一管理，减少了管理人员的开销。

NIDS服务器建设方案.

admin — Mon, 06 Jul 2009 14:54:49 +0000

NIDS服务器建设方案.

随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。

作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

伴随着计算机网络技术和互联网的飞速发展，网络攻击和入侵事件与日俱增，特别是近两年，政府部门、军事机构、金融机构、企业的计算机网络频遭黑客袭击。攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵，如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害，甚至直接威胁到国家的安全。

一、存在的问题

攻击者为什么能够对网络进行攻击和入侵呢？原因在于，我们的计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，主要表现在操作系统、网络服务、TCP/IP协议、应用程序（如数据库、浏览器等）、网络设备等几个方面。正是这些弱点、漏洞和不安全设置给攻击者以可乘之机。另外，由于大部分网络缺少预警防护机制，即使攻击者已经侵入到内部网络，侵入到关键的主机，并从事非法的操作，我们的网管人员也很难察觉到。这样，攻击者就有足够的时间来做他们想做的任何事情。

那么，我们如何防止和避免遭受攻击和入侵呢？首先要找出网络中存在的安全弱点、漏洞和不安全的配置；然后采用相应措施堵塞这些弱点、漏洞，对不安全的配置进行修正，最大限度地避免遭受攻击和入侵；同时，对网络活动进行实时监测，一旦监测到攻击行为或违规操作，能够及时做出反应，包括记录日志、报警甚至阻断非法连接。

IDS的出现，解决了以上的问题。设置硬件防火墙，可以提高网络的通过能力并阻挡一般性的攻击行为；而采用IDS入侵防护系统，则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。

二、IDS日显重要

目前，随着IDS技术的逐渐成熟，在整个安全部署中的重要作用正在被广大用户所认可和接受。为了确保网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。IDS就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。IDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。IDS就是自动执行这种监视和分析过程的安全产品。

IDS的主要优势是监听网络流量，不会影响网络的性能。虽然在理论上，IDS对用户不是必需的，但它的存在确实减少了网络的威胁。有了IDS，就像在一个大楼里安装了监视器一样，可对整个大楼进行监视，用户感觉很踏实，用IDS对用户来说是很值得的。

入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用：通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报；报告计算机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

随着用户对IDS认识的加深，IDS在整个安全体系架构中的地位也在不断提高，正成为一种必不可少的安全产品，在实际使用中，发挥着越来越大的作用，就像交通灯、摄像头一样，对攻击者起到了一种威慑的作用，能够对入侵行为，特别是常规的入侵行为做很好的监测，对网络安全有一定的保护作用。

三、IDS是什么

在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。IDS处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告以及响应阶段等四个阶段。数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点或应用程序的BUG来进行入侵为目的，可以区分为异常行为和错误使用检测。报告及响应阶段针对上一个阶段中进行的判断做出响应。如果被判断为发生入侵，系统将对其采取相应的响应措施，或者通知管理人员发生入侵，以便于采取措施。最近人们对入侵检测以及响应的要求日益增加，特别是对其跟踪功能的要求越来越强烈。

目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

特征库匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。

该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

统计分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录，或者针对某一特定站点的数据流量异常增大等。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别极其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。

四、IDS如何部署

防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。

同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机。在实际的部署中，IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道闸门，是防火墙的必要补充，可构成完整的网络安全解决方案。

严格地说，IDS并不是一个防范工具，它并不能阻断攻击。只有防火墙才能限制非授权的访问，在一定程度上防止入侵行为。而IDS提供快速响应机制，报告入侵行为，意味着一种牵制政策。IDS可以与防火墙在功能上实现联动，进行很好地配合，将大大提高网络系统的安全性。当IDS检测到入侵行为发生，立即发出一个指令给防火墙，防火墙马上关闭通讯连接，从而阻断入侵。

目前，大部分的IDS产品基本上由入侵检测引擎和管理控制台组成，在具体应用时可以根据网络结构和需求做不同的部署。一般都部署在需要重点保护的部位，如企业内部重要服务器所在的子网，对该子网中的所有连接进行监控。根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口（SpanPort）上、或专为监听所增设的分接器（Tap）上。

五、IDS发展新趋势

IDS 作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现出新的发展态势。IPS（入侵防御系统）的出现，应该说是 IDS技术的一种新发展趋势， IPS技术在IDS监测的功能上又增加了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中。

除了IPS，也有厂商提出了IMS（入侵管理系统）。IDS将来的方向是向一个管理系统发展，而不是一个单纯的监测系统。IDS必须和脆弱性分析有机结合，才能让IDS的功能更加强大。因此，IMS是IDS未来的一个发展方向。

IMS 技术是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，不仅要检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。

可以看出，IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。

入侵检测是一门综合性技术，既包括实时检测技术，也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全，但不同的用户需求也不同，也由于攻击的天然不确定性，单一的IDS产品可能无法做到面面俱到。因此，IDS的未来发展必然是多元化的。只有通过不断改进和完善技术才能更好地协助网络进行安全防御。

就目前来看，IDS仍旧是主流的入侵检测技术，其重要性毋庸置疑。无论是IDS，还是IPS或IMS，其主要作用都是实时监控网络中的异常流量，帮助用户解决防火墙、防病毒等产品所不能解决的问题，IDS仍然是用户除防火墙、防病毒外的首选产品。面对攻击行为的不确定性，要保证网络的安全，用户需要实时监控，全网监测的时代已经来临。

校园网/多媒体教室建设方案.

admin — Mon, 06 Jul 2009 14:53:51 +0000

校园网/多媒体教室建设方案.
一.概述
二十一世纪，信息技术正以惊人的速度传播着。丰富、精彩、多变的各种计算机文化扑面而来，这使得现代学校中的传统教育受到强烈的冲击。停留在“粉笔、教鞭和纸张”固有模式的传统教育体系受到了时间和空间的极大限制，已不能适应培养具有新技术、新知识密集型人才的需要。而且，传统教育所存在的缺少对教育对象的个性细分、潜力挖掘和能力培养等问题,也亟待解决。
目前，计算机多媒体正渗透着社会生活的各个角落，它将极大的提高人们的工作效率，改变人们的生活面貌。高性能的校园多媒体系统目前已经成为衡量学校能力和水平的一项必备的硬件设施。
多媒体投影系统包含了全部电化教学、计算机辅助教学和演示的手段，是目前最受欢迎、最便于使用、效果最理想的教学演示系统。它将录相机、影碟机、多媒体计算机、多媒体视频实物展台、多媒体投影机等先进的视听设备以及其他可遥控设备(如电动屏幕、电动窗帘、灯光等) 有机地连接，构成现代化视听教学环境。系统由教师根据执教内容集中控制，能实现对各种设备常用功能的控制和音视频之间的切换操作，使教学的内容生动化、形象化和具体化，克服了以往呆板的灌输形式，学生对于声像并茂的教学方式更易于领会和接受。系统充分发挥了现代教学设备对提高教学质量的作用，缓解了上课教师的劳动强度，大大提高了各种设备的利用率。本系统适用于各类学校进行多媒体教学、课例教学、专题演讲、报告会、国际学术交流会、演示及娱乐等活动。如果与校园计算机和互联网相连，则可以共享校园网和互联网上丰富的信息资源。
衷心感谢高邮市甸垛中学的领导给予我公司机会，参加到贵校的信息化建设中来，我们将以我们在多媒体教育领域多年来积累的丰富经验，尽我们最大的努力，在最短的时间内，将贵校多媒体教室建设好。
二、系统主要设备与功能
多媒体投影系统中包含的主要设备有：投影机、视频展示台、多媒体电脑、投影屏幕、集中控制器。下面将各设备做一一介绍：
1. 投影机

投影机是本系统中最重要的设备之一，所以投影机的好坏直接关系到系统的整体效果。投影机发展到现在经历了CRT（Cathode Ray Tube）阴极射线管， LCD( Liquid Crystal Display)液晶板和DLP（Digital Light Processor）数码光输处理器三个阶段。在现如今教育系统中我们推荐使用 LCD技术的投影机，因为它具有清晰度高、对比度高、色彩丰富饱满等优点。
在这里我们推荐贵校使用三洋投影机。
HITACHI（日立）CP-HX3060投影机技术参数（亮度：3500ANSI流明、分辨率：1024*768）。

三洋 XU2530C（亮度：3000ANSI流明、分辨率：1024*768）液晶投影机。
2. 视频展示台（恒德高科）

视频展示台又叫做实物展台，它的出现，渐渐取代了传统的胶片投影仪/幻灯机的大部分作用。视频展示台不但能将胶片上的内容、投到屏幕上，而且可以将各种实物，甚至可活动的图像投到屏幕上。它的应用范围也大大超出传统的幻灯机。
视频展台搭配投影机在教学中的应用可以称得上完美的组合。展台上的文档、实物、实验活动…都可以通过大屏幕投射出来，让观看者得到视觉上的享受。视频展台有多种设计：”双侧灯台式”、”单侧灯台式”、带液晶监视器的展台（视频展台上的小液晶监视器让用户便于检查被投物图像，在展示过程中不用另外准备监视器，也不用看着屏幕放置被投物）、可以接驳计算机进行数据交换（计算机通过视频捕捉卡连接展台，通过相关程序软件，可将视频展台输出的视频信号输入计算机进行各种处理）等等。
在这里我们推荐贵校使用恒德高科KT8000视频展示台。
恒德高科KT-8110型视频展示台特点：

* 12倍光学变焦镜头和自动聚焦
* 正负片转换功能
* 遥控、镜像、黑白转换
* 摄象机、130万像素
* RGB输出>600(H)*600(V)电视线，Video輸出>400(H)*400(V)电视线。
* 输入输出：RGB*2 ，RGB-Audio*2，MIC*1，RGB*2(XGA、SVGA)，RGB-Audio*

3. 集中控制器（KT-811）

本产品集成了多媒体中央控制系统最常用的功能；三路音视频切换；二路计算机信号的切换；并具有投影机电源延时保护功能，延长投影机灯泡的寿命、投影银幕的升降、面板音量控制。并实现一键开关机。是学校简易多媒体教室的最佳选择！
性能指标：
红外遥控输出：1路
投影机电源：1路
投影机控制方式： RS232C
　　（串口写码程序随机）。
三路音视频切换
二进二出VGA分配器
银幕控制器（选配件）
独特智能锁开关，保证安全使用
技术参数：

* 红外遥控输出：1路
投影机电源：1路
投影机控制方式： RS232C （串口写码程序随机）。
三路音视频切换
二进二出VGA分配器
银幕控制器（选配件）
独特智能锁开关，保证安全使用

4. 系统连接图
5. 教室布置示意图
6.多媒体讲台图例

打开示意图

关闭示意图
三、设备清单及价格：
四、工程的实施
1．项目管理
广州恒德高科高度重视每项工程的实施，视工程的质量为企业的身命；近几年在工程实践中不断总结和健全自身功程管理作业流程，严把工程质量关，并使之成为我们顺利完成各项工程的统一标准。
本次工程项目人员设置如下：
项目负责人：
由公司项目经理担任，负责技术人员调配、检查工程进度、落实施工计划。
技术负责人：
由公司资深工程师负责现场施工技术指导，协调落实施工进度、把握工程质量、实时督导、管理工程人员在现场的施工。
工程实施组：
由具有丰富施工经验的工程技术人员担任，严格遵循设计方案要求和工程进度计划进行系统安装，测试系统性能、修正错误并整理相应文档资料。
后勤保障：
严格按照工程施工进度计划进行物资准备与管理。
技术支持：
公司全体技术人员作为该项目的全方位的技术支持力量。
顾问组：
由设备供应厂家技术人员组成技术顾问团，负责解答设备安装调试过程中遇到的疑难问题。
2 ．工程流程
施工准备
施工计划拟定：详细拟定工程进度计划，由我方和客户共同监督工程进度计划的实施情况。
协调人员配置：合理配置工程岗位–管理、调度、协调、各行其是，各负其责。
设备开箱检验
设备到施工地，由我方组织人员在客户方监督的情况下进行开箱检验。在检验中如发现设备短缺或损坏，我方负责迅速采取措施补救。合格后签定《系统设备交货验收清单》。
工程施工
物质配套；施工前按规定清点设备类别、数量，检验设备参数、产地，及时增补替换短缺、损坏设备。
责任落实：施工过程中严格执行各项检查措施，做到分工明确、责任到人。
工程验收
工程竣工验收由客户方主持，组织有关专家进行验收，验收的具体工作由我方负责，竣工验收前我方将竣工资料的准备情况及时提交给客户方，客户方协调有关方面的配合。工程验收合格后签定《工程验收报告》。
五、售后服务
1. 服务条款
广州恒德高科和设备厂商除保证本方案中提供的所有设备符合客户多媒体系统的要求之外，还对全部系统设备提供保修服务。
根据厂商与广州恒德高科之间的协议，广州恒德高科将按照设备厂商提供的标准免费保修服务条款对系统项目中的设备实施免费保修服务。
三洋投影机保修期限为：整机免费保修三年、投影机灯泡3个月免费更换。
在免费的保修期结束之后，广州恒德高科可以为本方案中建议的全部设备以优惠的价格提供延长的保修服务。客户方如果需要延长的保修服务，可以与广州恒德高科签订保修服务合同或在订货合同中规定需买方付费的保修服务条款。
保修的基本方式有以下2种，在实际的保修过程中，可以同时采用或分别、单独采用：
1．通过厂商的保修服务实现保修。
2．通过广州恒德高科的设备备件库暂时替换故障设备。待故障设备修复后，广州恒德高科收回备件。
广州恒德高科将负责协调并监督整个保修过程，确保保修的质量和返修时间满足要求。
2. 服务等级与服务响应时间
1.1 服务等级
特级服务：
公司总经理、客户服务部经理、工程部经理及相关工程师到场，排除故障后观察2个工作日工程师方可离场。针对关键设备故障及系统严重问题，如投影机不工作或整个系统因不明原因瘫痪等。
一级服务：
工程部经理及相关工程师到场，排除故障后观察1个工作日工程师方可离场。针对可能引起系统严重故障的问题，如投影机出现问题。
二级服务：
工程部经理及相关工程师到场，排除故障后即可离场。针对除系统核心设备以外的设备故障，如投影机故障等。
三级服务：
相关工程师到场，解决问题后即可离开。针对不影响系统正常运行的小问题和一般的技术问题。
1.2 服务响应时间
服务响应时间12小时，公司将在接到客户故障告警电话后12小时内到达现场。
.

企业无线局域网建设方案.

admin — Mon, 06 Jul 2009 14:52:41 +0000

企业无线局域网建设方案.

项目背景：

90 年代末以来，随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端的广泛应用，为了实现任何人在任何时间、任何地点均能实现数据通信的目标，传统的计算机网络开始由有线向无线，由固定向移动，由单一业务向多媒体发展。在未来几年中，企业应用软件的无线存取以及入口网站将非常普遍，无线时代正在来临，这意味着人们可以在任何便于工作的地方，如在会议室、医疗室、教室、自助餐厅、实验室、办公室、机场以及在野外的野餐桌旁，享受工作的自由和灵活性。无线宽带网络技术的新发展表现为更高的速度、更好的互操作性以及安全性，具有较高灵活性和可靠性，所有这些无线宽带网络的特点使其可以广泛应用于各行各业。

用户需求

广州某集团常常要召开一些商务性会议，与会人员都可能要在会议室中自由连接互联网查看有关资料，或者下载相关文件，还可能需要在会议中与其他用户共享文件。如果利用有线网络，则相当麻烦，因为不同的会议有不同的用户，他们都各自使用自带的笔记本电脑，这样每次会议在开始前都需要为不同用户通过电缆进行连接、配置上网功能，相当麻烦，集团行政部便考虑利用现在主流的 WLAN 无线网络技术会简便许多，而这也正是现在主流域的会议室网络应用方案。

方案设计与特色分析

集团包括 2 个会议室，大会议室面积为 200 平方米左右，小会议室为 100 平方米左右，会议室与办公区（面积大约 300 多平方米）中心点相距 20 米，有二层承重墙壁相隔，而且墙体很厚，不过会议区和办公区都有现成的网络接口，因此考虑选用两个无线路由器来实现无线覆盖。

由于考虑到带宽以及各种网络安全方式，我们给客户推荐了增强型 802.11G/B 无线网络宽带路由器。 (890-56-293) 这款 802.11G/B 无线网络宽带路由器能为办公区域部署增强型的无线安全网络，内建防火墙及 NAT, 能有效的阻挡来自 internet 的安全性风险。基于硬件的 128/254-Bit WEP 传输加密，提供安全的数据通信能力。支持高度安全的 802.1x 身份认证与 Wi-Fi Protected Access (WPA and WPA-SDK) 加密系统，能使网络免遭无线窃听者的攻击。 MAC 地址授权访问功能确保只有合法认证后的用户才能访问有效的网络资源，可以通过 WEB 进行配置管理。处于 802.11g 标准时 , 带宽可以根据距离和电磁环境自动在 54/48/36/24/ 18/12/9 /6MB 之间动态转换 , 处于 802.11b 标准时 , 带宽可以在 11/5.5/2/1MB 之间自动转换 , 并支持 ADSL 的 PPPOE 虚拟拨号机固定 IP 地址路由。

由于与会人员使用的都是笔记本电脑，所以无线网卡选用了 802.11G/B 双模 PCMCIA 无线网卡 (890-56-285) ，搭配增强型 802.11G/B 无线网络宽带路由器 (890-56-293) 可提供高达 108Mbps 的传输速率，完全可满足笔记本计算机区域内移动无线高速上网的需求。一共 15 台笔记本电脑全部选用的这个型号的无线网卡。

802.11G /B 双模 PCMCIA 无线网卡 (890-56-285) 零售价 359 元

增强型 802.11G/B 无线网络宽带路由器 (890-56-293) 零售价 999 元

企业无线办公优势

一个企业搭建了 AP （ Access Point ）后可以很方便的组成无线办公网，具有便捷性。基于这种无线局域网的终端设备，用户不但可以上网，而且可以打电话，甚至可以加入视频，进行多媒体互动交流。在办公室应用中，无线网络的优势就更不言而喻了。例如，开会的时候，每个人都带着一个笔记本，而会议室的网口只有两个，不能满足大家的使用，如何解决呢？无线网就是最方便的一种方式。对于大型企业来说，员工之间的移动办公，或小组会议是非常典型的模式。

网吧工程建设方案.

admin — Mon, 06 Jul 2009 14:50:39 +0000

网吧工程建设方案.

经常性的可以在各种各样的论坛会看到这样的提问， “ 需要建立一个网吧网络，在经济实用的基础上希望大家给个方案 ” ，这篇文章的目的就是希望对还在迷茫彷徨的朋友们有所帮助，因为笔者亲身经历了西安几个大型网吧的网络设计与构建，这些方案都是正在实际使用的，

大家可以根据自己的情况选择方案。

一、网吧的应用需求

随着信息社会的发展，网吧这个概念早已风靡了全国的大街小巷，但同时，随着网吧的增多，行业之间的竞争也愈演愈烈，为了在激烈的竞争中立足，保证良好的网络运行高效性和稳定性 , 网络系统的性能在网吧的建设中就显得越来越重要。怎样才能保证网络系统 24 小时稳定工作，为用户提供一个舒适的、稳定的网络环境？已成为网吧日益关注的重点。

网吧的主要应用，主要体现在以下几个方面：

访问 Internet ：通过接入 Internet ，实现浏览信息、娱乐等

多媒体应用： VOD 视频点播、音乐等　

网络游戏：联机游戏等

网吧的应用主要在于满足各个用户对各种多媒体视频、网络游戏、浏览信息、信息交流等各种苛刻的要求，特别是对大量用户访问服务器资源，保证网络能高速访问 Internet ，因此，构建怎样的网络，才能为用户提供一个高速、可靠、稳定的网络环境呢，成为网吧业主日益关注的首要问题。

此次笔者推荐的网络解决方案，参考了网络设备厂商的网吧解决方案，采用分层的网络结构，并通过成熟的以太网技术，为网友提供一个高性能、高可用性、高稳定性，安全可靠的网络环境。

二、网吧建设解决方案

1 、小型网吧建设方案 (200 以内终端 )

此类网吧虽然营业面积相对较小，计算机数量也相对较少，网络拓朴结构简单，容易管理，但由于用户访问服务器频繁，常出现服务器接入瓶颈，为用户访问网络资源造成不便。　因此，本解决方案采用二层结构：核心层和用户接入层，采用先进的快速以太网技术实现交换机之间的级联，以满足普通的浏览、聊天、收发邮件、游戏等，以及大量的对影视服务器和游戏服务器的访问

中心交换机采用 des-3526/3550 交换机，把所有的服务器直接连接到中心交换机上，以提高网络的吞吐率和交换速度。

主要特性

24/48 个 10/100BASE-TX 端口

2 个组合式 (Combo)1000BASE-T/SFP 千兆上行链路

最多每虚拟堆叠单元 32 个交换机

最高至 13.6Gbps 背板带宽

完整的网络访问管理解决方案

基于硬件的多层 (L2,L3,L4) 服务质量保障

进阶型访问控制列表 (ACL) ，增强型 TACACS+ 认证

支持 802.3ad LACP 干路端口聚合

DES-3526/3550 2 层可堆叠交换机

分支交换机：采用多个 Des1024 非网管 10/100M 交换机。 Des1024 具有 4.8Gbps 的背板交换能力。提供 24 个 10/100M 全双工线速端口，多达 16K 的 MAC 地址表，每端口工作在 10M 或 100M 时，包转发速率为 14.8K/ 秒；最大延迟仅为 10u/ 秒；真正达到快速以太网所需的性能，为网吧内部游戏提供了良好的稳定的运行带宽。另外 Des1024 还支持自动适应交叉网线或直连网线，方便了电脑网卡的连接；简明的 LED 状态显示，方便网管直观的查看交换机运行状况。

网络拓朴图如下图所示：

方案特色：

采用先进的 TRUNK 技术，服务器直接入中心交换机，解决服务器接入瓶颈；

交换机设置 Trunk 干路，轻松影视服务器服务器安装多网卡的大流量服务器访问。

支持全线速转发，保证网络高效稳定；　

典型用户： 130 台电脑的比特网吧

2 、中型网吧解决方案（ 300-800 ）

中型网吧的信息点大约在 300 个到 800 个左右，由于用户接入数比较多，因此对网络的性能要求比较高，同时又要保障用户的投资，保证为网吧用户提供一个稳定、高效的、高性能的网络环境。

1 ）中型方案一 :

新西部网吧原来规模为 300 台扩大规模后为 800 台，为了保护投资同时又能充分利用原来的设备，将原来的几个中心交换机进行堆叠，从而达到扩展背板带宽的目的，又升级了原有网络。

中心交换机采用 4 台 3COM 4200SE 设备， 4 台 3COM 4200SE 交换机之间堆叠，有效保证核心层交换机的高速传输，保证用户的高速访问，保护投资。

主要特性

是固定配置的 10/100 局域网交换机。它具备高性能，提供全面的功能，支持即插即用安装，而且价格非常合理。

该系列交换机提供标准第二层 10/100 特性和线速性能，并内置堆叠功能。

弹性 ― 支持快速生成树协议、链路聚合 ( 用于千兆端口 ) 和冗余电源，可实现不间断网络运行。

性能 ― 转发速率高达每秒 660 万个数据包 (SuperStack3 Switch 4226T) ，每秒 950 万个数据包 (SuperStack3 Switch 4228G) 或每秒 1010 万个数据包 (SuperStack3 Switch 4250T) 。

可扩展 ― 最多能堆叠 4 台交换机，并可用一个 IP 地址将它们作为一个单元来管理。单元堆叠不需要额外硬件。

SuperStack(r) 3 Switch 4200 系列交换机

西安易网龙网吧从 300 台升机到 600 台终端则是采用 2 台 3COM 4200SE 交换机之间采用链路聚合技术，使交换机之间的传输速度高达全双工 400M ，有效保证核心层交换机的高速传输，同时利用 4200 交换机的干路口，采用先进的多网卡捆绑技术接入到服务器，保证用户的高速访问服务器资源。

接入层交换机采用 Netcore 5024+NS ， Netcore 5024+NS 是一款高性能、易操作的智能型交换机，支持 VLAN 、 QoS 及超距离 200 米级联，该款交换机为用户提供 24 个 10/100M 自适应端口，通过百兆上联到核心交换机，用户终端 100M 交换到桌面，完全能满足用户各种多媒体应用及信息资源共享的要求。

网络拓朴图如下图所示：

方案特点：

采用先进的多网卡捆绑技术，服务器以 400M 接入中心交换机干路口，解决服务器接入瓶颈；

一个是链路聚合扩展带宽，另一个是堆叠增加交换机背板带宽，达到提速扩容的目地；

全网部署 QoS ，为用户提供端到端的服务质量；

通过划分 VLAN ，有效抑制网络广播风暴；

支持全线速转发，保证网络高效稳定；

高性价比，保障用户有效的投资；

典型用户：西安新西部网吧 830 台（电子城），易网龙网吧（ 600 台）

2 ）中型方案二

（ DES6000 ）划分为六个 VLAN 有效抑制网络广播风暴　

中国龙网吧建设之初就本着经济性和稳定性的建设指导思想，经过反复论证考察，选择有扩展能力的 DES600 这个 2 层交换机作为整个网吧的核心层交换机，划分划分为六个 VLAN 有效抑制网络广播风暴，将服务器的 VLAN 对全部 VLAN 端口可见，极大程度的提高了网络的快速组建能力，以后通过扩展插槽可以满足 100M 升级成 1000M 的要求，从稳定运行 1 年的情况来看，完全能满足大量用户同时上网和资源交换的需求。

DES-6000

智能可网管机箱式 10/100/1000Mbps 交换机

网络拓朴图如下图所示：

方案特点：

采用先进的千兆铜缆技术，服务器千兆接入中心交换机，解决服务器接入瓶颈；

全网部署 QoS ，为用户提供端到端的服务质量

通过划分 VLAN ，有效抑制网络广播风暴；

支持全线速转发，保证网络高效稳定；

网络的可扩展能力强，方便以后升机

双电源设计有效防止交换机死机

所有的路由从代理服务器上走，两层之间的信息交流都通过网络的第三层

典型用户：西安中国龙网吧 930 台（长安路）

3 、大型网吧建设方案（ 1000 台以上）

大型网吧的信息点一般在 1000 台以上，由于其大量的终端用户同时使用网络，特别是要满足用户各种各样的苛刻要求，同时又要保证整个网络高效，稳定。因此，我们建议这样的大型网吧，需要高性能的智能型交换机作为核心交换机，以千兆作主干，满足大负荷的网络的运行需求，同时采用 VLAN 技术，提高网络安全和性能，有效抑制网络广播风暴。网络设计层次为 3 层网络，即核心层与接入层，汇聚层的功能由核心层来完成。

中心交换机采用 QuidWay S6503 ，该交换机为三层可网管交换机，支持千兆主干连接，我们根据需要接入的千兆电口数量和接入层千兆交换机的数量来配置千兆口数量，和 100M 口数量，从而将主干提高的千兆接入，主要服务器也是千兆接入，大大提高了整个网络的效率。

电信级高可靠性的 QuidWay S6503 高端多业务交换机；

该款交换机基于 Salience I 的交换引擎，可以提供 64Gbps 的交换容量， 48Mpps 的包转发能力，可以对用户实现业精细化管理，具有强大的用户管理、认证计费功能；

具有 3 个业务插槽，最大可以支持 60GE 接口；支持 4K 个 Vlan ， 16K 的 MAC 地址表，远远满足了网吧的需求，满足了未来 2-3 年的网络发展需求。

模块化设计的大容量、高密度、具备

华为 3Com Quidway S6503

接入层交换机采用具有千兆上行端口的交换机 S1026T ，该 1026T 以太网交换机提供 24 个固定的 10Base-T/100Base-TX 自适应端口及 2 个 10Base-T/100Base-TX/1000Base-T 上行自适应端口，这样实现了千兆主干，百兆到桌面的网络环境。如果资金许可，终端客户机为千兆网卡的话，也可以考虑全千兆电口的傻瓜型交换机做接入交换机，实现全网千兆。

图络拓扑结构图：

方案特色：

采用三层网络结构，具有极强的网络扩展性，具有超前的网络设计满足 2-3 年内的需求

高速度，高密度的接入方便大数量的服务器接入

提高多个 GBIC 端口，满足不同服务器的千兆接入

利用千兆以太网技术作主干，防止网络出现瓶颈

全网部署 QoS ，为用户提供端到端的服务质量

通过划分 VLAN ，有效抑制网络广播风暴；

支持全线速转发，保证网络高效稳定；

典型应用：西安汉宫网网吧（ 1100 台）东大街店

三、接入 internet

根据自己的投资情况组建了稳定安全的网络后就该让他接入 INTERLNET ，这个时候你可以做很多的选择，使用路由器， NAT 设备，或者计算机做服务器来实现将整个局域网络接入 internet, 具体的实现办法很多网站都有。

服务器监控系统建设方案.

admin — Mon, 06 Jul 2009 14:49:28 +0000

服务器监控系统建设方案.

用nagios来监控网络服务器和网络服务

Nagios
nagios可以对服务器进行全面的监控，包括服务（apache、mysql、ntp、dns、disk、qmail和sshd等等）的状态，服务器的状态（up、down等等）。它是一个完全GPL协议的开源软件包，包含有nagios主程序和它的各个插件，配置非常灵活，可以监视的项目很多，可以自定义shell脚本进行监控服务，非常适合大型网络。

nagios的包含主动监控和被动监控。
主动检查是通过监控中心的主机发出请求，让运行在远程主机上的nrpe守护进程收集信息，然后报告它，它通过web接口把数据显示在页面上。
它的工作原理如下：

被动监控是当远程被监控主机处于防火墙之内的时候，只有远程主机可以访问到监控中心，防火墙之内可以设置另外一个监控中心，远程监控中心的nagios收集服务器信息以后，和nsca报告，由naca客户端报告naca的服务器端，然后报告监控中心的nagios，通过web接口显示监控结果。

nagios的功能非常强大，http://www.nagios.org/是它的窝，只有e文、法文和日文，没有中文，可惜啊。

我现在引用它的一段文字进行总结一下到底什么是nagios：
What Is This?
什么是nagios？

Nagios® is a system and network monitoring application. It watches hosts and services that you specify, alerting you when things go bad and when they get better.
Nagios was originally designed to run under Linux, although it should work under most other unices as well.
Some of the many features of Nagios® include:
Monitoring of network services (SMTP, POP3, HTTP, NNTP, PING, etc.)
Monitoring of host resources (processor load, disk usage, etc.)
Simple plugin design that allows users to easily develop their own service checks
Parallelized service checks
Ability to define network host hierarchy using “parent” hosts, allowing detection of and distinction between hosts that are down and those that are unreachable
Contact notifications when service or host problems occur and get resolved (via email, pager, or user-defined method)
Ability to define event handlers to be run during service or host events for proactive problem resolution
Automatic log file rotation
Support for implementing redundant monitoring hosts
Optional web interface for viewing current network status, notification and problem history, log file, etc.
Nagios是一个监视系统和网络的应用程序。它监视你所指定主机和服务，当监视的内容变好或者变坏时发出警告。Nagios最初是被设计在Linux平台上运行的，然而现在在其他平台上也运行良好。
Nagios的特性包括：
监视网络服务（SMTP, POP3, HTTP, NNTP, PING, 等等）
监视主机资源（处理器负载、磁盘空间等）
容许用户开发自己的插件去检查自定义的项目；
通过使用“父主机”，定义网络主机的分层，容许探测主机down掉或者不可到达。
可以定义在主机或服务运行期间，事件发生以后如何处理和解决方式；
自动记录错误日志；
支持冗余监视；
可选web接口，通过web页面查看当前网络状态，提示和报告故障历史，日志文件等；

rsync服务器建设方案.

admin — Mon, 06 Jul 2009 14:47:45 +0000

rsync服务器建设方案.

rsync 是一个快速增量文件传输工具，它可以用于在同一主机备份内部的备分，我们还可以把它作为不同主机网络备份工具之用。本文主要讲述的是如何自架rsync服务器，以实现文件传输、备份和镜像。相对tar和wget来说，rsync 也有其自身的优点，比如速度快、安全、高效；

1. 什么是rsync；
2、rsync 服务器的理由和用途；
3、架设rsync服务器过程；

3.1 rsync的安装；
3.2 rsync服务器的配置文件
4 架设rsync服务器的示例说明

4.1 全局定义
4.2 模块定义
5 启动rsync 服务器及防火墙的设置；

5.1 启动rsync服务器；
5.2 rsync服务器和防火墙；
6 通过rsync客户端来同步数据；

6.1 列出rsync 服务器上的所提供的同步内容；
6.2 rsync 客户端同步数据；
6.3 让rsync 客户端自动与服务器同步数据；

+++++++++++++++++++++++++++++++++++
正文
+++++++++++++++++++++++++++++++++++

1 什么是rsync；

rsync is a file transfer program for Unix systems. rsync uses the “rsync algorithm” which provides a very fast method for bringing remote files into sync. It does this by sending just the differences in the files across the link, without requiring that both sets of files are present at one of the ends of the link beforehand.

rsync 是一个Unix系统下的文件同步和传输工具。rsync是用 “rsync 算法”提供一个客户机和远程文件服务器的文件同步的快速方法。

Some features of rsync include
rsync 包括如下的一些特性：
* can update whole directory trees and filesystems
能更新整个目录和树和文件系统；
* optionally preserves symbolic links, hard links, file ownership, permissions, devices and times
有选择性的保持符号链链、硬链接、文件属于、权限、设备以及时间等；
* requires no special privileges to install
对于安装来说，无任何特殊权限要求；
* internal pipelining reduces latency for multiple files
对于多个文件来说，内部流水线减少文件等待的延时；
* can use rsh, ssh or direct sockets as the transport
能用rsh、ssh 或直接端口做为传输入端口；
* supports anonymous rsync which is ideal for mirroring
支持匿名rsync 同步文件，是理想的镜像工具；

2 rsync 服务器的理由；

rsync 服务器架设比较简单，可能我们安装好rsync后，并没有发现配置文件，以及rsync服务器启动程序，因为每个管理员可能对rsync 用途不一样，所以一般的发行版只是安装好软件就完事，让管理员来根据自己的用途和方向来自己架设rsync服务器；因为这个rsync应用比较广，能在同一台主机进行备份工作，还能在不同主机之间进行工作。在不同主机之间的进行备份，是必须架设rsync 服务器的。

以我的观点上看，如果在同一台主机进行文件的备分，用复制工具cp就好。没必要用rsync 这么相对复杂的工具，cp也简单易用，当然这仅仅是个人观点；

对于重量级服务器来说，应该有网络备份服务器来说，只有本地备份还是不够的，最好还是有网络备份主机，这样数据的安全才有保证。毕竟数据放在服务器本地上还是不太安全，比如磁盘坏掉、被骇客攻入服务器删除数据。其实服务器本身价值并不大，重要的是数据的价值。

另外对于大量文件从一台服务器上迁移到另一台服务器上，rsync 的确是一个不可不用传输工具。公司有一台文件服务器，配置是CPU Intel Celeon 333Mhz，内存128M，硬盘IDE 80Gx3=240G，里面仅是第一个硬盘的12G的分区安装系统，用256M做为交换分区，其它的空间我都用来存数据，通过LVM卷来管理磁盘空间，我分一个 180G的空间给数据存放，当时数据存储容量已经达到160多G。当时的情况是服务器空间有限，没做本地备份。更不可能新增硬盘上去，因为这台机器没做 RAID，硬盘坏掉一个，数据会全毁掉，安全性没有一点保障。在这种情况下，为保证数据的安全性，我被迫做一台带有Raid5支持的文件服务器。在选择如何把数据文件完整的传输到新服务器上，我想到很多的工具，最后想到rsync 。我花十分钟架设并调试rsync ，然后就开工文件传输，因为文件服务器上的文件太多，老的文件服务器配置又低，大约花两三天吧才得以把所有文件传输完毕。

3 架设rsync服务器过程；

架设rsync 服务器比较简单，写一个配置文件rsyncd.conf 。文件的书写也是有规则的，我们可以参照rsync.samba.org 上的文档来做；当然我们首先要安装好rsync 这个软件才行；

3.1 rsync的安装；

软件安装过于简单，现在Linux各大发行版都提供这个软件包，当然您也可以自己编译安装，在目前的情况下，我看没太大的必要；

[root@linuxsir:beinan]$ sudo apt-get install rsync 注：在debian、ubuntu 等在线安装方法；
[root@linuxsir:beinan]# slackpkg install rsync 注：Slackware 软件包在线安装；
[root@linuxsir:beinan]# yum install rsync 注：Fedora、Redhat 等系统安装方法；

其它Linux发行版，请用相应的软件包管理方法来安装；如果是源码包，也就是用下面的办法；

[root@linuxsir:/home/beinan]# tar xvf sync-xxxx.tar.gz 或sync-xxx.tar.bz2
[root@linuxsir:/home/beinan]# cd sync-xxx
[root@linuxsir:/home/beinan/sync-xxx]# ./configure –prefix=/usr ;make ;make install 注：在用源码包编译安装之前，您得安装gcc等编译开具才行；

3.2 rsync服务器的配置文件rsyncd.conf ；

我们可以参照 rsyncd.conf.html。具体步骤如下；

[root@linuxsir:~]#mkdir /etc/rsyncd 注：在/etc目录下创建一个rsyncd的目录，我们用来存放rsyncd.conf 和rsyncd.secrets文件；
[root@linuxsir:~]#touch /etc/rsyncd/rsyncd.conf 注：创建rsyncd.conf ，这是rsync服务器的配置文件；
[root@linuxsir:~]#touch /etc/rsyncd/rsyncd.secrets 注：创建rsyncd.secrets ，这是用户密码文件；
[root@linuxsir:~]#chmod 600 /etc/rsyncd/rsyncd.secrets 注：为密码的安全性，我们把权限设为600；
[root@linuxsir:~]#ls -lh /etc/rsyncd/rsyncd.secrets
-rw——- 1 root root 14 2007-07-15 10:21 /etc/rsyncd/rsyncd.secrets
[root@linuxsir:~]#touch /etc/rsyncd/rsyncd.motd

下一就是我们修改 rsyncd.conf 和rsyncd.secrets 和rsyncd.motd 文件的时候；

rsyncd.conf 是rsync服务器主要配置文件，我们来个简单的示例；比如我们要备份服务器上的 /home 和/opt ，在/home中，我想把beinan和samba目录排除在外；

# Distributed under the terms of the GNU General Public License v2

# Minimal configuration file for rsync daemon
# See rsync(1) and rsyncd.conf(5) man pages for help

# This line is required by the /etc/init.d/rsyncd script
pid file = /var/run/rsyncd.pid
port = 873
address = 192.168.1.171
#uid = nobody
#gid = nobody
uid = root
gid = root

use chroot = yes
read only = yes

#limit access to private LANs
hosts allow=192.168.1.0/255.255.255.0 10.0.1.0/255.255.255.0
hosts deny=*

max connections = 5
motd file = /etc/rsyncd/rsyncd.motd

#This will give you a separate log file
#log file = /var/log/rsync.log

#This will log every file transferred – up to 85,000+ per user, per sync
#transfer logging = yes

log format = %t %a %m %f %b
syslog facility = local3
timeout = 300

[linuxsirhome]
path = /home
list=yes
ignore errors
auth users = linuxsir
secrets file = /etc/rsyncd/rsyncd.secrets
comment = linuxsir home
exclude = beinan/ samba/

[beinan]
path = /opt
list=no
ignore errors
comment = optdir
auth users = beinan
secrets file = /etc/rsyncd/rsyncd.secrets

注：关于 auth users 是必须在服务器上存在的真实的系统用户，如果你想用多个用户，那就以,号隔开；比如 auth users = beinan , linuxsir

密码文件：/etc/rsyncd/rsyncd.secrets的内容格式；

用户名:密码

而我们在例子中rsyncd.secrets的内容如下类似的；在文档中说，有些系统不支持长密码，自己尝试着设置一下吧。另外 rsyncd.secrets文件权限对其它用户组是不可读的。如果你设置错，可能rsync不工作。

linuxsir:222222
beinan:333333

注：这里的密码值得注意，为安全，你不能把系统用户的密码写在这里。比如你的系统用户 linuxsir 密码是 abcdefg ，为安全，你可以让rsync 中的linuxsir 为 222222 。这和samba的用户认证的密码原理是差不多的；

rsyncd.motd 文件;

它是定义rysnc 服务器信息的，也就是用户登录信息。比如让用户知道这个服务器是谁提供的等；类似ftp服务器登录时，我们所看到的 linuxsir.org ftp ……。当然这在全局定义变量时，并不是必须的，你可以用#号注掉，或删除；我在这里写一个 rsyncd.motd的内容为：

+++++++++++++++++++++++++++
+ linuxsir.org rsync 2002-2007 +
+++++++++++++++++++++++++++

4 架设rsync服务器的示例说明；

4.1 全局定义；

在rsync 服务器中，全局定义有几个比较关健的，根据我们前面所给的配置文件 rsyncd.conf 文件；

pid file = /var/run/rsyncd.pid 注：告诉进程写到 /var/run/rsyncd.pid 文件中；
port = 873 注：指定运行端口，默认是873，您可以自己指定；
address = 192.168.1.171 注：指定服务器IP地址；
uid = nobody
gid = nobdoy

注：服务器端传输文件时，要发哪个用户和用户组来执行，默认是nobody。如果用nobody 用户和用户组，可能遇到权限问题，有些文件从服务器上拉不下来。所以我就偷懒，为方便，用root 。不过您可以在定义要同步的目录时定义的模块中指定用户来解决权限的问题。

use chroot = yes

注：用chroot，在传输文件之前，服务器守护程序在将chroot 到文件系统中的目录中，这样做的好处是可能保护系统被安装漏洞侵袭的可能。缺点是需要超级用户权限。另外对符号链接文件，将会排除在外。也就是说，你在 rsync服务器上，如果有符号链接，你在备份服务器上运行客户端的同步数据时，只会把符号链接名同步下来，并不会同步符号链接的内容；这个需要自己来尝试；

read only = yes

注：read only 是只读选择，也就是说，不让客户端上传文件到服务器上。还有一个 write only选项，自己尝试是做什么用的吧；

#limit access to private LANs
hosts allow=192.168.1.0/255.255.255.0 10.0.1.0/255.255.255.0

注：在您可以指定单个IP，也可以指定整个网段，能提高安全性。格式是ip 与ip 之间、ip和网段之间、网段和网段之间要用空格隔开；

max connections = 5

注：客户端最多连接数；

motd file = /etc/rsyncd/rsyncd.motd

注：motd file 是定义服务器信息的，要自己写 rsyncd.motd 文件内容。当用户登录时会看到这个信息。比如我写的是：

+++++++++++++++++++++++++++
+ linuxsir.org rsync 2002-2007 +
+++++++++++++++++++++++++++

log file = /var/log/rsync.log

注：rsync 服务器的日志；

transfer logging = yes

注：这是传输文件的日志；

log format = %t %a %m %f %b
syslog facility = local3
timeout = 300

4.2 模块定义；

模块定义什么呢？主要是定义服务器哪个目录要被同步。每个模块都要以[name]形式。这个名字就是在rsync 客户端看到的名字，其实有点象Samba服务器提供的共享名。而服务器真正同步的数据是通过 path 来指定的。我们可以根据自己的需要，来指定多个模块。每个模块要指定认证用户，密码文件、但排除并不是必须的；

下面前面配置文件模块的例子：

[linuxsirhome]
注：模块，它为我们提供一个链接的名字，链接到哪呢，在本模块中，链接到/home目录；要用[name] 形式；
path = /home 注：指定文件目录所在位置，这是必须指定的；
auth users = linuxsir 注：认证用户是linuxsir ，是必须在服务器上存在的用户；
list=yes 注：list 意思是把rsync 服务器上提供同步数据的目录在服务器上模块是否显示列出来。默认是yes 。如果你不想列出来，就no ；如果是no是比较安全的，至少别人不知道你的服务器上提供哪些目录。你自己知道就行；
ignore errors 注：忽略IO错误，详细的请查文档；
secrets file = /etc/rsyncd/rsyncd.secrets 注：密码存在哪个文件；
comment = linuxsir home data 注：注释可以自己定义，写什么都行，写点相关的内容就行；
exclude = beinan/ samba/

注：exclude 是排除的意思，也就是说，要把/home目录下的beinan和samba 排除在外； beinan/和samba/目录之间有空格分开；

[beinan]
path = /opt 注：指定文件目录所在位置；
list=no
comment = optdir
auth users = beinan 注：是必段在服务器上存在的用户；
secrets file = /etc/rsyncd/rsyncd.secrets
ignore errors

5 启动rsync 服务器及防火墙的设置；

5.1 启动rsync服务器；

启动rsync 服务器相当简单，–daemon 是让rsync 以服务器模式运行；

[root@linuxsir:~]#/usr/bin/rsync –daemon –config=/etc/rsyncd/rsyncd.conf

注：如果你找不到rsync 命令，你应该知道rsync 是安装在哪。比如rsync 可执行命令可能安装在 /usr/local/bin目录；也就是如下的命令；

[root@linuxsir:~]#/usr/local/bin/rsync –daemon –config=/etc/rsyncd/rsyncd.conf

当然您也可以写一个脚本来开机自动启动rysnc 服务器，你自己查查文档试试，这个简单。因为我用slackware 也有一个类似的脚本。我感觉不如直接手工运行方面，或者把这个命令写入rc.local文件中，这样也一样能自动运行；

5.2 rsync服务器和防火墙；

Linux 防火墙是用iptables，所以我们至少在服务器端要让你所定义的rsync 服务器端口通过，客户端上也应该让通过。

[root@linuxsir:~]#iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 873 -j ACCEPT
[root@linuxsir:~]#iptables -L 查看一下防火墙是不是打开 873端口；

6 通过rsync客户端来同步数据；

6.1 列出rsync 服务器上的所提供的同步内容；

首先：我们看看rsync服务器上提供哪些可用的数据源；

[beinan@beinnaIBM:~]$ rsync –list-only linuxsir@linuxsir.org::

+++++++++++++++++++++++++++++++++
+++ linuxsir.org rsync server ++
+++++++++++++++++++++++++++++++++

linuxsirhome linuxsir home data

注：前面是rsync 所提供的数据源，也就是我们在rsyncd.conf 中所写的[linuxsirhome]模块。而“linuxsir home data”是由[linuxsirhome]模块中的 comment = linuxsir home data 提供的；为什么没有把beinan 数据源列出来呢？因为我们在[beinan]中已经把list=no。

[beinan@beinnaIBM:~]$ rsync –list-only linuxsir@linuxsir.org::linuxsirhome

试试这个？

6.2 rsync 客户端同步数据；

[beinan@beinnaIBM:~]$ rsync -avzP linuxsir@linuxsir.org::linuxsirhome linuxsirhome
Password: 这里要输入linuxsir的密码，是服务器端提供的，在前面的例子中，我们用的是 222222，输入的密码并不显示出来；输好后就回车；

注：这个命令的意思就是说，用linuxsir 用户登录到服务器上，把linuxsirhome数据，同步到本地目录linuxsirhome上。当然本地的目录是可以你自己定义的，比如 linuxsir也是可以的；当你在客户端上，当前操作的目录下没有linuxsirhome这个目录时，系统会自动为你创建一个；当存在 linuxsirhome这个目录中，你要注意它的写权限。

说明：

-a 参数，相当于-rlptgoD，-r 是递归 -l 是链接文件，意思是拷贝链接文件；-p 表示保持文件原有权限；-t 保持文件原有时间；-g 保持文件原有用户组；-o 保持文件原有属主；-D 相当于块设备文件；

-z 传输时压缩；
-P 传输进度；
-v 传输时的进度等信息，和-P有点关系，自己试试。可以看文档；

[beinan@beinnaIBM:~]$ rsync -avzP –delete linuxsir@linuxsir.org::linuxsirhome linuxsirhome

这回我们引入一个 –delete 选项，表示客户端上的数据要与服务器端完全一致，如果 linuxsirhome目录中有服务器上不存在的文件，则删除。最终目的是让linuxsirhome目录上的数据完全与服务器上保持一致；用的时候要小心点，最好不要把已经有重要数所据的目录，当做本地更新目录，否则会把你的数据全部删除；

[beinan@beinnaIBM:~]$ rsync -avzP –delete –password-file=rsync.password linuxsir@linuxsir.org::linuxsirhome linuxsirhome

这次我们加一个选项 –password-file=rsync.password ，这是当我们以linuxsir用户登录rsync服务器同步数据时，密码将读取 rsync.password 这个文件。这个文件内容只是linuxsir用户的密码。我们要如下做；

[beinan@beinnaIBM:~]$ touch rsync.password
[beinan@beinnaIBM:~]$ chmod 600 rsync.passwod
[beinan@beinnaIBM:~]$ echo “222222″> rsync.password

[beinan@beinnaIBM:~]$ rsync -avzP –delete –password-file=rsync.password linuxsir@linuxsir.org::linuxsirhome linuxsirhome

注：这样就不需要密码；其实这是比较重要的，因为服务器通过crond 计划任务还是有必要的；

6.3 让rsync 客户端自动与服务器同步数据；

服务器是重量级应用，所以数据的网络备份还是极为重要的。我们可以在生产型服务器上配置好rsync 服务器。我们可以把一台装有rysnc机器当做是备份服务器。让这台备份服务器，每天在早上4点开始同步服务器上的数据；并且每个备份都是完整备份。有时硬盘坏掉，或者服务器数据被删除，完整备份还是相当重要的。这种备份相当于每天为服务器的数据做一个镜像，当生产型服务器发生事故时，我们可以轻松恢复数据，能把数据损失降到最低；是不是这么回事？？

第一步：创建同步脚本和密码文件

[beinan@beinnaIBM:~] mkdir /etc/cron.daily.rsync
[beinan@beinnaIBM:~] cd /etc/cron.daily.rsync
[beinan@beinnaIBM:~] touch linuxsir.sh beinan.sh
[beinan@beinnaIBM:~] chmod 755 /etc/cron.daily.rsync/*.sh
[beinan@beinnaIBM:~] mkdir /etc/rsyncd/
[beinan@beinnaIBM:~] touch /etc/rsyncd/rsynclinuxsir.password
[beinan@beinnaIBM:~] touch /etc/rsyncd/rsyncbeinan.password
[beinan@beinnaIBM:~] chmod 600 /etc/rsyncd/rsyncbeinan.*

注：我们在 /etc/cron.daily/ 中创建两个文件beinan.sh和linuxsir.sh ，并且是权限是 755的。创建两个密码文件，linuxsir用户用的是 rsynclinuxsir.password ，而beinan用户用的是 rsyncbeinan.password ，权限是600；

我们编辑linuxsir.sh，内容是如下的：

#!/bin/sh
#linuxsir.org home backup
/usr/bin/rsync -avzP –password-file=/etc/rsyncd/rsynclinuxsir.password linuxsir@192.168.1.171::linuxsirhome /home/linuxsirhome/$(date +’%m-%d-%y’)

我们编辑 beinan.sh ，内容是：

#!/bin/sh
#linuxsir.org beinan home backup
/usr/bin/rsync -avzP –password-file=/etc/rsyncd/rsyncbeinan.password linuxsir@192.168.1.171::beinan /home/beinanhome/$(date +’%m-%d-%y’)

注：你可以把linuxsir.sh 和beinan.sh 的内容合并到一个文件中，比如都写到 linuxsir.sh 中；

接着我们修改 /etc/rsyncd/rsynclinuxsir.password 和 rsyncbeinan.password的内容；

[beinan@beinnaIBM:~] echo “222222″ > /etc/rsyncd/rsynclinuxsir.password
[beinan@beinnaIBM:~] echo “333333″> /etc/rsyncd/rsyncbeinan.password

然后我们再/home目录下创建linuxsirhome 和beinanhome两个目录，意思是服务器端的linuxsirhome数据同步到备份服务器上的/home/linuxsirhome 下，beinan数据同步到 /home/beinanhome/目录下。并按年月日归档创建目录；每天备份都存档；

[beinan@beinnaIBM:~] mkdir /home/linuxsirhome
[beinan@beinnaIBM:~] mkdir /home/beinanhome

第二步：修改crond服务器的配置文件

[beinan@beinnaIBM:~] crontab -e

加入下面的内容：

# Run daily cron jobs at 4:10 every day backup linuxsir data:
10 4 * * * /usr/bin/run-parts /etc/cron.daily.rsync 1> /dev/null

注：
第一行是注释，是说明内容，这样能自己记住。
第二行表示在每天早上4点10分的时候，运行 /etc/cron.daily.rsync 下的可执行脚本任务；

第三步：重启crond服务器；

配置好后，要重启crond 服务器；

[beinan@beinnaIBM:~]# killall crond 注：杀死crond 服务器的进程；
[beinan@beinnaIBM:~]# ps aux |grep crond 注：查看一下是否被杀死；
[beinan@beinnaIBM:~]# /usr/sbin/crond 注：启动 crond 服务器；
[beinan@beinnaIBM:~]# ps aux |grep crond 注：查看一下是否启动？
root 3815 0.0 0.0 1860 664 ? S 14:44 0:00 /usr/sbin/crond
root 3819 0.0 0.0 2188 808 pts/1 S+ 14:45 0:00 grep crond

Web服务器日志统计分析完全解决方案 .

admin — Mon, 06 Jul 2009 14:46:30 +0000

摘要
　　对于所有的ICP来说，除了保证网站稳定正常运行以外，一个重要的问题就是网站访问量的统计和分析报表，这对于了解和监控网站的运行状态，对提高各个网站的服务能力和服务水平是必不可少的。通过对Web 服务器的日志文件进行分析和统计，能够有效掌握系统运行情况以及网站内容的受访问情况、加强对整个网站及其内容的维护与管理。本文对Web 服务器日志分析的原理和技术进行讨论。
　　
　　摘要：对于所有的ICP来说，除了保证网站稳定正常运行以外，一个重要的问题就是网站访问量的统计和分析报表，这对于了解和监控网站的运行状态，对提高各个网站的服务能力和服务水平是必不可少的。通过对Web 服务器的日志文件进行分析和统计，能够有效掌握系统运行情况以及网站内容的受访问情况、加强对整个网站及其内容的维护与管理。本文对Web 服务器日志分析的原理和技术进行讨论。

　　一、前言
　　随着Internet上Web服务的发展，几乎各个政府部门、公司、大专院校、科研院所等都在构建或正在建设自己的网站。而与此同时，在构建网站建设中各个单位都会遇到各种各样的问题，那么对web 服务器的运行和访问情况进行详细和周全的分析对于了解网站运行情况，发现网站存在的不足，促进网站的更好发展重要性是不言而喻的。

　　管理Web网站不只是监视Web的速度和Web的内容传送，它要求不仅仅关注服务器每天的吞吐量，还要了解对这些Web网站的外来访问，了解网站各页面的访问情况，根据各页面的点击频率来改善网页的内容和质量、提高内容的可读性，跟踪包含有商业交易的步骤以及管理Web网站“幕后”的数据等。
　　为了更好地提供WWW服务，监控WEB 服务器的运行情况、了解网站内容的详细访问状况就越来越显得重要和迫切了。而这些要求都可以通过对web 服务器的日志文件的统计和分析来做到。

　　二、WEB日志分析的原理
　　网站服务器日志记录了web 服务器接收处理请求以及运行时错误等各种原始信息。通过对日志进行统计、分析、综合，就能有效地掌握服务器的运行状况，发现和排除错误原因、了解客户访问分布等，更好的加强系统的维护和管理。

　　在WWW服务模型是非常简单的（见图1）:

　　 1) 客户端(浏览器)和web 服务器建立tcp连接，连接建立以后，向web 服务器发出访问请求（如：get），根据HTTP协议该请求中包含了客户端的IP地址、浏览器的类型、请求的URL等一系列信息。

　　图1 web访问机制

　　 2) web 服务器收到请求后，将客户端要求的页面内容返回到客户端。如果出现错误，那么返回错误代码。

　　 3) 服务器端将访问信息和错误信息纪录到日志文件里。下面是客户端发送给web 服务器请求的数据报的内容：

　　 GET /engineer/ideal/list.htm HTTP/1.1
　　 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*
　　 Referer: http://www.linuxaid.com.cn/engineer/ideal/
　　 Accept-Language: zh-cn
　　 Accept-Encoding: gzip, deflate
　　 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
　　 Host: www.linuxaid.com.cn
　　 Connection: Keep-Alive

　　可以看到，在客户机的请求里包含了很多有用的信息，例如：客户端类型等等。而web 服务器就会将请求的web页内容发送返回给客户机。

　　目前最常用的web 服务器有Apache、Netscape enterprise server、MS IIS等。而目前互联网上最常用的web 服务器就是apache，因此我们这里的讨论都以Linux＋apache环境讨论，其他的应用环境类似。对于Apache来说，支持多种日志文件格式，最常见的是common和combined两种模式，其中combined方式比common方式的日志的信息要多Referer（该请求来自于哪里，例如来自于 yahoo的搜索引擎）和User-agent（用户客户端类型，如mozilla或IE）。我们这里讨论combined类型。下面是common类型的日志示例：

　　 218.242.102.121 – - [06/Dec/2002:00:00:00 0000] “GET /2/face/shnew/ad/via20020915logo.gif HTTP/1.1″ 304 0 “http://www.mpsoft.net/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”
　　 61.139.226.47 – - [06/Dec/2002:00:00:00 0000] “GET /cgi-bin/guanggaotmp.cgi?1 HTTP/1.1″ 200 178 “http://www3.beareyes.com.cn/1/index.php” “Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)”
　　 218.75.41.11 – - [06/Dec/2002:00:00:00 0000] “GET /2/face/shnew/ad/via20020915logo.gif HTTP/1.1″ 304 0 “http://www.mpsoft.net/” “Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)”
　　 61.187.207.104 – - [06/Dec/2002:00:00:00 0000] “GET /images/logolun1.gif HTTP/1.1″ 304 0 “http://www2.beareyes.com.cn/bbs/b.htm” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”
　　 211.150.229.228 – - [06/Dec/2002:00:00:00 0000] “GET /2/face/pub/image_top_l.gif HTTP/1.1″ 200 260 “http://www.beareyes.com/2/lib/200201/12/20020112004.htm” “Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)”

　　从上面的日志文件可以看出日志记录会记录客户端的IP地址、访问发生的时间、访问请求的页面、web 服务器对于该请求返回的状态信息、返回给客户端的内容的大小（以字节为单位）、该请求的引用地址、客户浏览器类型等信息。

　　三、apache日志的配置和管理
　　本文中我们假设我们的apache运行有两个虚拟主机：www.secfocus.com和www.tomorrowtel.com。我们需要对这两个虚拟主机分别进行访问日志分析和统计。

Apache配置文件中，我们需要关心的和日志相关的配置有两个：

　　 CustomLog /www/logs/access_log common
　　 ErrorLog /www/logs/error_log

　　 CustomLog用来指示apache的访问日志的存放位置（这里保存在/www/logs/access_log中）和格式（这里为common）；ErrorLog用来指示apache错误信息日志的存放位置。

　　对于不配置虚拟主机的服务器来说，只需要直接在httpd.conf中查找CustomLOg的配置进行修改即可；而对于具有多个虚拟服务器的web 服务器来说，需要分离各个虚拟服务器的访问日志，以便对各个虚拟服务器进行访问统计和分析。因此这就需要在虚拟服务器配置中进行独立的日志配置，示例：

　　 NameVirtualHost 75.8.18.19

　　 ServerName www.secfocus.com
　　 ServerAdmin secfocus@secfocus.com
　　 DocumentRoot /www/htdocs/secfocus/
　　 CustomLog “/www/log/secfocus” combined
　　 Alias /usage/ “/www/log/secfocus/usage/”

　　 ServerName www.tomorrowtel.com
　　 ServerAdmin tomorrowtel @ tomorrowtel.com
　　 DocumentRoot /www/htdocs/ tomorrowtel
　　 CustomLog “/www/log/tomorrowtel ” combined
　　 Alias /usage/ “/www/log/tomorrowtel/usage/”

　　这里需要注意的是每个虚拟主机的定义都有一个CustomLog命令，用来指定该虚拟主机访问日志的存放文件；而Alias命令用来让日志分析生成的报表能通过www.secfocus.com/usage/的方式来访问。通过上面的配置就完成了日志文件的保存。

　　但是下来遇到的一个问题就是日志文件的轮循，因为日志是一直在增大的，如果不进行处理那么日志文件会越来越大，会影响web 服务器运行效率；速率，还可能过大耗尽服务器硬盘空间，导致服务器无法正常运行，另外如果单个日志文件大于操作系统单文件尺寸的的限制，从而更进一步影响web服务的运行。而且日志文件如果不进行轮循也不变于日志统计分析程序的运行，因为日志统计分析都是以天为单位进行统计分析的，跨越很长时间日志会使得日志统计分析程序运行特别慢。因此这里就需要对web 服务器日志文件每天进行轮循。

　　四、web 服务器日志轮循
　　 web 服务器日志轮循比较好的方式有三种：第一种方法是利用Linux系统自身的日志文件轮循机制：logrotate；第二种方法是利用apache自带的日志轮循程序rotatelogs；第三种是使用在apache的FAQ中推荐发展已经比较成熟的一个日志轮循工具cronolog。

　　对于大型的WEB服务来说，其往往使用实用负载均衡技术提高web站点服务能力，这样后台有多个服务器提供WEB服务，这大大方便了服务的分布规划和扩展性，但多个服务器的分布就需要对日志进行合并统一进行统计分析。因此为了保证统计的精确性就需要严格按照每天的时段来自动生成日志文件。

　　 4．1 logrotate实现日志轮循
　　首先我们讨论采用Linux系统自身的日志文件轮循机制：logrotate的方法。Logrotate是Linux系统自身带的一个日志轮循程序，是专门对各种系统日志（syslogd，mail）进行轮循的程序。该程序是由运行程序的服务crond来每天凌晨4:02运行的，可以在/etc /cron.daily目录下可以看到logrotate文件，其内容如下：

　　 #!/bin/sh
　　 /usr/sbin/logrotate /etc/logrotate.conf

　　可以看到每天清晨crond都会启动/etc/cron.daily目录下的logrotate脚本来进行日志轮循。

　　而在/etc/logrorate.con

Fax传真服务器建设方案.

admin — Mon, 06 Jul 2009 14:45:25 +0000

产品理念

　　HtIt.Fax网络传真服务器是为了适应网络时代对移动办公的迫切需要而设计的，它超越了一般传真机的功能，能够实现传真智能化处理，并支持网络办公和远程办公。无论您是在办公室还是出差在外，收发传真都可以像收发电子邮件一样简便。再不受传统的有线传真机和纸张的限制，传真内容可以直达个人信箱，并自动存档。

　　HtIt.Fax网络传真服务器主要由通过国家验证的专业传真软件系统，及专用的硬件设备共同组成。由于采用了一体化设计理念，因此用户只需为HtIt.Fax接上网线、电话线、电源，即可使用，而无需添加任何其他设备，即可享受网络传真带来的方便、安全和快捷。在HtIt.Fax内部有一内置电子邮件网关，通过这一网关接口，可以将办公自动化系统与HtIt.Fax紧密地集成在一起，从而使用户通过办公自动化系统内置的邮件系统以及邮件收发界面，就可以方便地实现传真的收发和管理。

HtIt.Fax布署示意图

产品功能

E-mail To Fax ：用户可以将所需发送的传真文件以E-mail附件形式发送给HtIt.Fax ，由HtIt.Fax自动完成发送任务；

Fax To E-mail ：HtIt.Fax可以接收传统传真机发来的传真文件，并将其转换为图片（TIF格式）发送给电子邮件系统，再由电子邮件系统发送给相应的传真接受人，而传真接受人只需通过查看电子邮件的方式即可查看到传真的内容；

传真群发：用户可以将所需发送的传真文件同时发送给若干个不同的用户；

失败重发：在发送传真失败时，HtIt.Fax可以根据用户预先的设定自动进行多次发送，直到发送成功；

传真地址簿管理与使用：用户可以使用HtIt.Fax地址簿管理联系人信息，发送传真时可直接从地址簿中选取一个或多个联系人的传真号码；

传真发送结果反馈：对于任何一份传真的发送结果，HtIt.Fax均会以电子邮件回执的形式反馈给用户，经过三次发送还不能成功的传真，也会有电子邮件通知用户，并尽可能说明发送失败的原因；

传真页眉设置和使用：用户可以在HtIt.Fax中设定页眉的内容，这样在发送传真时，系统会自动将页眉内容添加到传真文件上，使企业外发传真形象统一；

传真批注：用户可以使用HtIt.Fax 图像处理工具方便地查看和编辑传真，如：添加手写签名，加盖印章等；

直播传真分机号：对于拥有许多电话分机的单位，HtIt.Fax 可以向单位的电话交换机直播传真分机号，从而无须人工转接即可接收传真；

管理日志：HtIt.Fax能将接收和发送传真的详细信息记录在其数据库中，用户可以方便的察看传真接收和发送的历史情况；

远程控制：用户可以通过浏览器对HtIt.Fax的运行状态进行监控，并能够远程启动或关闭系统；

快速导入用户资料：用户可将办公自动化系统或其他系统中积累的用户信息转换为csv文件，一次性导入HtIt.Fax的用户列表中，从而大大提高系统的布署速度；

传真计费：HtIt.Fax可以记录发送传真的用户名、传真号码、发送时间等信息，并自动计算出传真费用；

产品特点

自动传真接收：接收到的传真可以通过自动路由直接送到接收人的个人信箱中，无需进行传统的传真分发、自取等接收形式，也就避免了人为性损坏或丢失；

语音提示：无论发送传真还是接收传真，系统都会提供相应的语音提示，以指导用户操作；支持多种文件格式：系统能识别并发送如：Word、Excel等多种格式的文档，用户可以直接将此类文件作为邮件附件发送给HtIt.Fax；

传真群发：由于HtIt.Fax采用电子邮件的形式发送传真，因此只要同时设置多个收件人地址，系统就能够在后台逐个发送传真，可以轻松实现传真的群发；

自动重发和发送反馈：如遇线路故障等情况，系统会自动对发送失败的传真进行重发，直至成功为止，传真发送成功后系统还会以电子邮件的方式通知发送人：

完善的日志系统：HtIt.Fax的日志文件内容包括收发时间、号码、内容、人员等信息，通过设置还可以实现对传真的费用计算、使用统计等功能，从而更好地辅助日常管理工作。

客户价值

　　用户可以利用个人电脑可靠地收发个人传真，无需再守候在传真机前，从而节省大量的时间。

　　HtIt.Fax的自动分发功能使得传真的保密性得到保障，只有本人能看到传真内容，不用担心机密传真被他人看见，也不用担心传真的丢失或损坏。

　　传真群发功能对于大批量通知相当有用，可以应用于报表、客户收据、订单确认或特殊事件的通知等情况。

　　HtIt.Fax可以大幅度降低传真使用的成本以及免除购买传真机、线路、墨盒和纸张的需求；还减轻了员工负担，提高了工作效率，节省了时间和开支。

　　经常出差的领导或员工，利用HtIt.Fax可以随时随地的发送和接受传真，从而有效避免了工作的延误。

Ftp 服务器建设方案.

admin — Sun, 21 Jun 2009 07:51:42 +0000

企业内部FTP服务器的架设
　　对于中小型企业来说，一些资源需要在局域网中共享。可如果用户找一个文件，需要到不同的机器里去查找，这样不但耽误时间，而且会大大降低员工们的工作积极性;要是用一台电脑集中企业内部所需要的所有文件，那样岂不是会大大提高工作效率吗?在局域网中建立一台专门的FTP服务器就可以做到这一点。

　　FTP(文件传输协议)是TCP/IP中使用最广泛的应用传输协议之一。TCP/IP支持各种局域网、广域网，连接类型包括:Ethernet、Token-Ring、SDDI、Wireless LAN、X.25 SVC 、PVC和Frame Relay。

　　FTP是基于“客户=>服务器”模型而设计的，客户和服务器之间通过TCP建立连接。与其他“客户=>服务器”模型不同的是，FTP的客户与服务器之间要建立双重连接，一个是控制连接，一个是数据连接。建立双重连接的原因在于FTP是一个交互会话系统，例如某客户调用FTP，便与服务器建立一个会话，会话以控制连接来维持，直至退出FTP。控制连接负责传输控制信息，尤其是客户命令(比如文件传输命令等等)，利用控制命令，客户可以向服务器提出多次请求(一个请求就是一个客户命令)。客户每提出一个请求，服务器就与客户建立一个数据连接，进行实际的数据(比如文件)传输。一但数据传输完成，数据连接会话就被撤销，但控制连接依然存在，客户可以继续发出命令。直到客户键入CLOSE命令撤消控制连接，再键入QUIT退出FTP会话，此时双方控制进程才终断。

　　FTP服务器的安装和设置

　　系统服务器类型:Windows 2000 Server

　　FTP服务器名称:Serv-U FTP Server 4.1

　　FTP服务器的架设可以在很多的平台上进行，但Windows 2000 Server平台比较适合中小型企业。因为Windows人性化的设计可以让服务器管理人员不必接受正规的训练，就可以很好地完成系统的管理和维护工作。

　　在安装Windows 2000 Server时请不要安装任何无关的插件，多安装一个插件，就多一分危险。因为Windows 2000 Server系统采用过于人性化的设计，存在着许多漏洞。当然也可以把系统配置得很安全，这就要看管理员的功底。由于使用的是Deerfield公司(http://www.deerfield.com/)的产品Serv-U FTP Server 4.1，所以Windows 2000 Server自带的FTP工具就不用安装。Serv-U FTP Server 4.1是英文版软件，用户可以到http://www.mycalf.com/soft/Serv-U4.1.zip下载汉化补丁。

　　现在开始Serv-U FTP Server 4.1的安装工作。

　　将Serv-U FTP Server 4.1安装到Windows 2000 Server系统中，推荐安装过程全部选默认选项。安装完成后不需重新启动，用户就可以在“开始→程序→Serv-U FTP Server”中看到相关文件。

　　Serv-U FTP Server 4.1最重要的部分在于其设置。如本机IP地址为“192.168.0.1”，已建立好域名“ftp.mycalf.com”的相关DNS记录。首先打开Serv-U管理器，即出现“Setup Wizard”(设置向导)。此向导可以帮助用户轻松地完成基本设置，选“Next”(下一步)。

　　随后按以下步骤来进行操作:

　　(1)IP address(IP地址):输入“192.168.0.1”。(如果使用动态的IP地址，或无合法的IP地址则此项应保持为空。)

　　(2)Domain name(域名):输入“ftp.bbc.com”。

　　(3)Install as system server(安装成一个系统服务器吗):选“Yes”。

　　(4)Allow anonymous access(接受匿名登录吗):此处可根据自己需要选择，比如选“Yes”。

　　(5)Anonymous home directory(匿名主目录):此处可输入(或选择)一个供匿名用户登录的主目录。

　　(6)Lock anonymous users in to their home directory(将用户锁定在刚才选定的主目录中吗):即是否将上步的主目录设为用户的根目录，一般选“Yes”。

　　(7)Create named account(建立其他账号吗):此处询问是否建立普通登录用户账号，一般选“Yes”。

　　(8)Account login name(用户登录名):普通用户账号名，比如输入“mycalf”。

　　(9)Password(密码):设定用户密码。由于此处是用明文(而不是*)显示所输入的密码，因此只输一次。

　　(10)Home directory(主目录):输入(或选择)此用户的主目录。

　　(11)Lock anonymous users in to their home directory(将用户锁定在主目录中吗):选“Yes”。

　　(12)Account admin privilege(账号管理特权):一般使用它的默认值“No privilege”(普通账号)。

　　(13)最后选“Finish”(结束)即完成设置。

　　现在一个FTP服务器已经建立好，服务器地址为“ftp.mycalf.com”，其下有两个用户，一个是匿名用户“Anonymous”，其密码为空;一个是普通用户“mycalf”，其密码为在向导中输入的内容。

　　下面介绍用户的基本权限设置。在左边的面板中选中“mycalf”用户，在右边的面板中设置窗口。选“Dir Access”(目录存取权限)，即可设置此用户在它的主目录(即“Path”)是否对文件拥有“Read”(读)、Write(写)、“Append”(写和添加)、“Delete”(删除)、“Execute”(执行);是否对目录拥有“List”(显示文件和目录的列表)、“Create”(建立新目录)和“Remove”(修改目录，包括删除、移动、更名);及“Inherit”(以上权限是否包括它下面的目录树)等等权限。

　　手动添加FTP服务器

　　如果不愿意按照向导来生成FTP站点，也可以手动添加一个FTP服务器。

　　域的设置:

　　< < Local Server >> => < < 本地服务器 >>

　　License => 许可 (查看软件是否注册)

　　Settings => 设置 (在这里设置服务器的一些基本参数)

　　Activity => 活动 (查看谁登录FTP服务器)

　　Domains => 域 (这是设置FTP服务器的地方，在这里可以设置用户及用户所具有的权限等等。)

　　在Domains里点右健选择第一个选项(新建域)，第一步是写入本服务器的IP地址。写入后点击Next进入第二步，写入FTP站点的名称，也可以写FTP站点的描述，但要注意的是，所写的这个值是唯一的。在往下就是设置端口，FTP的默认端口是21号端口，也可以改成其他的端口。第四步是选择域应该被存储的地方。对于小的域.ini文件是首选的，对于大的域(>500 用户)注册表提供更快的性能。一般是选择第一个.ini文件存储。

　　添加用户:

　　Settings => 设置(在这里设置该域的一些基本参数)

　　Activity => 活动(查看该域都有谁登录)

　　Users => 用户 (在这里设置可以登录FTP服务器的用户)

　　Groups => 组 (设置组信息)

　　这里，主要来介绍一下“Users”，因为FTP服务器最基本的设置操作就在这里。

　　在“Users”里点右健，选择“新建用户”选项。如果要建立匿名站点，用户名需要设置为“Anonymous”，密码为空。第三步是选择主目录，也就是放置文件的地方。第四步是是否将用户锁定在主目录中，为安全应该选择“是”。点完成，这样就建立好一个用户。(用户的权限设置请参考向导设置部分。)

　　好，现在FTP服务器已经基本上建立起来，怎么去使用呢?

　　可以参考ftp.mycalf.com进行FTP站点的内部设置。管理员可以分类建立相应的目录，在大类中建立小类，这样就使用户查找起来更加方便。比如可以建立一个以“文件”为名的大类，在其下面可以建立一些科室的名称作为小类，这些科室的文件就可以存放在小类里。

　　FTP使得文件有系统化的管理，大大减少查找数据的时间，工作效率也就相应提高。

DNS服务器建设方案

admin — Sun, 21 Jun 2009 07:50:42 +0000

0 概述

随着互连网的发展，网络已经走进人们的生活。在TCP/IP网络上，每个设备必须分配一个唯一的地址，计算机在网络上通讯时只能识别如“192.168.38.125”之类的数字地址，而人们在使用网络资源的时候，为了便于记忆和理解，更倾向于使用有代表意义的名字，即域名，如“www.163.com”代表网易的域名。当我们打开浏览器，在地址栏中输入如“www.163.com”的域名后，就能看到我们所需要的页面。这是因为我们输入了域名后，有一台称为“DNS服务器”的计算机自动把我们所需要的域名“翻译”成相应的IP地址，然后我就可以访问那个IP地址对应的网页。

在Internet早期，应用程序是通过一个本地文件[1-2]来进行域名到IP地址、或IP地址到域名的转换的。这个文件就是hosts文件，记录了一系列域名和IP的对应关系。当人们访问一个域名时，计算机在hosts文件中查找相应的记录，找到域名所对应的IP地址。但是随着Internet规模的不断扩大，hosts文件将变的很大，它的维护和检索异常艰难，显然需要一种更高效快速的方法。为了解决这个问题，就需要用到Domain Name Server。

1 DNS 的工作原理

DNS的核心思想是分级的，它是个数据库，主要用于将主机名（域名）和电子邮件地址翻译成IP地址。DNS是使用层的方式来运作的。有的组织有自己的DNS服务器，这个DNS服务器维护着所在域的主机和IP地址的映射记录。当客户机请求名称解析时，DNS服务器先在自己的记录中检查是否有对应的IP地址。如果没有找到，它就会向其它的DNS服务器询问该信息。DNS解析程序的查询流程如图1所示。

例如武夷学院的域名为 www.nptc.edu.cn ，这个域名当然不是凭空而来的，是从“.edu.cn”所委派下来的，“.edu.cn”又是从“.cn”委派的，“.cn”是从“.”委派的，“.”代表的是根

域，也就是域名的最上层，由InterNIC（Internet Network Information Center，互联网信息中心）所管理的。全世界的域名就是这样，一层一层地委派下来。下面我们就以武夷学院的域名 www.nptc.edu.cn 为例来对域名的查询过程进行解释。

Step1 ：您所使用的电脑（客户端）需要访问www.nptc.edu.cn，首先，电脑查看自己的本机高速缓存，如果没有相关的记录，则查询Host文件。

Step2 ：如果在本机没有找到相关记录，就送出一个对www.nptc.edu.cn解析的请求给所设定的本地DNS Server。

Step3 ：本地的DNS 会先看看是不是在自己cache中，如果是就给出答案；如果不是，就将这个问题送给根域“.”中的任何一台DNS（目前“.”有13台）。根服务器也没有此记录，然而它知道和这个域比较近的服务器，所以它返回管理“.cn”服务器的地址。

Step4 ：本地DNS发送一个对www.nptc.edu.cn解析的请求给授权管理“.cn”的服务器。这台服务器也找不到答案，它也会推荐管理“edu..cn”域的一台服务器给本地DNS。

Step5 ：本地DNS发送一个对www.nptc.edu.cn解析的请求给授权管理“edu..cn”的服务器。这台服务器也找不到答案，它也会推荐管理“nptc.edu..cn”域的一台服务器给本地DNS。

Step6 ：本地DNS发送一个对www.nptc.edu.cn解析的请求给授权管理“nptc.edu..cn”的服务器。最终，这台服务器确实有你需要的记录，此服务器就返回www.nptc.edu.cn的IP地址。

Step7 ：本地DNS服务器就回应给客户机相应的IP地址。

在以上7个步骤中，客户机和本地DNS都会将每次从上级域或者根域获得的答案记录（cache）下来，以便以后访问和查询时更加快捷（当然，还会忘记，要看具体的设置）。

2 DNS 的分类

域名服务器根据其所提供的服务类型、提供服务的方式可以分为根域名服务器、主域服务器、辅助域名服务器、专用缓存域名服务器和转发域名服务器五类。下面我们简要叙述其功能。

2.1 根服务器（ Root Servers ）

根服务器位于域名空间的最顶层，就是我们前面所说的“.”，它主要用来管理根和顶级域名，目前有13个，有NIC维护，它的主机名通常为“a.root-servers.net”，一直到“m.root-servers.net。

2.2 主域名服务器（ Primary Servers ）

通常每个区域有且仅有一个主域名服务器，用来维护本区域的所有域名信息，对该区的所有DNS数据库文件的修改都再该区域的主域名服务器上修改。主域名服务器对该域中的辅助域名服务器进行周期性的更新。现在，主域名服务器或者辅助域名服务器通常在DNS的配置文件/etc/named.conf中由“zone”语句中的“type master”变量来指定。

2.3 辅助域名服务器（ Secondary Servers ）

用来做同一区域中主服务器的备份服务器，以防止主服务器无法访问或者宕机。辅助域名服务器定期与主域名服务器通信，确保它的区域信息保持最新。如果不是最新信息，辅助域名服务器就会从主服务器上获取最新区域文件的副本，这个过程成为区域复制。通过区域复制，辅助域名服务器可以定期获得主服务器的区域信息。

2.4 专用缓存域名服务器（ Cache-only Servers ）

所有的域名服务器都缓存非它们授权管理的远地域名信息。而专用缓存域名服务器只用来缓存任何DNS域的信息，它们不管理任何授权的域名信息，所以它们对任何域提供的信息都是非授权的。专用缓存服务器可以分担辅助服务器从主服务器进行区域复制的负担，可以为用户提供本地的域名信息服务而不用设置主或者复制域名服务器。

2.5 转发域名服务器（ Forwarding Servers ）

转发域名服务器是主域名服务器和辅助域名服务器的一种变形，它负责所有非本地域名的本地查询。如果用户定义了一台转发域名服务器，那么所有对非本地域名的产讯首先发给它。转发服务器通常保存了大量的域名缓存信息，从而可以减少非本地域名查询的重复次数。通常在DNS的配置文件/etc/named.conf中由“option”语句来定义。

3 DNS 的配置

建立一台DNS服务器需要三个部件，它们是DNS服务器软件、DNS服务器引导文件和主文件（数据库文件）。Linux上的DNS服务器软件叫做named――Berkeley Internet Name Daemon（伯克利Internet域名服务器），引导文件不是所有的系统都需要，主文件主要包含域信息、反向地址映射和缓存文件。

Linux系统通过运行守护神程序named来实现DNS服务器功能。它是在伯克利的加利弗尼亚大学开发的。它可以在许多环境下运行，而且在多数Linux版本中已经成为标准。BIND由因特网管理委员会（ISC）管理，并一直维护和增强。

Linux通过使用一个引导文件和本地数据文件来配置named。引导文件一般为/etc/named.conf，它定义了名字服务器运行的目录、定义了主域名和辅助域名服务器的区文件和数据库文件。当客户端发送请求给本地的DNS Server时，服务器就通过应到文件查找该请求解析的域是否已经授权管理，如果已经授权，就应到named查找该授权区域的数据库文件；否则，返回该区域上一级名字服务器的地址或者根服务器的地址。在引导文件中和还可以进行DNS的安全设置。

数据库文件包含名字服务器中授权管理的所有区的资源记录。数据库文件一般为/var/named/chroot/var/named/nameTOip.conf或者/var/named/chroot/var/named/ipTOname.conf当查询一个域名时，named通过引导文件读取相应的数据库文件中的记录，获得该域名的IP地址，或者通过IP地址获得其域名。数据库文件在主域名服务器中是手动设置的，在辅助域名服务器中可以通过和主域名服务器的通信中自动获取。

4 DNS 的安全管理

4.1 查询限制

4.2 数据传送限制

4.3 使用 Linux 系统提高安全性和稳定性

4.4 使用防火墙

OpenBSD.Nginx.MySQL.PHP环境搭建手册(网上转摘）

admin — Mon, 08 Jun 2009 14:32:00 +0000

很久没弄过OPENBSD，而且，听说现在的NGINX很红，性能比传统的APACHE要好很多倍，因而，一直想弄个NGINX服务器环境。加上，俺也想熟悉回OPENBSD，就想着弄个OPENBSD，NGINX，MYSQL，PHP的环境。。弄来玩玩，就当复习一下技术。出于习惯，俺还是在网上找了这篇文档。初步看过，好像写得不错，，就先弄过来，暂没时间实操过，待俺忙过这段时间。就再次重点研究一下俺熟悉而喜欢的UNIX服务器与数据库技术。。。

本手册以在OpenBSD 4.4环境下搭建Nginx、MySQL、PHP环境为例进行讲解。按照惯例，root权限。

=====================================================

一、OpenBSD的安装及注意事项
二、系统性能调优
Ⅰ、/etc/fstab调优
Ⅱ、/etc/sysctl.conf调优

三、O.N.M.P.软件环境的安装
四、Nginx配置
Ⅰ、Nginx配置文件的修改
Ⅱ、Nginx日志截断

五、MySQL与phpMyAdmin的配置
Ⅰ、MySQL的配置
Ⅱ、phpMyAdmin的配置

六、强化PHP的安全
七、强化SSH的安全
Ⅰ、SSH配置文件的修改
Ⅱ、使用KEY进行验证
Ⅲ、按需启动SSH
Ⅳ、一点安全小常识

八、启用Packet Filter防火墙
九、系统启动脚本的修改

=====================================================

一、OpenBSD的安装及注意事项

OpenBSD的安装这里就不多说了，主要是安装时系统组件的选择、分区和系统服务的部分。对于系统组件部分，作为生产系统来说，偶并不推荐安装comp44.tgz这个组件。因为comp44.tgz实际就是编译器，不装这个，可以在很大程度上避免安装一些非授权的软件，从而提高远程主机的安全性。如果真的需要安装什么软件，也可以在非重要的机器上进行编译，然后使用PSFTP等软件上传到远程主机上使用。关于PSFTP软件的使用，二楼有详细的介绍。

系统分区时，推荐将/usr、/usr/local、/var、/var/mysql、/var/mail、/var/log、/var/nginx等分区单独分出来，也就是说，进行比较细致的分区，防止某个目录中的文件膨胀占满整个分区导致的死锁等问题。假定你有一个80G的硬盘，一个分区示例在下面：

/ 200M
(swap) 1G
/tmp 200M
/usr 500M
/usr/local 200M
/var 100M
/var/mysql 10G
/var/mail 100M
/var/log 5G~10G
/home 200M
/var/nginx 剩余空间

至于系统服务部分，建议所有的服务都选择“n”，亦即不随系统启动。

二、系统性能调优

对于多核的机器，使用bsd.mp这个核心。

[Copy to clipboard] [ - ]CODE:
mv /bsd /obsd
mv /bsd.mp /bsd

Ⅰ、/etc/fstab调优

[Copy to clipboard] [ - ]CODE:
vi /etc/fstab

在文件系统描述符部分，加入”noatime”和”softdep”。示例如下：

QUOTE:
/dev/wd0a / ffs rw,noatime,softdep 1 1
/dev/wd0l /home ffs rw,nodev,nosuid,noatime,softdep 1 2
/dev/wd0d /tmp ffs rw,nodev,nosuid,noatime,softdep 1 2
/dev/wd0e /usr ffs rw,nodev,noatime,softdep 1 2
/dev/wd0f /usr/local ffs rw,nodev,noatime,softdep 1 2
/dev/wd0g /var ffs rw,nodev,nosuid,noatime,softdep 1 2
/dev/wd0i /var/log ffs rw,nodev,nosuid,noatime,softdep 1 2
/dev/wd0j /var/mail ffs rw,nodev,nosuid,noatime,softdep 1 2
/dev/wd0h /var/mysql ffs rw,nodev,nosuid,noatime,softdep 1 2
/dev/wd0k /var/nginx ffs rw,nodev,nosuid,noatime,softdep 1 2

友情提醒：softdep是一种非同步的文件系统，意外掉电可能造成数据的遗失/损坏，生产系统请谨慎使用！

改完后保存退出，reboot，看能不能正常启动。

一般情况下是没有问题的，个别机器或虚拟机可能会因为兼容性的缘故，无法启动。那么就把根目录的softdep拿掉，其他目录保留，仍然会有作用。

更多关于OpenBSD环境下磁盘性能调优的内容，请参看偶博客的文章，地址在下面：

http://blog.chinaunix.net/u2/81136/showart_1841280.html

Ⅱ、/etc/sysctl.conf调优

[Copy to clipboard] [ - ]CODE:
vi /etc/sysctl.conf

跳到最后，加入下面的内容：

QUOTE:
# 增大文件系统缓存到1M
kern.maxvnodes=131072

# 允许最多65536个进程
kern.maxproc=65536

# 同时最多打开65536个文件
kern.maxfiles=65536

# 并发连接最大65536
kern.somaxconn=65536

# 保留的最少连接数
kern.sominconn=256
kern.maxclusters=32768

# 增大TCP接收/发送缓存到64K
net.inet.tcp.recvspace=65536
net.inet.tcp.sendspace=65536

# 增大UDP接收/发送缓存到64K
net.inet.udp.recvspace=65536
net.inet.udp.sendspace=65536

注意：虚拟机测试只加最上面一行kern.maxvnodes=65536即可，其他的不必加了，否则会有各种问题。独立机器的可以加上。

保存退出，reboot。不能正常启动的就把除kern.maxvnodes以外的数字调小或者禁用再试。

三、OpenBSD.Nginx.MySQL.PHP软件环境的安装

OpenBSD环境下软件的安装是非常简单的，因为在官方的ftp中提供了已经编译好的二进制包，需要安装的软件都在ftp中，从ftp中安装即可。

小提示：如果你机器比较多，你可以把需要安装的软件包都down回来，其他机器再来这里安装，速度会非常快！

[Copy to clipboard] [ - ]CODE:
export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/4.4/packages/i386/

pkg_add mysql-server php5-fastcgi php5-gd-5.2.6-no_x11 phpMyAdmin lighttpd-1.4.19p3 nginx pecl-APC

以偶的1M ADSL小水管为例，大约也就二十分钟左右就安装完毕了！真的是非常快！和其他系统的wget源码、./configure && make && make install…所需要的时间相比，效率是非常高！而且，由于OpenBSD默认采用比较高的安全策略，装上的环境安全性也比其他系统要高！

等所需的软件都安装完成后，按提示作链接并创建PHP临时工作目录：

QUOTE:
ln -s /var/www/conf/modules.sample/php5.conf /var/www/conf/modules
ln -fs /var/www/conf/php5.sample/apc.ini /var/www/conf/php5/apc.ini
ln -fs /var/www/conf/php5.sample/gd.ini /var/www/conf/php5/gd.ini
ln -fs /var/www/conf/php5.sample/mbstring.ini /var/www/conf/php5/mbstring.ini
ln -fs /var/www/conf/php5.sample/mcrypt.ini /var/www/conf/php5/mcrypt.ini
ln -fs /var/www/conf/php5.sample/mysql.ini /var/www/conf/php5/mysql.ini
mkdir /var/nginx/sesstmp
chmod 0777 /var/nginx/sesstmp

pkg_info检查一下系统中安装了些什么软件包：

可以看到，所需的软件包和依赖的包都安装好了！

四、Nginx配置

Ⅰ、Nginx配置文件的修改

修改nginx的默认配置文件：

[Copy to clipboard] [ - ]CODE:
vi /etc/nginx/nginx.conf

按下面的内容修改Nginx的配置文件。兰色表示需要手动修改的内容，红色表示增加的内容：

QUOTE:
#user nobody;

# 指定子进程数，酌情修改
worker_processes 4;

#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;

#pid logs/nginx.pid;

# 最多可打开文件数
worker_rlimit_nofile 8196;

events {
# 最大并发数
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

# 关掉错误日志
error_log /dev/null crit;
# 如果需要错误日志，就用下面这行替换上面这行
#error_log /var/log/nginx/error.log notice;

# 定义日志格式，对日志使用缓存，避免频繁的磁盘I/O操作
access_log /var/log/nginx/access.log combined buffer=1m;

sendfile on;
tcp_nopush on;
tcp_nodelay on;

keepalive_timeout 10;

# 对静态文件和可压缩文件启用压缩，以节约网络带宽，提高访问速度
gzip on;
gzip_min_length 1k;
gzip_buffers 4 8k;
gzip_http_version 1.1;
gzip_comp_level 3;
gzip_types text/html text/css text/xml text/plain application/x-javascript application/xml application/pdf application/x-perl application/x-tcl application/msword application/rtf application/vnd.ms-excel application/vnd.ms-powerpoint application/vnd.wap.xhtml+xml image/x-ms-bmp;
gzip_disable “MSIE [1-6] \.”;
gzip_vary on;

# 定义输出缓存大小
output_buffers 4 32k;

# 最大允许可上传文件大小
client_max_body_size 20m;

# 定义一个叫“myzone”的记录区，总容量为 10M
# 和下面的limit_conn一起限制单个IP的并发连接数为10
limit_zone myzone $binary_remote_addr 10m;

server {
listen 80;
server_name localhost;

location / {
root /var/nginx/html;
index index.php index.html index.htm;
limit_conn myzone 10;
}

error_page 500 502 503 504 /50x.html;

location = /50x.html {
root /var/nginx/html;
}

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/nginx/html$fastcgi_script_name;
include fastcgi_params;
}

# 在浏览器本地暂存图片和静态文件，不记录日志，以节约机器资源
location ~* \.(gif|png|jpg|jpeg|bmp|css|js|swf)$
{
root /var/nginx/html;
access_log off;
expires max;
}

# 在浏览器中输入http://xxx.xxx.xxx/status可以看到Nginx的运行信息
# 需要密码验证，不记录日志，限制IP访问
location ~ /status
{
auth_basic “O.N.M.P.”;
auth_basic_user_file password;
stub_status on;
access_log off;
allow 192.168.0.0/24;
deny all;
}
}

}

其他的部分请酌情修改。

运行下面的命令生成查看Nginx运行状态的密码文件：

[Copy to clipboard] [ - ]CODE:
htpasswd -c /etc/nginx/password webadmin

按提示输入两遍密码即可。

在查看status的时候，输入用户名webadmin（见上面这行）和密码就能够看到Nginx的运行数据了。

Nginx能够流行和它的高负载能力是分不开的，在追求性能表现的场合，推荐使用Nginx+PHP-fastcgi的组合以获得强健的性能表现。而对于那些重视安全性的场合来说，可能OpenBSD内核集成的Apache更合适。OpenBSD下搭建Apache、MySQL、PHP环境的详细内容请参见偶的另篇博文，地址在下面：（博客速度可能较慢，四楼有转帖）

http://blog.chinaunix.net/u2/81136/showart_1860332.html

当然，你也可以利用Nginx内置的负载均衡功能，在前端分配访问流量，后端由Apache来运行PHP环境。Nginx负载均衡的配置可以去Nginx的主页参看相关内容，地址：http://wiki.nginx.org/Main。

下面为一个Nginx负载均衡的示例：

QUOTE:
http {
upstream myproject {
ip_hash;
server 192.168.1.1:80;
server 192.168.1.2:80;
server 192.168.1.3:80;
server 192.168.1.4:80;
}

server {
listen 80;
server_name www.domain.com;
location / {
proxy_pass http://myproject;
}
}
}

网络拓扑示意图如下：

Ⅱ、Nginx日志截断

OpenBSD默认每天00:00会执行/etc/daily.local脚本中的内容，我们只需要把Nginx日志截断的命令加入到这个文件中即可。

[Copy to clipboard] [ - ]CODE:
vi /etc/daily.local

加入下面的内容：

QUOTE:
#!/bin/sh
# 对Nginx日志进行截断和压缩，以节约log分区空间
# 在张宴的基础上修改，感谢！
mkdir -p /var/log/nginx/$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/
mv /var/log/nginx/access.log /var/log/nginx/$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/access.$(date -d “yesterday” +”%Y%m%d”).log
kill -USR1 `cat /var/run/nginx.pid`
sleep 1
gzip /var/log/nginx/$(date -d “yesterday” +”%Y”)/$(date -d “yesterday” +”%m”)/access.$(date -d “yesterday” +”%Y%m%d”).log

保存退出，为/etc/daily.local加上执行权限：

[Copy to clipboard] [ - ]CODE:
chmod 0755 /etc/daily.local

其他需要每天运行的命令也都可以加在这个脚本里面，各位自行处理。

五、MySQL与phpMyAdmin的配置

Ⅰ、MySQL的配置

安全起见，MySQL需要运行在自己的daemon下：

[Copy to clipboard] [ - ]CODE:
vi /etc/login.conf

跳到最后，加入MySQL所需的修改：

QUOTE:
mysql:\
penfiles-cur=2048:\
penfiles-max=4096:\
:tc=daemon:

使修改生效：

[Copy to clipboard] [ - ]CODE:
cap_mkdb /etc/login.conf

初始化MySQL数据库：

[Copy to clipboard] [ - ]CODE:
/usr/local/bin/mysql_install_db

MySQL自带了几个配置文件，在/usr/local/share/mysql目录中，可以拷贝为/etc/my.cnf使用。关于MySQL的配置和优化等内容，可以自行Google，这里不再赘述。
MySQL安全须知
不要用root身份运行数据库或PHP应用。并且，最好是数据库名和数据库用户名不同，以提高安全性。

例如，域名为example.net，则数据库名设为abcxyz，数据库用户名设为xyzabc。总之，关联度越低越好，数据库名和数据库用户名越复杂越难猜测越好。

控制权限的分配，PHP应用仅给予必要的权限。

例如，安装/升级Discuz!和PHPWind论坛程序，仅需要下图所示的权限即可：

在安装/升级完毕后，还可以把CREATE、ALTER、DROP权限去掉，不会影响论坛程序的运行，而且提高了安全性！
Ⅱ、phpMyAdmin的配置

由于OpenBSD中的phpMyAdmin默认是安装在/var/www/phpMyAdmin目录中的，直接使用Nginx是无法访问的，我们需要把它拷贝到Nginx目录下，这样就可以通过浏览器来管理MySQL数据库了。

[Copy to clipboard] [ - ]CODE:
mkdir /var/nginx/html/pma/
cp -rf /var/www/phpMyAdmin/* /var/nginx/html/pma/

修改phpMyAdmin的配置文件，使之可用。

[Copy to clipboard] [ - ]CODE:
vi +17 /var/nginx/html/pma/config.inc.php

将下面这行修改成：

QUOTE:
$cfg['blowfish_secret'] = ‘a’; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

（仅是加入了字母a而已）

保存退出。
小提示：
上面新建了/var/nginx/html/pma目录来保存phpMyAdmin的文件，目录名很简单。你可以用一个更复杂的目录名来代替，例如：pma2YAY5jRpfFfLXQVm这样的目录名，以防止黑客利用字典攻击等方法渗透你的phpMyAdmin！

你还可以在Nginx的配置文件中，将/var/nginx/html/pma配置成某个虚拟主机的根目录，并限定可以访问这个虚拟主机的IP。这样，就可以在很大程度上提高数据库的安全性了！一个配置示例在下面：

QUOTE:
location / {
allow 192.168.0.0/24;
deny all;
}

假如平时只是偶尔用到phpMyAdmin，你还可以在用完后删除/var/nginx/html/pma目录，需要用的时候再拷贝过去。

你还可以将以上方法结合起来灵活使用，既建立一个无法被猜测的目录名，又限制IP访问，这样你的系统被黑的机会就会小了很多！
六、强化PHP的安全

OpenBSD软件包中的PHP已经自带了suhosin这个补丁，可以在很大程度上提高PHP脚本的安全。本节主要讨论在php.ini文件中进行相关的设置，进一步提升安全性。具体来说，就是禁用某些危险函数和启用PHP安全模式。

偶一般是把对PHP的所有修改都放在一个单独的文件中进行，包括对PHP参数以及扩展模块的修改，都放在这个文件中一并处理，这样查找、修改和管理会方便许多：

[Copy to clipboard] [ - ]CODE:
vi /var/www/conf/php5/addphp.ini

加入下面的内容：

QUOTE:
; 禁止动态加载模块
enable_dl = Off

; 隐藏PHP信息
expose_php = Off

; 限定可访问目录
open_basedir = /var/nginx/html/

;设定session暂存目录
session.save_path=/var/nginx/sesstmp

; 设定PHP上传文件的临时目录
upload_tmp_dir=/var/nginx/tmp

; 禁用危险函数（注意下面的内容应该是一行，编排的原因分成了多行）
disable_functions = phpinfo,com,shell,exec,system,passthru,error_log,
stream_socket_server,putenv,ini_alter,ini_restore,ini_set,dl,openlog,
syslog,readlink,symlink,link,leak,fsockopen,pfsockopen,proc_open,
popepassthru,escapeshellcmd,escapeshellarg,chroot,scandir,
chgrp,chown,shell_exec,proc_get_status,popen,shmop_close,
shmop_delete,shmop_open,shmop_read,shmop_size,shmop_write

; 启用PHP的安全模式
; PHP在安全模式下运行是用性能换安全。据简单测试，性能下降到50%左右，各位请酌情使用
; 启用安全模式后，某些程序可能受到影响。例如，Discuz!将无法上传附件
safe_mode = On

; pecl-APC只使用16M的共享内存用以加速PHP程序的运行
apc.shm_size=16M

保存退出。
七、强化SSH的安全
Ⅰ、SSH配置文件的修改

[Copy to clipboard] [ - ]CODE:
vi /etc/ssh/sshd_config

跳到最后，加入下面的部分：

QUOTE:
# 使用高位端口，防止黑客扫描22端口。可选范围1024~65535，推荐32768~65535。
Port 58937

# 登录时间控制在30秒内
LoginGraceTime 30

# 不允许root远程直接登录
PermitRootLogin no
StrictModes yes

# 最多允许三次错误
MaxAuthTries 3

# 最多允许三个SSH线程
MaxSessions 3

# 使用SSH协议2
Protocol 2

# 不使用密码认证
PasswordAuthentication no

# 使用KEY的方式认证
PubkeyAuthentication yes

# KEY文件存放位置
AuthorizedKeysFile .ssh/authorized_keys

Ⅱ、使用KEY进行验证

下面以Windows环境下PuTTY为例讲解使用KEY验证的方法，Linux/UNIX下与此类似。

首先，从下面的网址下载PuTTY的安装包（Windows）：

http://the.earth.li/~sgtatham/putty/latest/x86/putty-0.60-installer.exe

下完后双击安装，不再赘述。这个软件包自带了下面几个非常实用的软件：

QUOTE:
PuTTYgen:生成KEY；

Pageant:管理KEY；

PuTTY:SSH客户端；

PSFTP:使用SSH上传/下载文件。

下面就来实例讲解用PuTTY的这几个软件对远程主机进行KEY认证和管理的方法。假设我们要在192.168.0.132这个远程主机上使用young_king这个用户名进行KEY认证和登录。
1.生成KEY

启动PuTTYgen，如下图：

在密钥长度栏输入想要的密钥长度，越大越安全。这里以最大的2048位为例，然后点“Generate”按钮，会开始生成KEY，生成过程中需要在下面的空白部分移动鼠标来生成随机数。

KEY生成完毕后，你可以输入一些标识信息，如下图：

还可以在下面的passphrase框内输入“保护码”，注意要输入两遍。“保护码”也就是密码的意思，用来保密私钥的，一定要记住这个哦！

都输入完毕后，点击下面的“Save public key”按钮保存公钥，如下图所示：

然后点击“Save private key”按钮保存私钥，如下图：

这个私钥最好不要保存在电脑上，我们把它拷贝到U盘上，随身带着，这就是我们的“KEY盘”。

要养成每月更换“保护码”的好习惯，更换“保护码”仍然要用到PuTTYgen这个软件，启动后点击“Load”，载入私钥，重新输入“保护码”，再确认一遍，然后点击“Save private key”保存即可！

2.启用KEY

上面生成了公钥和私钥，我们需要把公钥上传到远程主机的用户目录中，就要用到PSFTP这个软件了。启动它，如下图：

输入命令：open 192.168.0.132

接下来，PSFTP会列出远程主机上的RSA指纹以供识别，如下图：

这个指纹可以在远程主机上输入下面的命令查看：

[Copy to clipboard] [ - ]CODE:
ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key

请把这个指纹记在纸上，随身携带，和远程主机连接的时候就拿出来对比一下（这么做主要是为了防止连接被人劫持和指纹被伪造）。

如果上面PSFTP显示的指纹和远程主机上的不一致，那么毫无疑问是伪造的了，直接回车断开连接。如果相符，你可以输入“y”来保存这个指纹到本地计算机上（不推荐），或输入“n”只是这次连接使用。

随后PSFTP会让你输入登录用户名和密码，并自动进入该用户的根目录，如下图（以root为例）：

现在我们要把第一步生成的公钥上传到远程主机上（请把这个公钥复制到C:\Documents and Settings\Administrator目录先，如果你的Windows不是用Administrtor登录的，就替换成你登录用的用户名）。输入命令：put young_king，可以看到，公钥已经上传到/root目录了，见下图：

PuTTY生成的KEY并不能直接使用，需要转换一下。用PuTTY登录（此时上面修改的端口尚未启用，还是默认的22端口），以root身份执行：

[Copy to clipboard] [ - ]CODE:
ssh-keygen -X -f /root/young_king > /home/young_king/.ssh/authorized_keys

这就把公钥成功导入到young_king的目录中了，就可以被young_king这个用户使用了！

导入成功后，要删除多余的公钥：

[Copy to clipboard] [ - ]CODE:
rm /root/young_king

下面介绍几个PSFTP常用的命令：

QUOTE:
open xxx.xxx.xxx.xxx：打开远程主机（xxx.xxx.xxx.xxx为IP或域名）；

put xxxxxxxx：向远程主机上传文件（该文件需要事先拷贝到C:\Documents and Settings\Administrator目录）；

get xxxxxxxx：从远程主机下载文件（下载后保存在C:\Documents and Settings\Administrator目录）；

cd xxxxxx:进入远程主机的相应目录；

exit：退出PSFTP（也可以点右上角的叉关闭，不过不推荐这样做）。

更多的命令可以参看PuTTY的帮助文件，这个帮助写得不错。

3.使用KEY登录

我们上面虽然修改了SSH的配置文件（/etc/ssh/sshd_config），但还没有启用。输入下面的命令启用新的SSH配置，以便我们用KEY登录：

[Copy to clipboard] [ - ]CODE:
kill -HUP `cat /var/run/sshd.pid`

PuTTY提供了一个KEY的管理程序，上面已经提到，是Pageant，我们使用这个程序来进行KEY登录。

启动Pageant，它会自动缩小到任务栏的通知区域，右键单击，选择“Add key”，会弹出个对话框让我们选择。插入上面制作好的“KEY盘”，并选择保存的私钥，会弹出个对话框让我们输入“保护码”，如下图：

如果安装PuTTY时选择了让Pageant关联.ppk文件，则双击私钥可以自动启动Pageant。

输入在生成KEY时输入的“保护码”，私钥就被导入到Pageant中了。再右键单击任务栏通知区的Pageant图标，选择第一项“New session”，Pageant会自动启动PuTTY，等待输入远程主机的相关信息，如下图：

输入IP（或域名）和端口号，点击最下面的“Open”按钮，PuTTY就会登录远程主机了。和PSFTP类似，会弹出个对话框让你确认远程主机的RSA指纹，如下图。同理，指纹不同就表示连接被劫持或指纹被伪造，点“取消”断开连接；指纹相同就点“否”，不保存主机公钥到本地计算机。

随后会让你输入用户名，输入“young_king”，看看，自动就登录上去了！

前面更改SSH配置的时候，已经禁用了root远程登录和使用密码登录，只能使用KEY才能登录进系统。想要维护系统的时候，就用这个KEY登录，再su成root。而且，需要上传/下载文件的时候，就用PSFTP，所有的操作都在SSH连接下进行，还有KEY的保护，安全性不知道提升了多少倍！黑客想要破解真是难于上青天！
Ⅲ、按需启动SSH

我们只在必要的时候启动sshd服务，用完即停止，不给黑客扫描的机会。输入下面的命令：

[Copy to clipboard] [ - ]CODE:
crontab -e

跳到最后，输入下面的内容（中间的空白部分为Tab）：

QUOTE:
# 每天的10:30启动sshd服务
30 10 * * * /usr/sbin/sshd

# 10:35即停止sshd服务，也就是说，你只有五分钟的时间可以登录进系统
35 10 * * * kill `cat /var/run/sshd.pid`

保存退出。

上面的时间请酌情修改。sshd服务启动的时间尽量不要太长，5~10分钟应该够了！

Ⅳ、一点安全小常识
私钥请一定保存在安全的地方，不要保存在本地计算机上，并加上足够强度的“保护码”；

本地计算机不要保存远程主机的“指纹”，用一次确认一次（远程主机的指纹保存在注册表的HKEY_CURRENT_USER\Software\SimonTatham\PuTTY项下，可以手动删除）；

不要使用DSA密钥，据说有漏洞的；

不要在公用计算机上连接远程主机，有键盘记录器、木马什么的就麻烦了；

多个远程主机不要使用相同的公钥，最好是使用各自的公钥、私钥；

少用，最好是不用无线网络，加密强度太差，容易被破解；

M$系统下的病毒、木马太多了，推荐客户端转换到Linux/UNIX环境，安全性更高，而且仍然有PuTTY及工具可用；

注意清除本地机器上不必要保留的文件（例如私钥、公钥、主机RSA指纹、C:\Documents and Settings\Administrator目录下的文件等等）。

八、启用Packet Filter防火墙

Packet Filter是非常优秀的包过滤防火墙，OpenBSD核心已经集成了Packet Filter防火墙，不过默认并没有启用，下面我们来启用Packet Filter的强大功能！

[Copy to clipboard] [ - ]CODE:
vi /etc/pf.conf

跳到最后，加入下面的内容：

QUOTE:
# 宏定义
# 请把下面的fxp0换成你自己用的外网网卡，不知道的可以输入ifconfig查看
ext_if=”fxp0″

# 指定可以使用SSH登录的IP，支持CIDR
admin_add=”192.168.0.0/24″

# 指定SSH端口。
# 注意，如果在/etc/ssh/sshd_config文件中更改了SSH端口号，这里的也需要同样修改。否则连不上了不要怪偶没有提醒！
ssh_port=”58937″

# 维持一个持久的表，里面存放的是对本机发动DDoS攻击的IP
table persist

# 选项设定
set require-order yes
set block-policy drop
set optimization aggressive
set loginterface none
set skip on lo0

# TCP参数设定
set timeout {interval 3,frag 10}
set timeout {tcp.first 10,tcp.opening 2,tcp.established 600,tcp.closing 20,tcp.finwait 10,tcp.closed 10}

# UDP、ICMP及其它参数设定
set timeout {udp.first 20,udp.single 10,udp.multiple 10}
set timeout {icmp.first 10,icmp.error 5}
set timeout {other.first 20,other.single 10,other.multiple 20}
set timeout {adaptive.start 0,adaptive.end 0}

# 允许最多有65536个连接
set limit { states 65535, frags 200, src-nodes 65536, tables 65536, table-entries 1048576 }

# 包整形
scrub in all
scrub out all

# 阻止所有不匹配的包和从DDoS主机来的包
block quick from
block return
block in all
block out all

# 防止IP欺骗
antispoof quick for {lo0,$ext_if}

# 允许本机访问其他机器
pass out quick on $ext_if inet from $ext_if to any flags S/SA keep state

# 允许IPv4地址的客户机访问本地80（www）端口，发起过快连接（DDoS）的主机加入阻止列表。注意是一行，下同
pass in quick on $ext_if inet proto tcp from any to $ext_if port 80 flags S/SA synproxy state (source-track rule,max-src-nodes 200,max-src-states 100,max-src-conn 100,max-src-conn-rate 1000/10,overload flush global )

# 允许IPv6地址的客户机访问本地80（www）端口，发起过快连接（DDoS）的主机加入阻止列表
pass in quick on $ext_if inet6 proto tcp from any to $ext_if port 80 flags S/SA synproxy state (source-track rule,max-src-nodes 200,max-src-states 100,max-src-conn 100,max-src-conn-rate 1000/10,overload flush global )

# 允许管理IP远程连接本机SSH端口
pass in quick on $ext_if inet proto tcp from $admin_add to $ext_if port $ssh_port flags S/SA synproxy state

保存退出。

修改系统配置，使得开机启用PF防火墙：

[Copy to clipboard] [ - ]CODE:
vi /etc/rc.conf.local

跳到最后，加入下面这行：

QUOTE:
pf=YES

保存退出。

九、系统启动脚本的修改

修改系统启动脚本，使得MySQL、PHP(fastcgi)、Nginx可以在系统启动的时候自动启动，免去手动启动的麻烦。

[Copy to clipboard] [ - ]CODE:
vi /etc/rc.local

跳到最后，加入下面的内容：

QUOTE:
# 启动时校时。这行也可以加在/etc/daily.local文件的最前面，每天零点自动校时
rdate -n 210.72.145.44
# Start MySQL
if [ -x /usr/local/bin/mysqld_safe ] ; then
echo -n ‘Starting MySQL…’
su -c mysql root -c ‘/usr/local/bin/mysqld_safe >/dev/null 2>&1 &’
echo “DONE”
fi
# Start php-fastcgi
if [ -x /usr/local/bin/spawn-fcgi ] ; then
echo -n ‘Starting php-fastcgi…’
/usr/local/bin/spawn-fcgi -a 127.0.0.1 -p 9000 -C 6 -u www -f /usr/local/bin/php-fastcgi > /var/run/fcgi.pid
echo “DONE”
fi
# Start nginx
if [ -x /usr/local/sbin/nginx ] ; then
echo -n ‘Starting nginx…’
/usr/local/sbin/nginx
echo “DONE”
fi

保存退出。

reboot重启，启动后输入top看看，O.N.M.P.环境已经搭建好！

系统启动后，还要把MySQL自带的测试数据库和匿名用户删除，防止被黑客利用。

默认情况下，新安装的MySQL数据库，root密码为空！同样需要第一时间进行设置，方法见下图：

好了，至此，O.N.M.P.环境的搭建已经结束，剩下的就看各位自行发挥了！

写在最后

其实，系统的安全是个整体工程，并不是用上了OpenBSD这个最安全的操作系统就算万事OK，还有很多事情要做。

更多的是需要在日常工作中积累经验，多分析系统整体的运行情况，多关注网络安全方面的内容，这样才能尽可能的打造安全的运维环境。

本手册只是起到抛砖引玉的作用，希望能吸引更多的人来关注系统安全，希望有更多的人能用上OpenBSD这个主动安全的操作系统，希望能推动OpenBSD在国内的更多普及。如此，则幸甚！

lamp/Famp .服务器建设方案

admin — Wed, 27 May 2009 07:02:54 +0000

L A M P ——LINUX APACHE MYSQL P HP

FAMP ——FREEBSD APACHE MYSQL P HP

或许还有

WAMP ——WINDOWS APACHE MYSQL P HP

why F reeBSD? why LINUX?

如果真要比较哪个更出色,那只有那些真正运行过大访问量及大规模的网站才会给出一个结果.

不过通过搜索本公司发现,大家所熟知的很多大网站,如BAIDU,YAHOO,163,SOHU,XINNET,QQ,TOM,GOV.CN,GOOGLE都在采用UNIX做为服务器系统.

为什么不是LINUX?本公司还没有机会建立让亿万网友次访问的系统,无法从性能上给出一个数据来解释原因.下面从一点个人的分析上来向大家说明一下,为什么要用UNIX而不是LINUX?

从发展方向来看,UNIX一直以来是以服务器为发展核心,它的发展全部针对于服务器的应用,而你所知道的,LINUX不论从宣传还是培训来看,几乎对X功能[图形界面]重视之高,甚至提出要取代WINDOWS[客户机]这样的口号,那么,从开发的角度来看,LINUX不但要与UNIX竞争,还要与WINDOWS竞争?你会说我们应该同情它吗?不,本公司只能说LINUX的定位有问题.

其一,为什么要代替掉WINDOWS作为客户机的地位?有这个可能吗?WINDOWS除服务器版外的定位是小型工作系统,而不是服务器,不论图形还是软件兼容方面已经做的比较完善,用LINUX来代替WINDOWS最大的可能是实现与WINDOWS一样的功能[事实上现在还达不到],怎么会成功,两个产品具备差不多性能的情况下没有人愿意去更换的,IE与FIREFOX的竞争就是这个道理,如果两者功能差距不大,后者不可能把前者代替的.因此LINUX代替WINDOWS成为主流客户机系统的可能性非常小,而相比之下应用成本又非常高,所以你看到的,LINUX还是被更多的用在服务器上.不是说LINUX图形界面系统是失败的,只是说从把LINUX做为服务器系统的角度来看,图形系统根本没有必要.

其二,加入了图形系统后,一个服务器系统并不是简单的被认为增加了图形模块这么简单,在系统中图形模块与其它模块有关联,这样在运行服务器时一定会加重服务器的负担,当然你会说不安装图形界面不就好点吗?是的,可是有哪个LINUX服务器只用文字界面?这些管理员都是LINUX培训出来的,全都知道图形界面更简单,哪个不用呢?

其三,大家来分析,为什么LINUX比WINDOWS服务器更安全?这里面有一般用户对系统的熟悉程度的原因,也有相关的软件与服务器系统兼容的问题,在WINDOWS下可以找到非常之多可以修改系统[事实上是修改系统软件的工作方式]的工具,而LINUX下呢,当前这样的工具是比较少的,因为不兼容.而且LINUX可以定制内核,而WINDOWS是不会让你看到源代码的,全世界的WINDOWS服务器都是一个样的内核,所以在WINDOWS服务器之间传播病毒是很容易的,而LINUX则不同.尽管如此,图形界面化的LINUX也要同WINDOWS一样执行图形命令,要把命令打包,而打包好的命令就会被其它工具可利用,随着LINUX的发展,运行在LINUX上病毒已经出现,随着用户对LINUX的更加了解,LINUX与WINDOWS在操作习惯上还会有什么不同?那么LINUX版的病毒会少吗?

不知道下这样的结论是否准确:并不是说开发WINDOWS的程序员/工程师就比开发LINUX的程序员/工程师笨,而是说一个系统中元素越多,系统的潜在问题就多.大家来看下这三个系统:

WINDOWS=服务功能+图形功能

LINUX=服务功能+图形功能+内核定制

UNIX(BSD)=服务功能+内核定制

区别很明显.商业的宣传通常并不是给用户最好的,而是给用户最愿意付出金钱的东西.

对于服务器系统来讲,大家需要的是什么呢?只是服务器系统就已经足够.需要X界面吗?只是为了操作的所谓简单就增加这个庞大的东西?没必要,在本空间的其它内容你可以看到,纯文字界面的系统配置并没有想象的复杂.而LINUX推动者所宣传的无非是LINUX更容易学习,或者是所谓的社区支持者多,事实上了解到UNIX系统的技术工程师都知道UNIX(BSD)的的升级及更新速度,以及PORTS下软件开发者的活跃程度.

REDHAT到来,是为何而来,赚钱.是给中国最好的技术吗?鬼才相信.就象PHP是世界是最流行的开发语言而在中国很多地方鲜有人知一样,一个技术的发展与应用的确需要推动的,要推动就要有利益,如果让恒德来选择,恒德更愿意找到一个平衡点,在获得利益的同时给用户最好的产品.

说了这么多,各位看官也只是听说,听说有什么用呢?没有自己的实践谁说的都不一定准确.那么恒德的想法是希望大家在建立开发环境的时候,尤其是开源软件的开发环境的时候更多的考虑采用UNIX(BSD),它的表现或许并不是你想象的那么难以接受.看到PHP在中国的发展是令人鼓舞的,PHP的易用性给了WEB开发人员很好的帮助,并不是人们想象的简单就不值得掌握和应用.而UNIX(BSD)在服务器系统方面给你的支持也会让你更加轻松自如的.

当你看到,听到或者想到LAMP时是不是会想起FAMP或者UAMP?