Imperva WAF 技术白皮书

Imperva WAF 技术概述

Imperva SecureSphere 概述 (2)

部署拓扑 (3)

部署选项 (3)

安全引擎 (3)

透明检测 (4)

透明检测架构 (5)

透明检测概览 (5)

全面的应用程序感知 (7)

会话保护 (7)

网络和平台攻击保护 (8)

URL 特征 (8)

I MPERVA S ECURE S PHERE 概述

传统的防火墙，在发挥重要作用的同时，却无法解决以上任何问题。防火墙能够提供广泛的网络安全防护，有时还能够提供基本的应用程序感知，但缺乏认识或保护应用程序及其数据的能力。

对这些威胁的防护需要更高级别的认识- 在应用程序行为层。SecureSphere?系统专门针对这一问题进行了开发，从而提供了该级别的保护。

应用程序行为层-OSI及其上层

SecureSphere 系统的保护分布在近似OSI 7 层模型的多个层面上。防火墙对应OSI 的第2 到第4 层，协议验证和应用程序层特征码类似于OSI 第7 层，如下图所示。但是，多个SecureSphere 的高级保护进程（例如：特征评估、Web/数据库关联和关联攻击检测）面向应用程序的行为，相当于第8 层，该层未在OSI 模型中定义。

图2.1：应用程序行为层－位于OSI 模型之上

中心管理

SecureSphere 系统的MX 管理服务器是三层管理架构的中心点，允许组织机构同时自动管理多个网关。安全策略是集中式管理，因此只需单击一下鼠标，就可以自动下发到多个网关。MX 可用于各种任务，例如：配置管理、告警汇聚、分析及浏览、审计分析、报告、系统事件搜集等等。

部署拓扑

SecureSphere?网络架构同时支持非在线网关（嗅听）和在线网关。在线网关的侵入性强一些，但具有更好的阻止能力。嗅听网关是完全非侵入式的，不能提供较为可靠的阻止能力（即：TCP 重置）。

部署选项

SecureSphere?系统支持以下部署模式：

?扑拓线在

如果要为数据中心提供最高级别的安全性保护，则可以将SecureSphere 网关部

署为在线模式。在此部署方案中，网关充当外部网络与受保护的网段之间的连

接设备。网关将阻止在线（即：丢弃包）恶意通信。

一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。但不能工

作于在线/嗅听混合模式。

其中的两个端口用于管理：一个用于连接管理服务器，另一个是可选的，可用

于连接外部局域网。其他四个端口属于两个用于在线检查的网桥。每个网桥都

包含一个外部网络端口和一个受保护网络端口。

?扑拓听嗅

SecureSphere 使用无在线故障点和性能瓶颈的透明网络网关，以确保为部署和

集成消除此类安全产品通常所具有的风险。阻止是通过发送TCP 重置实现- 但

这无法保证阻止操作一定成功，因此TCP 重置可能：

到达受保护的服务器

?不能

被发送设备忽略

嗅听网关是一种被动嗅听设备。用于连接企业集线器与交换机，可控制受保护

服务器的通信。通信信息将会被复制到该设备，而不会直接通过。因为不是在

线的，因此嗅听网关不会影响性能，也不会影响服务器的稳定性。

单个SecureSphere 网关可以轻松监控多个网段，因为它包含多个可用于嗅听不

同网段的网络接口端口。唯一的限制就是其所能处理的通信量。单个网关可以

监控不同类型的服务器（例如：Web 服务器、数据库和电子邮件服务器）。不

需要在多个不同网关之间分离这些任务。

安全引擎

SecureSphere?网关可为不同通信流（Web、数据库以及所有其他通信）提供适当的保护，如下图所示。

在各个级别上，安全引擎都可以立即阻止通信（在线部署下）或连续监测特定IP、应用程序用户和会话，以供将来阻止（如果证实需要的话）。SecureSphere 安全代理是

负载检查和处理定向至受保护服务器的通信的模块。安全引擎包含多个安全层，大致与OSI 模型对应，从较低级别的网络安全层（防范基于网络的攻击）开始，通过协议和基本应用功能（例如：HTTP 协议合规性和应用程序攻击特征码）一直到高级别的保护（例如：应用程序特征和关联攻击验证）。

图7.2：SecureSphere 安全引擎级别

透明检测

为何需要透明检测？

“透明检测”可解析、跟踪和重构HTTP 事务而无需中断HTTP 连接。该部署方法能够提供一个对应用程序与网络透明的（因此，几乎无需变更任何部署）、高吞吐量、低延迟的解决方案。因而，当系统运行环境对网络延迟敏感，需要高吞吐量或无法容忍应用程序和网络部署修改时，许多SecureSphere WAF 客户选择将系统部署于透明桥接模式。

为何需要代理？

代理部署的最大优点是，在该模式下，代理可以轻松修改内容。当有超过安全性的其他重要部署需求时（例如：执行URL 转译或诸如对象缓存的各种内容加速技术），客户可以选择代理部署。

透明检测与代理

在所有部署模式下，SecureSphere 的安全模型和安全处理都是相同的。无论处于哪种部署模式，SecureSphere 都将检查HTTP 头字段、URL 参数、表单字段、方法、Cookie、SOAP 操作和所有其他HTTP 元素。

SecureSphere 还跟踪会话信息，包括用户名、会话标识（Cookie 或参数）和其他会话数据，以允许其为用户提供针对基于会话的攻击的防护。SecureSphere 在所有四种部署模式下，都能够提供相同级别的应用程序感知，在所有在线部署模式下（网桥、路由器和代理）都能提供相同级别的保护。

从第一代WAF 产品起，代理技术已使用多年，许多客户了解代理如何处理、检查和阻止网络通信。本文诣在描述“透明检测”是如何执行这些功能的。

最低延迟

SecureSphere 系统出众的吞吐能力基于其独特的分组存储处理方式。系统的基本设计理念是各个分组存储且仅存储一次。其他系统制作分组的复本以供需要处理分组的各个层使用。这种繁重的多重复制将大大消耗系统资源并降低系统性能。而SecureSphere 系统仅将分组存储在单一、中心化的存储中，各个层的进程都可以直接访问和处理该分组。

透明检测架构

透明检测概览

要防护应用程序级攻击，应用程序层防火墙必须分析完整的TCP 流。TCP 流是来自各个IP 分组的数据的组合，使TCP/IP 成为连续有序的应用数据流。一旦流被重构，WAF 可以查看和检测完整的应用程序请求并应用适当的安全策略。

SecureSphere 会维持一个“影子”TCP/IP 堆栈以重构TCP 流。在将完整的请求发送至Web 服务器之前，该影子TCP/IP 堆栈会以正确的TCP 序列处理数据，并会分析各个HTTP 请求。如果检测到攻击，违规分组将会被丢弃，整个连接将会被阻止。因为SecureSphere 会在完成连接之前分析TCP 流，所以SecureSphere 始终先于应用程序服务器一步，能够在完整的请求到达应用程序服务器之前，防范任何攻击和应用阻止策略。

分组- 基本单元

作为基于网络的设备，SecureSphere?系统的基本操作单元为分组（或帧）。SecureSphere 存储分组，直到拥有在尽可能最低的层次中处理它们的足够信息。这可能意味着需要累积可以组成单个消息的分组，或者有时需要存储特定会话的所有分组（时间较长的任务）。

下图演示了该处理过程：消息 1 的所有分组到达 SecureSphere 安全引擎。这些分组将会被检查、存储，直到收到完整的消息。因为适当保护层的检查，消息 1 触发一条安全规则，一个 TCP 重置将会被发送。几个已经到达受保护服务器的分组在其被组合成消息之前将会被丢弃，会话（基于该消息）也将会被中断。

注意：在“反向代理”配置中，这些分组甚至无法到达受保护的服务器。

如果分组与较低的安全层违反（在此阶段可应用的层，例如：防火墙、网络特征码），策略中指定的操作将会被应用。或者，如果分组与相关层的安全策略不违反，则分组将会被传递至受保护的服务器。

如果被检查的分组是包含请求的多个分组之一，则该分组将会保存在内存中以供更高级别的检查使用。

一旦整个请求到达网关，则更高级别的检查将会被应用至整个请求（例如：特征、关联），以采取进一步措施。

图 7.3：安全引擎如何处理分组、消息、会话

各个安全层在其有效时将会被应用：

? 用于定向至受保护服务器的全部通信。

? 较高的应用程序层在消息级别（例如：HTTP 请求或 SQL 查询）上应用于那些由

SecureSphere 深度分析的通信类型

，一般主要用于包含 HTTP 和 SQL 协议的企业应用程序中的数据传输。处理 HTTP 请求

SecureSphere 在不同的阶段分析不同类型的攻击。例如：SecureSphere 立即阻止具有过长 URL 的 HTTP 请求。因为是明显的溢出尝试，所以 SecureSphere 不需要通过处理整个请求来阻止连接。

但是，在重新组装和解码整个 HTTP 请求后，SecureSphere 将仅识别冗余编码规避技术。如果配置为阻止攻击，SecureSphere 将不会完成连接，防止攻击到达 Web 应用程序。

SecureSphere 采用三个解析层来精确阻止 Web 应用程序攻击：

i. 首先，SecureSphere 使用流上的批量 URL 编码检查 TCP/IP 流以寻找攻击特征

码。

然后，SecureSphere 分析基本 HTTP 协议信息 - URL 、报头值、参数名称和值，但不分析其全部内容。在此，例如：SecureSphere 会将过长参数（可能是一次缓冲溢出尝试）识别为 HTTP 协议违反。

在最后一层，SecureSphere 将分析完整的 HTTP 请求和响应，标准化编码内容，检测规避技术，检查自定义特征码，并使用应用程序特征验证输入。

其重建 TCP 流和分析 TCP 3 次握手 (TCP 3-way handshake) 的能力允许

SecureSphere 精确分析 HTTP 请求和响应中的所有元素。在提供卓越的性能和透明性的同时，透明检测确保所有应用程序级攻击都能被阻止。

阻止机制

检测到 HTTP 违反时，SecureSphere 将执行以下操作：

? 生成警报

? 阻止连接

? 在特定时段内阻止会话、应用程序用户或源 IP 地址

? 在特定时段内监测会话、应用程序用户或源 IP 地址

? 向攻击者发送响应页面（完整的 HTML 页面或

HTTP 重定向） ? 向 HTTP 服务器发送 TCP 重置命令以释放服务器资源

全面的应用程序感知

Imperva 基于内核的透明检测提供真正的应用程序可视性。在所有部署模式下，SecureSphere 都能解析 HTTP 请求和响应中的各个元素，包括：

HTTP 量变头 ? URL 数参

? 表单字段

Cookie ?

SOAP 作操 ?

XML 素元 ? HTTP 法方

SecureSphere 不仅可以动态地设置这些元素的特征，还可以学习用户行为。例如：它可以为表单字段设置最小和最大长度以及可接受的字符特征。SecureSphere 还可以动态识别用户登录表单。因此，当用户在网站上导航时，SecureSphere 可以通过用户名跟踪用户。各个方面的应用程序特征都可以通过 SecureSphere Web 管理接口查看和编辑。

会话保护

为了精确跟踪用户，SecureSphere 在一个状态表中记录所有用户属性。该状态表存储会话令牌（Cookie 或 URL 参数）、用户 IP 地址和浏览器信息（浏览器版本、可接受

语言、可接受的编码类型）。SecureSphere 还记录会话标识是何时由 Web 服务器设置的。

如果会话令牌被保护，则意味着不允许用户更改会话值，SecureSphere 将阻止篡改会话值的用户。类似地，如果用户提供一个不是由 Web 服务器设置的会话值，

SecureSphere 将阻止该用户。

因为 SecureSphere 会跟踪会话的创建时间，所以如果会话长期闲置，则当用户试图重新连接时，SecureSphere 将阻止用户（或生成警报，或将用户重定向至登录页面等）。这可以保护 Web 应用程序免受会话重用攻击。

SecureSphere 保护用户会话而无需插入令牌或修改会话内容。与需要修改 Cookie 以提供安全保护的第一代 Web 应用程序防火墙相比，这是一次技术飞跃。修改 Cookie 可能产生很多不可预期的后果。它可能会影响用户与 Cookie 的交互病改变应用程序功能。在许多情况下，修改 Cookie 可能会干扰应用程序的业务功能。

网络和平台攻击保护

除了 Web 应用程序攻击，SecureSphere 还可以阻止 Web 服务器软件 (Apache 、IIS)、中间件和平台攻击。SecureSphere 使用超过 3000 个的攻击特征码来保护应用程序堆栈的所有层，这些特征码来自诸如 Bugtraq 、CVE? 和 Snort? 的公开源以及从 Imperva 应用防护中心 (ADC) 导出的未公开攻击。来自 ADC 的定期安全更新确保始终强制提供最新的防护。通过能刻划 Web 蠕虫攻击的独特属性组合，

SecureSphere 还可以检测最新的零日攻击蠕虫。

集成状态网络防火墙可以阻止未授权用户、危险协议和网络攻击。访问控制策略使系统不暴露于非必需或不安全的协议。

URL 特征

URL 特征概览

URL 特征是 SecureSphere? 检测用户向受保护 Web 服务器请求的 URL 的偏差和生成 URL 违反的基准。URL 特征包含以下信息：

? 该服务器组所使用的

URL 列表 ? 个各 URL 的用使所 HTTP 法方

? 各个 URL 中包含的参数的列表

? 各个参数的属性集合

：值类型、最小长度、最大长度、是否必需、是否为只读参数、是否为参数前缀。 SecureSphere 可基于受保护 Web 服务器的实际通信自动生成 URL 特征。特征是逐步生成的，所有 URL 都将在学习模式下启动，等到搜集到足够的信息后，所有 URL 将自动进入保护模式。

管理员可以控制该转换的阈值（在 GUI 中：管理 > 系统定义 > 切换至“保护”模式阈值）。

学习模式下学习的信息

当您创建具有 Web 服务的新服务器组，或将新的 Web 服务添加至现有 SG 时，SecureSphere? 将会开始监测与该服务相关的所有通信。它会利用其学习的所有参数创建特征。如果没有适用于这些通信的已定义服务，系统将认为这些通信属于默认服务。 SecureSphere 会学习每个应用程序的所有 URL 。如果 SecureSphere 首次发现了以前从未见多的 URL ，则会将其添加至处于学习模式的特征中。当 SecureSphere 搜集到了足够的有关 URL 的观测信息后，它将会将特征的模式从学习切换至保护，并开始随时就与特征有偏差的状况生成违反和操作。

请注意 SecureSphere 会避免学习受保护应用程序中实际上不存在的 URL 。当

SecureSphere 发现一个对不属于特征的 URL 的请求时，它会在将该 URL 添加至特征之前，先检查响应代码。如果响应表明该 URL 不存在或是一个已断开的链接或引用（例如：“HTTP 404 Not Found”响应），则 SecureSphere 会将该 URL 认为该 URL 有问题。否则，SecureSphere 会将该 URL 添加至特征并开始学习该 URL 。

特征视图显示所有 URL 及其模式（即：学习、保护）。当系统搜集到有关特定 URL 的足够信息时，SecureSphere 会自动将该 URL 从学习模式切换至保护模式，因此在任意时刻，URL 列表都可能包含处于两种模式之一的分组。当 URL 处于保护模式时，SecureSphere 就会开始随时就与特征有偏差的状况生成违反和操作。

对于每个 URL ，SecureSphere 都将学习以下信息：

? HTTP 法方 - 一个 URL 中使用的

HTTP 方法的列表（例如：GET 、POST 、OPTIONS 或

HEAD ）。 ? 数参 - 一个 URL 中使用的参数的列表。对于各个参数，SecureSphere 将学习以下信息

： ? 参数是否必需（即：必须出现在该 URL 中的各个请求中

） ? 最小和最大参数长度

? 允许的值类型

? 参数是否只读（即：一个隐藏字段或嵌入链接的一部分

）。

值类型 SecureSphere ? 自动为各个已学习的参数设置允许值类型特征。如果在保护模式下，特定参数的值与已设置的值类型特征不匹配，SecureSphere 将生成“值类型违反”。各个参数都拥有主值类型和扩展值类型。主值类型及扩展值类型列表定义了参数值中允许的字符组。

正则表达式 - SecureSphere 用户可能会要求严格限制未学习的（即手动插入的）类型的参数值。

示例：

? 日期应为

美国格式（月，日）而不是欧洲格式（日，月），或者需要使用特殊分隔符

（使用“:”，而不是“/”或“ ”

）。

? 信用卡号码必须为

4 组 4 位号码，且第一组需与

5 个特定号码中的某一个匹配。这些类型限制可以通过正则表达式来

实现。

可用操作可对特征执行以下操作：

? 手动添加/编辑/删除 URL

? 学习模式和包含模式之间手动切换 URL

? 锁定和释放 URL 和字典

? 定义/删除参数前缀

? 添加/移除 URL 参数

? 确定参数的最小和最大字符数

? 确定参数是否必需

? 定义参数值类型

? 释放只读参数

? 义定 URL 式模

? 定义 Web 应用程序用户跟踪

已断开的链接或引用

选择一个已断开的链接或引用时，SecureSphere 系统允许您查看其引用者（即指向该链接的 URL ）。

已断开的链接

已断开的链接是站点页面上指向不存在的 URL 的链接。用户单击该链接时，将获得一个 404 Not Found 应答。已断开的链接是多方面的原因造成的。例如：页面已被刻意移除，但某些指向该页面的链接仍被保留。另一个原因可能是攻击者试图从站点删除页面，或者在维护作业中，页面被错误删除。SecureSphere? 自动识别已断开的链接并将其存储在特征中。

已断开的引用

已断开的引用是指向受保护网站上的某个页面的 Web 链接。与已断开的链接不同，已断开的引用出现于外部网站（例如：目录和搜索引擎）而不是受保护的网站本身。用户单击已断开的引用将会生成一个对受保护网站上的不存在的 URL 的请求，并在响应中获得一个 404 Not Found 应答。SecureSphere 自动识别已断开的引用并将其存储在特征中。

过滤 URL

SecureSphere? 特征浏览器可以根据 URL 的特征过滤将要显示的 URL 。

“过滤 URL”对话框显示所有可以用于过滤查询的字段。如果填写多个字段，则可以在字段之间使用 AND 操作符。例如：如果“主机”字段设置为“myhost”，“HTTP 方法”设置为“GET”，则浏览器将会显示所有属于“myhost”并使用“GET”方法的 URL 。

请注意，您可以为所有字段选择等于（=）或不等于（<>）。对于“出现次数”字段，您可以使用小于（<）和大于（>）。浏览器将显示所有 URL ：

? 选择 =

时，与输入值相等的 URL ? 选择 <> 时，与输入值不相等的 URL

? 选择 > 时，出现次数大于输入值的 URL

? 选择 <

时，出现次数小于输入值的 URL 对于 URL 字段，您还可以选择“LIKE”选项。例如：home/ab 将返回所有包含文本“home/ab”的 URL 。

注意：过滤器选项为显示选项。它修改显示，以使其仅包含过滤后的 URL ，而不会在特征建模进程中过滤

任何 URL 。

SOAP 和 XML 显示

SecureSphere? 自动识别包含 XML 和 SOAP 内容的 URL 。对于各个 SOAP/XML URL ，SecureSphere 将显示该 URL 中所有已学习的 SOAP 操作。如果 URL 不包含任何 SOAP 操作，但包含 XML 操作，则 SecureSphere 将其作为默认 SOAP 操作显示。URL 切换至保护模式时，SecureSphere 会随时就使用未授权 SOAP 操作访问 URL 的尝试调用未授权的 SOAP 操作违反。

SecureSphere 会将 XML 文件分解为结构。每个结构代表一个值。结构是通过使用包含所有值的嵌套标记的完全分级结构创建的。例如：基于以下模式的 XML 文件：

将使用以下结构表示：

XML/purchaseOrder/comment

XML/purchaseOrder/item/productName

XML/purchaseOrder/item/quantity

XML/purchaseOrder/item/Price

系统会自动学习这些结构，并会将它们添加至 SOAP 操作的“参数”部分。对于这些结构，SecureSphere 学习其最大和最小大小、值类型以及是否必需（和其学习常规 URL 参数的方式完全一致）。当一个与特征不匹配的请求到达时，SecureSphere 将调用“XML 值长度”、“XML 值类型”和“未找到必需 XML 属性/元素”违反。

对于每个 URL ，SecureSphere 还将学习除了作为 SOAP URL 访问，该 URL 是否还可以作为常规 URL 访问。这取决于 URL 是否具有与其关联的 HTTP 方法（您可以对此进行编辑）。如果 URL 不具有 HTTP 方法，则意味着该 URL 只能作为 SOAP URL 访问，SecureSphere 将随时就某人试图将该 URL 作为非 SOAP URL 访问调用“对仅适用于 SOAP 的 URL 的非 SOAP 访问”违反。

对于未学习或配置为 SOAP URL 的 URL ，系统将随时就某人试图将该 URL 作为 SOAP URL 访问调用对非 SOAP URL 的 SOAP 访问违反。

URL 模式特征

SecureSphere 管理员可以在 URL 路径中定义模式，以消除大型站点或动态站点中经常遇到的问题。

假设有一个站点，对于每个用户都有一个不同的文件夹，这些文件夹包含相同的文件。例如：所有文件夹 /mickey/ 和 /dave/ 均包含文件 show.asp 和 order.asp 。对于每个用户，该站点都会引入两个新的 URL ，因此 SecureSphere 是永远不会停止学习新的 URL 的。“URL 模式”通过允许管理员定义一个 URL 前缀或后缀，并将此模式作为一组已学习的 URL 处理来解决此问题。每一个与该模式匹配的新 URL 将会被标识为合法 URL ，不会触发未知 URL 违反。在以上示例中，可以将 show.asp 和

order.asp 定义为 URL 后缀模式。这样可以确保无论这些文件位于何处，都能够得到适当的保护。

注意，您可以为以下项定义后缀模式：

? 文件类型

- （例如：aspx ） ? 特定文件 - （例如：order.asp ）

? 文件名称及其部分路径 -（例如：/public/print.asp 将匹配

/scripts/public/print.asp 和 /home/public/print.asp ）

如果您拥有包含大量相同类型的文件的文件夹，则可以考虑使用前缀模式。例如：如果文件夹 /public/calculators/ 包含数百个具有相同参数和行为的文件，则您可以将 /public/calculators/ 定义为 URL 前缀，则所有与该模式匹配的文件都将会受到该模式的保护。

注意：您可以考虑不学习或不保护静态文件（例如：图像文件、MS-Office 文件）。

C OOKIE 特征

SecureSphere? 系统跟踪 Cookie 并验证攻击者或终端用户是否：

? 修改由 Web 应用程序设置的 Cookie 内容

? 尝试注入不是由 Web 应用程序发送给他们的

Cookie 从创建新的 Web 服务器组开始，SecureSphere 就会开始学习哪些 Cookie 属于该服务器组。在学习阶段（各个 Cookie 的学习阶段各不相同），Cookie 会显示在“正在学习中的 Cookie”页面中。学习结束后，SecureSphere 或者保护该 Cookie ，或者忽略该 Cookie 。服务器组的 Cookie 特征页面显示三个不同的列表：

的习学在正 Cookie ? 的护保受 Cookie - 的化变生发会不间期话会在是 Cookie 。

的略忽 Cookie - 且化变生发间期话会在值是 SecureSphere 的化变证验法无 Cookie 。例如，当 Cookie 被以可（如 JavaScript ）时改修码代端户客用使器览浏，Cookie 是不相关的，因为浏览器可能会将其更改为一个完全不同的值。另一个例子是，一个 SecureSphere 未检测的 web 服务器在会话期间更改 cookie 值。在这种情况下，SecureSphere 可能会发现一个 Cookie 有多个不同的值，由于 SecureSphere 不监测 web 服务器的 SET 命令，因此它不能验证该 cookie 的值。 SecureSphere 为受保护的 Cookie 提供两种级别的保护：

护保分部 - 仅防范 Cookie 篡改 ? 护保全完 - 防范 Cookie 篡改和 Cookie 注射

SecureSphere 根据各个 Cookie 的行为为 Cookie 确定适当的保护级别。某些 Cookie 只能得到 Cookie 篡改保护，而有些可以同时获得 Cookie 篡改和 Cookie 中毒（注射）保护。对于 SecureSphere 始终能发现 Web 应用程序所发出的 SET 命令的 Cookie ，将提供完全保护。

SET 命令

注意：使用 Cookie 标记可以解决本节提到的所有问题

Web 应用程序使用 SET 命令向 Web 浏览器发送新 Cookie 或现有 Cookie 的新值。当 SecureSphere 截取到 Cookie 的 SET 命令时，它会记录 Cookie 的名称和值，并会通过特定用户会话将它们关联。当下次 Cookie 从同一用户会话到达时，

SecureSphere 将验证其名称和值是否与上一次 SET 命令期间记录的信息匹配。如果用户手动修改 Cookie 值，则匹配将会失败，SecureSphere 将会调用 Cookie 篡改违反。如果 Cookie 未存储在 SecureSphere 中（即：SecureSphere 未发现 SET 命令），系统将调用 Cookie 注射违反，这意味着该用户在未从 Web 服务器收到该 Cookie 的情况下，试图将该 Cookie 注入 Web 服务器。

对于 SecureSphere 无法每次都发现 SET 命令的 Cookie ，提供部分保护（仅防范 Cookie 篡改）。这种情况通常发生于 Web 应用程序只发送 Cookie 一次，而该

Cookie 在用户浏览器中保存数月的永久 Cookie 。通常，SecureSphere 所具有 Cookie 时限较短；因此，如果用户访问 Web 应用程序时，收到一个有效期为三个月的永久 Cookie ，并于一个月之后再次访问该站点，则用户浏览器会将该 Cookie 发送至该网站。SecureSphere 将无法跟踪该 Cookie 的 SET 命令，因为它发生在一个月之前。对于这

些 Cookie ，SecureSphere 将不会生成 Cookie 注射违反。当 SecureShere 第一次发现包含受到部分保护的 Cookie 的 HTTP 请求时，它将会记录该 Cookie 的名称和值，并会通过特定用户会话关联它们。当下次 Cookie 从同一用户会话返回时，SecureSphere 将验证该 Cookie 的值与其记录的值是否匹配。如果用户在会话过程中手动修改 Cookie 值，则匹配将会失败，SecureSphere 将会调用 Cookie 篡改违反。

? 题问置配

您无法将 Cookie 直接添加至学习列表，因为一旦 SecureSphere 检测到某个 Cookie 不在三个列表（学习、保护或忽略）中的任何一个中时，就会自动将

Cookie 添加至学习列表。然而，如果出于某些原因，您想将某个 Cookie 添加至学习列表，则可以将其添加至保护列表或忽略列表，然后将其移至学习列表。某些 Cookie 拥有动态的名称，例如：Microsoft IIS ASPSESSION Cookie 。这些 Cookie 通常具有某些类型的后跟动态后缀的固定前缀（例如：

ASPSESSIONIDFFEDSSE ）。对于此类 Cookie ，可以选择仅输入 Cookie 名称的固定前缀，所有与该前缀匹配的 Cookie 都将会从 Cookie 列表中删除。

W EB APU 规则

网站和数据库是动态的，会定期发生变化。这是由于竞争环境驱使业务内容不断发展，导致开发者持续更新源代码和内容。自动特征更新功能确保特征始终是最新的，即使网站的部分内容和代码以及数据库发生了变化（在 GUI 中：主要 > 策略 > 安全 - Web 特征，请选择一个策略并单击“高级”选项卡）。

该功能定义处理特征违反的规则，例如：在大量 IP 地址上高频率发生的特征违反将会被自动添加至特征，从而节约管理员的宝贵时间。如果无此功能，管理员需要定期检查特征违反警报、定位误报并相应地手动更新特征。

自动特征更新 (APU) 规则将检查特定违反是否多次发生、超过一段相对较长的时间和源自多个源。如果是，SecureSphere 将根据异常信息自动更新特征。特征修改将即时生效（即无需激活该设置。）

注意：只要不触发相关的 APU 规则且不更新特征的相关部分，则将不断生成特征违反和警报，定义的操

作也将立即执行或延迟执行。您可以通过修改规则来控制引发不同 APU 规则执行的阈值。

此功能涉及的 Web 特征违反有：

Cookie 注射：该规则将 Cookie 从保护列表移至忽略列表。 ? Cookie 篡改：该规则将 Cookie 从保护列表移至忽略列表

。 ? 参数只读

反违：该规则将移除参数的只读属性。 ? 参数类型

反违：该规则将字符组添加至参数。 ? 未知参数：该规则将参数添加至 URL 。

? 参数值长度

反违：该规则将修改参数的最小或最大长度。 ? 未找到必需参数：该规则将移除参数的必需属性

。 ? 未找到必需的 XML 元素：该规则将移除 XML 元素的必需属性。

? 已终止会话 Cookie 再利用

：如果该 Cookie 是已终止会话 Cookie 的再利用，则该规则会将该 Cookie 设置为忽略。

? 已知 URL 的未授权方法

：该规则将 HTTP 方法添加至该 URL 。 ? 未授权的 SOAP 操作：该规则将 SOAP 操作添加至该 URL 。

? 未知的 XML 元素：该规则将元素添加至 SOAP 操作。

? XML 元素值长度反违：该规则将修改 XML 元素的最小或最大长度。

? XML 元素值类型反违：该规则将字符组添加至

XML 元素。

精选-大数据可视化平台产品白皮书

1 行业大数据电力行业应用特点：基于GIS 组件与动态组件的实时数据监控展示，基于静态组件的多样化报表分析展示。用电量预测：基于海量历史电量数据，规划区域面积、历史人口、历史国民经济数据、三产比例等变化情况，对区域用电量进行预测，作为进一步规划设计依据。空间负荷预测：基于全网中各小区的占地面积、用地类型、容积率，行业的建筑面积负荷密度、占地面积负荷密度，小区目标年占地面积、小区目标年建筑面积，总负荷值、行业负荷值等数值，对远景年负荷进行预测。多指标关联分析：从多个外部系统（如GIS ，PMS ，OMS 等）抓取所需数据的时间一致性切片，进行综合分析利用，从而支持规划设计。金融相关行业应用特点：基于矢量图组件与动态组件的实时资金交易数据监控展示，基于静态组件的多样化报表分析展示。资金实时流向分析：重点地区资金流向、重点行业资金流向、频繁且相近额度资金流向、季节资金流向、节假日资金流向、偶尔大额资金流向。数据辅助征信风控：通过连接大数据(包括P2P 平台、小额信贷机构、征信机构、银行、第三支付、互联网大数据等)、连接不同的应用场景，挖掘和探索虚拟经济形态下的网络和商务平台数据，提供去中心化分布式查询，打破行业内信息各自孤立而形成信息漏洞的现状，高效控制风险。业务拓展：客户挖掘、精准投放、二次开发、战略指导、全民分析等多种智能分析模型，为管理层的管理决策提供了最直接的数据依据，同时绚丽易读的可视化展现带来了清晰直观的产品体验，让管理层不再拍脑袋发愁。电子政务应用特点：基于GIS 组件的基础数据关联展示，基于静态组件的多样化报表分析展示。整合分析发现群众真实需求，并强化数据预测应用功能，助推政府采取更加人性化、便民化，更有 WYDC Viewer 产品白皮书四方伟业大数据分析Data Discovery 系列产品 WYDC Viewer 是Data Discovery 系列产品中的数据可视化分析展示平台，本白皮书介绍了大数据平台的基础架构，对 WYDC Viewer 的功能及要求做了简要介绍。成都四方伟业软件股份有限公司

IDS产品技术白皮书

I D S产品技术白皮书-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

UnisIDS技术白皮书

1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类不同于防止只针对具备一定条件入侵者进入的防火墙，入侵检测系统(IDS ，Intrusion Detection System)可以在系统内部定义各种hacking手段，进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”，那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。基于网络的入侵检测系统具有如下特点：通过分析网络上的数据包进行入侵检测入侵者难以消除入侵痕迹–监视资料将保存这些信息可以较早检测到通过网络的入侵可以检测到多种类型的入侵扫描–利用各种协议的脆弱点拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令可灵活运用为其他用途检测/防止错误网络活动分析、监控网络流量防止机密资料的流失

图 1网络入侵检测模型而基于主机的入侵检测系统则具有以下的特点具有系统日志或者系统呼叫的功能可识别入侵成功与否可以跟踪、监视系统内部行为检测系统缓冲区溢出基于主机的入侵检测可以区分为基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统，实现了基于主机检测功能和基于网络检测功能的无缝集成，UnisIDS通过对系统事件和网络上传输的数据进

产品白皮书

Ibot8.0产品白皮书第 1 页共47 页

目录 1.前言 (6) 1.1.目的范围 (6) 1.2.产品定位 (6) 1.3.名词术语 (6) 2.公司简介 (8) 2.1.小I简介 (8) 2.2.小I发展历程 (8) 3.产品概述 (11) 3.1.智能机器人 (11) 3.2.产品架构 (11) 3.1.1.机器人前端平台 (12) 3.1.2.智能服务引擎平台 (12) 3.1.3.机器人统一管理平台 (14) 3.1.4.知识库组织说明 (14) 3.3.产品演进路径 (17) 3.4.技术特点 (17) 3.5.技术指标 (18) 3.6.扩展接口 (19) 3.7.优势特性 (19) 4.产品主要功能 (22) 4.1.基础智能问答 (22) 4.2.前端用户功能 (23) 4.2.1 Web机器人功能 (23) 4.2.2微信机器人功能 (28) 4.2.3IM机器人功能 (31) 4.2.4短信机器人功能 (33) 4.3.后台主要管理功能 (35) 4.3.1知识管理功能 (35) 4.3.2服务管理功能 (36) 4.3.3渠道管理功能 (36) 4.3.4素材管理功能 (37) 4.3.5语音管理功能 (38) 4.3.6运维管理功能 (38) 4.3.7系统管理功能 (39) 5产品实施 (39) 5.1.实施流程 (39)

5.2.知识建设 (39) 5.2.1 语言知识库构建 (40) 5.2.2 业务知识库构建 (41) 5.3.二次开发 (42) 5.4.系统部署 (44) 5.4.1 常规部署 (45) 5.4.2 扩展部署 (45) 5.4.3 集群部署 (47)

中科曙光天阔I640r-G10服务器技术白皮书V1.0

曙光公司最新推出的I640r-G10存储服务器是一款支持英特尔最新双路四核处理器的部门级服务器，创新的直连架构摆脱了以往机型由前端总线带来的内存带宽的瓶颈，可彻底释放Intel Xeon多核处理器的强劲性能。该机型最多可以支持96GB内存容量，集成高性能SAS控制器支持最多达24块热插拔3.5 寸SAS/SATA硬盘，如此强大的扩展性足以支撑关键任务的运行，满足资源密集型应用的需要。先进的管理和存储技术,具有更好的可扩充性和高可用性。作为中科曙光天阔系列双路服务器中的高端产品，I640r-G10服务器是高端部门级用户的最佳选择，非常适用于金融、证券、交通、邮政、电信、能源等对服务器性能、可扩展性及可靠性要求苛刻的行业数据中心和关键的企业应用。天阔服务器 I640r-G10

概述多核处理器技术使用Intel最新的5500、5600系列处理器，为用户的各项应用提供更高的性能。Intel Xeon 5500、5600系列处理器同前代产品相比，进行了各项重大的改进，包括处理器内部集成内存控制器，使系统从架构上摆脱了之前由前端总线(FSB)带来的内存瓶颈；引入QPI(Quick Path Interconnection)技术，使2颗处理器之间以及处理器的各个核心之间的互联更有效率，大大减少了对总线资源的挤占。强大的处理性能处理器集成内存控制器，提供3条内存通道，可使用最新的DDR3 1333/1066 MHz 高性能内存，显著提高内存读写速率。采用了Intel最新推出的5520系列芯片组，PCI-E 2.0的扩展支持，将总线带宽提高为原先PCI-E的2倍，为用户的高带宽应用需求提供了持续可靠的支持。集成高性能双千兆网卡，支持IOAT2以及VMDq等技术，提供高网络I/O性能。丰富的可扩展性每颗CPU搭配6条内存插槽，内存总容量可扩展至96GB，提供更为灵活强大的内存配置选择。最大支持24仓位硬盘，为用户构造海量存储提供可能。 5条I/O扩展槽，提供PCI-E 2.0、PCI-E的完备选择，既保护用户原有设备的兼容性、又预留未来扩充空间，保护投资。高密度采用4U机架式设计，独特的高密度机架式服务器散热结构设计，集高性能，高密度与高可靠性于一身。

工业大数据白皮书2017版

一张图读懂工业大数据 1. 工业大数据工业大数据是指在工业领域中，围绕典型智能制造模式，从客户需求到销售、订单、计划、研发、设计、工艺、制造、采购、供应、库存、发货和交付、售后服务、运维、报废或回收再制造等整个产品全生命周期各个环节所产生的各类数据及相关技术和应用的总称。工业大数据的主要来源有三类：第一类是生产经营相关业务数据。主要来自传统企业信息化范围，被收集存储在企业信息系统内部。此类数据是工业领域传统的数据资产，正在逐步扩大范围。第二类是设备物联数据。主要指工业生产设备和目标产品在物联网运行模式下，实时产生收集的涵盖操作和运行情况、工况状态、环境参数等体现设备和产品运行状态的数据。此类数据是工业大数据新的、增长最快的来源。第三类是外部数据。指与工业企业生产活动和产品相关的企业外部互联网来源数据。 2. 工业大数据的地位 2.1 在智能制造标准体系中的定位工业大数据位于智能制造标准体系结构图的关键技术标准的左侧，属于智能制造标准体系五大关键技术之一。

2.2与大数据技术的关系工业领域的数据累积到一定量级，超出了传统技术的处理能力，就需要借助大数据技术、方法来提升处理能力和效率，大数据技术为工业大数据提供了技术和管理的支撑。首先，工业大数据可以借鉴大数据的分析流程及技术，实现工业数据采集、处理、存储、分析、可视化。其次，工业制造过程中需要高质量的工业大数据，可以借鉴大数据的治理机制对工业数据资产进行有效治理。 2.3与工业软件和工业云的关系工业软件承载着工业大数据采集和处理的任务，是工业数据的重要产生来源，工业软件支撑实现工业大数据的系统集成和信息贯通。工业大数据技术与工业软件结合，加强了工业软件分析与计算能力，提升场景可视化程度，实现对用户行为和市场需求的预测和判断。工业大数据与工业云结合，可实现物理设备与虚拟网络融合的数据采集、传输、协同处理和应用集成，运用数据分析方法，结合领域知识，形成包括个性化推荐、设备健康管理、物品

产品说明&技术白皮书-天融信入侵防御系统产品说明

天融信网络入侵防御TopIDP系列产品说明天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话：(86)10-82776666 传真：(86)10-82776677 服务热线：400-610-5119 800-810-5119 Http: //https://www.360docs.net/doc/f515142906.html,

1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)

1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。同时，大量的网络资源滥用充斥在整个网络通路上，各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗，影响企业正常业务系统运行。能否主动发现并防御这些网络攻击，规范终端的网络行为，保护企业的信息化资产，保障企业业务系统的正常运行，是企业要面临的重要问题。 2网络入侵防御系概况网络入侵防御系统，简称IDP（Intrusion Detection and Prevention System ），是串联在计算机网络中可对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的安全设备；入侵防御系统主要是对应用层的数据流进行深度分析，动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)

产品方案技术白皮书模板

一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)

一、背景概述 1、研发背景介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等，以说明该产品的研发背景，以及满足的客户需求。 2、产品定位为了满足客户以上需求，该产品具有什么功能，能够解决什么问题。二、产品方案功能介绍 1、设计理念该产品方案的设计思路。 2、系统拓扑图使用统一的图标，制作系统拓扑图。 3、系统构架描述按照系统的构成，分类对系统进行描述。 4、系统功能介绍详细阐述系统的主要功能。 5、产品方案规格产品方案不同的规格介绍，或者对产品方案技术规格的介绍。

四、产品方案应用介绍 1、应用模式该产品方案包括的应用模式类型，或者针对不同类型客户的解决方案。 2、应用流程该产品方案的应用流程。 3、应用环境描述该产品所运行的应用环境。五、产品方案特性介绍 1、技术特性主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性对系统的主要特性进行描述，根据产品不同和竞争优势的不同而不同。六、产品方案技术介绍 1、相关技术主要应用技术的介绍，以及该技术的优势。

电子签章服务器产品白皮书模板

电子签章服务器产品白皮书

1 项目背景为了提交办公效率，节省办公时间，减少人力支出，更好了实现无纸化，低碳化，各个单位部门都使用了办公自动化系统，实现的办公文件的电子化，通过网络发送文件减少传递的时间。 2 系统情况目前的系统已经实现的办公流程的自动化，公文的电子化，节省了人力和办公时间，但是更具传统的公文都有审批的的需求，需要在某领导或某一个特定位置对文档进行定稿盖章，对公文添加它的有效性。且每天可能有很多的公文需要办理，为了节省时间和人力成本，我们提供了电子签章服务器产品，即由服务器端自动完成文档格式转换和电子签章等操作。 3 电子签章服务器功能电子签章服务器包含下面三个功能模块：印模管理和印章管理模块、文件格式转换和任务管理模块、系统管理模块。 3.1印模和印章管理模块通过新图片的申请，审批，印章的制作，完成印章的录入工作。包括印模管理、印章管理等功能。电子签章服务器采用先进的支持跨平台的Apache+PHP的技术架构。数据库支持目前所有常用的关系型数据库，如：Oracle、MSSQL、MYSQL。印模管理：包括印模的申请、印模审批、印模管理。印模申请：提交印章图片，申请印章制作。同时印模进入印模库。

印模审批：如印模审批通过，则进入印章制作流程。印模管理：印模图片的删除、编辑、修改。印章管理：印章制作：通过申请的印模申请，进入印章制作，印章制作后进入印章库。印章管理：印章的停用、启用、删除。印章权限设置：印章权限设置，允许印章授权给用户、角色、部门使用。非授权用户无法使用印章。 3.2文档格式转换和任务管理模块本模块为系统的核心功能模块，完成文档格式转换和文档的自动盖章功能，并能通过管理平台查看系统工作状态和任务状态。文档格式转换：能支持将office文档、wps文档、HTML转换成PDF格式，常见的文档格式转换方案有以下几种： 1）word、WPS转换成PDF，word文档可以直接转换成PDF格式，然后实现PDF盖章； 2）HTML转换成PDF有两种方式：一是直接调用IE打印功能将HTML 虚拟打印成PDF，然后提交PDF盖章；另一种是HTML采用电子表单技术，采用固定模板将动态表单数据提交到签章服务器，然后服务器调用固定模板直接拼凑成PDF文档，实现转换，该方式要求文档模板相对稳定的场景。

eSight 产品技术白皮书

华为eSight 产品技术白皮书文档版本 01 发布日期 2016-05-30 华为技术有限公司

版权所有? 华为技术有限公司2015。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129 网址：https://www.360docs.net/doc/f515142906.html,

目录 1 执行摘要 (4) 2 简介 (5) 3 解决方案 (7) 3.1 eSight系统介绍 (7) 3.1.1 关键技术特点 (7) 3.2 统一监控、诊断和恢复解决方案 (12) 3.2.1 性能采集和预测分析 (12) 3.2.1.1 整体方案介绍 (12) 3.2.1.2 关键技术点介绍 (13) 3.2.1.3 功能约束 (13) 3.2.1.4 典型场景应用 (14) 3.2.2 告警信息采集和通知 (14) 3.2.2.1 整体方案介绍 (14) 3.2.2.2 关键技术点介绍 (15) 3.2.2.3 功能约束 (16) 3.2.2.4 典型场景应用 (17) 3.2.3 网络故障诊断（智真会议） (17) 3.2.3.1 整体方案介绍 (17) 3.2.3.2 关键技术点介绍 (17) 3.2.3.3 功能约束 (18) 3.2.3.4 典型场景应用 (18) 3.2.4 通过设备配置备份数据快速修复故障 (20) 3.2.4.1 整体方案介绍 (20) 3.2.4.2 关键技术点介绍 (20) 3.2.4.3 功能约束 (21) 3.2.4.4 典型场景应用 (21) 3.3 安全管理解决方案介绍 (21) 4 结论 (22) A 缩略语 (23)

统信UOS服务器版产品白皮书

统信 UOS 服务器版 V20 产品??书

?录 1.引? (1) 2.产品介绍 (2) 3.设计原则 (3) 3.1.可?性 (3) 3.2.性能? (3) 3.3.安全性 (4) 3.4.可伸缩性 (4) 3.5.可维护性 (5) 3.6.稳定性 (5) 4.产品功能 (6) 4.1.主要功能 (6) 4.1.1.进程管理 (6) 4.1.2.安全机制 (6) 4.1.3.内存管理 (7) 4.1.4.??界? (7) 4.1.5.?件系统 (8) 4.1.6.驱动程序 (9) 4.1.7.?络通信 (9) 4.2.技术指标 (10) 4.2.1.外部环境 (10) 4.2.2.安装部署 (11)

4.2.3.系统运维 (11) 4.2.4.软件运? (12) 5.产品特性 (14) 5.1.具有?主选择权和控制权 (14) 5.2.全??持主流处理器架构 (14) 5.3.稳定可靠和性能优越 (15) 5.4.更好的兼容性与易维护性 (15) 6.应?场景 (17) 6.1.?主可控应? (17) 6.2.?络服务应? (17) 6.3.电?政务应? (17) 6.4.关键?业应? (18) 6.5.安全可信应? (18)

1.引? 操作系统作为当下计算机硬件运?的必备软件，与电脑硬件的发展息息相关。世界上第?台电?计算机ENIAC（Electronic Numerical Integrator and Computer）诞?时，不仅没有操作系统，甚?连键盘显?器都没有，但随着计算机技术与?规模集成电路的发展成熟，20 世纪70 年代中期开始出现了计算机操作系统，操作系统的出现对于计算机的?量普及，产?了?分积极的影响，也与计算机硬件的发展相辅相成。操作系统对于计算机来说?分重要，概括的讲，它主要负责对计算机各项硬件资源的分配、调度、回收和再分配?作，极?的降低了计算机操作者对硬件资源分配的?预程度，使操作者更加专注于如何解决具体的问题，??先解决好解决问题的基础环境。 20 世纪90 年代初，我国基于操作系统本质安全和国家信息产业安全的考虑，开始倡导发展?主安全可控的国产操作系统，?此国产操作系统的发展拉开了序幕。在国产操作系统发展的??多年?，基于开源Linux 内核的操作系统发展路径，?乎是所有国内操作系统?商的必然选择，这与其代码的开源、跨平台、可?度定制化等特性有着很?的关系，也因此涌现出不少优秀的国产操作系统。统信软件作为国产操作系统?业中的佼佼者，凭着优秀的技术团队、严谨的管理流程、领先的研发技术和持续的创新能?，专注于Linux 内核的国产操作系统的产品领域，统信操作系统产品家族是其公司的核?产品。

HC大数据产品技术白皮书

H3C大数据产品技术白皮书杭州华三通信技术有限公司 2020年4月

目录 1 H3C大数据产品介绍 (1) 1.1产品简介 (1) 1.2产品架构 (1) 1.2.1 数据处理 (2) 1.2.2 数据分层 (3) 1.3产品技术特点 (4) 先进的混合计算架构 (4) 高性价比的分布式集群 (4) 云化ETL (5) 数据分层和分级存储 (5) 数据分析挖掘 (6) 数据服务接口 (6)

可视化运维管理 (7) 1.4产品功能简介 (7) 管理平面功能： (12) 业务平面功能： (14) 2DataEngine HDP核心技术 (15) 3DataEngine MPP Cluster核心技术 (16) 3.1MPP + Shared Nothing架构 (16) 3.2核心组件 (16) 3.3高可用 (17) 3.4高性能扩展能力 (18) 3.5高性能数据加载 (18) 3.6OLAP函数 (19) 3.7行列混合存储 (19)

1H3C大数据产品介绍 1.1产品简介 H3C大数据平台采用开源社区Apache Hadoop2.0和MPP分布式数据库混合计算框架为用户提供一套完整的大数据平台解决方案，具备高性能、高可用、高扩展特性，可以为超大规模数据管理提供高性价比的通用计算存储能力。H3C大数据平台提供数据采集转换、计算存储、分析挖掘、共享交换以及可视化等全系列功能，并广泛地用于支撑各类数据仓库系统、BI 系统和决策支持系统帮助用户构建海量数据处理系统，发现数据的内在价值。 1.2产品架构 H3C大数据平台包含4个部分：第一部分是运维管理，包括：安装部署、配置管理、主机管理、用户管理、服务管理、监控告警和安全管理等。第二部分是数据ETL，即获取、转换、加载，包括：关系数据库连接Sqoop、日志采集Flume、ETL工具 Kettle。

LBPM产品介绍白皮书

白皮书

文档控制/Document Control 文档属性模板修改记录文档修改记录审阅记录分发

目录第一章传统BPM面临的问题和挑战 (3) 1.1IT需要支撑业务在频繁的调整和优化 (3) 1.2传统BPM严重割裂业务 (3) 1.3对于复杂的中国特色企业管理的有效支撑 (3) 1.4高可扩展性和高性能的挑战 (4) 1.5移动端的挑战 (4) 第二章LBPM解决之道 (4) 2.1提出非常6+1接口规范来规约业务系统（去业务化解决方案） (4) 2.2不干预任何业务以避免割裂业务 (5) 2.3长期关注复杂的中国特色企业管理 (5) 2.4从底层架构就支持业务流程的高可扩展和高性能 (5) 2.5充分支持跨浏览器 (6) 第三章为何要使用LBPM？ (6) 3.1快速应对市场和业务的频繁变化和调整 (6) 3.2业界性价比最高的BPM (7) 3.3多种手段提升业务系统与LBPM之间高效通讯 (7) 3.4完善的监控机制来保障快速跟踪和分析问题 (8) 第四章LBPM产品核心架构概述 (9) 4.1LBPM流程虚拟机 (10) 4.2LBPM流程引擎 (10) 4.3LBPM流程应用 (10) 4.4LBPM流程扩展服务 (10) 4.5LBPM集成引擎 (11) 第五章LBPM产品功能概述 (11) 5.1流程建模平台 (11) 5.1.1对接业务系统全局配置 (12) 5.1.2创建流程模板 (12) 5.1.3节点绑定业务表单 (13) 5.1.4业务字段映射配置 (13) 5.1.5节点的事件监听器配置业务逻辑 (14) 5.2流程运行平台 (15) 第六章LBPM流程分析平台 (16) 附录A 非常6+1参考 (17) 附录B BPM思想流派参考 (17)

SWAN服务器系统白皮书教学教材

SWAN服务器系统白皮书（2012.07版）

一、平台基本介绍 (3) 基本工作原理 (3) 系统构成 (3) 二、系统配置 (4) 1、Initsetting.ini (4) 2、mcre.ini (4) 3、Initsetting.ini (4) 4、mcre.ini (5) 5、menu.ini (5) 6、modulesettings.ini (5) 7、Timertrigger.ini、filetrigger.ini、scheduletrigger.ini (6) 8、线程配置文件： (6) 三、系统功能 (6) 1、基本功能： (6) 2、配置和辅助功能： (7) 3、系统附带的调试功能，所有配置文件请遵守默认规则： (7) 四、数据格式 (7) 1、Diamond 35 通用地理标志描述格式 (7) 2、131类格点格式，用于记录多层的格点数据 (8) 3、自动站时序数据 (10) 五、子系统介绍 (12) 1、雷达拼图和外推子系统 (12) 2、实时报警主子系统 (13) 3、云图识别子系统 (13) 3、雷电资料处理子系统 (13) 5、清理子系统 (14) 6、FTP分发子系统 (14) 六、模块二次开发标准 (14) 1.模块和相关文件的要求 (14)

2.系统交换约定和临时文件规则 (16) 3.模块的附属支持 (17) 4.模块的运行流程 (17) 5.线程组的分配原则和线程模块间通讯 (18) 6.信息交换标准 (19) 7.模块开发解说 (19)

一、平台基本介绍 SWAN服务器框架是一个程序调度平台，用来按照条件调度服务器模块运行，发送结果通知给对应的客户端，并维护服务器产品，记录模块运行情况。服务器框架由基本系统，基本配置系统，外接扩展程序和外接配置系统组成。基本系统负责整个系统的基本运行，基本配置系统用来配置基本系统的参数，外接扩展程序用来扩展基本系统的功能，外接配置系统用来配置其他扩展的部分程序。基本工作原理基本系统是触发器和线程之间的控制，信息的发送和运行情况的记录的平台，基本系统启动后将运行所有的线程，然后将线程挂起，将触发器和线程相连接，当触发器满足条件时，向对应的线程发出唤醒信号，使线程运行一次，线程运行完后再次进入休眠，等待下一次信号。线程运行过程中的信息被基本系统记录入运行日志。系统构成系统由基本系统、基本系统配置、扩展功能库、扩展配置系统组成。基本系统是由线程和触发器组成的调度系统。基本配置系统由路径配置，运行参数配置和模块配置三部分组成，路径配置用来配置系统中的路径参数，根据配置文件的路径设置更改。运行参数用来配置系统的运行设置，包括运行模式，系统备份模式，网络参数。模块配置用来读取配置系统中的模块的相应的INI文件中的计算参数和附加设置。系统的附加功能由外接扩展功能库来实现，目前的系统调试功能，工具菜单都是通过外接扩展功能库来实现。对于模块引入的配置，通过外接配置系统来实现，外接扩展系统是外接扩展功能库的一部分，雷达配置就是一个外接配置模块，专门用来更改拼图模块和雷达特征量报警模块的参数。系统目录由programpe、procpe、conf、log、doc、tmp六个目录。Programpe 存放系统的主程序和公用动态库。Procpe存放模块程序和外接功能库，其中系统功能的外界库存放在sys子目录下，相关图片资源存放在res子目录下。Conf

业务服务监控平台产品技术白皮书

业务服务监控平台技术白皮书（V2.0）联想中望系统服务有限公司 2008年7月

1背景及现状随着企业IT技术的广泛应用，企业IT资源的拥有量越来越多，结构越来越复杂。如何保障IT系统的正常运行，从而保障公司的核心业务，已经日益成为CIO（首席信息执行官）需要仔细思考的问题。此外，由于各种法规（如SOX法案）对企业诚信经营以及企业自身内控管理的要求，IT治理已开始越来越为各企业重视，作为IT治理框架的关键环节，IT系统的监控也已成为各企业的当务之急。 1.1 被动监控、分散管理图1描述了支撑企业业务运营的典型IT资源结构图，其中包括硬件（主机、路由、存储等）、软件（系统软件、应用软件、数据库等）等多种IT资源。图1 典型企业IT资源结构示意图日益复杂的IT环境给运营环境保障人员带来如下问题： 1、监控劳动强度大，事故不易及时主动发现。缺乏统一集中的监控手段，不能对所管理的IT资产进行及时有效的监控管理。随着IT设施的不断扩大，整个IT环境的日趋复杂，系统监控人员巡视设备（IT资源）的间隔越来越短，花费大量的时间，来发现与解决问题。 2、监控数据没有集中存储，无法为系统运行情况提供量化的科学依据。缺乏一整套集中的数据中心来记录、配置信息和历史记录，使在日常的监控管理工作中，不能及时获取相关的信息，严重影响排查故障的效率。

没有建立一个统一的监控平台，难于适应业务系统扩展时的监控需求扩展业务系统在不断地扩展，相应地监控需求也在不断地扩展。缺少一个统一，高可扩展性的监控平台，使得新的监控需求难以被满足。 1.2 “自下而上”的模式不能有效保障业务可用性企业的基础IT环境为业务系统提供支撑。传统的IT运维建设思路是“自下而上”的，即：从基础架构监控开始，到应用系统的监控，再到业务系统的监控。自下而上的建设思路不能适用于高速增长下的中国企业。一方面，基础IT 环境的高可用性不能代表业务系统的高可用性；另一方面，业务的快速增长，需要更加快速、直接、高效的监控手段，以保障业务的有效运行。下图描述了支撑企业业务运营的IT资源可用性对核心业务系统可用性的影响。图2 基础IT资源可用性对业务可用性影响示意图上图描述的是：即便基础IT环境的可用性很高，仍然不能保证业务系统也有很高的可用性。这种情况下，需要一种更直接、更高效、更快速的手段来为业务系统提供监测与保障。这就是本产品所强调的：以业务为导向、自上而下的服务监控与保障手段。

服务器产品技术白皮书-Loongson

深度操作系统服务器产品技术白皮书武汉深之度科技有限公司

目录一、概述 (2) 二、深度操作系统服务器版 (3) 三、技术指标 (4) 四、应用需求 (6) 4.1 通用服务器应用 (6) 4.2 小型机替换 (6) 4.3 国产化应用 (7) 五、产品特点 (9) 六、技术特色 (10) 七、产品对比 (11) 八、应用场景 (13) 九、典型案例 (14) 9.1 国家工商总局法人库项目 (15) 9.2 国家工商总局商标局灾备项目 (16) 9.3国土资源部信访系统 (17) 9.4典型用户 (18) 十、产品资质 (19)

一、概述深度操作系统将全球领先的技术和创新带入政府信息化建设和企业级信息技术基础架构，是当今国内增长最快的操作系统之一。许多政府和企业用户由于其易用性和可扩展性而选择深度操作系统，信息部门和运维部门则更重视深度操作系统提供给桌面终端的稳定性、安全性和灵活性。因为完全开放源代码和自下而上的自主研发，深度操作系统可以快速、轻松的增强和定制，而无需依赖国外厂家的产品维护周期。深度操作系统服务器版提供对国产处理器与服务器的良好兼容，全面支持国产主流数据库、中间件和应用软件，并通过了工信部安全可靠软硬件测试认证，符合“自主可控”战略目标的要求，可以为国内电子政务、信息化管理等应用提供全国产一体化的架构平台。深度操作系统服务器版通过对全生态环境的支撑，以及多应用场景解决方案的构建，能够满足企业级用户对服务器高稳定性、高可靠性、高可用性的要求。

二、深度操作系统服务器版深度操作系统服务器版软件，是深度科技发布的符合POSIX系列标准和兼容LSB标准的服务器操作系统产品，广泛兼容各种数据库和应用中间件，支持企业级的应用软件和开发环境，并提供丰富高效的管理工具，体现了当今Linux服务器操作系统发展的最新水平。深度操作系统服务器版软件，以安全可靠、高可用、高性能、易维护为核心关注点：基于稳定内核，对系统组件进行配置和优化，提升系统的稳定性和性能；在加密、认证、访问控制、内核参数等多方面进行增强，提高系统的整体安全性；提供稳定可靠的业务支撑，以及高效实用的运维管理，从容面对快速的业务增长和未来挑战。产品分类产品名称服务器操作系统产品深度操作系统服务器版软件（x86_64平台）深度操作系统龙芯服务器版软件（龙芯平台，3B2000/3B3000等）深度操作系统申威服务器版软件（申威平台，1600/1610/1621等）服务器应用软件产品深度日志分析软件深度高可用集群软件

AS8000技术白皮书

AS8000技术白皮书 1. 产品简介浪潮AS8000存储系统是浪潮云时代DaaS存储产品的先导者，它传承了浪潮活性存储的产品设计理念，增加了云存储的技术内容，根据客户不同数据保护需求推出的业界领先的数据保护应用平台。在统一的管理系统中为客户提供异构虚拟化整合、业务连续保护、自动精简、无中断异构平台数据迁移、数据自动分层、持续数据保护、本地/异地容灾等高级功能，最大限度的保障用户数据安全，为不同需求的用户提供了多种级别的解决方案。 2. 产品优势 2.1 先进的系统架构设计 AS8000采用了全冗余架构、全模块化设计，无单点故障，保障业务系统持续运行；标配两个DSE（Data System Engine）（active-active）引擎，可扩展为群集体系架构，实现多路径故障无缝自动切换、路径IO负载均衡的组网模式，并且随着节点的增加，系统性能线性增加；丰富的扩展接口能够满足不同业务需求，充分保证了硬件的灵活性、可靠性

和扩展性；实时监控设备运行状态，全方位的故障诊断机制，一目了然的硬件报警措施，极大的降低管理难度；支持系统掉电保护 2.2 自动精简配置存储资源的分配不再受存储物理空间大小的限制，实现100% 的随需分配；当物理存储资源不足时，可在线实时扩容；降低初期IT 投入成本的同时，大幅度提高了资源使用效率。 2.3 容灾镜像保护支持基于IP、FC的同步异步数据镜像，在异构存储间建立起本地或远程的数据容灾功能，打造数据级跨应用级容灾方案，实现数据零丢失；支持多站点间的数据同步异步传输，建立大规模的全局数据容灾系统。 2.4 灵活的快照策略保护可以基于虚拟系统或主机触发快照生成，用于备份、测试、数据挖掘等应用；增量的快照相比传统快照，空间缩减80%以上，有效降低系统负载。 2.5 持续数据保护提供持续数据保护，可以将生产数据恢复到保护周期内的任意时间点，完全解决了连续快照方式只有有限时间点的弊端，实现真正意义上的持续数据保护。 2.6 便捷的管理集中管理平台，对异构厂商存储设备实现统一管理；支持FC SAN、IP SAN、NAS不同存储架构不同协议接入；实时监控设备运行状态，全方位的故障诊断机制，一目了然的硬件报警措施，

浪潮英信服务器NF5270M3产品介绍-白皮书-20130729

浪潮英信服务器NF5270M3产品介绍 2013年V1.0 服务器产品部本文档为售前工程师、对技术感兴趣的销售人员/客户提供一个浪潮服务器NF5270M3的简单规格介绍。适合销售人员、售前工程师参考，以及服务器用户了解产品技术。

浪潮英信服务器NF5270M3 提升性能及存储容量实现更高应用的双路2U机架式服务器 ?产品定位浪潮英信服务器NF5270M3是基于最新Romly E5-2600系列处理器，以模块化设计为基础，为客户提供一款较高性能、较低功耗、最佳散热的2U双路服务器。无论是企业级的数据中心，以及发展中的企业应用，NF5270M3都可以为您提供多种灵活的配置选择，可更好的满足客户不断增长的服务器需求。 ?关键点 ●全面提升的性能、存储空间智能计算加速技术: 允许设备根据处理器负载动态调节状态，在用户应用需要更高性能时可将处理器频率提升到标称值以上，以提高程序性能。最大可支持24个热插拔2.5寸或者12个3.5寸（可内置2块2.5寸盘）SATA/SAS 接口硬盘或固态磁盘，保证磁盘性能的同时还可提供更大的存储容量。 ●灵活的模块组合多种硬盘托架搭配多种磁盘背板，“1+1+1”模块化组合方式，增加客户的选择性，不同配置组合更加灵活，并且优化成本，保护客户投资。同样也提供多种普通及白金级电源选择，还可支持PMBUS电源，完美支持Intel最新DPNM 2.0技术。 ●增强的散热系统、更低的功耗表现定向风流控制系统，在有效散热的同时还控制噪音表现，显著提高产品的耐用性及可靠性。与白金级高效电源搭配可以显著降低系统功耗，降低系统功耗。 ?应用举例

大数据可视化实时交互系统白皮书

目录第1章产品定位分析 (1) 1.1产品定位 (1) 1.2应用场景 (1) 1.2.1城市管理RAYCITY (1) 1.2.2交通RAYT (2) 1.2.3医疗RAYH (3) 1.2.4警务RAYS (3) 1.3产品目标客户 (4) 1.3.1政务部门 (4) 1.3.2公共安全部门 (4) 1.3.3旅游规划部门 (5) 1.3.4其他客户 (5) 第2章产品简介及优势 (5) 2.1软件产品系统简介 (5) 2.1.1系统概述 (5) 2.1.2系统组成 (6) 2.1.3系统对比 (7) 2.1.4内容开发分项 (7) 2.2主要硬件设备简介 (9) 2.2.1［R-BOX］介绍 (9) 2.2.2［R-BOX］规格 (10) 2.2.3设备组成 (11) 2.2.4现场安装需求 (11) 2.3产品优势 (12) 2.3.1专业大数据交互可视系统 (12) 2.3.2极其便捷的操作 (13) 2.3.3震撼绚丽的高清图像 (13) 2.3.4超大系统容量 (14) 2.3.5高安全可靠性 (14) 2.3.6优异的兼容扩展能力 (14) 2.3.7灵活的部署方式 (14) 2.4方案设计规范 (14) 2.4.1设计依据 (14) 2.4.2设计原则 (15) 第3章产品报价及接入方式 (16) 3.1产品刊例价 (16) 3.2接入注意事项及常见问题 (16) 第4章成功案例 (18)

重庆：城市服务可视化解决方案 (18) 成都：政务云数据可视化解决方案 (19) 深圳：城市综合数据可视化解决方案 (20) 世界互联网大会：大数据可视化 (20) 智能建筑：物联应用解决方案 (21)

“网络预警”系统产品技术白皮书

IP网络运维经管系统为企业的网络和关键应用保驾护航 “网络预警”系统产品技术白皮书

嘉锐世新科技（北京）有限公司目录

1、概述 “网络”的迅速发展已经成为人们办公、日常生活中不可缺少的一部分，一旦网络出现问题将导致无法正常办公，甚至网站内容被篡改等将产生不良影响等。网络机房，作为企业或政府“网络心脏”，网络机房的重要性越来越被信息部门重视，在以往的建设中网络中心领导注重外网的攻击，内网的经管等部分，设立防火墙，上网行为经管等设备保证网络的正常运行，往往忽视了网络运维中的网络预警。预警，听到这个名词大多会理解为，消防、公安、天气、山体滑坡等，非专业人士很少人知道网络也可以“预警”，网络预警是建立在正常网络运行状态下所占用的网络带宽，CPU的使用率、温度，内存的使用率等，根据常规值设定阀值，一但产生大的变化超过阀值将产生报警，自动通知网络经管人员，及时准确的定位到某台设备、某个端口出现故障，网络经管人员免去繁琐的检查工作，一免影响网络的正常运行。现在市场上以有众多的网络预警产品，各家都有相应的优缺点，我公司所提供的产品相比其他家的优势为： 1.专业硬件系统，没有纯软件产品的部署和维护烦恼；

集网络设备、服务器、应用系统监控经管、机房环境监控、内网流量分析经管于一身，不需单独投资各个系统； 2.网络日志服务子系统，可收集所有网络设备的运行log，易于查询，永久保存； 3.独创的集成VPN功能，轻松监控和经管远端局域网内的服务器； 4.监控历史记录、性能曲线、报表等非常详尽； 5.全中文web经管方式，智能式向导配置，更易于使用和符合国内网络经管人员使用习惯； 6.独创远程协助功能，轻松获取专业技术服务； 7.同比其它的国际品牌有较高的性价比。 2、“网络预警”产品结构及主要功能 “网络预警”系统由IP网络监控报警主系统和流量分析经管、VPN和防火墙、日志储存服务等多个子系统组成。系统以实用设计为原则，运行于安全可靠的Linux操作系统，采用多层高性能架构设计，可经管上万个监控对象。采用中文WEB架构，全面支持SNMP、WMI 和IPMI协议，提供昂贵的高端网管产品才具有的丰富功能，操作简单，是追求实用和高性价比的企业用户、政府、事业单位以及IDC服务提供商为用户提供增值服务的首选产品。 IP网络监控预警主系统