ASP编程：附录 B：会见战略最好计划

当然了,现在国内CRM厂商的产品与其说是CRM,但从至少从我的角度分析上来看,充其量只是一个大型的进销存而已了,了解尚浅,不够胆详评,这里只提技术问题附录C：收集平安的最好计划
SteveRiley，MicrosoftCommunicationsIndustrySolutionsGroupConsultingPractice

2000年8月7日

这篇漫笔叙述了收集计划和平安的最好计划。只管收集的计划和平安回护办法良多，但只要某些办法和步骤深受很多业内助士的喜好。

选择路由器―第一道防地
应该利用选择路由器来回护任何面向Internet的防火墙。这类路由器只要两个接口：一个与Internet相连而另外一个与内部防火墙（或需要时与负载均衡的防火墙聚集）相连。一切打击中，快要90%触及到IP地点失贼，或改动源地点以使数据包看起来好像来自外部收集。传进数据包没有甚么来由能够来自外部收集。别的，因为一个收集的平安性一般取决于所毗连收集的平安性，因而最好能制止您的收集被用作假数据包的来历。选择路由器是完成这些目标的幻想办法。

应该将选择路由器设置为“allowallexceptthatwhichisspecificallydenied”（同意经由过程出格回绝之外的一切通讯）形态。如许，ACL就实行以下操纵：

界说一个进进选择器，它回绝任何源地点为外部收集地点的传进通讯。
界说一个外出选择器，它回绝源地点非外部收集的传出通讯。
回绝RFC1918中所断定的任何公用地点局限内源地点或方针地点的一切传进或传出通讯。
同意一切别的的传进和传出通讯。
这可制止年夜多半打击，由于夺取外部地点几近是一切打击的基础前提。将选择路由器前面的防火墙设置为“denyallexceptthatwhichisspecificallyallowed”（回绝除出格同意以外的一切通讯）形态。

（这部分信息的根据为RFC2267，“Networkingressfiltering:DefeatingdenialofserviceattackswhichemployIPsourceaddressspoofing”，1998年1月。）

对可用性请求较高的情况，可以使用两个选择路由器，并将两者毗连到一对防火墙负载均衡设备上。

防火墙―分层回护
典范的非军事区(DMZ)有两个防火墙。内部防火墙设置为只同意Internet和DMZ之间毗连所需的通讯。外部防火墙的设置要可以回护外部收集不受DMZ的影响―DMZ长短信托收集，因而有需要对外部收集实行回护。

甚么是DMZ？看看天下上唯一的政治方面的DMZ：南北朝鲜之间的地区。DMZ由其回护界限断定―在这类情形下，两个地舆界限，分离由独自的回护实体举行监督和回护。收集中的DMZ与此十分相似：某独自的收集部分经由独自的物理防火墙与（一般）两个别的收集相连。

DMZ与屏障子网。罕见的办法是利用具有多个接口的单一物理防火墙。一个接口毗连Internet，第二个接口毗连到外部收集，第三个接口毗连到一般称为DMZ的地区。这类系统布局不是真实的DMZ，由于单个设备卖力多个回护地区。这类计划切实其实切称号是屏障子网。屏障子网具有严峻缺点―单个打击便可损坏全部收集，由于一切收集段都与该防火墙相连。

DMZ的长处。为何部署DMZ？收集打击日益增添―有些只是出于好玩、夸耀本人的开玩笑才能，还一些是严峻的、有目标的公司特务和损坏。无效的平安系统布局是打击的一道屏蔽，同时该布局具有可调剂才能。真实的DMZ布局具有以下长处：

具有针对性的平安战略。每一个防火墙实行与回护工具对应的战略。
深切进攻。在平安遭到损坏时，设备的多个物理构件为平安办理员供应更多工夫来做出反响。这是为何要部署真实的DMZ而不是屏障子网的独一、也是最主要的缘故原由。
改善功能。两设备间通讯反省的职责分隔，每一个特定回护区设置一台设备。
可扩大性。可依据必要扩大防火墙―内部防火墙处置的负载一般必需比外部防火墙高良多。像RadWaresFireProof如许的手艺能够跨防火墙农场而均衡负载。
打消妨碍点。为了取得高可用性，应该最少部署与一对防火墙完整合用的一对防火墙负载均衡器。如许防火墙便可与DMZ中心互换机完整婚配。

防火墙范例
今朝有三种防火墙：

基础数据包选择器。
形态检测数据包选择器。
使用程序代办署理。
基础数据包选择器。把复杂的数据包选择作为一种防火墙已不罕见，由于几近一切的路由器都可实行此功效。数据包选择只是复杂地依照一组划定规矩对照传出和传进数据包的端口、协定和地点。不切合划定规矩的数据包被防火墙停止。基础的数据包选择供应很少的平安性，由于良多种打击可容易地绕过它。

形态检测数据包选择器。这些防火墙除反省独自的数据包外还对流程举行反省。形态反省引擎跟踪每一个毗连的启动并确保启动与某个先前登录的毗连响应的一切通讯。切合防火墙划定规矩但没法映照就任何毗连的未经哀求数据包将被停止。形态反省比基础数据包选择更加平安，但仍是大概遭到可以经由过程防火墙可用协定（如HTTP）的进侵的打击。两类数据包选择器都没法剖析任何数据包的内容。别的，两类数据包选择防火墙几近都没法在依照划定规矩集举行盘算之前将碎片数据包从头组装起来。因而，某些范例的打击得以用崇高高贵技能制造的数据包碎片举行乐成传送。

使用程序代办署理。使用程序代办署理供应最高的平安级别。毗连欠亨过代办署理，而传进毗连在代办署理处被中截，并由代办署理完成与方针服务器的毗连。使用程序代办署理反省无效载荷并可断定它是不是切合协定。比方，一般的HTTP哀求有断定的特性。经由过程HTTP传送的打击将与这些特性有所收支（最明显的是经由过程HTTP哀求传送的通讯具有过量传进信息量），并将被停止。使用程序代办署理还不容易遭到碎片的打击。因为为使用程序代办署理施加了负载，因而它在三类防火墙手艺中速率最慢。

云云说来，哪一种手艺最好呢？谜底取决于您所需的平安级别。一些形态反省防火墙入手下手到场使用程序代办署理功效；Checkpoint的Firewall-1就是如许的实例。

基于主机的防火墙回护。完全进攻应该是任何平安计划的计划方针。选择路由器和传统的DMZ供应三层回护，它们一般足以回护年夜多半收集服务。关于高度平安的情况，基于主机的防火墙还可供应另外一层的回护。基于主机的防火墙同意平安办理员断定具体全面的平安战略，以使服务器的IP栈只对该服务器上使用程序所请求的端口和协定开放。一些基于主机的防火墙还实行传出回护，以匡助确保某台遭到损坏的呆板不会影响统一收集上的别的呆板。固然，基于主机的防火墙的确增添了一般体系办理的包袱。招考虑仅对那些包括相当主要数据的服务器增添基于主机的回护。

DMZ系统布局―平安和功能
另外一类罕见的打击是从线路上窥伺数据包。只管有比来呈现的防窥伺工具（大概常常不成靠），但用复杂集线器构建的收集仍是很简单遭到这类打击。（而且反防窥伺工具也大概使它成为一项主要议题。）利用互换机替换集线器可打消此缺点。在共享介质收集（即用集线器构建的收集）中，一切的设备可瞥见一切的通讯。一般收集接口对非发给它的数据帧不举行处置。混同形式的接口将把每帧的内容向上传到盘算机的协定栈。该信息关于有协定剖析器的打击者大概十分有代价。

互换收集能够实践根绝这类情形的产生。互换收集中任何呆板的收集接口将只能看到出格发给该接口的那些帧。在这里混同形式没有甚么分歧，由于NIC不辨认别的任何收集通讯。打击者窥伺互换收集的独一已知办法是：打击者损坏互换机自己并变动其操纵，如许互换机最少在一个端口充溢了一切通讯。损坏互换机很难，而且很快会被收集办理员发明。

互换收集还免除了利用双主机DMZ服务器的需要。双主机供应不了更多的附加回护；附加的NIC不克不及避免来自已损坏盘算机的打击。可是在必要高可用性或高功能情形下，利用两个NIC大概加倍合适。

打消妨碍点。在必要高可用性的情况中有需要利用两个NIC。一种实在可行的计划计划是在中心部分包含两台互换机，并在每台服务器中包含两个NIC。一个NIC毗连到一台互换机，另外一个NIC毗连到另外一台互换机。

外部收集的情形怎样？出于一样的缘故原由，外部收集也应该用互换机来构建。假如必要高可用性，请依照DMZ中一样的准绳。

聚集互连。不管在DMZ仍是在外部收集中，都利用集线器毗连一切聚集。Microsoft不倡议利用跨接电缆，由于它们不克不及供应确保介质敏感型操纵一般事情所需的电子旌旗灯号。

IPSec―信托DMZ的一种更平安的选择
假如一切的服务器都在运转Windows2000，则应该利用Internet协定平安(IPSec)来回护DMZ和外部收集之间一切通信的平安。IPSec供应以下功效：

身份考证。能够断定如许的战略，使得只要那些必要相互通信的盘算机才能够相互通信。
加密。已侵进到DMZ的进侵者没法将通讯注释进或注释出外部收集。
回护。IPSec回护收集制止重放打击、工资干涉打击和经由过程尺度协定（如ICMP或HTTP）举行的打击（这些打击可经由过程基础防火墙和形态反省数据包选择器防火墙）。
启用IPSec后，外部防火墙必需只同意IPSec、IKE、Kerberos和DNS通讯，如许进一步增强了外部收集的平安性。外部防火墙中不会有别的毛病。关于各类使用程序有毛病的尺度防火墙划定规矩，进侵者能够经由过程Firewalk如许的工具断定防火墙的战略；而将一切通讯封装在IPSec中并只许利用该协定，可埋没对打击者大概有效的实行细节（可是还应拜见上面的“大概的平安含义”）。下表列出了应该在防火墙中开启的服务：服务
地位
申明

Domain

端口53/tcp和53/udp

域名服务


kerberos

端口88/tcp和88/udp

Kerberosv.5身份考证


isakmp

端口500/udp

Internet密钥互换


esp

协定50

IPSec封装的平安无效载荷


ah

协定51

IPSec考证的标头




请注重不必要证书受权；IPSec战略将用Kerberos（本机的Windows2000身份考证机制）作为创建IKE主形式平安联系关系的基本。

大概的平安含义。如前所述，对DMZ和外部收集之间的通讯加密后不成能再反省外部防火墙中的通讯。并不是一切的收集或平安办理员都对此办法中意。ESP的加密供应了进进外部收集的封装路径，一旦某台DMZ呆板被损坏，它便可能被使用。利用IPSecAH替换ESP将使较为复杂的防火墙设置显现其上风，同时因为AH数据包无效载荷未经加密，还可举行通讯反省。

进侵检测―初期的告诫体系
进侵检测体系正在成为与Internet毗连的任何收集的需要组件。只管它不克不及替换防火墙具体不中断的反省和服务器日记，可是进侵检测体系可以延迟辨认潜伏进侵，为您供应更多的工夫以对变乱接纳响应措施。请在DMZ中安装进侵检测体系。

进侵检测体系和防病毒有用程序类似，它们都是在检测到它们辨认的器材时向办理员收回警报。进侵检测体系包括一个打击特性数据库，可是并不是一切的进侵检测体系都一样能够辨认分歧范例的打击或坚持最新形态（各个IDS厂商都将他们的特性数据库和更新机制看成贸易秘密）。今朝有两种值得存眷的检测体系，它们是：RealSecurebyInternetSecuritySystems(http://www.iss.net)和NetworkFlightRecorder(http://www.nfr.net)。

基于主机的进侵检测。年夜多半进侵检测体系在收集级别事情，在收集被损坏后向办理员收回警报。比来呈现了一种新的进侵检测体系范例：基于主机的进侵检测体系。这些工具自己在服务器上运转，并在特定盘算机遭到损坏时向办理员收回警报。这类警报机制关于包括有主要操纵数据的盘算机（如后端数据库服务器）尤其主要。

将基于收集的进侵检测体系和基于主机的进侵检测体系分离起来，而且让练习有素的平安专家按期反省体系日记是回护收集、搜集证据和处置平安变乱的最无效办法。

DNS―确保客户抵达准确的中央
罕见的DNS实行（包含如图所示的实行）称为拆分DNS实行。内部服务器用来办理Internet对DMZ上钩算机的查询，并办理DMZ盘算机对别的DMZ盘算机的查询。外部服务器用来办理外部收集对外部盘算机的查询，对DMZ中或Internet上盘算机的查询将被转发到内部服务器。可是拆分DNS不克不及回护DNS高速缓存免受打击。

在DNS高速缓存的损害中，打击者会损坏另外一收集的DNS高速缓存。当受益者试图在损坏的收集中断定地点时，该高速缓存前往打击者在高速缓存中放进的有效信息。一般打击者如许做是为了把受益者从头定向到打击者的盘算机。

最平安的DNS实行称为拆分―拆分DNS实行。在DMZ中有两台DNS服务器。一台服务器（比方DMZDNS-IN）只承受对DMZ上钩算机的传进查询―并只承受Internet上盘算机的查询。另外一台服务器（如DMZDNS-OUT）只同意办理对Internet的传出查询，和DMZ盘算机对别的DMZ盘算机的查询。DMZDNS-IN是DMZ的DNS地区的主DNS服务器，DMZDNS-OUT是帮助DNS服务器，利用IPSec举行地区传输。外部收集中的DNS服务器仅是外部收集的主DNS服务器，而且将对DMZ或Internet的哀求转发到DMZDNS-OUT。这打消了使收集易于遭到已被打击的DNS高速缓存打击的前提。

来自Internet的DNS查询不成能经由过程DMZ进进外部收集来猎取谜底。一些近期的打击利用DNS来传送其无效载荷。Internet上的用户没有需要对外部收集上的服务器举行查询。

打消妨碍点。在高可用性情况中，只需复杂倍增DNS服务器的数目便可。

硬件负载均衡―坚持服务器的最好功能
Windows2000AdvancedServer包含一种称为“收集负载均衡服务”或NLBS的功效。NLBS为Web站点办理员供应了在不异设置的服务器农场中举行服务器负载分派的办法。NLBS对不必要庞大形态保护或功能监督的使用程序来讲十分合用。但关于必要这些事情的使用程序来讲，则应选择硬件负载均衡。这些设备偶然称为第7层互换机。

像F5收集的BigIPContentSwitch（非官方承认，只是行业中认同它是最好产物之一）如许的设备在OSI模子的第2到第7层事情。BigIPContentSwitch检测使用程序的形态和运转情形，在Web服务器之间供应负载均衡和实在容错。若要打消任何单一的妨碍点，需利用两个与一切Web服务器完整符合的负载均衡设备。F5还供应了撑持加密套接字协定层(SSL)的BigIPContentSwitch版本。SSL会话在BigIPSSLAccelerator中停止，然后断定由哪台Web服务器实行该事情。BigIPAccelerator举行以下操纵：

卸载Web服务器的SSL处置，进步其功能。
会合办理证书。将证书安装在SSL减速器上，而不是每台Web服务器上。它还可以使多个BigIP把持器之间的证书同步。
启用HTTP主机标头。
办理AOL客户端IP地点共享成绩。
打消妨碍点。假如方针仅仅是均衡服务器的负载，一台负载均衡设备足矣。可是若要供应实在容错功效，则需多台设置完整婚配的设备。

存储地区收集―对外部收集的会合存储
存储地区收集手艺已十分成熟，只需是装备有年夜存储容量的中央都可以使用。SAN将存储功效从通用服务器移到为传输大批数据而出格计划的高速收集上。这有助于：

经由过程将磁盘阵列移出机柜来优化服务器机柜空间。
经由过程将数据存储在独自的、不容易蒙受今朝所知范例打击的收集中，增添数据的平安性。
经由过程在数据收集以外保存通讯备份，供应不受LAN束缚的备份。
最后，利用光纤通道仲裁环(FC-AL)来创建SAN。较新的光纤通道互换机供应更高程度的吞吐量，并使办理员能够计划没有单一妨碍点的SAN。

互换光纤通道SAN最少包含：

两台位于中心互相毗连的FC互换机。
几台位于核心的互换机―每一个LAN有一台与SAN毗连的互换机。每台核心互换机都与两台中心互换机毗连。
每台服务器中的FC接口与其当地的SAN互换机相连。
SAN磁盘聚集有一台互换机与两台中心互换机毗连。
SAN备份设备的一台互换机，与两台中心互换机毗连。
打消妨碍点。倍增中心之外的一切设备：在每台服务器中利用两个光纤通道适配器、每一个LAN中利用两台核心互换机、对SAN磁盘聚集利用两台核心互换机，和对SAN备份设备利用两台核心互换机。一直将两台核心互换机与两台中心互换机相连。

收集附加存储的有关情形？Microsoft不撑持NAS存储Exchange文件。Exchange请求一切的文件都保留当地设备上。Exchange在光纤毗连的SAN设备上运转优秀，这些设备对Windows2000体现为当地设备。

Request:从字面上讲就是“请求”，因此这个是处理客户端提交的东东的,例如Resuest.Form，Request.QueryString,或者干脆Request("变量名")

学习ASP其实应该上升到如何学习程序设计这种境界，其实学习程序设计又是接受一种编程思想。比如ASP如何学习，你也许在以前的学习中碰到过。以下我仔细给你说几点:

我们必须明确一个大方向，不要只是停留在因为学而去学,我们应有方向应有目标.

下载一个源代码，然后再下载一个VBScript帮助，在源代码中遇到不认识的函数或是其他什么程序，都可以查帮助进行解决，这样学习效率很高。

学习ASP其实应该上升到如何学习程序设计这种境界，其实学习程序设计又是接受一种编程思想。比如ASP如何学习，你也许在以前的学习中碰到过。以下我仔细给你说几点:

ASP.Net和ASP的最大区别在于编程思维的转换，而不仅仅在于功能的增强。ASP使用VBS/JS这样的脚本语言混合html来编程，而那些脚本语言属于弱类型、面向结构的编程语言，而非面向对象，这就明显产生以下几个问题：

还有如何才能在最短的时间内学完?我每天可以有效学习2小时，双休日4小时。