數(shù)據(jù)傳輸通道保護系統(tǒng)

數(shù)據(jù)傳輸通道保護系統(tǒng)V1.0目錄TOC\o"1-5"\h\z\o"CurrentDocument"1 概述 31.1 數(shù)據(jù)傳輸通道保護系統(tǒng)功能 31.2 數(shù)據(jù)傳輸通道保護系統(tǒng)特點 31.2.1 跨平臺傳輸通道保護 3\o"CurrentDocument"1.2.2 透明性 3\o"CurrentDocument"1.2.3 安全性 4\o"CurrentDocument"1.2.4 穩(wěn)定性 41.2.5 靈活定制保護策略 4\o"CurrentDocument"1.3 技術(shù)指標 4\o"CurrentDocument"2操作說明 5\o"CurrentDocument"2.1 系統(tǒng)安裝 5\o"CurrentDocument"2.1.1 Linux操作系統(tǒng)下系統(tǒng)的安裝 5\o"CurrentDocument"2.1.2 Windows操作系統(tǒng)下系統(tǒng)的安裝 5\o"CurrentDocument"2.2 Linux系統(tǒng)下的應(yīng)用配置 62.2.1 基于地址及端口的控制 62.2.1.1 數(shù)據(jù)傳輸通道保護系統(tǒng)控制規(guī)則 62.2.1.2 數(shù)據(jù)傳輸通道保護系統(tǒng)命令選項 62.2.1.3 數(shù)據(jù)傳輸通道保護系統(tǒng)命令參數(shù) 62.2.1.4 語法的運用 82.2.2 基于內(nèi)容的控制 8\o"CurrentDocument"2.3Windows系統(tǒng)下的應(yīng)用配置 92.3.1 基于地址及端口的控制 92.3.1.1 數(shù)據(jù)傳輸通道保護系統(tǒng)控制規(guī)則 92.3.1.2 數(shù)據(jù)傳輸通道保護系統(tǒng)命令選項 92.3.1.3 數(shù)據(jù)傳輸通道保護系統(tǒng)命令參數(shù) 92.3.1.4語法的運用 92.3.2 基于內(nèi)容的控制 10\o"CurrentDocument"3傳輸通道的保護 101概述1.1數(shù)據(jù)傳輸通道保護系統(tǒng)功能數(shù)據(jù)傳輸通道保護系統(tǒng)安裝在需要通信的主機上，通過對通信雙方（服務(wù)端、客戶端）進行IP地址、端口、及一些傳輸內(nèi)容的控制，來優(yōu)化數(shù)據(jù)傳輸環(huán)境，增強數(shù)據(jù)傳輸能力，保證數(shù)據(jù)傳輸通道的安全性、健壯性、高效性；在服務(wù)器端，通過對一些非法連接到服務(wù)端的的IP地址及端口進行阻斷，來凈化服務(wù)器的通信環(huán)境，從而增強服務(wù)端應(yīng)用業(yè)務(wù)的健壯性和數(shù)據(jù)處理能力；在客戶端，通過對客戶端連接到外部的IP地址和端口的一些限制，限制非業(yè)務(wù)數(shù)據(jù)傳輸，優(yōu)化通信環(huán)境。數(shù)據(jù)傳輸通道保護系統(tǒng)也能夠有效阻斷來之外部或內(nèi)部的惡意掃描、攻擊，從而為正常業(yè)務(wù)的穩(wěn)定運行保駕護航。1.2數(shù)據(jù)傳輸通道保護系統(tǒng)特點1.2.1跨平臺傳輸通道保護數(shù)據(jù)傳輸通道保護系統(tǒng)既能夠安裝運行在linux環(huán)境下對需要通信的應(yīng)用系統(tǒng)進行保護，也能安裝運行在windows系統(tǒng)下對需要網(wǎng)絡(luò)通信的應(yīng)用系統(tǒng)進行保護，具有非常出色的跨平臺數(shù)據(jù)傳輸通道保護能力。1.2.2透明性數(shù)據(jù)傳輸通道保護系統(tǒng)安裝在業(yè)務(wù)主機上以后，主機上業(yè)務(wù)應(yīng)用的通信配置不需要做任何改動，數(shù)據(jù)傳輸通道保護系統(tǒng)不會對通信中的數(shù)據(jù)進行任何改動，對業(yè)務(wù)系統(tǒng)來說是完全透明的，業(yè)務(wù)系統(tǒng)可以完全不用關(guān)心數(shù)據(jù)傳輸通道保護系統(tǒng)的存在。1.2.3安全性數(shù)據(jù)傳輸通道保護系統(tǒng)通過對數(shù)據(jù)傳輸層控制、優(yōu)化來對需要通信的業(yè)務(wù)系統(tǒng)進行安全加固，通過網(wǎng)絡(luò)傳輸?shù)讓觼砜刂茢?shù)據(jù)而不改變數(shù)據(jù)內(nèi)容，從而達到增加安全的目的。1.2.4穩(wěn)定性數(shù)據(jù)傳輸通道保護系統(tǒng)在傳輸層采用操作系統(tǒng)本身固有的、非常成熟的包過濾技術(shù)對業(yè)務(wù)主機進行數(shù)據(jù)傳輸通道進行安全加固，不會對主機系統(tǒng)的穩(wěn)定性產(chǎn)生影響。通過策略配置，既可以對連入到系統(tǒng)的非法連接根據(jù)IP地址或端口進行阻斷，也可以對系統(tǒng)連到外部的行為根據(jù)IP地址或端口進行控制，也可以根據(jù)通信關(guān)鍵字內(nèi)容對通信進行阻斷或允許。1.3技術(shù)指標開發(fā)語言 Linuxc/C++、開發(fā)語言 Linuxc/C++、windowsvc++運行環(huán)境MicrosoftWindows2000/XP/2003/Vista、RedhatLinux、SuseLinux、AIX、Solaris、HP-Unix開發(fā)環(huán)境 Linux、window2003、windowsxp2操作說明2.1系統(tǒng)安裝2.1.1Linux操作系統(tǒng)下系統(tǒng)的安裝Linux系統(tǒng)要求內(nèi)核在2.4以上，最好2.6以上，把rockdtcps.tar.gz通過ssh或磁盤介質(zhì)拷貝到系統(tǒng)的/root下。運行下列命令即可完成安裝。tar -vzfrockdtcps.tar.gzcd/root/rockdtcps./installrocldtcpsstart2.1.2Windows操作系統(tǒng)下系統(tǒng)的安裝可以在windows2003、windowsxp、windows2000下安裝運行，安裝介質(zhì)文件名為rockdtcpsv01.exe,點擊安裝文件，根據(jù)需要選擇安裝路徑，按向?qū)崾具M行安裝即可，安裝之后系統(tǒng)即能自動運行，運行策略的配置見2.3。2.2Linux系統(tǒng)下的應(yīng)用配置2.2.1基于地址及端口的控制2.2.1.1數(shù)據(jù)傳輸通道保護系統(tǒng)控制規(guī)則根據(jù)數(shù)據(jù)包流入或是流出本機的不同，控制規(guī)則分為流出本機、流入本機，對應(yīng)規(guī)則名稱為INPUT、OUTPUT；通過規(guī)則更好的控制不同方向的數(shù)據(jù)傳輸。2.2.1.2數(shù)據(jù)傳輸通道保護系統(tǒng)命令選項系統(tǒng)對控制規(guī)則的操作分為添加、刪除。對應(yīng)的命令項為A、Do2.2.1.3數(shù)據(jù)傳輸通道保護系統(tǒng)命令參數(shù)-p-rotocol應(yīng)用于數(shù)據(jù)包的協(xié)議類型，可以是TCPUDPICMP或ALL。！也可使用。當使用-ptcp時，還可使用其他可以選項，以便允許進一步定義規(guī)則。選項包括：--sport允許指定匹配數(shù)據(jù)包源端口.portl:port，表示portl和port2之間的所有端口--dport目的端口，和--sport雷同。當使用-p!udp時，也有特殊的選項供使包括：--sport,--dport,與-ptcp相同，只不過用以用于UDP包。--content對數(shù)據(jù)內(nèi)容進行控制。使用-picmp參數(shù)時，只有一個選項可用。--icmp-type，允許在過濾規(guī)則中指定icmp類型。-s-source指定數(shù)據(jù)包的源地址。該參數(shù)后跟一個IP地址，一個帶有sub-netmask的網(wǎng)絡(luò)地址，或一個主機名。（不建議使用主機名）-d,--destination數(shù)據(jù)包的目的地址，同-s.-j,--jump對符合條件的數(shù)據(jù)包要執(zhí)行的動作ACCEPTQROP如果沒有-j,那么不會對數(shù)據(jù)包進行任何操作，只是將計數(shù)器加1。2.2.1.4語法的運用對流入本機數(shù)據(jù)包的控制例：拒絕所有ip到本機6000端口的訪問#rocldtcps-AINPUT-ptcp--dport6000-jDROP例：允許某一ip段到本機6000的訪問rocldtcps-AINPUT-ptcp-s119.255.51.0/24--dport6000-jACCEPT對流出本機數(shù)據(jù)包的控制例：不允許本機訪問外部的80端口rocldtcps -AOUTPUT-ptcp--dport80-jDROP2.2.2基于內(nèi)容的控制通過對一些非法內(nèi)容的限制，可以控制一些低級、庸俗內(nèi)容的傳播，從而更好的推動互聯(lián)網(wǎng)向著健康、文明、積極的方向發(fā)展，更好的促進網(wǎng)絡(luò)信息化建設(shè)的發(fā)展和社會的和諧與進步；內(nèi)容的過濾須配合對ip和端口的控制一塊使用。例如：對到本機6000的訪問的內(nèi)容進行限制rocldtcps-AINPUT-ptcp-s119.255.51.0/24--dport6000--content‘123456'-jDROP2.3Windows系統(tǒng)下的應(yīng)用配置2.3.1基于地址及端口的控制2.3.1.1數(shù)據(jù)傳輸通道保護系統(tǒng)控制規(guī)則同2.2.1.1。2.3.1.2數(shù)據(jù)傳輸通道保護系統(tǒng)命令選項同2.2.1.2。2.3.1.3數(shù)據(jù)傳輸通道保護系統(tǒng)命令參數(shù)同2.2.1.3。2.3.1.4語法的運用對流入本機數(shù)據(jù)包的控制例：拒絕所有ip到本機6000端口的訪問c:\programfiles\rocldtcps>rocldtcps-AINPUT-ptcp--dport6000-jDROP例：允許某一ip段到本機6000的訪問c:\programfiles\rocldtcps>rocldtcps-AINPUT-ptcp-s119.255.51.0/24--dport6000-jACCEPT對流出本機數(shù)據(jù)包的控制例：不允許本機訪問外部的80端口c:\programfiles\rocldtcps>rocldtcps-AOUTPUT-ptcp--dport80-jDROP2.3.2基于內(nèi)容的控制通過對一些非法內(nèi)容的限制，可以控制一些低級、庸俗內(nèi)容的傳播，從而更好的推動互聯(lián)網(wǎng)向著健康、文明、積極的方向發(fā)展，更好的促進網(wǎng)絡(luò)信息化建設(shè)的發(fā)展和社會的和諧與進步；內(nèi)容的過濾須配合對ip和端口的控制一塊使用。例如：對到本機6000的訪問的內(nèi)容進行限制c:\programfiles\rocldtcps>rocldtcps-AINPUT-ptcp-s119.255.51.0/24--dport6000--content‘123456'-jDROP3傳輸通道的保護通過對通信中的服務(wù)器和客戶端通信進行一些必要的限制，可以保護通信的質(zhì)量，避免業(yè)務(wù)無關(guān)的內(nèi)容或網(wǎng)絡(luò)非法訪問、攻擊過多占用網(wǎng)絡(luò)帶寬，給通信鏈路的質(zhì)量和效率帶來影響；同時也會減輕服務(wù)端與通信有關(guān)的應(yīng)用的壓力，應(yīng)用不需要為處理一些非法連接或數(shù)據(jù)而耗費資源，這也增加了應(yīng)用的健壯性。通過對客戶端的一些限制，使客戶端減少了對業(yè)務(wù)無關(guān)內(nèi)容的一些訪問，減少了感染木馬、病毒的機會，有利于系統(tǒng)的穩(wěn)定、可靠、安全運行。例：服務(wù)器端的6000服務(wù)端口只接受119.255.51.0/24地址段的請求連接，119.255.51.0/24地址段上的機器不允許瀏覽外網(wǎng)網(wǎng)頁。通