Cisco6509-VSS配置

VSS配置

一、在核心交换机65-1上配置VSS

（1）将核心交换机65-1 上与65-2 相连的接口TenGigabitEthernet5/4 和TenGigabitEthernet5/5配置为EtherChannel：

switch-1(config)#interface range tenGigabitEthernet 5/4 - 5

switch-1(config-if-range)#channel-group 10 mode on

switch-1(config-if-range)#no shutdown

% Range command terminated because it failed on TenGigabitEthernet5/4

switch-1(config-if-range)#exit

（2）配置VSS域名与VSS主机号：

switch-1(config)#switch virtual domain 100

Domain ID 100 config will take effect only

after the exec command 'switch convert mode virtual' is issued

switch-1(config-vs-domain)#switch 1

switch-1(config-vs-domain)#switch 1 priority 200

switch-1(config-vs-domain)#switch 1 preempt

Please note that Preempt configuration will make the ACTIVE switch with lower priority to reload forcefully when preempt timer expires

switch-1(config-vs-domain)#exit

说明：配置VSS 的域名为100，范围为1-255，两台交换机必须相同；配置VSS

的主机号码为1，必须一台为1，另一台为2；并配置VSS 优先级为200，默认为100，

数字越大，优先级越高，便能成为主VSS 交换机。

（3）配置VSL链路：

switch-1(config)#interface port-channel 10

switch-1(config-if)#switch virtual link 1

switch-1(config-if)#no shutdown

switch-1(config-if)#exit

switch-1(config)#exit

说明：将两台交换机互连的EtherChannel 配置为VSL。

（4）将交换机的工作模式改为VSS模式（确定之后，交换机将自动重启）

switch-1#write

Building configuration...

[OK]

switch-1#

switch-1#switch convert mode virtual

（5）再次查看当前交换机的工作模式：

switch-1#show switch virtual

（6）查看当前交换机的VSS角色：

switch-1#show switch virtual role

（7）查看当前交换机的VSL链路状态：

switch-1#show switch virtual link

（8）查看当前交换机VSS的更多信息：

switch-1#show switch virtual redundancy

（9）查看交换机当前的SSO状态：

switch-1#show redundancy states

二、在核心交换机65-2上配置VSS

（1）将核心交换机65-2 上与65-1 相连的接口TenGigabitEthernet5/4 和TenGigabitEthernet5/5配置为EtherChannel：

switch-2(config)#int range tenGigabitEthernet 5/4 - 5

switch-2(config-if-range)#channel-group 20 mode on

switch-2(config-if-range)#no shutdown

说明：将核心交换机65-2 上与65-1 相连的接口TenGigabitEthernet5/4 和TenGigabitEthernet5/5 配置为EtherChannel，为配置VSL 作准备，请注意双方的EtherChannel 号码不要配置相同。

（2）配置VSS域名与VSS主机号：

switch-2(config)#switch virtual domain 100

Domain ID 100 config will take effect only

after the exec command 'switch convert mode virtual' is issued

switch-2(config-vs-domain)#switch 2

switch-2(config-vs-domain)#switch 2 preempt

（3）配置VSL链路：

switch-2(config)#int port-channel 20

switch-2(config-if)#switch virtual link 2

switch-2(config-if)#no shutdown

switch-2(config-if)#exi

（5）将交换机的工作模式改为VSS模式（确定之后，交换机将自动重启）：switch-2#wr

Building configuration...

[OK]

switch-2#

switch-2#switch convert mode virtual

说明：由于两台核心交换机之间配置了VSS，所以两台交换机的配置信息将合并

为一台，65-1 之前的接口GigabitEthernet1/2 现在变为GigabitEthernet1/1/2，之前的接口GigabitEthernet2/3 现在变为GigabitEthernet1/2/3 ，之前的接口TenGigabitEthernet5/4 现在变为TenGigabitEthernet1/5/4 ，而65-2 之前的接口GigabitEthernet1/2 现在变为GigabitEthernet2/1/2，之前的接口GigabitEthernet2/3 现在变为GigabitEthernet2/2/3 ，之前的接口TenGigabitEthernet5/4 现在变为TenGigabitEthernet2/5/4 ；除此之外，最重要的就是之前双方都配置好的EtherChannel ，现在只剩Active 交换机65-1 的TenGigabitEthernet1/5/4 和TenGigabitEthernet1/5/5 还正常存在，而Standby 交换机65-2 的EtherChannel 配置

在经过VSS 合并之后被清空，所以必须手工添加交换机65-2 上应有的EtherChannel

配置和VSL 配置，否则双方的VSL 将不能正常工作，那么VSS 也就不能正常工作。

（6）手工添加交换机65-2上应有的EtherChannel配置和VSL配置：

switch-1(config)#int range tenGigabitEthernet 2/5/4 - 5

switch-1(config-if-range)#channel-group 20 mode on

switch-1(config-if-range)#no shutdown

switch-1(config)#int port-channel 20

switch-1(config-if)#switch virtual link 2

switch-1(config-if)#no shutdown

说明：虽然是配置65-2 的EtherChannel 和VSL，但还是在VSS 的Active 交换机

上配置的，因为65-2 工作在Standby 状态，是不能进入enable 进行配置和管理的。

（7）查看当前交换机的VSS角色：

switch-1#show switch virtual role

（8）查看当前交换机的VSL链路状态：

switch-1#show switch virtual link

（9）再次查看交换机当前的SSO状态：

switch-1#show redundancy states

说明：本地交换机当前的SSO 状态为ACTIVE，而对端为STANDBY HOT，表明工

作正常，如果对端不是工作在STANDBY HOT，则必须解决该问题，除STANDBY HOT

之外的任何状态都为不正常。

公安局网络安全方案

某公安局网络安全方案（建议稿）一、某公安局网络现状某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道，实现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换，信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。整个某公安局网络通过统一的出口，64K的DDN专线接入上级省厅及全国各地公安网站，网络主干网通过一个Motorla（S520）路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网，两个子网通过路由器连接。在逻辑上，某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个，规模较大。某公安局现有网络的拓扑结构见图一所示。某公安局网络已经有了比较成熟的应用，包括WWW服务，Mail服务，DNS服务等的一些其他应用，如内部信息等，也已经转移到网络应用之上的Web应用主要是用于内部信息的管理，应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。以上是某公安局网络及其应用的现状。二、某公安局网络安全需求分析

某公安局网络系统现在的Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）。网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次，在不同层次上的安全需求如上图所示。某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面：网络层安全需求、应用层安全需求和安全管理需求。目前第一期解决网络层安全需求 1. 网络层安全需求网络层安全需求是保护网络不受攻击，确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的，包括： ●隔离内外部网络； ●实现网络的边界安全，在网络的入出口设置安全控制；

was的性能优化

Websphere性能分析与优化 ——从Heapdump浅谈JVM堆设置不同版本的JDK可以设置的JVM堆大小是不一样的，而JVM堆的大小直接制约系统的性能，合理设置每个应用服务器中的JVM堆，在系统性能优化中是十分关键的一步。一般来说，JVM堆可设置的大小受其版本限制，可分为以下两大类： 1、32位的JDK，JVM堆最大可设置到1.5G左右 2、64位的JDK，JVM堆大小暂无限制那我们该如何调整JVM的堆大小呢？在Was上如何去设定一个合理的值且多大的值才算是合理的呢？首先我们来了解下JVM堆大小对系统有哪些主要的影响，在JVM堆不足的情况下将会导致系统： 1、频繁的垃圾回收（引发系统资源紧张情况，集群环境下CPU资源消耗就更严重） 2、OOM，内存溢出（out of memory）系统繁忙时，一般都是在处理大量的客户端请求，或是在进行多个复杂的计算，它们都需要向JVM堆申请空间进行对象的创建。在堆空间不足的情况下，应用系统会出现以下一些情况，从而大大降低客户的感知度： 1、请求操作响应时间长 2、请求操作失败，资源等待操作，内存溢出为了保证系统的性能，提高系统稳定性，我们就需要对JVM堆的详细使用情况刨根问底，以此估出一个合理的值来设置JVM堆大小。

有专家给出建议，Was每个Server的线程池不宜配置过大，一般建议值在50-120之间，而JVM堆则设置在2G内。这个建议针对大部分系统都是适用的，如果在这个配置上系统运行还出现性能问题，可先从应用程序角度着手优化。因为无论线程池的线程大小是多少，每个线程给系统带来的主要压力就是JVM堆资源的占用。在32位的Java虚拟机上，JVM堆最大可设置到1.5G左右。假设请求从客户端来到Was，Was从线程池中分配一个线程处理这个请求，同时从JVM堆空间申请相应的资源进行操作。假设这是一个上传5MB的Excel的线程，那么在上传与处理这个Excel过程中，线程占用的JVM堆的资源会越来越多，甚至有可能需要向JVM堆申请超过30MB的空间（当然30MB的堆空间不是绝对，这与代码设计密切相关，如果到Excel上传过程中，还要进行分析，封装，持久化等操作）。这种情况下，再有50个类似的上传Excel的线程，系统性能就会受到影响，因为在线程操作结束前，JVM堆资源被大量占用且无法快速释放，系统剩余可分配的JVM堆空间越来越少，如再有其它线程继续申请堆空间资源的话，就需要等待垃圾回收或者资源空间的创建了。因此为了保证系统的性能，我们首先要保证JVM堆剩余可分配空间的大小。除了加大JVM堆的设置外（可考虑集群方式降低单Server的压力），我们还要从系统设计与应用程序代码优化入手，避免资源相互占用，资源调用后可快速释放。应如何优化应用代码呢？在实际项目中，许多应用系统的工期都十分紧张，从需求调研到系统上线，可能仅有个把月的时间。由于复杂的业务逻辑和紧张的工作期限，在编码过程中难免都会出现一些漏洞，这些漏洞问题可能因为功能交叉关联，过于复杂，在测试阶段不能重现，直到投入生产使用中才发现，并且随着系统功能不断增加，关联越来越多，有些问题会成为影响性能的根源，让我们猝不及防！因此我们需要增加数据监控这一过程，其中可以通过Heapdump文件收集生产上每个Server的JVM堆中对象空间详细分配情况作为参考，进行代码优化与堆大小设置。 Heapdump文件主要用于记录JVM堆对象的详细信息，在JVM堆接收到转储命令时产生，其相当于JVM堆某一时间切面的详细信息，也可理解为记录对象在

WebSphere中DB2数据库连接池的配置

1.进入管理控制台（http://localhost:9090/admin/） 2.指定Java 2 连接器安全性使用的用户标识和密码的列表在安全性->JAAS配置->J2C认证数据图(一)

然后点击新建按钮进入图二，这里别名和用户标识都写 db2inst1(就是登录DB2数据库的用户名和密码，别名可以任意.)，密码写登录DB2数据库的密码。单击应用。（这里我输入了别名为：DB2Connect，用户标识为：db2admin，密码****）图(二)

3.选择：资源->JDBC提供程序，点击“新建”，建立JDBC 提供程序。图(三) 点击“应用”后，在类路径中输入三个文件(这三个文件在DB2数据库的安装目录下的，搜索一下就能找到)，也可以写成相对路径，再点击“应用”，然后保存，再保存。

4.定义数据源，如下图图(四) 点击界面中“数据源后”再点击“新建”，建立数据源。这里名称写DB2ConnData，JNDI名是jdbc/button,注意JNDI 名必须是上述格式，否则可能连接不上DB2数据库。组件受管认证别名和容器受管的认证别名都选择在安全性->JAA配置->J2C认证数据里新建的选项。点击应用。 5.界面上点击“定制属性”，定义连接池的databasename、 serverName 信息 (1) databasename的值修改为DB2数据库里的数据库

名,点击“确定”保存配置. (2) serverName的值修改为DB2数据库所在机器的IP 地址,点击“确定”保存配置. 其余的取默认值，然后一直确定即可。最后到如下界面来测试连接：总结： 1.进入管理控制台(http://localhost:9090/admin/) 2.指定Java 2 连接器安全性使用的用户标识和密码的列表在安全性->JAAS 配置->J2C认证数据里新建(这里是配置登陆DB2数据的用户名和密码) 3.选择：资源->JDBC提供程序，点击“新建”，建立JDBC提供程序。 4.定义数据源： (1)点击界面中"数据源后"再点击“新建”，建立数据源。 (2)点击界面中"定制属性"(这里设置databasename和serverName) 5.测试连接

公安局网络安全方案

公安局网络安全方案 TPMK standardization office【 TPMK5AB- TPMK08- TPMK2C- TPMK18】

某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。以上是某公安局网络及其应用的现状。二、某公安局网络安全需求分析某公安局网络系统现在的Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）。网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次，在不同层次上的安全需求如上图所示。某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面：网络层安全需求、应用层安全需求和安全管理需求。

WAS性能调优

1.设置Web Container的最大、最小并发用户在管理控制台中点击应用程序服务器> server1 > 线程池>WebContainer（默认为10,50），根据观察的性能情况和应用情况输入合适的最小、最大进程数。如将最大进程数改为：1000，最小进程值改为400，Default（默认为5,20）、TCPChannel.DCS（默认为5,20）进程值同样改为最大值1000，最小值400，并选上允许线程分配超过最大线程大小，如下图：

2.对象请求代理（ORB）的线程池大小：在管理控制台中点击应用程序服务器> server1 > ORB 服务> 线程池，根据观察的性能情况和应用情况输入合适的最小、最大进程数。如将最大进程数改为：400，最小值改为20，（默认是10和50）并选上允许线程分配超过最大线程大小，如下图所示

3.JVM 堆参数设置的性能调优应用程序服务器 > server1 > 进程定义 > Java 虚拟机，根据硬件物理内存和应用情况输入合适的初始堆大小、最大堆大小。如将初始堆大小改为768、最大堆大小改为2048。2048为最大值，如下图所示：通用JVM 参数改为：-Djava.awt.headless=true

4.设置数据库的连接池属性： JDBC 提供者 >数据库JDBC 驱动名称 > 数据源 > 数据源名称> 连接池，根据观察的性能情况和应用情况输入合适的最小、最大连接数。最小值为：20，最大值为：50。

分别更改uissdbpool、uissdbpoolgw连接池的属性，如下图所示： 5.ORB参数调用方式的性能调优：应用程序服务器> server1 > ORB 服务>选中按引用传递。如下图所示；

WAS配置

1.1 配置字符集和JVM内存大小答案：服务器>应用程序服务器>[选择所使用的服务器]>Java 和进程管理》进程定义》Java 虚拟机，初始堆大小为512，最大堆大小为2048，通用JVM参数设为：-Ddefault.client.encoding=UTF-8 -Dfile.encoding=UTF-8 -Duser.region=CN https://www.360docs.net/doc/c87027462.html,nguage=zh -DLANG=zh_CN -Dclient.encoding.override=UTF-8 -Xverify:none 通用JVM参数设为-Ddefault.client.encoding=GBK -Dfile.encoding=GBK -Duser.region=CN https://www.360docs.net/doc/c87027462.html,nguage=zh -DLANG=zh_CN -Dclient.encoding.override=GBK -Xverify:none 1.2 nodeagent的JVM内存最佳配置。初始堆256 最大堆1024 位于系统管理-》Node Agent-》nodeagent->java和进程管理-》进程定义-》Java 虚拟机。 1.3 系统管理-》控制台首选项-》在“与节点同步更改”打勾。 1.4 提高控制台访问速度和稳定性系统管理——》Deployment Manager——》配置——》Java 和进程管理——》进程定义——》Java 虚拟机，初始堆大小改为512，最大堆大小改为1024。 dmgr 512~1024 1.5 配置数据源 1.5.1建数据源资源——》JDBC——》数据源——》——》先选择作用域——》新建———》数据源名输入BJH02_JNDI——》JNDI 名称也输入BJH02_JNDI——》数据库类型选择ORACLE——》实施类型选择连接池数据源——》目录位置/opt/IBM/WebSphere/AppServer/lib/ext（同时要检查此路径下是否存在ojdc.jar）——》URL: jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOS T=10.201.2.104)(PORT=1521))(ADDRESS=(PROTOCOL=TCP)(HOST=10.201.2.105)(PORT=1 521))(LOAD_BALANCE=on))(CONNECT_DA TA=(SERVICE_NAME=zjorcl)(SERVER=DEDI CA TED)))——》数据存储器helper类名选择ORACLE10g——》完成。

公安局视频专网安全建设方案

1视频专网建设现状近年来，公安视频专网的建设规模正在不断扩大，专网前端的IP接入设备（如IPC、RFID等）的种类与数量正在不断上升，这些前端设备被广泛应用于治安管理、交通疏导等领域，与国计民生息息相关；同时，如人脸对比、车辆识别、大数据分析、警用地理等核心业务，也正向公安视频专网迁移，目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。公安视频专网的重要性正在不断提升，随之而来的安全问题也日益凸显，一旦出现黑客攻击、数据窃取等事件，将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果，严重危害社会稳定。与此相对的是，由于点多面广，大部分的公安视频专网无法部署有效的安全策略，前端设备与后端业务基本处于直连状态，大量无人值守的接入终端被黑客利用成为攻击源。攻击者可利用分散在社会各处的接入设备接入到整个网络中，对核心业务系统展开攻击，甚至窃取保密信息。因此，如何解决来自于前端IP设备的安全风险成为了公安视频专网安全体系建设的突出问题。当前视频专网安全问题已经上升到国家层面，发改委、中央综治办、公安部等九部委联合下发《关于加强公共安全视频监控建设联网应用工作的若干意见》，要求加强视频监控系统安全防护能力，严格安全准入机制；10月初的全国政法委视频电话会议上，孟书记也多次强调了网络安全建设的重要性；省公安厅也在9月份警示视频专网存在的安全风险。

2视频专网存在的风险目前，全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态，没有任何的安全防护措施和手段，同时使用的操作系统和应用系统存在大量的高危漏洞，导致视频专网存在如下风险： 1、前端摄像头接入交换机无法监控管理，存在非法终端接入风险； 2、前端智能终端接入网络带来病毒和木马入侵风险； 3、视频专网为开放式网络，安全设备部署较少，接入网可直接访问服务器网络； 4、视频专网中存在多个业务系统，业务系统之间无访问控制策略； 5、操作系统、业务系统、网络系统存在大量的漏洞，可被不法分子进行利用； 6、视频专网无法做到专网专用，存在非法业务数据，影响视频监控图像质量；一旦攻击者通过前端摄像机渗透到视频专网中来，可对系统进行大范围严重破坏，极有可能对当前的正常电子业务工作造成灾难级影响，业务数据无法快速恢复，造成智能交通指挥瘫痪，指挥中心失去“眼睛”，卡口系统失效，违法抓拍停滞，违法档案删除，阻止智能布控应用，监控视频被不法分子使用，恶意追踪公民、车辆轨迹造成隐私泄露，诱导发布平台发布反动言论等等严重的后果，社会影响层面巨大。针对前端设备的准入控制不仅要求设备接入可信，也要求设备行为可控，因此要求在实施准入控制时，必须能够同时识别前端设备的身份，并有效管控传输的数据的合法性。此外，由于公安视频专网点多面广、性能要求高，在准入控制方案设计时，必须考虑部署及性能问题。以上要求是传统的安全设备难

WAS关键性能参数配置及异常分析

目录 WAS关键性能参数配置及异常分析 (1) 1.WAS性能关键参数配置 (3) 1.1 JVM（Java虚拟机） (3) 1.2 GC（详细垃圾回收） (3) 1.3 Web Container (5) 1.4 Data Source数据源 (6) 1.4.1安装数据源驱动 (6) 1.4.2配置全局数据源变量 (6) 1.4.3配置数据源驱动 (6) 1.4.4配置数据源 (7) 1.4.5 Database连接池的参数配置 (10) 1.5 其它关键参数 (11) 1.5.1 EJB分发共享内存参数 (11) 2.WAS性能分析工具 (11) 2.1 WAS性能监控配置 (11) 2.2 WAS性能监控 (11) 3.WAS异常分析 (11) 3.1 关键日志文件 (11) 3.1 javacore、heapdump分析 (13) 3.1.1 javacore的分析 (13) 3.1.2 heapdump的分析 (19)

1.WAS性能关键参数配置 1.1JVM（Java虚拟机） Heapsize（-Xms和-Xmx）：heapsize的大小依赖于系统平台和具体的应用等多种因素。最大heapsize需要小于机器的物理内存，一般来说，默认最小heapsize为256m。例如NG 设置的JVM为-Xms 512m，-Xmx 2048m。如果在WAS应用服务器未设置JVM参数或者设置JVM参数不合理，会有可能告成应用服务器处理效率低或者造成OutOfMemoryError的情况。备注：2m代表是2m的程序对象 1.2GC（详细垃圾回收） GC（Garbage Collection）：当需要分配的内存空间不再使用的时候，JVM将调用垃圾回收机制来回收内存空间。一般来说，良好的GC状态需要保证相邻两次垃圾回收的平均间隔时间应当是单次垃圾回收所需时间的至少5-6倍。GC的调优是通过在模拟压力的情况下不断调整最大最小heapsize来实现的，并不是heapsize设置越大越好。通过在WAS应用服务器配置详细垃圾回收，从而可以使WAS在运行时生成 native_stderr.log，native_stderr.log日志帮助分析JVM在进行GC垃圾回收时的数据，

WAS8.5安装配置For AIX-new

WerbSphere Application Server V8.5 For AIX安装 2015.03.25 （仅供参考）张永昆

目录 1、安装准备： (4) 1.1 上传所需要的软件包 (4) 1.2 安装系统所需的RPM (4) 1.3 创建应用账户 (4) 2、安装Installation Manager (4) 2.1、解压软件包 (4) 2.1.1解压nstallation Manager安装包 (4) 2.1.2 解压WAS ND V8.5.5安装包 (5) 2.2 安装nstallation Manager (5) 2.2.1执行安装程序 (5) 2.2.2 安装验证 (5) 3、安装WAS ND V8.5.5 软件 (6) 3.1 启动Installation Manager (6) 3.2 用Installation Manager安装WAS 8.5.5 (7) 3.3确认安装版本 (12) 4、创建概要文件 (13) 4.1打开概要管理工具 (13) 4.2 创建cell的profile (14) 4.3 web服务器定义 (21) 4.4 安装验证 (24) 5、添加多个概要文件 (25) 5.1打开概要管理工具 (25) 5.2 添加概要文件 (26) 5.3 验证概要文件 (33) 5.4 将新建profile加入Dmger01 控制台 (34) 5.4.1 启动dmgr (34)

5.4.2 启动server1 (34) 5.4.3 登陆Dmgr01管理控制台 (35) 5.4.4添加节点 (36) 5.4.5 启动各节点 (38) 6、配置cluster (38) 6.1 登陆控制台，查看集群 (38) 6.2 创建集群 (39) 7、配置数据源 (44) 7.1 准备DB2驱动 (44) 7.2 创建JDBC程序 (44) 7.3创建数据源 (46) 7.4 创建J2CC认证 (48) 7.5 配置J2C认证 (50) 8、虚拟主机 (51) 8.1 配置虚拟主机 (51) 8.2 应用虚拟主机 (58) 9、IBM HTTP Server安装 (60) 9.1 运行Installer manager (60) 9.2 安装IBM HTTP Server (63) 10、配置IHS转发应用 (63) 10.1 WAS控制台添加IＨＳ (63) 10.2 配置IHS转发 (65) 10.2.1 配置httpd.conf加载plugin (65) 10.2.2 生成plugin文件 (66) 11、WAS 参数调整 (68) 11.1 JVM虚拟机调整 (68) 11.2 JDBC连接池调整 (68) 11.3 数据源属性调整 (69) 11.4 线程池调整 (70)

公安信息网络安全知识手册

公安信息网络安全知识手册目录一、公安机关人民警察使用公安信息网违规行为行政处分暂行规定 (2) 二、公安计算机信息系统安全保护规定 (2) 三、八条纪律、四个严禁 (5) 四、公安信息通信网联网设备及应用系统注册管理办法 (6) 五、中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定 (15) 六、公安信息系统数字身份证书管理办法（试行） (19) 七、湖南省公安机关非警务人员使用公安信息网管理工作暂行规定 (26) 八、网络安全知识 (33)

一、公安机关人民警察使用公安信息网违规行为行政处分暂行规定第一条为切实加强公安信息网络安全管理工作，规范公安机关人民警察使用公安信息网，落实“谁主管、谁负责”、“谁使用、谁负责”的管理责任制，根据《中华人民共和国人民警察法》、《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规，制定本规定。第二条公安机关人民警察（以下简称公安民警）使用公安信息网行为，是指公安民警在公安信息网上进行的软硬件安装与开发、信息发布、信息查阅、应用等行为。第三条对公安民警违反规定使用公安信息网的，应当根据违纪行为的性质、情节和后果，依据本规定给予行政处分。第四条违反“一机两用”规定，将公安信息网及设备外联其他信息网络，或者擅自拆除监控程序、逃避监控、扰乱上网注册工作的，给予通报批评或者警告处分；造成严重后果的，给予记过以上处分。第五条编制或者传播计算机病毒等破坏程序，故意扫描、侵入公安信息系统，破坏公安信息网站、窃取数据的，给予记大过或者降级处分；造成严重后果的，给予撤职或者开除处分。第六条擅自在公安信息网上开设与工作无关的个人网站（页）、聊天室、BBS 等网站（页）的，给予警告处分；造成严重后果的，给予记过处分。第七条在公安信息网上捏造或者歪曲事实，散布谣言，侮辱、诽谤、诋毁他人，破坏他人名誉的，给予警告或者记过处分；情节严重的，给予记大过以上处分。第八条在公安信息网上编造、转发危害国家安全、淫秽色情、封建迷信等有害信息的，给予记大过或者降级处分；情节严重的，给予撤职或者开除处分。第九条未经审查和批准，从其他信息网络直接下载、转发、粘贴信息到公安信息网，造成病毒感染或者其他不良后果的，给予警告处分；后果特别严重的，给予记过以上处分。第十条擅自允许非公安民警登录、使用公安信息网，或者擅自向社会提供公安信息网站和应用系统数据的，给予通报批评或者警告处分；造成严重后果的，给予记过以上处分。第十一条对于管理松懈，多次发生公安民警违规使用公安信息网行为，或者导致发生公安信息网重大安全案（事）件的单位，除对直接责任人给予处分外，对单位有关领导根据规定给予通报批评或者行政处分。第十二条对发生公安信息网重大安全案（事）件隐瞒不报、压案不查、包庇袒护的，对所在单位有关领导应当从重处理。第十三条对违反本规定，构成犯罪的，应当依法追究刑事责任；错误比较严重，又不宜给予开除处分的，应当予以辞退。第十四条公安边防、消防、警卫部队官兵使用公安信息网违规行为，参照本规定进行处理。公安院校学生，公安机关聘用、借调人员以及其他经允许可以使用公安信息网的人员，其违规行为由所在单位根据有关规定处理。第十五条本规定由公安部监察局负责解释。第十六条本规定自公布之日起施行。二、公安计算机信息系统安全保护规定

WAS详细操作

WAS详细操作 1.节点部署概要文件(Profile)定义一个独立应用程序服务器(Server)的运行时环境, 包括服务器在运行时环境中处理的所有文件节点(Node)是受管服务器(Server)的逻辑分组, 节点通常与具有唯一IP主机地址的逻辑或物理计算机系统对应, 节点不能跨多台计算机 Node Agent 是将管理请求路由至服务器的管理代理程序, Node Agent 是服务器, 是一个管理代理程序, 并不涉及应用程序服务功能, Node Agent 进程在每个受管节点上运行, 并专门执行特定于节点的管理功能, 如服务器进程监视、配置同步、文件传输和请求路由, Deployment Manager通过与Node Agent的交互完成对单元内节点的控制 Node是管理上使用的概念, Profile是实际的概要文件, 它们代表同一事物查看所有概要文件: export WAS_HOME=/opt/WebSphere/AppServer cd $WAS_HOME/bin ./manageprofiles.sh -listProfiles 1.1.D eploymentManager DeploymentManager(简称DM) 为单元中所有元素提供了单一的管理控制中心点 DM属于一个特殊的节点, 用以下步骤创建: export WAS_HOME=/opt/WebSphere/AppServer cd $WAS_HOME/bin ./manageprofiles.sh -create \ -templatePath $WAS_HOME/profileTemplates/dmgr \ -profileName Dmgr01 \ -profilePath $WAS_HOME/profiles/Dmgr01 \ - nodeName (节点名) \ -cellName (单元名) \ -hostName (主机名) (其中红色部分为概要文件名, 可根据实际情况修改)

某公安局网络安全方案建议稿(公安警察)

某公安局网络安全方案一、某公安局网络现状某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道，实现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换，信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。整个某公安局网络通过统一的出口，64K的DDN专线接入上级省厅及全国各地公安网站，网络主干网通过一个Motorla（S520）路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网，两个子网通过路由器连接。在逻辑上，某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个，规模较大。某公安局网络已经有了比较成熟的应用，包括WWW服务，Mail服务，DNS服务等的一些其他应用，如内部信息等，也已经转移到网络应用之上的Web应用主要是用于内部信息的管理，应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。以上是某公安局网络及其应用的现状。二、某公安局网络安全需求分析

weblogic连接池配置及相关异常解决

1、配置连接池通过IP/console进入管理控制台(如果不知道用户名和密码可以通过以下方式进入：右击StartWebLogic.sh快捷方式，选择“编辑”，在文本中可以找到用户名和密码) 在左侧菜单中依次进入mydomain(自定义的域名称)－服务－JDBC－连接缓冲池点击“配置新的JDBC Connection Pool... ” 数据类型选择：Oracle 数据库驱动程序选择：Oracle's Driver (Thin) Version:9.0.1,0.2.0,10 点击右下角的“继续” 在名称中写入想要设置的连接池名称如myConnection 数据库名称：要访问的数据库名称主机名：写入数据库服务器的主机名称或IP地址端口号默认为：1521 数据库用户名称、密码点击“继续” 在下一页中点击“测试驱动程序配置”显示“连接成功” 点击“创建和部署” 在新页面的列表中出现mpConnection的配置项连接池配置完毕 2、配置JDBC数据源在管理控制台左侧菜单中依次进入mydomain(自定义的域名称)－服务－JDBC－数据源点击“配置新的JDBC Data Source” 在名称中写入要配置的数据源名称myConnection 在JNDI名称中写入访问的名字pc/ora9）点击“继续”

在缓冲池名称中选择myConnection 点击“继续”、“创建” 在列表中出现myConnection配置项数据源配置完毕异常解决： <001059><010070><149231><000297><090034>

was配置手册

配置篇 1、以wasuser账户启动WebSphere Application Server 7.0.0.9 2、输入Console URL打开Deployment Manager Administrative Console，输入用户ID并单击登陆，进入管理控制台。 Administrative Console 登录 1、集群配置 1、在Administrative Console 中，展开Servers，选择WebSphere Application Server集群，单击新建来名字为JLN_ERP的集群； 2、创建三个Instance，集群成员的权重都为“2” ，都不要选中“首选本地” 2、dsjln数据源配置 1、创建JDBC提供程序； 2、设置数据库类存放的环境变量 ${ORACLE_JDBC_DRIVER_PATH}=/usr/WebSphere/AppServer/lib/oracle ERP工作目录环境变量${JLN_HOME}=/erpHome/jln.ear/erp.war

3、建立数据源dsjln与JNDI名称jdbc/dsjln URL填写jdbc:oracle:thin:@10.3.160.51:1521:jlndb

4、新增J2C认证数据条目 5、回到数据源选择组件受管认证别名与容器受管的认证别名，并填写oracle数据源属性 6、连接池内容填写如下：

3、dssession数据源配置 1、建立数据源dssession与JNDI名称jdbc/dssession

URL填写jdbc:oracle:thin:@10.3.160.51:1521:sessdb 4、新增J2C认证数据条目 5、回到数据源选择组件受管认证别名与容器受管的认证别名，并填写oracle数据源属性 6、连接池内容填写如下：

公安局网络安全防护系统技术方案

错误！未指定书签。目录

一、概述 (3) 二、公安门户网站安全建设必要性 (3) 2.1合规性要求 (4) 2.2面临的威胁 (5) 2.3公安门户网站安全现状分析 (7) 三、面临的典型攻击 (8) 3.1跨站脚本 (8) 3.2信息泄漏 (9) 3.3SQL 注入 (9) 3.4DDOS攻击 (9) 四、公安系统门户网站安全防护 (10) 五、安全可靠的防御手段 (12) 5.1绿盟科技下一代防火墙（NF） (13) 5.2绿盟网络入侵防御系统（NSFOCUS NIPS） (14) 5.3绿盟科技WEB应用防护系统（WAF） (14) 六、总结 (15) 附件部署产品列表 (15)

一、概述对于公安门户网站来说，公安系统发布的消息是比较权威的，同时公安门户网站也是与民互动，实现执法办公公开的一个最基本的保障，因此公安门户网站是公安相关职能部门信息化建设的重要内容，主要实现国家对公安门户网站的三大功能定位：法律法规信息公开、公民在线办事、政法与民互动。公安门户网站是提高公安系统服务质量、服务效率、公众认知度和满意度的关键环节，是国家重要信息系统之一。而近年来，随着网站所运行业务的重要性逐渐增加以及其公众性质使其越来越成为攻击和威胁的主要目标，公安门户网站所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着政府职能单位和公众用户，给公安系统的公众形象、信息网络和核心业务造成严重的破坏。因此一个优秀的网站安全建设是公安政务门户网站是否能取得成效、充分发挥职能的基础，而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。二、公安门户网站安全建设必要性当前公安系统门户网站已积聚了信息化建设中大量的信息资源，成为公安系统信息公开成熟的业务展示和应用的平台，是工作模式创新与流程改造、开展协同和电子服务的重要媒介，是实现执法信息公开在网络世界中建立的永久据点。。公安部门的网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而网站中不同业务功能模块的信息安全需求又各不相同。如对外便民服务信息系统具有相对开放的结构特点，用户一般为普通民众，便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求，而在网站上独立运行的业务信息系统具有相对封闭的结构特点，用户一般为内部用户，用户对数据的完整性和保密性要求往往大于可用性要求。因此公安网站安全风险贯穿前端Web访问到后端数据处理和

WAS监控调优思路及工具汇总

WAS整理——侯泰浩一、WAS是什么 IBM WAS的全称是IBM WebSphere Application Server，和Weblogic一样，是当前主流的 App Server （应用服务器）之一 1.1术语 WAS: IBM Websphere Aplication Server, 中间件应用服务程序; IHS: IBM HTTP SERVER DM: Deployment Manager, WAS中的集群管理节点; ND: NodeAgent, WAS中的节点监听程序; JVM: Java Virtual Machine, Java虚拟机; GC: Gabage Collection, 自动垃圾回收 1.2W AS ND集群基本概念及体系结构 WAS集群由一组应用服务器组成，每个服务器上部署了同样的应用程序。通过集群可以实现可扩展性（服务更多客户，提高吞吐量），负载均衡（平衡负载资源，使资源得以有效利用），高可用性（提供故障恢复和补偿机制，在关键性业务中提供容错功能）。下图是ND分布式环境的体系结构，包括单元、节点、服务器等基本概念。 WAS群集是为了实现集中管理和负载均衡同时可以实现故障转移，一个2节点的群集拓扑如下：

其中，DeploymentManager通过每个节点上的NodeAgent完成对AppServer的配置修改、应用发布以及启动和停止，实现集中管理。如果安装多个IHS，并实现负载均衡和分发，可以使用防火墙的负载分发功能。每个节点上的AppServer可以是多个的。二、WAS基本参数配置

三、WAS的调优思路 3.1基本思路部署在WAS上的应用程序，其性能是由多个因素决定的。例如网络、数据库、内存分配、WAS服务器的配置以及应用程序的设计。对于一个标准的 J2EE应用，一个请求到来时，往往需要经过多次转发：网络 > Web服务器Web容器 > EJB容器 > 数据库。而每一次转发，都可能造成请求处理的瓶颈，使得应用程序整体性能下降。如果我们把每一次转发的待处理资源都看成一个队列，如下图：待处理资源队列对于WAS调优，要记住的一个基本原则就是，使得在队列中等待的请求的数量最小化。在实践中我们发现，为了达到这个目的，最有效的配置方式就是使得队列成为一个“漏斗”。也就是说，越靠

公安局网络安全防护系统技术经验方法

公安局网络安全防护系统技术经验方法集团公司文件内部编码：（TTT-UUTT-MMYB-URTTY-ITTLTY-

二、公安门户网站安全建设必要性当前公安系统门户网站已积聚了信息化建设中大量的信息资源，成为公安系统信息公开成熟的业务展示和应用的平台，是工作模式创新与流程改造、开展协同和电子服务的重要媒介，是实现执法信息公开在网络世界中建立的永久据点。。公安部门的网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而网站中不同业务功能模块的信息安全需求又各不相同。如对外便民服务信息系统具有相对开放的结构特点，用户一般为普通民众，便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求，而在网站上独立运行的业务信息系统具有相对封闭的结构特点，用户一般为内部用户，用户对数据的完整性和保密性要求往往大于可用性要求。因此公安网站安全风险贯穿前端Web访问到后端数据处理和反馈整个过程。因此可以定性的认为：前一类信息系统面临的服务中断、外部黑客攻击、非法入侵、安全漏洞等威胁的概率比较大，而后一类内网泄密、监管审计不到位等威胁的概率比较大。推动政府网站进行全面信息安全体系设计和建设的动力目前主要来自三个方面： 1、等级保护等合规性安全要求 2、面临的安全威胁