【IT 168专稿】我们知道，现在企业的网络安全显得越来越重要了，作为安全的守护者----安全产品起着很重要的作用。一般来说，安全产品主要是以安全软件为主，其中包括杀毒软件、防火墙、安全管理、认证授权、加密等软件产品，其中以杀毒软件和网络安全软件中的防火墙应用得最为广泛；硬件产品包括安全服务器、硬件加密机、物理隔离卡及基于硬件的防火墙等。作为一种重要的基础网络设备，安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。

    目前国内服务器产品大都为国外设备，在信息安全构建过程中必然存在着潜在的危险，因而发展民族服务器产业，构建民族信息长城是国家亟待解决的重大问题。同时国内的安全服务器产品已有了初步的发展，但与国际先进的安全技术还有一定的距离。安全服务器主要涉及以下几方面的技术：一是安全的操作系统；二是访问控制技术；三是加密技术；四是硬件的可靠性。过去，以上4个方面的先进技术主要被以美国为首的西方国家所垄断，但随着我国信息技术的飞速发展，在安全技术的研究方面，已经有了长足的进步。而所谓的安全服务器，即是指运行安全程序的计算机。下面还是让我们来看一看国内的安全服务器产品。

    一、安全服务器

    1、海信SS2800安全服务器   

    海信网络信息安全服务器采用自主研发的硬件加密卡、SSL模块、基于Linux的安全操作系统和安全数据库，是功能强大的信息安全存储传输平台。开发的基于Linux的安全操作系统和安全数据库系统，彻底消除国外软件产品对网络安全带来的隐患。 自主开发的加密算法，采用硬件加密卡实现，加密速度快，保证数据的安全性。

    SSL模块严格遵守SSL协议的标准，用于信息对称加密的算法选用多种自主开发的对称性算法，密钥长度为128或168位，用于传递密钥的公钥算法采用标准的RSA算法。可根据用户等级调整加密强度。 采用硬件加速器，集群系统，提供负载均衡等功能，切实增强服务器性能。 海信安全服务器的硬件设计方面，将采用多种冗余技术 支持磁盘阵列和磁盘热插拔技术：支持电源冗余、冷却系统冗余。以提高系统的可靠性。管理性上采用远程管理和系统远程监控，若出现异常，系统会自动报警。针对电子商务应用，在安全通讯协议、加密算法和电子证书方面均采用国际通用标准，支持CA中心。

    2、天网安全应用服务器

天网安全应用服务器（点击看大图）

    天网安全应用服务器是一个互联网全功能服务器，它的功能主要包括扫描删除病毒IPSec和PPTP的VPN、防火墙、网站存放、NAS File Server、电子邮件服务、共享互联网接入、共享打印、DHCP、域名解析和FTP功能。天网安全应用服务器提供软件和硬件一体的整合解决方案，真正实现方案产品化，让企业互联网应用的安装和配置不需要专业的计算机技巧和网络管理经验。天网安全应用服务器的安装、配置和远程管理都是利用浏览器来操作的，界面直观、简单。

    它具有Anti-Virus防病毒，互联网邮件及附件在进入局域网之前进行病毒扫描，并不占用系统资源。 内置路由器，天网安全应用服务器支持当前任何的互联网接入方式包括－DSL，ISDN，DDN，Cable和电话拨号等。 即时开启、关闭不限容量的互联网电子邮件服务和局域网电子邮件服务器。局域网内的email和附件与互联网隔离更安全、保密。大容量邮件附件任意收发。还提供通过浏览器访问的“逍遥游”（AnywhereEmail）电子邮件服务器，可以在世界任何一个角落查看、收发电子邮件及附件。内置基本和高级两个防火墙，适用于和大多数中、小企业，会检查通过GallantWEB的所有数据包以及不必要的发送意图。除非数据包接受预定的协议，否则它们无法进入网络。非专业人员也可以轻易地定义和配置高级防火墙协议。提供IPSec以及PPTP两种VPN方式；IPSec利用Triple DES(EDE-CBC)加密（168位密钥），企业的各地分公司能安全的在Internet上互相连接，使资源象在局域网中一样在共享。

    3、凝思磐石A1000型安全服务器系统

    凝思磐石安全服务器从操作系统的核心做起，与硬件系统相配合，使用多层保护机制，能够从根本上杜绝通过缓冲器溢出攻击的方法控制服务器，大大地提高了系统的安全性。凝思磐石安全服务器采用特有的安全辅机系统，保证了日志文件的高可靠性，依靠GPS定时系统提供的高精度时戳保证了日志文件的高准确性，其定时精确度在微秒级内；并且特有的审计日志保护机制能够抵抗审计日志的破坏，充分保证其安全性。所有日志文件均在辅机系统有完整备份，即使主系统日志文件因外界因素造成损坏，依靠辅机系统内的备份文件可轻易分析出造成损坏的原因和时间。 安全增强的内核及对外服务；固化凝思磐石安全操作系统，防止缓冲器溢出等黑客攻击，增强的性能提供更佳的网络存取速度，提供非常好的的安全性和更方便的硬件管理。

    应用多台凝思磐石服务器易于实现系统的远程备份和自动服务切换，保证发生灾害，一台服务器完全失效时，能够立刻切换至另一台服务器继续提供服务，保障系统服务的可获得性。凝思磐石服务器自动监测硬盘状态，硬盘发生故障时会自动报警；更换新硬盘后，能够自动恢复硬盘上的文件系统和数据。 凝思磐石服务器系统自动重启技术是指服务器掉电后可以在无人管理的情况下完成重新启动过程，以极快的速度恢复系统运行。应用多台凝思磐石服务器能够实现多机集群，高效地提供网络服务。

    4、CTIRN系列多功能安全服务器

    CTIRN系列多功能网络服务器是一种改变现有网络结构，为政府、企业、银行及服务提供商提供物有所值的解决方案的新型网络产品，它为用户提供了多个（目前产品12个）多层服务的安全区，应用和服务可达2-7层，安全区逻辑隔离LAN，并可以独立的提供安全策略，负载均衡规则和管理的接入功能。产品简化了网络结构，降低了用户的投资，并且提供了多种IP服务。具有多个安全区，使用QoS/SLA带宽管理，任意IP/TCP/UDP的负载均衡，所有IP/TCP/UDP的高可用性；网络实时监控，LAN自动发现，增强的2/3/4层交换，集成的基于Web的管理系统，兼容SNMP v1/v2/v3 。

    产品独特的安全区解决方案可适用于部门间甚至于跨地域的部门的安全隔离和流量控制。QoS和带宽管理可用于保证通过小的广域网接口（2M）带宽的流量可以按不同规则预设成不同的优先级。独特的安全区可以用于政府机关的内部职能部门、企业的业务部门等多种独立的应用环境，从而弥补当前防火墙设备的不足，同时为用户提供对外的和各部门之间的防火墙功能。

    5、浪潮网泰安全服务器

    安全服务器是浪潮服务器事业部针对目前网络传输中应用最多的Web服务推出的一款功能服务器，是基于SSL协议的安全信息传输平台，网泰主要通过对通讯双方的身份认证，传输信息的加密，和信息完整性的检验，来实现从服务器到客户端的安全的、加密的网络连接，从而保证传输数据的安全性和用户的合法性。 产品主要定位对网络传输的数据进行保密的场合。可广泛应用于如企业内部系统、企业商务系统、党政部门信息系统、金融业务系统等。

    安全服务器是基于Linux操作系统之上，以自主开发的浪潮加密模块为加密硬件支持，配以由浪潮自主开发的SSL模块来完善和强化WWW服务器（Apache）等服务的安全性，在服务器和客户端之间建立了安全的端到端的加密连接，另外，安全服务器可以借助合适、先进的防火墙技术，使得整个服务器系统成为集完整性、可用性、机密性、身份识别、访问授权、审计、有效性等安全性能和安全服务于一身的综合安全服务器系统。

    浪潮网泰由多种模块组成，各组成模块之间相互独立，用户可以根据需要灵活选用。例如，可以选择使用浪潮防火墙，若用户已有防火墙，也可以不使用浪潮防火墙，能有效保护用户已有投资。另外，可采用浪潮信息安全服务器（网泰）自带的浪潮企业级CA-Ceneter，也可以引入第三方的CA中心。浪潮采用多种手段实现安全服务器的可靠性，包括使用冗余容错技术和热插拔技术；保证了服务器平台的稳定性，为整个系统的稳定应用提供了一个可靠的硬件平台。

    6、联想万全1060安全服务器

 
    联想万全针对中小企业对数据安全的特定需求推出了低端安全服务器--联想万全1060。 联想万全1060支持单个0.18mm技术的Intel PentiumⅢ处理器，主频最高可达1GHz，支持133MHz的前端总线，主板上集成了支持Ultra ATA/100标准的IDE控制器，它提供的RAID功能为用户提供了低廉而可靠的数据安全性和数据冗余能力。

    联想万全1060服务器，定位于为小型应用提供高安全性的单CPU服务器，适用于中小规模用户的综合或专项应用，可以满足用户对于文件共享、打印共享、一般数据处理、互联网接入以及小型数据库应用的需求。万全1060最大的特点是以较低的价格提供IDERAID功能。通过RAID1功能为用户带来数据冗余备份，使用户的数据资料在遭到破坏时能在最短时间内恢复正常，避免了由于没有及时备份导致的数据丢失。

    另一个显著特点就是万全1060极大地提高了低端服务器的易用性和可用性：通过联想自行开发的中文导航软件和管理软件，增强了低端服务器的易用性和管理功能；采用了联想自行全新设计的机箱，在散热、方便拆装等方面提供了更强大和更人性化的设计，申请了国家5项专利。

    7、曙光NetBox安全服务器

曙光NetBox安全服务器（点击看大图）

    曙光NETBOX最大的特点在于网外与网内两部分同时防范，即起到外防黑客，内防家贼的作用，两者又是不可分的。在内网安全保护方面，曙光NETBOX实行多重嵌套式保护，设置信息核查机制、身份认证机制、内网私有IP地址、过滤性防火墙，有效防范来自外网的攻击和防止内部数据的泄露。另外，曙光NETBOX服务器的设计综合了硬件集成、软件集成、技术集成、系统集成等多种集成思想，采用了多种应用于超级服务器的高技术、多种原属于不同技术范畴的新技术，形成的全新理念的系统集成产品，其中包括HA技术、NTCluster技术、全文检索技术、信息推送技术、Internet搜索引擎技术、网络安全技术、网络管理技术等。

    8、SMC2504W EliteConnect无线局域网安全服务器

    SMC EliteConnect 无线局域网安全服务器(SMC2504W)为各类无线网络提供完美的快速保护及控制。作为一整套易于操作的网络管理解决方案，SMC 无线局域网安全服务器将第三层智能、安全性、管理、漫游以及通信优化集于一身。无论用作小型网络的整套解决方案或大型网络的起步系统，SMC EliteConnect 无线局域网安全服务器均对无线网络的防护、管理及增强提供全面兼容并可不断升级的解决方案。

    SMC2504W EliteConnect 无线局域网安全服务器在设计上突出网络安全性，全面增强了您的无线网络，为网络提供整体合一的防护和管理。SMC2504W强调了对无线用户的身份验证及相应权限的管理，提供登录屏，并执行网络访问和用户规则。为了实现更高级别的安全，该新产品提供了内置VPN支持(PPTP/L2TP/IPSec) 来保护与无线客户端之间的通信。

    支持RADIUS,LDAP,Kerberos,802.1x,Windows NT/2000 域或一个内置数据库以控制用户访问网络资源，PPTP/L2TP/IPSec VPN 支持提供了与无线客户端之间的安全通信；在用户被验证之前所有流量都被封闭，验证后流量根据特定用户而分别许可。可根据用户身份、地点和时间为普通用户和临时用户分别设定网络访问规则和使用规则。网络管理员对用户访问网络具有完全控制权，大大增强了网络安全性。用户在不同子网中漫游时不必重复进行身份认证，连接不会中断，当前会话也不会被中止，令用户拥有更大漫游自由。易于操作，配置简便。

    二、编后语

    安全服务器是通过对传输中的数据流进行加密，保证数据即使被窃听也不能被解密；通过电子证书和密钥算法进行身份确认，防止了身份欺诈；通过对数据流的校验，保证数据在传输过程中不被篡改，使得非法进入网上秘密程序无机可乘。随着国内信息化的迅猛发展，电子商务、电子信息服务在政府、企业、商业等各个领域的广泛应用，网络已经成为政府办公、商业贸易的重要工具之一。但由于网络无国界，如何在这种情况下保证上网的政府机关网络安全运转，国家的机密数据和信息不被偷窃篡改已是关及国家安全的重大问题。而对于在网上进行商业贸易的企业来说，要安全有效的进行网络通讯、数据交换，进行电子商务、电子信息等服务，首先就要解决信息交流双方的数据安全问题和数据通讯安全、双方的身份认证问题。以上这些要求，促使我国发展高性能的具有自主知识产权的安全服务器。

    1、容量大、稳定性高的磁盘阵列
    为了能提高服务器的存储容量，现在服务器都开始使用磁盘阵列技术。该技术可以使多台硬磁盘驱动器并行工作，提高了数据传输率；同时利用校验技术来提高系统的可靠性。磁盘阵列有8种RAID类型，为了系统的安全、稳定和快速，往往将系统软件、数据信息及镜像数据分别放在不同的磁盘阵列中，并根据服务器的应用环境配有2到3种以上的RAID类型。

    2、大内存，以提高系统的处理与运算能力
    众所周知，无论是PC机或者服务器，有一个大的内存，对于提高系统的处理能力和运算能力都是很重要的。而安全服务器有足够大的内存为用户使用。

    3、系统的容错能力
    目前主要的容错技术有内存纠错技术ECC（Error Checking and Correction）、服务器自动重启技术（Auto Server Restart）、可擦写ROM技术（ReFlash ROM）和基于主板的管理控制器技术BMC（Baseboard Management Controller）等。已被广泛应用于低端PC服务器的ECC内存纠错技术是一种服务器透明检测及故障纠错技术，它在发现并更正一个内存错误的同时可使坏数据位从RAM上被擦除，从而有效减少无法更正的多位错误的发生。自动重启技术当然是指PC服务器可以在无人管理的情况下完成重新启动过程，以极快的速度恢复系统运行。而集成了BMC芯片的PC服务器则可以通过相关服务器管理软件，在本地或远程监控系统，控制系统的开/关机以及远程对系统进行BIOS升级等。

    4、故障的在线修复技术
    故障的在线修复技术包括故障部件可带电插拔和部件的在线配置技术。可带电插拔的部件如硬盘、内存、外设插卡、电源、风扇。另外，模块化设计也将是今后的发展方向。

    5、服务器集群技术
    集群（Cluster）是两台或更多台计算机（节点）在一个群组内共同工作。与单独工作的计算机相比，集群能够提供更高的可用性和可扩充性。高可用性是通过软件、硬件的冗余来实现的，某一点的故障不会中断服务。集群技术往往运行任务关键性或商业关键性应用程序。采用服务器集群技术的优点是：它可以保证当某台服务器或应用程序发生预计之处的故障时，集群中的另外一合服务器可以在继续自己份内工作的同时，接过发生故障服务器上的任务，从而提高了整个服务器系统的高可靠性和高可用性。

    6、对称处理技术
    对称多处理器技术可以实现在一台服务器上使用多个处理器，使之共享内存和总线结构，操作系统则能将任务对称地分布在每个处理器上，从而极大地提高数据的处理能力，增加数据传输的带宽，同时也使得处理器具有冗余功能。采用了该技术的服务器在一个处理器出错时，另一个处理器将会接管全部工作，保证系统的正常运行。未来，采用该技术的冗余处理器还有望实现热拔插。

    7、安全SSL技术
    SSL安全协议是安全服务器最重要的开发部分。SSL是由Netscape开发出来的一种协议，它让持有证书的浏览器软件和WWW服务器之间构造安全通道，并在其中传输数据。它运行在TCP/IP层之上、应用层之下，在数据通信过程中允许一个支持SSL的 WWW服务器在支持SSL的客户端使协议本身获得信任，使客户端得到服务器的信任，从而在两台机器间建立一个可靠的加密传输连接。目前SSLv2和v3已被工业界认可，并成为IETF的RFC草案。

    8、虚拟专网功能（VPN）
    虚拟专网指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。VPN的功能有通过隧道（TUNNEL）或虚电路实现网络互联，支持用户安全管理以及能够进行网络监控、故障诊断等。

    9、安全服务器网络技术（SSN）
    安全问题主要集中在两点：一是服务器和内部网的数据被入侵和窃取，二是传输过程中的敏感数据被窃取。针对这种情况采用以下方法提高安全防护能力：
　　（1） 访问控制技术
　　用以隔离企业内部网与公共网络、实施二者之间的访问控制、对抗与公共网互联的企业内部网所受到的安全威胁、防止TCP/IP环境下对网络资源的非法使用等。
　　（2） 加密技术
　　一般对网络数据的加密分三个层次：身份验证、数据完整性检验、传输加密。该技术保证在网上传输的数据不被窃听或篡改，给网络提供一个完整、坚固的信息保护体系，保证数据安全，准确、完整地传输。
　　其中RSA密钥长度为1024位，会话密钥长度为128位，达到了1024/128比特的高强度安全通信，大大提高了数据传输的安全性。

    10、控制局域网内部用户访问外部的广域网
    安全服务器提供多种安全防护功能，对端网作全方位的控制，其数据包过滤功能，为各端网提供了不同的服务限制，防止内部人员由于误操作或不友好访问所造成的对整个局域网之冲击。

    11、对允许的客户端活动实现完全透明连接
    通过与原有系统的透明连接，使得在无须修改原有系统的情况下即可提供安全支持。

    12、对不良站点和恶意IP进行屏蔽
　　INTERNET可以为我们提供大量的有用信息，但是也有许多的不良站点和恶意的信息，通过安全服务器上所带的包过滤软件，可以将其等屏蔽掉。这样我们就能更加充分地利用整个网络内部的资源。

    13、通过数字签名和公钥来保证传输中的文件加密和身份认证
    数字签名用来保证信息传输过程中信息的完整，并提供信息发送者的身份认证及不可抵赖性。该技术利用公开密钥算法对于电子信息进行数学变换，通过这一过程，数字签名存在于文档之中，不能被复制。该技术在具体工作时，首先发送方对信息施以数学变换，所得的变换信息与原信息唯一对应；接着在接收方进行逆变换,就能够得到原始信息。只要数学变换方法优良，变换后的信息在传输中就能具有很强的安全性，很难被破译、篡改。