2005年12月30日

www.simamy.com

2005年07月28日


1. 世界知名化妆品品牌中英对照

ANNA SUI 安娜·苏
AVON 雅芳
avene 雅漾
Biotherm 碧欧泉
Borghese 贝佳斯
Chanel 香乃尔
Christian Dior(CD) 迪奥
Clarins 娇韵诗
Clinique 倩碧
DECLEOR 思妍丽
Estee Lauder 雅诗兰黛
Guerlain 娇兰
Helena Rubinstein 郝莲娜…后面不会念 -_-!
H2O+ 水之奥
IPSA IPSA
JUVEN 柔美娜
Kanebo 嘉纳宝
KOSE 高丝
Lancome 兰蔻
L’Oreal 欧莱雅
LG DeBON LG蝶妆
MAC MAC
Max Factor 蜜丝佛陀
MAYBELLINE 美宝莲
Nina Ricci 莲娜丽姿
Olay 玉兰油
Revlon 露华浓
RMK RMK
rutina 若缇娜(KOSE的一个系列产品)
Shiseido 资生堂
Sisley 希思黎
SK II SK II
VICHY 薇姿
yve ssaint laurent(ysl)依夫·圣罗郎
ZA 姬芮

2. 护肤化妆术语

2.1 护肤品术语

护肤: skin care
洗面奶: facial cleanser/face wash(Foaming,milky,cream,Gel)
爽肤水: toner/astringent
紧肤水:firming lotion
柔肤水:toner/smoothing toner (facial mist/facial spray/complexion mist)
护肤霜: moisturizers and creams
保湿:moisturizer
隔离霜,防晒:sun screen/sun block
美白:whitening
露:lotion,
霜:cream
日霜:day cream
晚霜:night cream
眼部GEL: eye gel
面膜: facial mask/masque
眼膜: eye mask
护唇用:Lip care
口红护膜:Lip coat
磨砂膏: facial scrub
去黑头: (deep) pore cleanser/striper pore refining
去死皮: Exfoliating Scrub
润肤露(身体): body lotion/moisturizer
护手霜: hand lotion/moisturizer
沐浴露: body wash

2.2 护肤专业术语

Acne/Spot(青春痘用品)
Active(活用)
After sun(日晒后用品)
Alcohol-free(无酒精)
Anti-(抗、防)
Anti-wrinkle(抗老防皱)
Balancing(平衡酸硷)
Clean-/Purify-(清洁用)
Combination(混合性皮肤)
Dry(干性皮肤)
Essence(精华液)
Facial(脸部用)
Fast/Quick dry(快干)
Firm(紧肤)
Foam(泡沫)
Gentle(温和用)
Hydra-(保湿用)
Long lasting(持久性)
Milk(乳)
Mult-(多元)
Normal(中性皮肤)
Nutritious(滋养)  
Oil-control(抑制油脂)
Oily(油性皮肤)
Pack(剥撕式面膜)
Peeling(敷面剥落式面膜)
Remover(去除、卸妆)
Repair(修护)
Revitalite(活化)
Scrub(磨砂式(去角质))
Sensitive(敏感性皮肤)
Solvent(溶解)
Sun block(防晒用)
Toning lotion(化妆水)
Trentment(修护)
Wash(洗)
Waterproof(防水)

2.3 化妆工具及其他术语

工具: cosmetic applicators/accessories
彩妆: cosmetics
遮瑕膏: concealer
修容饼:Shading powder
粉底: foundation (compact,stick)
粉饼: pressed powder
散粉:loose powder
闪粉:shimmering powder/glitter
眉粉: brow powder
眉笔:brow pencil
眼线液(眼线笔):liquid eye liner, eye liner
眼影: eye shadow
睫毛膏: mascara
唇线笔: lip liner
唇膏: lip color/lipstick(笔状 lip pencil,膏状 lip lipstick,盒装 lip color/lip gloss)
唇彩: lip gloss/lip color
腮红: blush
卸装水: makeup remover
卸装乳: makeup removing lotion
帖在身上的小亮片: body art
指甲: manicure/pedicure
指甲油: nail polish/color/enamel
去甲油:nail polish remover
护甲液:Nail saver
发: hair products/accessories
洗发水: shampoo
护发素: hair conditioner
锔油膏: conditioning hairdressing/hairdressing gel /treatment
摩丝: mousse
发胶: styling gel
染发: hair color
冷烫水: perm/perming formula
卷发器: rollers/perm rollers
粉刷: cosmetic brush, face brush
粉扑: powder puffs
海绵扑: sponge puffs
眉刷: brow brush
睫毛夹: lash curler
眼影刷: eye shadow brush/shadow applicator
口红刷: lip brush
胭脂扫: blush brush
转笔刀: pencil sharpener
电动剃毛器: electric shaver-for women
电动睫毛卷: electric lash curler
描眉卡: brow template
纸巾: facial tissue
吸油纸: oil-Absorbing Sheets
化装棉: cotton pads
棉签: Q-tips
化装包: cosmetic bag

3. 化妆品权威选购指南

日本的化妆品市场非常成熟,日本mm早就练就一身海里捞针的本事,不一定昂贵,不一定是名牌,只用质量最好的,最适合自己的.
  
介绍一个今年的最爱护肤品排行,来自一本读者群在25岁左右的美容杂志,
  排行内大多数产品国内都能见到,希望能给大家做个参考.
  
3.1 卸妆清洁:

  第一位: dhc deep cleansing oil
  第二位: 资生堂tiss deep off oil
  第三位: kose 清肌晶cleansing oil
  第四位: 植村秀 high performance balancing oil
  第五位: clarins娇韵诗 cleansing milk
  
  卸妆油有卓越的卸妆效果,对皮肤的负担也小,所以在卸妆清洁类中卸妆油依旧是主流。
  
  第一位是dhc公司的看家产品。油质很轻,带着淡淡的橄榄香,卸彩妆效果当然不用说,去黑头的效果也不错。而且很容易冲洗干净,我自
己就在用,用她之后不需要再用泡沫再洗,这一点让人相当满意。
  第二位是资生堂的产品,用过之后,感觉毛孔小了些,给人彻底清洁的满足感。而且价格公道,150毫升合人民币65元左右。
  高丝的清肌晶我也在用,说她是油,又有些象哲理,稠稠的,压出两下就能洗干净脸,最满意她的去角栓黑头效果,超赞!唯一缺陷是给
人冲洗不净的感觉,还得接着用洗颜皂或者泡沫。
  第四位植村秀的这个油,销售了40年人气不衰。对皮肤的负担很小,干燥敏感皮肤用起来也很舒服。
  第五位娇韵诗的这个是个洗面奶。柔和,滋润,然而深入清洁。
  
3.2 普通清洁:

  以压倒优势名列榜首的是kose的清肌晶.
第二位:arsoa安露莎的洗颜皂
第三位:多芬香皂.

3.3 化妆水:

  第一位:albion公司essential skin conditioner。
  第二位:蓝蔻的blanc expert。美白精华化妆水
  第三位:kose的雪肌精。

  第一位和第三位,在日本,都可以称得上是化妆水的经典.各种媒体每年做的排行,这两个水一定会在三甲之内.倩碧的三部曲的水,sk-Ⅱ的神
仙水,可谓经典吧,也不一定会蝉联口碑榜呢
  
3.4 乳液:

  第一位:albion公司 exage系列 美白乳液 white w/x milk 1
  第二位:kose cosme decorte micro-perfomance
  第三位:kose 雪肌精乳液.
  第一位的产品不仅快速美白,而且改善肤质.
  第二位是是个高分子保湿乳液,kose的顶级产品之一.第三位的雪肌精乳液就不用多说了.

3.5 美白精华:

  第一位: albion公司exage whitening cellmission 
  第二位: 花王苏菲娜 whitening deep science 深层美白精华
  第三位: 资生堂 whitess 特效柔白精华
  
第一位又是albion公司的产品!!速攻美白,而且有活肤功能,改善肤质. albion中文名字被翻译为傲之美, 觉得实在难称信达雅,古意昂然意境优美的albion被糟蹋成这样,情愿叫她原名.
  
第二位的苏菲娜可以说是日本市场上最畅销的美白精华,使用感清爽,尤其用于去斑很好. 花王苏菲娜广告做得很质朴, 产品不花哨但质量上乘.今年10月就会在国内上市,有几件东西很值得一买.
  
whitess是资生堂的美白王牌,日本美白产品的先驱,效果非凡,价格昂贵.

3.6 预防皮肤老化护理:

  1 保持弹性专用:

  第一位: 资生堂的elixir系列 orange zone shot
  第二位: 克里斯汀・迪奥 model lift 三重紧肤纤容霜

  资生堂的这个dd是个口红一样大小的美容棒,使用很方便,只要在眼部,嘴角轻轻一涂即可,有保湿,收缩毛孔,增加弹性的效果.
  
  迪奥的纤容霜则有除浮肿,收紧皮肤的功能,可以用来瘦脸,一举两得.
  
  预防皮肤老化护理:

  2 综合护理专用:
  第一位: sk-Ⅱ signs treatment 多元面霜
  第二位: HR赫莲娜  collagenist 胶原蛋白弹性精华液
  第三位: 克里斯汀・迪奥no-age essentiel
  sk-Ⅱ的多元面霜我自己就在用,非常好,不油腻,但保湿,用过后,脸润而柔软,非常有弹性.
  第二位的赫莲娜,成分中增加直接关系到皮肤老化的胶原蛋白,来防止皮肤松懈,让皮肤始终保持饱满的健康状态.
  第三位只看名字就足够诱人, no-age! 改善暗淡肤色,平衡水分,减轻细纹的产生.
  
  预防皮肤老化护理:

  3 细纹护理专用:
  第一位: 花王苏菲娜 wrinkle seraty
  第二位: kose cosme decorte  progression dn-a
  第三位: 倩碧clique stop signs
  花王苏菲娜的wrinkle
  seraty确实好用,用过之后,小细纹明显减少.脸显得光滑饱满.而且有同一系列的眼膜.这个眼膜超赞!实在是只要用过一次,就不能离手的dd.
  
  第二位的kose的产品宣传上说,会从dna阶段改善细纹,听起来十分高科技,不愧是kose的产品.
  
  第三位倩碧的这一款已经畅销多年,拥有雷打不动的拥护者.



3.7 问题皮肤的特别护理:
  

3.7.1 防痘产品:
  
第一位: albion公司essential skin conditioner。
  第二位: dhc公司 olive virgin oil 纯橄情焕采精华
  第三位: 日邦药品工业 eadue muge
  
  第一位的化妆水,在这个排行榜中已经二冠,控油,平衡,保湿三项全能,名副其实的最爱。
  
  第二位是个油,用油来对付痘,听起来好象矛盾,然而只要在痘痘冒头的时候,涂上她,保证不会继续恶化,有痘人士的必备药哦.
  dhc公司是个邮购专门的公司,便利店中也有卖,原本走经济实惠路线,唯有这个油是她家的镇家宝,30ml,要4500日元,合300块呢.
  
  第三位是药品公司出的化妆水,对于皮脂分泌紊乱引起的粉刺,干燥粗糙,全能出击。而且价廉物美,160毫升约70人民币,性价比的优等生。
  
  3.7.2 赶走暗淡,重放光泽护理:

  第一位: 雅诗兰黛 idealist 完美焕颜修护精华露
  第二位: clinique倩碧 clarifying lotion 2
  第三位: kanebo佳娜宝  power of clear perfect
  
  第一位的idealist,又岂只限于护理晦暗?增加透明度,收缩毛孔,柔软皮肤,全部有效,涂上之后立现的光滑感,让人用过一次就成为她的俘虏了。
  
  第二位这个水,可以说是倩碧的最基础产品吧,除去老废角质,让其后的乳液更有效深入滋润,使皮肤恢复自然的光泽。

  第三位是个按摩美容液,除去旧角质和黑色素形成的根源,促进血液循环,增加透明度,实现美白。
  
3.7.3 超级干燥皮肤护理:

  第一位: clinique倩碧 moisture surge extra 水磁场特效保湿润肤霜
  第二位: de la mer moisturizing creme
  第三位: ipsa the time reset 生肌再造霜

  倩碧的水磁场排在第一,名至实归,用过的人都赞的dd,不多赘言了。
  
第二位是法国牌子,台湾将其名译为“海洋拉娜”,所到之处尽披靡,引发抢购热潮。彻底保湿滋润,价高神效,完全是高级化妆品的风范。sk-Ⅱ已经贵得让人恨了吧?sk-Ⅱ在她的高价面前都要自惭形愧。

第三位的ipsa,不油不腻然而保湿力极高,通过防止水分蒸发流失让皮肤饱满柔嫩。
  
3.7.4改善毛孔粗大:
  
第一位: 花王 碧柔鼻贴
  第二位: 雅诗兰黛 idealist 完美焕颜修护精华露
  第三位: rohto制药 obagi c10
  
关于第一位的鼻贴,褒贬不一,因为她只是物理作用,并不能真正收缩毛孔,不过,用鼻贴拽出那些脏东西时还是很有快感的,脏东西出来了,黑头形成的可能性变小,所以也不能不给她记功。使用后要记住洗净残余胶质,一定要上爽肤水哦.

  第二位的idealist,不想再多夸了,
  idealist绝对值得推荐给因为毛孔粗大而凸凹不平的皮肤.虽然我个人觉得毛孔粗大的原因非常复杂,任何化妆品也不可能根本改善,但这个idealist涂上之后的滑润柔软感觉,的确让人感动呢.
  
  第三位是个制药厂出品的药用化妆品,里面配合了高浓度vc,在控油、收缩毛孔的同时,改善因皮肤老化而引起的松懈、细纹、暗淡无光、色素沉积.听起来的确很棒,价格也相当不便宜.
  
  3.7.5 T区特护:

  第一位: sk-Ⅱ facial clear solution净脂明肌精华
  第二位: 花王苏菲娜 very very poundly
  第三位: chanel precision t-mat
  
sk-Ⅱ是个为成熟皮肤细心考虑的牌子,这一款净脂明肌精华专门护理大人的T区,强调在控油的同时用水分使皮肤饱满,来填平毛孔带来的凸凹。

苏菲娜 very very poundly是个散粉一样的dd,油光满面的时候,轻轻一扑,立刻亚光。和彩妆的粉不一样的是她有吸附毛孔深处油分的作用,用她补妆最方便。是个用起来很舒服功能粉哦。
  
  油MM还是适合用哲理,chanel的这个就是清爽的哲理,香气也优雅,不光控油好,而且还还有清凉镇静作用,在发红的鼻子周围用一定很好。
  
  
  3.7.6 敏感皮肤特护:

  第一位: 资生堂 d program lotion ad
  第二位: avene thermal spring water 雅漾活泉喷雾

  资生堂的d program是个为敏感肌肤设计的综合系列,从香波浴液到护肤共几十项产品。榜上的这个是化妆水,高保湿,零刺激。
  
第二位干脆就是个纯水,采自法国名地喷泉,杀菌后装瓶,无防腐剂,无添加,对皮肤自然没有负担,尽可以放心使用。

2004年12月23日


有很多视频或游戏发烧友非常喜欢玩电视台淘汰的SONY的二手彩监(虽然某

些大尺寸二手彩监的价格仍然是天文数字,其实这些二手彩监的使用时间大多数

都已超过40,000小时以上了)
一 彩色监视器与彩色电视机
  监视器所要做的是要把原始的信号忠实地重放出来,微小的错误都能够在监

视器看出来。因此,监视器要十分精确.其实广播级监视器与民用的电视机的主体

组成部分基本一样,而档次的划分主要就是基本组成部分中的三大件(荧光粉,

显像管,彩色电路矩阵)。就是这三大部分造成了监视器与民用电视机的差别.
普通民用的电视机(不管怎么变)它所使用的都是P22的荧光粉,这类荧光粉的色

域根本没有完全定义,所以基于此类荧光粉的电视机所表现的色彩会被不同厂家

或不同批色(由红,绿,蓝三基色组成的各种色域)所轻易改变(所以此类荧光

粉根本不可能重现出准确的色彩)。而监视器所采用的荧光粉是严格进行过色域

定义的EBU标准的荧光粉,它们由红,绿,蓝三基色组成的各个色彩区块都进行了

严格的划分和定义(所以能非常准确的重现出真实的色彩)。下面是最关键的显

像管(这个部件决定了目前超过95%的民用电视机制造商都不可能有能力开发和研

制广播级监视器)。就拿SONY来说,其广播级显管和民用级显管有本质的差别。S

ONY在广播级监视器上使用的是HRTrinitron专用显管(其平均点距是0.25mm-0.34

mm)。其本身显管元件的容差小于令人不可思议的1/1000的水平。HR Trinitron

20”以上的显管的成品率非常的低.
  下面是最关键的显像管(这个部件决定了目前超过95%的民用电视机制造商都

不可能有能力开发和研制广播级监视器)。就拿SONY来说,其广播级显管和民用

级显管有本质的差别。SONY在广播级监视器上使用的是HR Trinitron专用显管(

其平均点距是0.25mm-0.34mm)。其本身显管元件的容差小于令人不可思议的1/10

00的水平。HR Trinitron 20”以上的显管的成品率非常的
  最后一部分就是彩色电路矩阵,摄像机拍摄的时候,光信号是被转换成RGB的

电信号。通过摄像机中间的矩阵电路部分,RGB初始转换的电信号,转换为Y/R-Y/

B-Y信号。而监视器也好(民用电视机也罢)它们显像的过程刚好是此反过程来把

图像呈现出来。所以这之间就就存在一个矩阵的转换值,而相应的矩阵电路如果

不和摄像机的矩阵电路一样,原始的信号就不可以忠实地重现出来。所以通常只

有对摄像机的电路具有非常深厚造诣的厂商才能开发出真正意义上能忠实呈现影

像和色彩的广播级监视器。而民用电视机是根本不会考虑矩阵电路是否能与前期

采集信号的摄像机的矩阵电路相一致的。民用电视机对控制电路没有任何精度的

要求(更何况,民用电视机生产商基本上都不具备广播级的采集系统的开发和研

制能力,所以了解前期采集摄像机的矩阵电路根本就无从谈起)。
  所以我们平时在对某某品牌的电视评论的时候,是不存在绝对的色彩上的对

错的(因为民用电视机是没有相应的规范标准和精度要求的,它们呈现的色彩和

影像都存在着失真和偏色,我们只能说自己更喜爱哪个品牌的电视所呈现出的影

像和色彩,但绝对不能武断的下结论某某品牌的电视所呈现出的影像和色彩是真

实可信的。只有当用广播级监视器的输出影像作为参考和对比过后,才可以评判

色彩和影像的真实与否。)
  所以像<HiVi>这类杂志在评奖的时候,一定要用SONY的BVM-D24E1WJ作为图

像的参考和依据,这是必须的,否则影像就没有好坏的衡量尺度了.通常无论在

电视信号的评审时,还是在器材影像好坏的评比中,或者在对正投进行色校时,

SONY的BVM都被视为唯一的参考标准.
  三大日系品牌,各有优缺点,SONY的性价比相对较低,但远没到许多网友所

描述的性价比狂低的程度,客观来讲,Triniton显像管的优势不言而喻,你可以

觉得它值这个价,也可以认为它不值,纯属个人喜好,我的观点是,Triniton的

优点在显示器和专业彩监上领域比较突出,在电视机领域,优势没有那么明显,

大多数人喜爱它的,是颜色的表现。像颜色这样的指标,这样说可能比较主观,

不过我也觉得,国产电视,在颜色方面比日本和欧洲的存在距离,而SONY的似乎

看上去更加自然一些。松下和东芝各有所长,我觉得Giga要比东芝(如700G VS

AF9UC)的好,但相差不大,好在哪个地方,也说不清楚.也可能与东芝比较晚进

入国内市场,东芝比较突出的是价格在三者之中最低,就是说性价比高吧,作为

全球的显像管大供应商,它的质量还是不错的。
  彩监本身是电视台使用的器材,因此它主要是用来工作,而非娱乐的。彩监

者,“监视并调校图象信号也“因图象信号在摄录制作.编辑.播出的每一个环节

都会掺入干扰,而且逐级扩大,所以越是初级的环节信号越纯正。所以电视台里

采用高级器材,才能保证最终的收看者接受到满意的图象。电视台的彩监需要有

最好的图象表现和丰富的调校功能,才能将原始信号一览无余。而结构上彩监也

电视并无差别,只是用料和工艺都高一个档次罢了。(用料和工艺是试金石,好

货烂货一试便知)进口的德国补品级电容能和乡镇企业产,小商店里买的一回事

吗?多层的电路板,波峰焊贴片工艺,能和单层板,手工焊,一个个元件立在板

上的东西划等号吗 ?
我们生活的这个世界很大,除了被少数人奉若神明的SONY单枪三束/栅条式荫罩

柱面,其他品牌的产品电视台也多有使用,最典型的要数JVC和Panasonic!
说到彩监,它使用的荧光粉都是高档货,色彩空间范围大,寿命也长。至于电阻.

电感.电容.集成电路也都很高档,甚至端子也还要镀一镀金,地磁校正也不可缺

少!爱功能上,RGB.梯形.枕形.平行四边形.鱼尾纹·····调节多的数不过来

。JVC在HI-END型号上还设有”纯白电路“专门对白色进行独立调节!
这些专业器材最棒了。象JVC的监视器,根本没听说过,可CCTV确实在用(白色铁

壳带梢,酷的东倒西歪),SONY民用监比较少见。
KX监从80年代后半就有了,那时工厂在Trinitron左面有红,绿,蓝三个椭圆,没

有S端子,图象校正是机械式的,至今仍有现役,往后是90年代前后的KX-XXHV1S

,增加了S-VIDEO,96年后的PVM级半专业进入16:9时代,无论是那一代,外形都

为方盒子,所有端子一律BNC平衡式。
监视器与电视相比没有 解码电路,也没有音频接受系统,与电脑显示器相比,分

辨率,刷新率都不在一个档次上,却买出天价除了用料和工艺外,恐怕狭小的市

场也是一个因素。
就象转制器,我们话三十元可以买一个,电视台的一个带运动补偿的广播级制装

要25万美圆,因为那玩意可以看N制节目,什么压缩,变慢都没有了,就如同P制

电视看P制节目一样。CCTV转载国外新闻就用它,可见什么发烧,半专业与真正的

专业一比统统变成0!!!!!!

二 彩色监示器与彩色显示器
电脑显示器与监视器对视频率而言,意义完全不同,显示器使用"短余辉管"而

监视器使用的是"中余辉管"(二者采用的荧光粉,和显管对色彩的识别能力有

本质的差别).一台高档的监视器仅其本身使用的荧光粉就足够卖数台高端显示

器了.显示器本身主要是为"静像"服务的,其主要是用来显示图像和文字及特

殊应用环境下的坐标(严格来说显示器并不擅长表现移动的影像(请注意图像与

真正意义上影像的区别)).而监视器是专门为动态影像设计的,它并不强调显

示器的点距或垂直刷新率等概念,而是苛刻的强调对色彩的识别和辨识能力(要

求对影像的表现绝对中性,自然,准确,广播级彩监不允许对影像和色彩有丝毫

失真和偏色).
  无论是医药还是军事或者航空的交通管制,它们所使用的无论怎么变,还是显

示器(不可能脱胎换骨变成监视器).既然是显示器又怎么能和监视器相提并论

(且不论应用领域完全不同,仅从价格上就完全没有可比性,一台最便宜SONY 9″

监视器也要人民币8000元以上,而目前很多高端的21″显示器也要不了8000元.)

而通常14″以上的SONY BVM系列彩监的价格都在5000美元以上(超过20″BVM系列则

没有低于$10,000美元的,最昂贵的在$40,000美元以上).况且目前世界上最好

的显示器仍然是SONY的DDM系列(而专业图形工作站使用最多的依旧是SONY的GDM

系列.而平时我们见到的SONY的CPD彩显系列只不过是SONY最底层的纯民用显示器

罢了.别见了CPD-G520就以为见到了SONY的高端显示器)
  通常显示器虽然拥有更小的点距或更高的垂直刷新率(但显示器所采用的"短

余辉管"对色彩的识别能力只相当于监视器"中余辉管"1/5左右).监视器在色

彩的还原能力,影像的自然真实度方面是显示器根本无法望其项背的.(目前无

论是LCD或者是PDP它们都能在普通的民用电视机或者显示器领域内与CRT平起平坐

,甚至将逐渐替代CRT,但由于目前它们的先天缺陷在高端的对图像和影像要求比

较苛刻的领域内却仍然是CRT一支独绣.广播级监视器是目前LCD和PDP唯一无法进

入的领域.而大型的图形工作站也很少使用LCD显示器.在这些领域它们还根本无

法与CRT相提并论).所以很多的权威视频专家早已明言,未来真正能完全替代CR

T地位的应该是采用有机EL(比如OLED)面版的显示器和监视器(LCD只应该是

一种过渡技术).
  另外无论是医药还是军事对显示设备的影像和画质并没有太苛刻的要求,在这

些领域的应用更多的是讲究环保,耐用性等等(而且这些领域使用的显示器也谈

不上有多昂贵,目前EIZO的T系列是军事领域和医药用最广泛的显示器,而它的F

系列则被广泛用在工业零件设计上,目前国内都可以通过代理买到.价格15,000

到25,000之间(主要是21″型号)).
  对色彩,影像效果要求最严格和最为苛刻的永远都是广播级监视器

2004年12月08日

强化 Windows Server 2003 IIS 服务器


更新日期: 2004年03月08日


本页内容






































本模块内容 本模块内容
目标 目标
适用范围 适用范围
如何使用本模块 如何使用本模块
概述 概述
审核策略设置 审核策略设置
用户权限分配 用户权限分配
安全选项 安全选项
事件日志设置 事件日志设置
系统服务 系统服务
其他安全设置 其他安全设置
小结 小结

本模块内容


本模块说明 Internet 信息服务 (IIS) 服务的专用安全模板的配置。该模块假设已将成员服务器基准应用于该服务器。此外,它还将考虑除安全模板定义的那些配置以外必须应用的额外安全配置设置。需要使用这些附加设置创建完全强化的 IIS 服务器。


该模块说明 IIS 在 Microsoft® Windows Server™ 2003 操作系统上安装后的默认配置。还说明可用的 IIS 功能,并提供使用建议。


返回页首返回页首

目标


使用本模块可以:










强化 IIS 服务器。


研究 IIS 服务器适合的安全配置。


返回页首返回页首

适用范围


本模块适用于下列产品和技术:










Windows Server 2003


IIS 6.0


返回页首返回页首

如何使用本模块


使用本模块可以了解应该应用于 Windows Server 2003 IIS 服务器的安全设置,并强化此类服务器。该模块结合使用角色特定安全模板和基准安全模板。这些安全模板来自“Windows Server 2003 Security Guide”,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)


为了更好地理解本模块的内容,请:













阅读模块 Windows 2003 安全性简介。该模块说明“Windows Server 2003 安全指南”的用途和内容。


阅读模块创建 Windows Server 2003 服务器的成员服务器基准。本模块演示如何使用组织单元层次结构和组策略将成员服务器基准应用到多个服务器。


使用附带的“如何”文章。使用本模块引用的以下指导文章:







如何识别 Windows Server 2003 中的 IIS 6.0 组件。


返回页首返回页首

概述


本模块集中说明在您的环境中强化 IIS 服务器所需的指导和步骤。为了向组织的公司 Intranet 中的 Web 服务器和应用程序提供全面的安全保护,应该保护每个 Microsoft Internet 信息服务 (IIS) 服务器以及在这些服务器运行的每个 Web 站点和应用程序不受可与它们连接的客户端计算机的侵害。此外,还应该保护在这些所有 IIS 服务器上运行的 Web 站点和应用程序不受在公司 Intranet 中其他 IIS 服务器上运行的 Web 站点和应用程序的侵害。


为了在抵制恶意用户和攻击者的过程中占据主动,默认情况下,IIS 不安装在 Windows Server 2003 系列产品上。IIS 最初以高度安全的“锁定”模式中安装。例如,默认情况下,IIS 最初仅提供静态内容。诸如 Active Server Pages (ASP)、ASP.NET、服务器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 发布及 Microsoft FrontPage® Server Extensions 等功能仅在管理员启用它们后才起作用。可以通过 Internet 信息服务管理器(IIS 管理器)中的 Web 服务扩展节点启用这些功能和服务。


IIS 管理器具有图形化的用户界面 (GUI),可用来方便地对 IIS 进行管理。它包括用于文件和目录管理的资源,能够对应用程序池进行配置,并且具有安全性、性能、以及可靠性方面的诸多特性。


本章接下来的部分详细介绍了各种安全性强化设置,执行这些设置可增强公司 Intranet 中存放 HTML 内容的 IIS 服务器的安全性。但是,为确保 IIS 服务器始终处于安全状态,还应执行安全监控、检测和响应等步骤。


返回页首返回页首

审核策略设置


在本指南定义的三种环境下,IIS 服务器的审核策略设置通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相关的安全审核信息都记录在所有的 IIS 服务器上。


返回页首返回页首

用户权限分配


本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中阐述 MSBP 与 Incremental IIS Group Policy(增量式 IIS 组策略)之间的差别。


拒绝通过网络访问该计算机


表 1:设置














成员服务器默认值 旧客户端 企业客户端 高安全性

SUPPORT_388945a0


匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户


匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户


匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户



注意:安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (SID)。因此,必须手动添加它们。


“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。。这些设置将拒绝大量的网络协议,包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。


在模块创建 Windows Server 2003 服务器的成员服务器基准中,本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。


返回页首返回页首

安全选项


在本指南所的定义的三种环境中,IIS 服务器的安全选项通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。


返回页首返回页首

事件日志设置


在本指南中定义的三种环境中,IIS 服务器的事件日志设置通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在企业 IIS 服务器中统一配置正确的事件日志设置。


返回页首返回页首

系统服务


为了让 IIS 向 Windows Server 2003 中添加 Web 服务器功能,则必须启用以下三种服务。增量式 IIS 组策略确保了这些服务被配置为自动启动。


注意:MSBP 禁用了几种其它的 IIS 相关服务。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服务。如果想要在本指南所定义的任何一种环境下的 IIS 服务器上启用这些服务,必须更改增量式 IIS 组策略。


HTTP SSL


表 2:设置
















服务名 成员服务器默认值 旧客户端 企业客户端 高安全性

HTTPFilter


手动


自动


自动


自动



HTTP SSL 服务可让 IIS 执行安全套接字层 (SSL) 功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在万维网上进行安全的电子金融事务成为可能,当然也可用它来实现其它 Internet 服务。


如果 HTTP SSL 服务停止,IIS 将无法执行 SSL 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,针对 IIS 服务器的需要将“HTTP SSL”设置配置为“自动”。


IIS Admin 服务


表 3:设置
















服务名 成员服务器默认值 旧客户端 企业客户端 高安全性

IISADMIN


没有安装


自动


自动


自动



“IIS Admin 服务”允许对 IIS 组件进行管理,例如文件传输协议 (FTP)、应用程序池、Web 站点、Web 服务扩展,以及网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 的虚拟服务器。


“IIS Admin 服务”必须运行,以便让 IIS 服务器能够提供 Web、FTP、NNTP 以及 SMTP 服务。如果禁用此服务,则无法配置 IIS,并且对站点服务的请求将不会成功。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器的需要将“IIS Admin 服务”设置配置为“自动”。


万维网发布服务


表 4:设置
















服务名 成员服务器默认值 旧客户端 企业客户端 高安全性

W3SVC


没有安装


自动


自动


自动



“万维网发布服务”通过 IIS 管理单元提供网络连通性和网站管理。


“万维网发布服务”必须运行,以便让 IIS 服务器通过 IIS 管理器提供网络连通性和管理。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器的需要将“万维网发布服务”设置配置为“自动”。


返回页首返回页首

其他安全设置


安装 Windows Server 2003 和 IIS 之后,默认情况下,IIS 仅传输静态 Web 内容。当 Web 站点和应用程序包含动态内容,或者需要一个或多个附加 IIS 组件时,每个附加 IIS 功能必须逐一单独启用。但是,在该过程中必须谨慎,以确保在您的环境中将每个 IIS 服务器的受攻击面降至最小。如果您的组织的 Web 站点只包含静态内容而无需其它任何 IIS 组件,这时,默认的 IIS 配置足以将您的环境中的 IIS 服务器的受攻击面降至最小。


通过 MSBP 应用的安全设置为 IIS 服务器提供大量的增强安全性。不过,还是应该考虑一些其他的注意事项和步骤。这些步骤不能通过组策略完成,而应该在所有的 IIS 服务器上手动执行。


仅安装必要的 IIS 组件


除“万维网发布服务”之外,IIS6.0 还包括其它的组件和服务,例如 FTP 和 SMTP 服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动 Windows 组件向导应用程序服务器,以安装和启用 IIS 组件和服务。安装 IIS 之后,必须启用 Web 站点和应用程序所需的所有必要的 IIS 组件和服务。


您应该仅启用 Web 站点和应用程序所需的必要 IIS 组件和服务。启用不必要的组件和服务会增加 IIS 服务器的受攻击面。


有关 IIS 组件位置和建议设置的指导,请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。


仅启用必要的 Web 服务扩展


许多运行于 IIS 服务器上的网站和应用程序具有超出静态页面范畴的扩展功能,包括生成动态内容的能力。通过 IIS 服务器提供的功能来产生或扩展的任何动态内容,都是通过使用 Web 服务扩展来实现的。


IIS 6.0 中增强的安全功能允许用户单独启用或禁用 Web 服务扩展。在一次新的安装之后,IIS 服务器将只传输静态内容。可通过 IIS 管理器中的 Web 服务扩展节点来启用动态内容功能。这些扩展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。


启用所有的 Web 服务扩展可确保与现有应用软件的最大可能的兼容性。但是,这可能带来一些安全性风险,因为当所有的扩展被启用时,同时也启用了您的环境下 IIS 服务器所不需要的功能,这样 IIS 的受攻击面就会增加。


为了尽可能减少 IIS 服务器的受攻击面,在本指南所定义的三种环境下,只应该在 IIS 服务器上启用必要的的 Web 服务扩展。


仅启用在您的 IIS 服务器环境下运行的站点和应用软件所必需的 Web 服务扩展,通过最大限度精简服务器的功能,可以减少每个 IIS 服务器的受攻击面,从而增强了安全性。


有关 Web 服务扩展的指导,请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。


在专用磁盘卷中放置内容


IIS 会将默认 Web 站点的文件存储到 <systemroot>\inetpub\wwwroot,其中 <systemroot> 是安装 Windows Server 2003 操作系统的驱动器。


在本指南所定义的三种环境下,应该将构成 Web 站点和应用程序的所有文件和文件夹放置到 IIS 服务器的专用磁盘卷中。将这些文件和文件夹放置到 IIS 服务器的一个专用磁盘卷 — 不包含操作系统的磁盘卷 — 有助于防止目录遍历攻击。目录遍历攻击是指攻击者对位于 IIS 服务器目录结构之外的一个文件发送请求。


例如,cmd.exe 位于于 <systemroot>\System32 文件夹中。攻击者可能请求访问以下位置:


..\..\Windows\system\cmd.exe,企图调用命令提示


如果 Web 站点内容位于一个单独的磁盘卷上,这种类型的目录遍历攻击将无法成功,原因有二。首先,cmd.exe 的权限已经作为 Windows Server 2003 基础结构的一部分进行了重设,从而将对它的访问限制在很有限的用户群中。其次,完成该更改之后,cmd.exe 不再与 Web 根目录处于同一磁盘卷,而目前没有任何已知的方法可通过使用这种攻击来访问位于不同驱动器上的命令。


除了安全性考虑之外,将站点和应用程序文件和文件夹放置在一个专用的磁盘卷中使诸如备份和恢复这样的管理任务变得更加容易。而且,将这种类型的内容放在一个分开的专用物理驱动器中有助于减少系统分区中的磁盘争用现象,并且改善磁盘的整体访问性能。


设置 NTFS 权限


Windows Server 2003 将检查 NTFS 文件系统的权限,以确定用户或进程对特定文件或文件夹具有的访问权限类型。


您应该分配相应的 NTFS 权限,以便在本指南定义的三种环境下,允许或拒绝特定用户对 IIS 服务器上站点的访问。


NTFS 访问权限应当与 Web 访问权限协同使用,而不是取代 Web 权限。NTFS 权限只影响那些已经被允许或被拒绝访问站点和应用程序内容的帐户。Web 权限则影响所有访问站点或应用程序的用户。如果站点权限与 NTFS 权限在某个文件夹或目录上发生冲突,限制性更强的设置将生效。


对于不允许匿名访问的站点和应用程序,匿名帐户访问将被明确拒绝。当没有经过身份验证的用户访问系统资源时,就是匿名访问。匿名帐户包括内置“Guest”帐户、“Guests”组和“IIS Anonymous”帐户。此外,除了 IIS 管理员之外,对其它任何用户都应该清除所有的写权限。


下表提供了关于 NTFS 权限的一些建议,这些权限将应用于 IIS 服务器上不同的文件类型。不同的文件类型可以被组织在不同的文件夹中,以简化应用 NTFS 权限的过程。


表 5:NTFS 权限



















文件类型 建议的 NTFS 权限

CGI 文件(.exe、.dll、.cmd、.pl)


Everyone(执行)
Administrators(完全控制)
System(完全控制)


脚本文件 (.asp)


Everyone(执行)
Administrators(完全控制)
System(完全控制)


包含文件(.inc、.shtm、.shtml)


Everyone(执行)
Administrators(完全控制)
System(完全控制)


静态内容(.txt、.gif、.jpg、.htm、.html)


Everyone(只读)
Administrators(完全控制)
System(完全控制)



设置 IIS Web 站点权限


IIS 将检查 Web 站点权限,以确定在 Web 站点中可能发生的操作类型,例如允许脚本源访问或允许文件夹浏览。您应该为 Web 站点分配权限,以便进一步保证 IIS 服务器上的站点在本指南定义的三种环境下的安全性。


Web 站点权限可与 NTFS 权限结合使用。它们可配置给特定的站点、文件夹和文件。与 NTFS 权限不同,Web 站点权限影响试图访问 IIS 服务器站点的每个人。Web 站点权限可以通过使用 IIS 管理器管理单元得到应用。


下表列举了 IIS 6.0 支持的 Web 站点权限,并且提供了简要描述,解释如何为 Web 站点分配给定的权限。


表 6:IIS 6.0 Web 站点权限




























Web 站点权限: 授予的权限:


用户可查看目录或文件的内容和属性。在默认情况下,该权限为选中状态。



用户可更改目录或文件的内容和属性。


脚本源访问


用户可以访问源文件。如果启用“读”权限,则可以读取源文件;如果启用“写”权限,则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限,也不启用“写”权限,则此选项将不可用。
要点:启用“脚本源访问”时,用户可以查看敏感信息,例如用户名和密码。他们还可以更改 IIS 服务器上运行的源代码,从而严重影响服务器的安全性和性能。


目录浏览


用户可以查看文件列表和集合。


日志访问


每次访问 Web 站点都会创建日志条目。


索引此资源


允许使用索引服务索引资源。这样便可以对资源执行搜索。


执行


以下选项确定用户运行脚本的级别:
“无” — 不允许在服务器上运行脚本和可执行文件。
“仅限于脚本” — 仅允许在服务器上运行脚本。
“脚本和可执行文件” — 允许在服务器上运行脚本和可执行文件。



配置 IIS 日志


本指南建议在指南定义的三种环境下均启用 IIS 服务器上的 IIS 日志。


可以为每个站点或应用程序创建单独的日志。IIS 可以记录 Microsoft Windows® 操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS 日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS 日志可被用来了解那些内容最受欢迎,确定信息瓶颈,或者用作协助攻击事件调查的资源。


IIS 管理器管理单元可以用来配置日志文件格式、日志计划以及将被记录的确切信息。为限制日志的大小,应当对所记录信息的内容进行仔细规划。


当 IIS 日志被启用时,IIS 使用 W3C 扩展日志文件格式来创建日常操作记录,并存储到在 IIS 管理器中为站点指定的目录中。为改善服务器性能,日志文件应当存储到系统卷以外的条带集或条带集/镜像磁盘卷上。


而且,您还可以使用完整的全局命名约定 (UNC) 路径将日志文件写到网络上以便远程共享。远程日志让管理员能够建立集中的日志文件存储和备份。但是,通过网络对日志文件进行写操作可能会对服务器性能带来负面影响。


IIS 日志可以配置为使用其它几种 ASCII 或开放数据库连接 (ODBC) 文件格式。ODBC 日志让 IIS 能够将活动信息存储到 SQL 数据库中。但是,应该注意,当启用 ODBC 日志时,IIS 将禁用内核模式缓存。因此,执行 ODBC 日志会降低服务器的总体性能。


存放数以百计的站点的 IIS 服务器通过启用集中的二进制日志来改善日志性能。集中化的二进制日志允许 IIS 服务器将所有 Web 站点的活动信息写到一个日志文件上。这样,通过减少需要逐一存储和分析的日志文件的数量,大大地提高了 IIS 日志记录过程的可管理性和可伸缩性。有关集中化二进制日志的更多信息,请参阅 Microsoft TechNet 主题“Centralized Binary Logging”,其网址为: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp(英文)


当 IIS 日志按默认设置存储在 IIS 服务器中时,只有服务器管理员有权访问它们。如果日志文件的文件夹或文件的所有者不在“Local Administrators”组中时,HTTP.sys — IIS 6.0 的内核模式驱动程序 — 将向 NT 事件日志发布一个错误。该错误指出文件夹或文件的所有者不在“Local Administrators”组中,并且这个站点的日志将暂时失效,直到其所有者被添加到“Local Administrators”组中,或者现有的文件夹或文件被删除。


向用户权限分配手动添加唯一的安全组


大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是,有些帐户和安全组不能被包括在模板内,因为它们的安全标识符 (SID) 对于单个的 Windows 2003 域是特定的。下面给出了必须手动配置的用户权限分配。


警告:下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限,您必须在本地登录以更正该错误。


此外,根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议,内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时,请确信指定的是经过重命名的账户。


表 7:手动添加的用户权限分配














成员服务器默认值 旧客户端 企业客户端 高安全性

拒绝通过网络访问该计算机


内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户


内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户


内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户



警告:所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。


保护众所周知帐户的安全


Windows Server 2003 具备大量的内置用户帐户,这些帐户不能删除,但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。


默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。


许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称,可以方便您的操作人员监视对该帐户的攻击企图。







要保护 IIS 服务器中众所周知帐户的安全,请执行以下步骤:
















1.


重命名 Administrator 和 Guest 帐户,并且将每个域和服务器上的密码更改为长而复杂的值。


2.


在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问权限,就能够访问所有其它具有相同帐户名和密码的服务器。


3.


更改默认的帐户描述,以防止帐户被轻易识别。


4.


将这些更改记录到一个安全的位置。


注意:可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置,因为您必须为您的环境选择一个唯一的名字。“帐户:重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。


保护服务帐户的安全


除非绝对必须,否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。


用 IPSec 过滤器阻断端口


Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。


有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。


下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。


表 8:IIS 服务器 IPSec 网络通信图












































































服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像

one point Client


所有


所有


所有


ME


MOM 服务器


允许



Terminal Services


TCP


所有


3389


所有


ME


允许



Domain Member


所有


所有


所有


ME


域控制器


允许



Domain Member


所有


所有


所有


ME


域控制器 2


允许



HTTP Server


TCP


所有


80


所有


ME


允许



HTTPS Server


TCP


所有


443


所有


ME


允许



All Inbound Traffic


所有


所有


所有


所有


ME


禁止




在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。


上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址,这些端口已经足够。如果需要提供更多的功能,则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理,但是这可能大大降低服务器的安全性。


由于在域成员和域控制器之间有大量的交互,尤其是 RPC 和身份验证通信,在 IIS 服务器和全部域控制器之间,您应该允许所有的通信。通信还可以被进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理 IPSec 策略非常困难。您应该为每一个将与 IIS 服务器进行交互的域控制器创建类似的规则。为了提高 IIS 服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。


正如上表所示,如果环境中运行了 Microsoft 操作管理器 (MOM),那么在执行 IPSec 过滤器的服务器和 MOM 服务器之间,应该允许传输所有的网络通信。这是必须的,因为在 MOM 服务器和 OnePoint 客户端(向 MOM 控制台提供报告的客户端应用程序)之间存在大量的交互过程。其它管理软件可能也具有类似的需求。如果需要更高级别的安全性,则可以配置 OnePoint 客户端的过滤操作,从而协调 IPSec 和 MOM 服务器。


该 IPSec 策略将有效地阻止通过任意一个高端口的通信,因此它不允许远程过程调用 (RPC) 通信。这可能会使得服务器的管理非常困难。由于已经关闭了许多端口,您可以启用终端服务。这样一来,管理员便可以执行远程管理。


上面的网络通信图假设环境中包含启用了 Active Directory 的 DNS 服务器。如果使用独立的 DNS 服务器,则可能需要其他规则。


IPSec 策略的执行应该不会对服务器的性能有明显影响。但是,在执行这些过滤器之前必须进行测试,以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其它应用程序。


本指南包括一个 .cmd 文件,它简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建适当的过滤器。必须修改此 .cmd 文件,以使其包含您所在环境中域控制器的 IP 地址。脚本中包含两个占位符,用于要添加的两个域控制器。如需要,可以添加其他的域控制器。这些域控制器的 IP 地址列表应当是最新的。


如果环境中有 MOM,应当在脚本中指定相应的 MOM 服务器 IP 地址。此脚本不会创建永久的过滤器。因此,直到 IPSec 策略代理启动时,服务器才会得到保护。有关构建永久的过滤器或创建高级 IPSec 过滤器脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,此脚本被配置为不分发其创建的 IPSec 策略。IP 安全性策略管理单元可被用来检查所创建的 IPSec 过滤器,并且分发 IPSec 策略以便让其生效。


返回页首返回页首

小结


本章解释了在本指南指定的三种环境下,为保护 IIS 服务器的安全所应采取的强化设置。我们讨论的大多数设置通过组策略进行配置和应用。可以将能够为 MSBP 提供有益补充的组策略对象 (GPO) 链接到包含 IIS 服务器的相应组织单位 (OU),以便为这些服务器提供的服务赋予更多的安全性。


本章讨论的有些设置不能通过组策略得到应用。对于这种情况,本章介绍了有关手动配置这些设置的详细信息。此外,我们还详细介绍了创建和应用能够控制 IIS 服务器间网络通信类型的 IPSec 过滤器的具体过程。


更多信息


以下提供了与 Windows Server 2003 环境下的 IIS 服务器密切相关的最新信息资源。


有关此主题的详细信息,请参阅“Enable Logging”,其网址为: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_enablelogging.asp(英文)


有关记录站点活动的信息,请参阅“Logging Site Activity”,其网址为: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_aboutlogging.asp(英文)


有关扩展日志的信息,请参阅“Customizing W3C Extended Logging”,其网址为: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_customw3c.asp(英文)


有关集中化二进制日志的信息,请参阅“Centralized Binary Logging”,其网址为: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp(英文)


有关远程日志的信息,请参阅“Remote Logging”,其网址为: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_remote.asp(英文)


有关生成、查看或了解安全日志(审计)的信息,请访问安全性方面的 Microsoft TechNet 站点: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/sec_security.asp(英文)


有关 IIS 6.0 的其他信息,请访问 TechNet: www.microsoft.com/iis(英文)


有关 IPSec 过滤操作的详细信息,请参阅“How To:Use IPSec IP Filter Lists in Windows 2000”,其网址为: http://support.microsoft.com/default.aspx?scid=313190(英文)







返回页首返回页首

2004年12月02日

发布日期: 2004 年 1 月


适用范围:
Microsoft BizTalk Server 2004


简介


要想用一种动态的和高性价比的方式实现业务流程的自动化和维护这种业务流程,将是一个十分具有挑战性的工作。即使对那些拥有最高水平技术的组织,亦是如此。然而幸运的是,一种崭新的应用程序开发和集成机制已应运而生,它可以有效解决这些问题。这就是“面向服务的体系结构”(Service Oriented Architecture,SOA)。 (该方法基于XML和Web服务技术并已集成于业务流程管理和企业应用集成(BPM/EAI)平台)


SOA 模型的出现,使得应用程序的概念被重新定义。应用程序不再是一种非透明、程式化的实现机制。相反,它是一个由通讯、路由、处理和转换事件构成的和谐体系,可以处理丰富(XML)文档公开声明的属性。


工作流程、集成应用或者业务伙伴的交流都是SOA 模型的特定类,仅通过有关参与者的特性、执行位置以及参与者的特有安全需求来区分。融合了 SOA 模型后,BPM/EAI 平台将变得如虎添翼,它们可以在开发和操作方面体现诸多优点:


· 它们可以改善严重的低效开发现象,并且为实现有效的生命周期维护减少障碍。


· 它们有利于在高度分散的基础上对组件实现灵活的“松散耦合”。


· 它们允许在不影响流程的情况下添加、删除和重新配置任何流程操作。


· 它们从根本上为长期运行的异步事务提供支持,并且这些事务可以灵活地缩放。


· 它们为应用程序的良好管理和监视提供了保证,因为进程操作、组件和函数都是公开的,并且都能自我描述。


· 借助它们,可以对应用程序组件和整个应用程序进行扩展或者重新利用。


· 它们可以利用 Internet 网络基础设施和 World Wide Web 协议标准。


使用基于 SOA 模型的开发环境需要对应用程序的开发概念和思想进行重新定位。在本文中,我们介绍了最基本的 SOA 概念和开发思想。随后从两个具体的环节上探讨了 Microsoft® EAI 开发环境,即 BizTalk® Server 2004,是如何实现这些概念和思想的。这两个环节是: 所创建应用程序的设计、行为和功能;以及开发过程本身。本文最后介绍了同 Visual Studio® .NET 集成在一起的 BizTalk Server 开发工具是如何在 .NET Framework 架构和 SOA 模型之间搭起一座桥梁的。


BizTalk Server – SOA 实现


如果您希望获得上述的开发和操作优点,则在 BizTalk Server 中实现 SOA 的价值也就不言而喻了。首先,我们可以审视一下开发过程的低效现象以及 BizTalk Server 解决它们的具体方式。


传统的编程思想不足以将应用程序或业务流程的概念模型(例如:设计规范)转换成可执行的形式(即程序)。尽管开发注释系统(如 UML)允许业务分析人员使用结构化方法编写功能规范和使用范畴,但编程人员仍需要对这些文档进行分析,并将其意图转换为不同的语言和结构。这种手工化并且需要高度分析的转换过程有着非常明显的不足之处,这就使得效率低下,尤其是需要反复进行修订。一旦将业务流程精确地转换为程序代码,另一个问题通常又会凸现出来: 同代码所模拟的业务流程相比,代码的行为更加缺乏可预见性。这种偏差来源于程序化代码实现方法的本质。程序化代码同机器执行模型紧密联系在一起,在它对业务流程的不透明体现中封装了多个级别的相互联系、相互依存的功能。其结果便是:程序化代码非常容易导致程序错误,而这些错误往往很难和需要大量的时间来进行识别和修正。这样就不难理解,为何在软件稳定运行后就不鼓励进行后续修改。通常的情况是,即使到了非修改业务流程不可的时候,也会容忍这些僵化的代码所存在的种种限制。


BPM/EAI 开发环境允许业务分析人员和编程人员在一个融合并关联了两者各自任务的可视化流程模型上使用公共的工作区进行协作。通过使用拖放式的图形用户界面对代表消息、消息事件、业务规则和逻辑、信息流、活动、操作、转换以及子流程的高级对象进行协调安排,编程人员和分析人员可以协同创建应用程序。而模型自身会直接针对流程生成可执行的运行时程序集。这种机制将传统方法所固有的模糊性和大量修订过程减少到最低程度,从而大幅度提高开发效率和灵活性。尤其是,对于那些极度复杂的函数,比如需要两步式的事务提交过程、回滚 ACID 事务支持以及嵌套和并行操作,它都将其实现机制内置于对象的函数中,因此不再需要编写复杂的程序语句来实现这些功能。


为了更好地说明 SOA 开发机制,下述步骤介绍了在遵循该模型的 BizTalk Server 中创建应用程序的过程:


1. 创建在应用程序/流程中涉及的文档及其各自的架构定义。


这将在“架构编辑器”(BizTalk Schema Editor)中完成。“架构编辑器”是一个 BizTalk Server 模块,可从 Visual Studio .NET 内访问。通过架构编辑器,您可以定义结构和语义方面的元数据。对从该架构创建的文档(即一个“实例”),这些元数据“声明”了其内容的含义、功能和处理要求。当 BizTalk Server 收到一个文档实例时,同该文档关联的流程会根据该文档的架构定义来检查其内容,以确保该文档的形式和内容都符合架构以及符合应用程序的处理要求。BizTalk Server 架构编辑器可以为架构创建符合 W3C 标准的 XSD 文档以及可视化的树状节点参考模型。以下是架构编辑器的示例。该架构编辑器在左窗格中显示了架构的树状节点模型,在右窗格中显示了文档架构的 XML 表示形式。



2.创建和定义面向任何文档交换操作的转换要求。


如果应用程序是由 XML 对象之间的松散交互组成的,文档转换将是一个在功能上向外界暴露的映射子过程。在 BizTalk Server 中,这种子过程将通过 BizTalk Server 映射器来创建。通过转换映射,可对任何源信息(基于其架构表示)的内容和结构进行处理,然后转换为任何目标文档格式(比如报告)。通过使用与 BizTalk 架构编辑器一样的架构树状节点模型,BizTalk Server 映射器可以用可视化的方式显示源信息和目标信息的格式。信息可以从源架构的一个或多个节点映射到目标架构的一个或多个节点,方法是用线条连接这些节点。Functoid 提供了补充性(额外的)的转换、处理和解析功能(循环、累加、日期和时间、递归,等等)。通过(图形化实现)将一个或多个源节点连接到某个 functoid,然后将该 functoid 连接到一个或多个目标节点。



每个转换映射(以及所涉及的源和目标架构)都将变成 BizTalk Server 的项目资源,随后可作为一个流程环节将这些资源嵌入业务流程中并编译成业务流程程序集。可以根据需要重新利用和修改映射,以实现任意数量的转换要求以及将它们部署在任何数量的业务流程中。BizTalk Server 映射器创建的映射基于转换 XML 信息的开放式标准协议,即 XSLT。


3. 指定控制事件执行的业务逻辑。



如果业务逻辑比较简单,则可以将它作为一个表达式直接嵌入到 BizTalk Server 业务流程决策步骤中。如果业务逻辑比较复杂,可以使用 BizTalk Server 业务规则设计器来创建和处理复杂的规则集。每个规则集(或者说“策略”)驱动一种特定的操作或功能,并且将成为内嵌在 BizTalk Server 业务流程中的资源对象。


同整个 BizTalk Server 架构一样,创建和实现业务规则的整个过程也是透明的,并且联系松散。一个嵌入BizTalk Server业务流程的业务规则集可以在设计或者运行时被查看、修改或者完全被替换而不影响其它的流程操作或者中断本流程的实例的运行。由一个向外界暴露功能的组件化规则引擎提供灵活修改商业流程的特点具有极其重要的意义。在传统的应用程序开发过程中,业务规则逻辑嵌入在程序的代码之中,如果不修改代码,则无法修改这些业务逻辑。由于对业务流程生命期的大多数修改都仅限于业务规则的变动(相对与技术方面的修改),因此是否能将业务规则同程序代码完全隔离开来,或者同任何流程实现机制隔离开来,将决定是否能大幅度提高在整个业务流程生命期中管理和调整业务流程的效率。


在定义业务规则方面,BizTalk Server 业务规则编辑器支持创建同行业领域有关的词汇,其功能是通过公共接口呈现的,因此它具有极其高的灵活性和扩展性。下图显示了 BizTalk Server 业务规则编辑器模块。


4. 确定和实现消息前期处理和后期处理的要求。


这一步在 BizTalk Server  管道设计器模块中完成。管道设计器可从 BizTalk Server 的业务流程工作区访问。该模块用于实现同外部应用程序和团体在交换上的加密、身份验证和数据格式转换要求。



管道是指在业务流程或消息数据仓库收到消息或从它们分派消息之前发生的处理操作序列。“接收管道”可根据要求接受传入的消息、将消息解密或解压缩、将消息分解成消息的部件,将消息转换为 XML 文档(按照在 BizTalk Server 架构中的说明)、验证消息以及验证消息发送者的身份。一旦有消息通过管道,该消息就会被传送到 BizTalk Server 的MessageBox存储。“发送管道”执行的操作与“接收管道”相同,只不过是反方向的。它可以根据外部接收者的要求对消息进行组装、格式化、加密、压缩和数字签名。


 


5. 编辑和编排应用程序/流程环节。


这一步在 BizTalk Server 业务流程设计器中进行。业务流程设计器是 Visual Studio .NET 中的主要工作区,在此可以开发和实现完整的 BizTalk Server 应用程序。通过拖放业务流程工具箱上的对象形状并将它们连接在一起,可以编排业务流程图表。这些形状代表了各种流程活动,比如接收、调用、序列、流程、连接和来源。借助这些形状,可以编辑和执行消息流、消息事件、业务规则、活动、操作、转换以及子流程。


下图显示的 BizTalk Server 业务流程图表实现了这样的工作流程:


· 流程应用程序(一个BizTalk Server 业务流程)收到一个库存订单补给请求(“Request”)。


· 流程应用程序检查所订购商品的数量。如果订单的商品数量超过 500 件,则拒绝该订单。如果订单的商品数量未超过 500 件,则接受该订单。


· 如果订单被拒绝,将创建通知(“ReqDenied”)并发送给进行订购的人员。


· 如果接受了订单,则原始的订单请求将被提交给 ERP 系统处理。


 



在编辑如图所示的流程图时,可以从工具箱中拖放下列形状,然后对其进行修改:


· 在设计窗口的顶部放置一个“接收”(Receive)形状,并将其命名为 Receive_Req。


· 在 Receive 形状之下放置一个“决策”(Decision)形状,并将其命名为 CheckQuantity。


该决策形状会自动创建两个活动分支形状(“If”或者“Else”)。If 形状被重命名为 Decline。Decline 形状被连接到一个表达式编辑器。在该编辑器中创建了“RequestInstance.Item.Quantity > 500”的 XPATH 表达式。该 XPATH 表达式将按照“If”规则(该规则指定了对订单请求的拒绝条件)执行操作。


· 在 Decline 形状之下放置一个“构造消息”(Construct Message)形状,并将其命名为Construct_ReqDenied。


· 在 Construct_ReqDenied 形状中放置一个“转换”(Transform)形状。


· 在 Construct_ReqDenied 形状之下放置一个“发送”(Send)形状,并将其命名为 Send_ReqDenied。


· 在 Else 形状图形之下放置一个“发送”(Send)形状,并将其命名为 Send_REQToERP。


6. 将设计形状同实现对象链接起来。


编排了各个流程步骤之后,下一步是将这些形状同为实现流程而所需的对象链接到一起。这些对象可能包括实际的消息文档、发送和接收消息的端口位置以及为了传送消息而要求的传输机制。该阶段也同样在业务流程设计器中执行。


在业务流程图表示例中,当运行的进程收到一个 Request 文档实例时(注意,该进程是 Receive 形状启动的),该进程会根据该文档的架构定义来检查其内容,以确保该文档的形式和内容都符合架构以及符合应用程序的处理要求。如果 Request 文档不符合要求,嵌入在 Construct Message 流程中的 Transform 子流程将引用一个负责将 Request 文档转换为 ReqDenied 文档的 XSLT 转换映射(按照在步骤 2 中的说明)。


7. 如果可行,定义团体和团体的角色,并将其连接到业务流程功能。


这一步在 BizTalk Server 浏览器(为构成具体 BizTalk Server 项目的业务流程和外部组件提供配置信息的工具)中完成。该浏览器以分层的树状结构组织。借助该浏览器,可以配置项目业务流程编排同其它项目组件(比如角色、团体、发送和接收端口以及接收位置)的关系和交互。


在业务流程编排图表中实现了所有的逻辑步骤之后,则可通过对该业务流程图表执行“生成”操作来生成 Visual Studio .NET 运行时程序集(DLL 文件)。该程序集可作为一个单独的应用程序来实现,或作为一个组件包括在更大的 BizTalk Server 解决方案中。


BizTalk Server 解决方案(一个流程应用程序)包括一个或多个 Visual Studio .NET 项目,而后者又含有架构、业务流程、转换映射和管道等 BizTalk Server 组件。就以此前介绍的示例来说,在一个不连续的 BizTalk Server 项目(该项目生成经过编译的程序集)中包含有Request 和 ReqDenied 文档以及它们的转换映射。


在该解决方案中,对流程进行了详细描述的 BizTalk Server 业务流程图表也是一个不连续的 BizTalk Server 项目。通过引用(封装)架构和映射程序集,该编排图表可以像功能对象那样引入这些架构和映射。随后可将所有的 BizTalk Server 项目程序集作为在 BizTalk Server 运行时引擎管理下的可执行应用进行部署和安装。


SOA —— 底层技术









介绍了如何使用 BizTalk Server 2004 中的高级工具来开发和实现应用程序之后,现在我们可以站在面向服务架构 (SOA) 模型的底层支持技术的角度来审视这种开发思想。如前所述,SOA 的基本原则是暴露功能、用文档交换信息、松散耦合以及平台无关性。


XML 提供了透明性和应用程序无关性,它使用元标记“声明”数据的含义和作用。使用 XML 的前提条件是,将同程序相关的数据转换为自我描述因此同程序无关的数据。这不仅涉及内容,而且还包括用来处理内容的指令。


XML 架构提供了语义上的一致性和互操作性。作为一种规范,XML 架构为创建 XML 文档正式定义了一组扩展的数据类型基元和结构组件;其作用就有如用来提取元素、属性实体和组织规则的一本词典。创建符合架构“词典”的 XML 文档将具有非凡意义: 对支持 XML 并且可以访问 XML 文档的底层架构的应用程序来说,可以了解 XML 文档内容的含义、功能和使用方法,并且可以执行相应的操作。在各个行业中,所有针对信息交换和处理而制定通用词汇和过程集合的行业计划都无一例外地基于 XML 架构。事实上,XML 架构甚至已充当了 Web 服务协议的基础。


Web 服务协议包括简单对象访问协议 (SOAP) 和 Web 服务定义语言 (WSDL)。借助它们所提供的功能和消息处理能力,用户无需自定义代码即可在任何平台上的任何位置绑定和执行程序化功能。Web 服务规范的意义在于,它们为在 Internet 上构建复杂、可互操作的计算流程提供了第一个切实可行的架构。


SOAP 是一个基于 XML 的消息处理协议,用于对文档进行编码,以便通过网络进行传输。“SOAP 客户程序”可在 SOAP 封装中插入 XML 文档,并使用 HTTP 将其发送到接收该信息的“SOAP 接收程序”(后一个操作也被称为“编组”)。SOAP 消息处理具有诸多优点:


· SOAP 客户程序和接收程序的构建都比较简单。用户可以方便地将 SOAP 客户程序作为例程嵌入任何程序或网页中,并且使用 URL 终端程序作为 SOAP 接收程序。


· 通过使用 HTTP 作为传输机制,SOAP 消息可被发送到任何位置,并且可使用现有的 SSL 功能进行身份验证和加密。另外,还可以充分利用万维网现有的基础设施规模。


· 消息、SOAP 封装、消息头以及消息正文中的所有信息都以 XML 表示,因而使得整个对象都完全透明。由于文档的语义和结构都是完全暴露的,因此不必编写应用程序代码即可对文档执行广泛的验证、操作、路由和转换功能。与 CORBA 不同的是,Web 服务网络终端(HTTP、URL 或其它地址)可以支持多种 XML 格式,从而可以实现真正多形态的接口,并且不会受新版本的影响。


· 由于 HTTP 是 SOAP 使用的传输机制之一,因此可以在全球任何位置的任何支持 Web 的计算机之间调用 Web 服务方法。这样一来,SOAP 就有望建立同万维网的规模一样大的分布式计算流程。


Web 服务定义语言 (WSDL) 是通过信息交换或远程过程调用(二者都使用 SOAP 协议和按照 XML 格式封装的信息)来描述、传达以及调用程序功能的规范。WSDL 文档驻留在 URL 位置,并且同位于其它任意位置的实际程序模块链接在一起。业务流程内或者可通过业务流程访问的大多数功能都可以用 Web 服务的方式暴露出来,例如查看数据库、调用复杂的业务规则或者调用整个业务流程自身。由于公共 Web 服务接口同程序的私有实现方法无关,因此可以非常容易地构造高度模块化和高度分布的应用程序。


BizTalk Server 中的 Business Rule Framework(业务规则架构) 代表了一种实现面向服务架构(SOA)模型的创新途径。每一个单独和组合级别的功能在设计上都是公开、独立,并且可以进行松散组合。任何策略组件(词汇或规则集)都可以随时查看或更改,并且不会影响其它任何流程操作或者相关流程正在运行的实例。另外,还可以利用策略的语义和可声明的 XML 定义将策略直接编译到 Visual Studio .NET 程序集中,从而完全不再需要任何程序化的编程实现方式。该功能使得开发效率和生命周期管理效率得到了质的飞跃,仅此就可以证明面向服务架构模型的价值所在。


一个公开的组件化的规则引擎是否能为修改业务流程提供足够的灵活性,其意义将非常重大。在传统的应用程序开发中,业务规则逻辑内嵌在程序代码中,如果不更改代码,将无法修改业务规则逻辑。而频繁改动代码,不仅费时费力,而且往往会造成不可预计的程序行为。. 我们可以清楚地看到,如果能将业务规则同程序代码或者同任何流程实现机制完全隔离开来,将可以大幅度提高管理效率和针对新需求或新业务形势做出调整的效率。


单从在业务流程设计器中的开发过程来看,就足以说明何谓功能暴露和何谓松散耦合。借助业务流程设计器,开发人员可以让复杂的业务逻辑及其对应的实现方法变得可见,从而提高了软件开发的可管理性和降低了其抽象性。每个逻辑流程都同离散的实现机制相组合。这些实现机制含有自我描述的方法。借助功能上的透明和隔离,可从 Visual Studio .NET 宿主环境或直接通过 XML表述来访问解决方案中各个对象的属性(业务流程、架构、映射等等)。此外,已完成的业务流程还可以为整个流程生成业务流程执行语言(BPEL)文档。


由于 BPEL 指令集是流程的 XML 表示,具有精确的语言和语法结构,因此可为流程描述提供可阅读和可理解的指令集。这个价值不可低估。在过去,描述方面的欠缺使得软件和流程无法轻易修改和调整。事实上,业务流程设计器中的流程形状形象地描述了基本和结构化的 BPEL 元素,比如接收、调用、序列、流程、角色、连接和来源。在 BizTalk Server 业务流程设计器中开发的流程可以用 BPEL 文档的格式导出,然后可以导入其它任何兼容 BPEL 的应用程序中。反过来看,也可以将 BPEL 文档导入 BizTalk Server 业务流程设计器来生成业务流程图表。这种流程指令的标准化交换,可以有力促进业务伙伴之间的协作性业务流程开发。


随着在 BizTalk Server 2004 中应用 SOA 模型,XML 功能的重要性无疑将与日俱增:


· XML 和 XML 架构使得 Web 服务协议(SOAP 和 WSDL)的创建成为可能。


· BPEL 功能在上述核心的 Web 服务协议之上,为在流程中添加额外的 XML 功能(比如业务规则或处理逻辑)创造了条件。


· 虽然每个流程的价值都是独立的,但一旦同其它流程组合在一起,它们就能发挥整体性效应并且针对众多的难题提供创新性的解决方案。这也正好说明了整体要优于组件的简单组合。


由于 BizTalk Server 业务流程设计器内嵌在 Visual Studio .NET 内,因此它还成为了 SOA 和 .NET 这两个框架之间的桥梁。.NET 框架包括两个主要部件: 公共语言运行时 (CLR) 和一组统一的类库。这些类库包括用于 Web 应用和 Web 服务的 ASP.NET、用于智能客户端应用的 Windows Forms以及用于松散组合式数据访问的 ADO.NET。.NET 框架为将现有的信息技术投资同下一代应用和服务进行集成提供了高生产性和基于标准的环境。一旦同 BizTalk Server 中高级的 XML 抽象功能和可视化设计能力结合,它将为人们呈现一个提供了空前功能和效率的开发和部署环境。另外,它还提供了始终一致的风格,开发人员不仅可迅速掌握 SOA 方法,而且仍然能利用他们原有的 .NET 技术专长。


我们正在迈入一个新的计算时代。在这个新时代中,信息来源于各种完全独立的应用,但各个信息的结构、成分以及行为都将基本相同。在创建和发布信息时将不必考虑信息的处理或使用方式。应用程序将同时处理信息和方法,然后它又被其它系统继续处理。流程将可以实现自我配置和修改。我们将看到从面向服务的架构模型涌现出全新的应用程序、新的业务模型以及新的手段,而它们将为我们带来前所未有的新体验。


同任何模型转换一样,SOA 凭借它所携带的优势必将得到广泛的认同。各方面的事实都明显证明了这一点。开发效率的大步提升、投资回报的加快以及资源可用性的提高,是那些采用了 SOA 开发模型的早期采用者已经获得的益处。尽管 XML、Web 服务和 BPM/EAI 平台为业务流程的开发展示了一个新的概念模型,但实现和部署这种模型所必需的技术却是成熟而完善的 Microsoft 产品,这些产品已经由Microsoft进行了大力改进,以便能够为这种新的模型提供支持。


更多详细信息,请访问:


http://www.microsoft.com/biztalk


本文包含的信息代表了 Microsoft Corporation 在本文发布之时对本文所介绍的问题的最新看法。由于 Microsoft 必须响应不断变化的市场,因此不应将这些信息视作 Microsoft 一方的承诺,Microsoft 无法保证任何信息在发布之后的准确性。


本白皮书仅供参考。MICROSOFT 不对本文档中的信息作任何明确或隐含的担保。


遵守所有现行的版权法是用户的义务。没有 Microsoft Corporation 明确的书面许可,严禁以任何形式或方式(电子的、机械的、影印、录制或其它方式)或出于任何目的复制、传播本文档的任何部分,或将本文档的任何部分存储或引入到检索系统。但不限制版权法下的权利。


本文档的主题可能包含 Microsoft 的专利、专利应用程序、商标、版权或其它知识产权。除非 Microsoft 明确提供了任何书面许可协议,否则本文档的信息并未授予您对这些专利、商标、版权或其它知识产权的任何许可。


除非另有说明,否则文中描述的示例性公司、机构、产品、域名、电子邮件地址、徽标、人员、场所和事件均纯属虚构。不应在主观上或根据推断认为同任何真实的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所或事件有任何关联。


© 2003 Microsoft Corporation。保留所有权利


Microsoft、BizTalk 和 Visual Studio 是 Microsoft Corporation 在美国或其它国家和地区的注册商标或商标。


此处提及的实际公司和产品的名称可能是它们各自所有者的商标。

2004年09月05日

作者为: Zer0Racer
译者为: sCry anonymous smoothdvd vaye

此文档可作为ioFTPD初级用户使用指南,也可作为高级用户的参考。

索引

1. 目录结构
2. 安装指南
3. 虚拟文件系统(VFS)
基本VFS设置
子目录加载
用于存档的Raid目录加载
不同用户和/或不同组的VFS文件
私有目录
符号链接
目录权限设置
4. 设备
5. 作为系统服务启动
ioFTPD的缺省端口
服务布置
Services详细设置
取消服务
自定义Devices和Services
通过HTTP和TELNET连接
6. site命令
Add/Delete/Rename/Kick
Users
Groups
IP
CHMOD/CHOWN/Stats及其他
Stats
SITE CHANGE
SITE CHATTR
SITE CONFIG
7. 标识和权限
8. SECTIONS
9. SCHEDULER
10. USERFILES和GROUPFILES

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

1. 目录结构

ioFTPD主目录包括以下文件:Changelog, TODO, README.1ST

更新记录文件包含了ioFTPD的最新更新内容,可使您及时了解软件的bug修正及新增特征等。
TODO文档列出了ioFTPD未来版本中要添加的内容。
README.1ST文件为一些必要的法律公告。

——————————————————————————–

ioFTPD下的目录包括:

/cache 包括缓存文件,您不能改动此目录下的任何文件。
/etc 目录内文件包括

UserIdTable -用户及其UID(用户ID)列表
GroupIdTable – 组及其GID(组ID)列表
default.vfs和admin.vfs – VFS示例文件
ioftpd.env – 定义环境变量

/groups 组数据文件。文件名即为GID(组ID)
/help 帮助文件。
/lib TCL库
/logs 服务器运行记录文件如Error.log及Sysop.log等.
/scripts ioFTPD的第三方脚本。
/site 您的site的缺省根目录。
/source 可能对脚本编写有用的源代码。
/system ioFTPD.exe, ioFTPD.ini, tcl84.dll
/text 用户登陆时显示的信息文件,以及运行命令时显示的状态信息等文件。
/users 用户数据文件。文件名为UID(用户ID)。

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

2. 安装指南

此文档可让您在几分钟内最快速成功配置ioFTPD!

1. 解压ioFTPD文件包。

2. 编辑 ..\etc\default.vfs. 注意根目录必须加载为:”;/”;.
如::
“d:\ftp” / <– 用已有的空目录作根目录。
“e:\mp3″ /mp3 <– 在根目录加载为/mp3

注意组ioftpd(缺省用户ioFTPD所在的组)的虚拟目录文件缺省为admin.vfs。要让ioftpd组使用default.vfs,可用命令: site change ioftpd groupvfsfile ..\etc\default.vfs 或将..\groups目录下0文件内的VFSFILE行删除即可。

3. 打开..\system\ioFTPD.ini.

在ioFTPD.ini中,注释行用“#”,取消选项/设置用分号”;”。
# Comment
;Disabled = True

3a. 设置DEVICES。.
在多数情况下可用缺省设置。
缺省device名为”;Any”;.
[Any]
Host = 0.0.0.0 <– 未定义IP,则允许在任何IP上连接。
Ports = 1024-2048 <– 数据传输端口。
Random = True <– 使用随机端口。

3b. 设置SERVICES(示例仅用于FTP_Service)

[FTP_Service]
Type = FTP
Device_Name = Any <– 使用的Device。缺省为”;Any”;
Port = 9999 <– 连接端口
Description = My FTP Service
User_Limit = 10 <– 最大连接用户数。
Allowed_Users = *
Messages = ..\text\ftp
Require_Encrypted_Auth = !* <– 无用户使用加密请求。
Require_Encrypted_Data = !*
;Certificate_Name = 192.168.1.11 <– SLL认证名(CN):若不使用认证,请注释此行,否则你的ftpd不会运行!
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 384
;Get_External_Ident = False <– True/False. 保护支持
;Data_Devices = <– 流量平衡设备
;Random_Devices = False <– True/False. Data_Devices使用随机次序。

需要更高级的devices及services,如NAT及流量平衡等设置样例文件,请参见ioFTPD-Advanced.ini。

4. 用缺省的管理员(Master)帐号登陆,注意在ioFTPD下,用户名、密码、组名、标识名及其他名称均区分大小写!
用户名:ioFTPD
密码:ioFTPD

5. 使用SITE PASSWD <新密码> 更改缺省的ioFTPD密码。

6. 打开并编辑 ..\etc\Hosts.Rules,使其可由外部IP连接。 在最新的未注册版本中,缺省规则为禁止(DENY). 注释此缺省行,并去掉POLICY ACCEPT 2行的注释。若ioFTPD.exe正在运行,则需重启(修改Hosts.Rules需要完全重启)。

完成!现在请阅读此文档其余部分,提高您的配置技巧。

问:什么是Master帐号?

答:Master权限帐号登陆后可做几乎任何事。可浏览所有目录,传输任何文件,即使其被别的用户限制。可以更改别的用户或组(但不能更改别的Master帐号)的设置。Master的旗标是”M”。

注意,组ID1保留给NoGroup组,不可删除/更改此组!

其他FAQ,请见ioFTPD主页的知识基地.

———————————————————————–
提示#1: 好的脚本、sfv校验、sitebot、已知bug及其他ioFTPD信息,请查看论坛.
提示 #2: 在登陆服务器时出现错误,请检查..\logs\Error.log文件。
提示 #3: 要学会如何用site命令控制ioFTPD。
提示#4: 请阅读此文档的其他部分,更多了解ioFTPD。
———————————————————————–

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

3. 虚拟文件系统(VFS)

VFS文件用来创建服务器的文件目录结构,用户登陆后即可见。示例的VFS文件为default.vfs和admin.vfs,均位于..\etc目录下。

基本VFS设置
子目录加载
用于存档的Raid目录加载
不同用户和/或不同组的VFS文件
私有目录
符号链接
目录权限设置

——————————————————————————–

基本VFS设置

最快的VFS文件设置法是将一空目录设置为根目录,这样必须在你的VFS文件中将此目录加载为:”;/”; 如下:
“c:\ioFTPD\site” /
在..\site目录下有些示例目录,你可以删除它们。

然后你可指定VFS根目录下要显示的目录。
如:
“c:\ioFTPD\site” /
“d:\games” /games
“e:\mp3″ /mp3

也支持驱动器盘符的直接加载,但不推荐此设置,因为不能隐藏象系统卷标信息之类的系统目录。
如:
“f:\” /f-drive
“g:\” /g-drive

要设置这些目录的权限(这样用户就可上传等),请用SITE CHMOD.

这些是ioftpd新手需要了解的基本设置,高级VFS设置请参见下面内容……

——————————————————————————–

加载子目录

ioFTPD’s VFS十分灵活,你可指定某些目录作为子目录。
但要确保你的上级目录存在(此处为/mnt)。
如:
“c:\ioFTPD\site” /
“c:\ioFTPD\mnt” /mnt
“c:\” /mnt/c-drive
“d:\” /mnt/d-drive
“e:\” /mnt/cdrom

——————————————————————————–

用于文件存储目的的Raid目录加载

可合并两个或更多目录内容,如下:
注意:对于只读目的!尽管可写,但上传的文件(在Raided VFS目录下)会被存储在最后一个指定的设备下,此处为e:\dir2。

如:
“d:\目录1″ /存档文件
“e:\目录2″ /存档文件

——————————————————————————–

不用用户和/或组的VFS文件

要为用户指定不同的VFS文件,仅需新建一VFS文件,并使用此命令来更改用户的VFS文件
site change <用户> vfsfile ..\etc\custom.vfs

你也可改变某个组的VFS,该组下所有用户均自动使用此组VFS文件
如:
site change <组> groupvfsfile ..\etc\group1.vfs

重要!用户VFS文件会覆盖组VFS文件。你已用一指定的组VFS文件更改了组内某用户的VFS文件,且你想让此用户使用此组VFS文件,可清除..\users目录下的用户 user文件中的VFSFILE行,或者用命令更改此用户的VFS文件至此组VFS文件:site change vfsfile ..\etc\group1.vfs
记住若将用户的VFS文件改变为与组VFS文件的文件,且然后又将此组VFS文件改变为另一个文件,你需要再一次改变用户的VFS文件。

——————————————————————————–

私有目录

另一种不同目录的权限设置(包括不同的VFS)方法为私有路径。私有路径对其他用户隐藏,即使这些目录也存在于他们的VFS中。这样便很容易地设置VFS,而不必设置多重VFS文件(使某些用户使用某些目录)。除了Master,其他用户无权进入私有目录 。私有目录不对Master隐藏。

SITE命令”site chattr”用于设置私有目录,此命令也可将目录转换为符号链接。

用法: site chattr +h “<目录>” “<权限列表>”
示例: site chattr +h “私有目录” “-用户2 -用户5 =组11″

若目录名包含空格,或你指定多个用户和/或组权限时,则需要用引号(“; “ 引用。旗标也可在权限列表中使用。

使用以下命令查看当前私有目录的权限:
site chattr +h “目录”

联想到+h是指”;hidden”;, 很容易便可记住+h是指私有目录,+l指目录链接。

——————————————————————————–

符号链接

符号链接是一个快捷目录,可指向你的虚拟文件系统中的任何指定位置。

使用SITE命令”site chattr”将目录转换成符号链接。

用法: site chattr +l “<目录>” “”
示例: site chattr +l “mp3-today” “/mp3/0525″

使用以下命令查看当前路径的链接指向:
site chattr +l “符号链接名”

符号链接也可设置为私有路径。

——————————————————————————–

目录权限的详细设置

如果你想禁止某些目录的上传,那么VFS的此部分设置是很有用的。权限前缀”;!”; 表示禁止,如!-user !=group !F。也可指定多个用户和/或组,如!-user1 -user2 =group1,此处仅user1被禁止。

以下是ioFTPD.ini里的缺省设置:
[VFS]

###
# 目录权限的详细设置
#
# priviledge = <virtual path> <rights>
#
Upload = * *
Resume = * *
Download = * *
MakeDir = * *
RemoveDir = * *
RemoveOwnDir = * *
Rename = * 1VM
RenameOwn = * *
Overwrite = * VM
Delete = * 1VM
DeleteOwn = * *
NoStats = * !*

虚拟路径用此格式:/目录/*

———————————————————————–
规则为首个匹配即生效。
在虚拟目录和权限间,仅可使用空格,不要用tab键空格。
最后的”*”是必须的,表示允许其他所有人。
———————————————————————–

示例:
# 所有GuestGroup组的用户不可创建目录
# 也不可在mp3目录内上传文件,但其他用户被允许此二项。
#
MakeDir = /mp3/* !=GuestGroup *
MakeDir = * *
Upload = /mp3/* !=GuestGroup *
Upload = * *

ioFTPD 4.9.0(包含RemoviOwnDir)后的版本有一个新功能”NoStats”,NoStats取消指定用户和/或组的状态统计。NoStats是路径相关的。记住,在这些指定目录下,这些用户和/或组的活动不被计入统计。

总将NoStats = * !*放在最底部,否则活动统计对其他用户也会失效。可在此行上方加入你自己的NoStats行。

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

4. 设备

在设备区,你将指定ioFTPD使用哪些IP和数据端口。
会在配置ioFTPD的services区时使用设备名(Device Name).

配置相当简单:

[DeviceName]
Host = <IP>
Ports = <Data transfer ports>
Random = <True/False>
Bind = <IP>

# 以下摘自示例ioFTPD.ini
[Any]
Host = 0.0.0.0
Ports = 1024-2048
Random = True

[Any] –> 设备名(此处为Any)

Host –> 外部主机,此地址会显示给用户。
Host = 0.0.0.0使用sockets连接的那个IP,取决于你主机的IP及你的用户连接的IP。
表示允许在任何IP上连接,如127.0.0.1,你的内部LAN IP如192.168.0.1及你的外部IP等。

Ports –> 用于数据传输的端口,可包括逗号将端口范围列表分开。
如: Ports = 1024-2048, 3355, 5000-5999, 25001-26000, 31337

Random –> True/False. 数据传输使用随机次序端口

Bind –> 内部主机。若指定,则连接绑定于此地址,而不是HOST。若你在路由后方则使用BIND,BIND是你的内部IP。

#ioFTPD-Advanced.ini中使用绑定设置的例子
[Nat]
Host = 212.146.42.251 <– 奜晹IP/楬桼婍IP
Ports = 25001-26000
Random = True
Bind = 192.168.1.10 <– 你运行ioFTD所用电脑的网络IP

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

5. 服务

无论是否使用加密,在上限范围之内的用户可以同时通过你所指定的服务端口登录。

ioFTPD的默认端口
服务规划
详细服务
禁用服务
自定义设备及服务
通过HTTP及TELNET连接

——————————————————————————–

ioFTPD的默认端口

FTP 9999
HTTP 10000
TELNET 10001

——————————————————————————–

服务框架

注意ioFTPD 4.9.0版本的ioFTPD.ini文件中一些名称作了改变,例如Listen_Device -> Device_Name、MaxUsers -> User_Limit、Req_Encrypted_Auth -> Require_Encrypted_Auth 等等

[FTP_Service]
Type = FTP
Device_Name = Any
Port = 9999
Description = My FTP Service
User_Limit = 10
Allowed_Users = *
;Messages = ..\text\ftp

### 加密 ###
#
Require_Encrypted_Auth = !*
Require_Encrypted_Data = !*
Certificate_Name = 192.168.1.11
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 384

### IDNT 命令处理 ###
#
;Get_External_Ident = False

### 负载均衡 ###
#
;Data_Devices =
;Random_Devices = False

——————————————————————————–

服务细节

[FTP_Service] <– 服务名称
Type = FTP <– 键入FTP,HTTP或者TELNET
Device_Name = Any <– 所使用设备名称
Port = 9999 <– 连接端口!
Description = My FTP Service <– 描述
User_Limit = 10 <– 最大用户连接数
Allowed_Users = * <– 拥有这些标记的用户有登录权限. * = 所有人
;Messages = ..\text\ftp <– 使用其他信息替代默认信息?
Require_Encrypted_Auth = !* <– 强制这些用户使用安全登录.!* 表示无人
Require_Encrypted_Data = !* <– 强制安全数据传输。
Certificate_Name = 192.168.1.11 <– SSL 证书名(CN).
Explicit_Encryption = True
Encryption_Protocol = SSL3 <– TLS/SSL3/SSL2/SSL1/SSL
Min_Cipher_Strength = 128 <– 128-bit
Max_Cipher_Strength = 384 <– 384-bit
;Get_External_Ident = False <– True/False. IDN命令处理.保镖支持.(?)
;Data_Devices = <– 负载均衡设备
;Random_Devices = False <– True/False. 随机次序使用负载均衡设备.

Certificate_Name指”;CN”以及当你开始SSL认证时所输入的 (hostname)(?) 例如:Example: Certificate_Name = myl33tioftpd.no-ip.com

记住ioFTPD不再采用OpenSLL认证,ioFTPD v4.9.0以后版本的使用了Microsoft的SChannel。旧的OpenSSL认证在4.9.0版本中无效,所以必须重新生成新的SChannel下的认证文件。更多信息请见:Generating.SSL.Key.For.ioFTPD.tx t in ioFTPD\help.=

——————————————————————————–

取消服务

ioFTPD仅启动列在”Active_Services”中的服务项目。
[Network]
Active_Services = FTP_Service Telnet_Service HTTP_Service

要取消Telnet和HTTP:
[Network]
Active_Services = FTP_Service

更新”Active_Services”后需重启ioFTPD服务。

——————————————————————————–

定制设备和服务

可指定自己的设备(Device)名和服务(Service)名。但要确保服务名称已经列在ioFTPD.ini文件中,且服务使用了你指定的设备。

[Network]
Active_Services = MyFTP_Service Telnet_Service HTTP_Service

[我的设备]
Host = 192.168.0.1
Ports = 25000-26000

[我的FTP服务]
Type = FTP
..
Device_Name = 我的设备
..

——————————————————————————–

通过HTTP和TELNET连接

使用你的Internet浏览器连接HTTP服务 http://127.0.0.1:10000为常规http连接或者 https://127.0.0.1:10000为SSL加密连接

如何用telnet.exe连接TELNET服务。
C:\> telnet.exe 127.0.0.1 10001

注意:如果你使用telnet.exe,你必须使用CTRL-ENTER来提交你的密码或者命令,而不是仅仅用ENTER键
如果你感到麻烦可以使用其它Telnet客户端(例如SecureCRT, PuTTY等)

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

6. 站点命令

当你通过FTP方式连接后你可以使用站点命令,如下所示:site adduser 等
当你通过TELNET连接后使用大多数站点命令不需要site前缀,但是需使用点命令符(.dot-command notation)
.adduser .增加用户<用户名><密码><认证@ip地址>
注意所有与vfs(虚拟文件系统)相关的命令在telnet方式下是不支持的(例如chmod, chattr, chown等)

———————————————————————–
在FlashFXP下你可以在“Raw command line”(View..Raw Command Line)中输入命令,或使用raw commands(CTRL+R)的对话框。如果希望通过FlashFXP更简单的使用命令,你可以从ioFTPD论坛找到ioFTPD的命令集进行导入: http://www.ioftpd.com/go/62

如果你是在windows环境下使用ftp.exe连接FTP,你可以使用命令搇iteral?#25110;者搎uote?#26469;向FTP服务器传递命令。
例如:quote site who
———————————————————————–

Add/Delete/Rename/Kick
Users
Groups(组)
IP
CHMOD/CHOWN/Stats以及更多
Stats
SITE CHANGE
SITE CHATTR
SITE CONFIG

注意:在方括弧之内的参数表示为可选项。在使用可选项参数时省略方括号本身。

——————————————————————————–

Add/Delete/Rename/Kick(增加/删除/重命名/踢)

# USERS(用户)

ADDUSER
赠加一个用户到与你相同的组。
用法:SITE ADDUSER [ .. ]
例如:site adduser zero mypass *@192.168.0.* *@127.0.0.1

GADDUSER
增加用户到一个指定的组。
用法:SITE GADDUSER [ .. ]
例如:site gadduser crew zero mypass *@*

RENUSER
重命名一个已经存在的用户。
用法:SITE RENUSER
例如:site renuser zero zeroracer

DELUSER
删掉一个用户。
用法:SITE DELUSER
例如:site deluser zero

KICK
你可以从你的站点踢掉一个用户。
用法:SITE KICK
例如:site kick zero

——————————————————————————–

# GROUPS(组)

GRPADD
增加一个新组。
用法:SITE GRPADD <组名>
例如:site grpadd crew

GRPDEL
删掉一个组。
用法:SITE GRPDEL <组名>
例如:site grpdel crew

———————————————————————–
当一个组里仍有用户的时候使用GRPDEL命令将无法删掉这个组。在使用GRPDEL删掉组之前须把组中的用户都删掉。
———————————————————————–

GRPREN
重命名一个已经建立的组。
用法:SITE GRPREN <需重命名的组名> <新组名>
例如:site grpren STAFF crew

CHGRP
增加/删除 一个用户 到/从 一个组
用法:SITE CHGRP <用户> <组> [<组>]
例如:site chgrp zero crew

———————————————————————–
当使用CHGRP,如果用户已经存在指定组中,就会被删掉,如果不存在组中,就会被添加进去。
———————————————————————–

——————————————————————————–

# IP

ADDIP
增加一个允许用户登录的IP。
使用:SITE ADDIP <用户> [ .. ]
例如:site addip zero Zer0@216.127.66.120 *@216.127.67.*

———————————————————————–
ADDIP支持主机掩码,例如*@*.telia.com

ADDIP是否支持方括号[]中的指定IP掩码以及通配符?

[]
方括号[]替代IP地址中的任意一位。
例如:site addip lamer someident@216.127.66.12[1-5] 表示 IP
216.127.66.121 -> 216.127.66.125
警告:中括号[]中的数字范围不可大于9,即[10-79]是不起作用的!这种情况可以使用[1-7]? 或 [1-7][0-9]来代替。

^
前缀^作用是阻止紧跟随的数字。
例如:[^10-3] 表示 1 是不被允许的, 但 0, 2 和 3 是被允许的.

?
通配符 ?可以替代IP地址中的任意一位数字,范围(0-9)。
例如:*@216.127.66.12? 表示IP范围 216.127.66.120 -> 216.127.66.129
———————————————————————–

DELIP
删除/移除一个用户的IP。
用法:SITE DELIP <用户> []
例如:site delip zero Zer0@216.127.66.*

———————————————————————–
DELIP在删除IP时并不是和已经添加的IP完全字面匹配的。如果你添加了一个使用中括号[]的IP并在删除时得到了错误信息,那么使用通配符来删除。例如若想删除someident@216.127.66.12[1-5] 使用:
site delip someident@216.127.66.12*
———————————————————————–

——————————————————————————–

CHMOD/CHOWN/Stats 及更多

CHMOD
像UNIX一样改变一个文件夹/文件的访问权限。
使用:SITE CHMOD <###> <文件夹/文件>
例如:site chmod 777 upload

———————————————————————–
CHMOD 访问权限:
4 = 只读
2 = 可写
1 = 执行
0 = 没有权限

例如对一个文件夹做写保护:
SITE CHMOD 755 mp3

第一个7是针对文件夹所有者。
4+2+1 = 7 表示对文件夹/文件的所有者是可读,写和执行(rwx)的。

第一个5(第二位数)是对组来说的。
4+1 = 5表示对与文件夹/文件所有者同组的其他用户来说是可读和执行的,而不可写(r-x)。

第二个5(第三位数)是针对其他用户的。
4+1 是对其他所有用户来说可读和执行,而不可写(r-x)。

你可以看到mp3文件夹的属性会是:drwxr-xr-x
———————————————————————–

CHOWN
改变文件夹或文件的所有者。
用法:SITE CHOWN [-R] <所有者>[:组] <文件夹/文件>
例如:site chown ioFTPD:ioftpd somedir

———————————————————————–
CHOWN命令对文件夹使用-R参数表示递归。所有文件夹内的文件(包括子文件夹及文件)都将属于新的所有者。
———————————————————————–

TAGLINE
查看/改变你的tagline。
用法:SITE TAGLINE [<新tagline>]
例如:site tagline Archimede rules
———————————————————————–
若想查看你当前的tagline只要使用命令SITE TAGLINE
———————————————————————–

PASSWD
更改密码
用法:SITE PASSWD <新密码>

UINFO
查看一个用户的帐户信息;credits, flags, tagline, IP 等等。
用法:SITE UINFO <用户名>

USERS
用户列表。
用法:SITE USERS [<排序条件>]
SITE USERS =组
SITE USERS <通配符>
例如:SITE USERS ab* 将显示所有名称以ab, aB, Ab 或 AB开头的用户

———————————————————————–
SITE USERS 后面不追加任何排列条件将列出所有用户。
———————————————————————–

SWHO
显示正在线上的用户。
用法:SITE SWHO

——————————————————————————–

STATS
统计用户信息。
用法:SITE STATS <参数>

参数:
alldn -根据总下载量排列
allup -根据总上传量排列
monthdn – 根据月下载量排列
monthup – 根据月上传量排列
wkdn – 根据周下载量排列
wkup – 根据周上传量排列
daydn – 根据当天下载量排列
dayup – 根据当天上传量排列

count – 限制列出的用户数
bytes – 以字节为单位排列 (默认)
files – 以文件数为单位排列
limit – 列出指定用户或组的统计信息
limit “<…> <…>” – 列出所限制范围内的
section – 在指定section中统计

例如:
# 统计总下载量排前100名的用户
site stats alldn count 100

# 统计本月在section 1中上传数量最多的前10名用户(以上传文件数为计算单位)
site stats monthup files section 1

# 统计当日上传前五名的在friends组中用户名为zero的用户
site stats dayup count 5 limit “zero =friends”

——————————————————————————–

SITE CHANGE

CHANGE
更改用户帐户及组的设置。

———————————————————————–
SITE CHANGE命令概述
———————————————————————–
CHANGE [ ... ]
CHANGE “” [ ... ]

目标:
-user – 用户
通配符 – 与通配符匹配的用户
=group – 组

Fields:
admingroup – 更改组管理员
credits [+-] [section] – 增加/设置/减少credits额度
flags [+-] – 增加/设置/移除Flags
groupdescription – 更改组的描述
groupslots [leech_slots] – 更改组的Slots
groupvfsfile – 更改组的VFS(虚拟文件系统)文件设置
homedir – 更改用户的根目录
logins [service] – 更改登录最大并发数
passwd – 更改密码
ratio [section] – 更改上传/下载比率
speedlimit – 更改用户上传/下载速率限制
标记G用来给组管理员权限使用相应站点管理命令,如增加用户及IP等。
tagline – 更改用户Tagline
vfsfile – 更改用户VFS文件设置
———————————————————————–

SITE CHANGE 命令使用搕arget list(目标列表)?#26469;对多个用户和/或多组用户进行相同设置的改变。
例如:SITE CHANGE “user1 user2 =group1 =group5″ RATIO 0

———————————————————————–
如果没有指定section,CHANGE 命令将更改当前所在section管理员的各项值。
———————————————————————–

ADMINGROUP
更改组管理员
用法:SITE CHANGE <用户> ADMINGROUP <组>
例如:site change zero admingroup crew

———————————————————————–
一个用户可以定义为高达30个不同组的管理员

标记G用来给组管理员权限使用相应站点管理命令,如增加用户及IP等。
———————————————————————–

CREDITS
设置/增加/减少 一个用户被允许的下载量。
用法:SITE CHANGE <用户> CREDITS <总量 KB> []
更改用户credits为指定的大小。
例如:site change zero credits 102400
102400KB = 100MB 算自 1024KB = 1MB

———————————————————————–
你可以在指定的数量之前使用 + 或 – 用以增加或减少用户credits。
用法:SITE CHANGE <用户> CREDITS +<数值 KB>
SITE CHANGE <用户> CREDITS -<数值 KB>
例如:site change zero credits +204800
———————————————————————–

FLAGS
旗标赋予用户运行(或不运行)各site命令的权限,且可用于设置私有目录、或其他地方如服务及VFS中目录权限等的权限,
用法:SITE CHANGE <用户> FLAGS <旗标>
例如:site change zero flags +L

旗标:
‘M’ – MASTER (见以下注释)
‘V’ – VFS管理员
‘G’ – 组管理员权限
‘F’ – 禁止FXP(下载)
‘f’ – 禁止FXP(上传)
‘L’ – 忽略每服务下的用户限制
‘A’ – 匿名

注意:Master(M旗标)不能用SITE CHANGE命令赋予。只能在ioFTPD关闭后手工编辑..\users下的用户文件。

GROUPDESCRIPTION
更改组的描述
用户: SITE CHANGE <组> GROUPDESCRIPTION <新描述>
如: site change ioftpd groupdescription ioFTPD rules!/font>

GROUPVFSFILE
更改组的虚拟文件系统(VFS)
用法:SITE CHANGE <组> GROUPVFSFILE
如: site change ioftpd groupvfsfile ..\etc\ioftpd.vfs

GROUPSLOTS
改变组内可添加的用户总数
用户: SITE CHANGE <组> GROUPSLOTS
示例: site change ioftpd groupslots 5 1
..这使具管理员权限的组ioftpd可加5个常规用户和1个无限制用户(ratio为0的用户)

HOMEDIR
更改用户根目录
用户: SITE CHANGE <用户名> HOMEDIR <根目录路径>
示例: site change zero homedir /home/zero

LOGINS
更改允许登陆进FTP, HTTP或TELNET的用户数
缺省FTP
用法: SITE CHANGE <用户名> LOGINS <登陆数> <类型>
示例:site change zero logins 2 ftp

———————————————————————–
没有限制登陆人数的命令: site change <用户名> logins -1 <类型>
———————————————————————–

PASSWD
更改用户密码
用法: SITE CHANGE <用户名> PASSWD <新密码>

———————————————————————–
用以下命令更改自己的密码:
SITE PASSWD <我的新密码>
———————————————————————–

RATIO
更改用户的上传:下载比例
用法: SITE CHANGE <用户名> RATIO <比例> [积分区段#]
示例: site change zero ratio 0

———————————————————————–
比例示例:
0 = 无限制/Leech
3 = 比例为1:3, 某人上传10M文件,则他可下载30M文件。
5 = 比例1:5
———————————————————————–

SPEEDLIMIT
更改用户(上传和下载的)速度限制
用法: SITE CHANGE <用户名> SPEEDLIMIT <下载速度值> <上传速度值>
注意: 0或-1 = 无限制

———————————————————————–
速度限制示例:
site change zero speedlimit 100 0 意为用户可下载的最大速度为100kB/s,上传速度无限制。
———————————————————————–

STATS
更改用户统计
用法: SITE CHANGE <用户名> STATS <参数> <数值>
示例: site change zero stats allup bytes 2048000

———————————————————————–
统计参数:
alldn – 全部下载
allup – 全部上传数
monthdn – 每月下载量
monthup – 每月上传量
wkdn – 每周下载量
wkup – 每周上传量(缺省值)
daydn – 当日下载量
dayup – 当日上传量
———————————————————————–

TAGLINE
更改用户的标识行
用法: SITE CHANGE <用户名> TAGLINE <新的标识行>
示例: site change zero tagline f-b-aiii

VFSFILE
更改用户的虚拟文件系统(VFS)
用法: SITE CHANGE <用户名> VFSFILE
示例: site change zero vfsfile ..\etc\custom.vfs

——————————————————————————–

SITE CHATTR

CHATTR
定义一目录为私有目录和/或将其转换为一符号链接

用法示例参见私有目录 和 符号链接.

——————————————————————————–

SITE CONFIG

CONFIG
更改系统配置
用法: SITE CONFIG <命令> [<数组> <参数>]
示例: site config show Ftp-SITE-Permissions

查看你的ini文件中所有数组的命令:site config show

———————————————————————–
Site CONFIG 命令:
rehash – Reload config file
rehash – 重载ioFTPD.ini文件
save – 保存配置文件
add <数组> <串> – 添加新的一行<串>至<数组>末端
del <数组> <索引号 #> – 自<数组>中删除行<索引 #>
insert <数组> <索引 #> <串> – 在<数组>的<索引 #>前行插入新行<串>
replace <数组> <索引 #> <值> – 用<值>来代替行<索引 #>中的内容。
show [数组] – 显示数组列表,或<数组>的索引列表
———————————————————————–

示例(内含输出):
site config show scripts
### [Scripts]
000: ## SITE <script> <parameters>
001: #
002: # !file = Show file
003: # @string = Alias
004: # %file = Execute file (translate cookies)
005: # file = Execute file
006: #
007: HELP = !..\help\help.msg
008: CHANGELOG = !..\changelog
009: TEST = ..\scripts\test.bat
010: WKUP = @stats wkup
011:
site config insert Scripts 9 ERRLOG = !..\logs\error.log
site config show scripts
### [Scripts]
000: ## SITE <script> <parameters>
001: #
002: # !file = Show file
003: # @string = Alias
004: # %file = Execute file (translate cookies)
005: # file = Execute file
006: #
007: HELP = !..\help\help.msg
008: CHANGELOG = !..\changelog
009: ERRLOG = !..\logs\error.log
010: TEST = ..\scripts\test.bat
011: WKUP = @stats wkup
012:
site config save
site errlog
01-22-2003 16:06:12 Host ‘Zer0@216.127.66.121′ did not match any of user ‘zero’ allowed hosts.

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

7. 旗标和权限

在ioFTPD中仅少数旗标是hardcoded,这些旗标具特别属性,使有这些旗标的用户有某些权限。
例如,具”L”旗标的用户没有使用任何站点命令的权限,但这些用户无论何时都能登陆,即使站点已经超过了最大同时登陆人数。

在ioFTPD.ini中,可指定用户可使用哪些站点命令。
用旗标来指定这些权限。

示例:
[Ftp-SITE-Permissions]
adduser = 1GM <- 旗标
renuser = 1M <- 旗标
..

表示具”1″,或”G”,或”M”旗标用户可使用site adduser命令。缺省的”1″极象glftpd中的SiteOp权限,”M”即指Master权限。
仅有具旗标”1″或”M”的用户可使用Site renuser(更改用户名)命令,除非你指定了别的用户使用这些命令。

在以前的版本中,”G”标识是赋给一用户组管理员权限。在新版本中,”G”标识仅给用户使用站点命令来管理某组及其组内用户的权限,同时需要指定ADMINGROUP。若将”G”标识给了某用户,但未给他指定ADMINGROUP,他将具有添加/更改/删除所有用户的权限!

———————————————————————–
G旗标还须赋予组管理员使用站点命令来管理该组的权限,如addip, delip等。
要使用户成为组管理员,可给其”G”旗标,使用命令 SITE CHANGE <用户名> ADMINGROUP <组名>
———————————————————————–

你已经知道如何设置SERVIES,你现在可以使用旗标设置特定权限。
[Ftp_Service]
..
Allowed_Users = *
Require_Encrypted_Auth = M !*
Require_Encrypted_Data = !*

Allowed_Users = * 指允许任何用户登陆

Require_Encrypted_Auth = M !* 表示Master用户需要使用加密认证(安全登录),其他用户不得使用安全登录。

Require_Encrypted_Data = !* 意为用户在上传下载时不请求加密数据。

[Ftp-SITE-Permissions]中的一些示例:
tagline = !A *
passwd = !A *
who = !A *
chmod = !A *

匿名用户没有使用命令的权限,但其他人可使用这些命令。

———————————————————————–
ioFTPD使用第一个匹配的旗标。!A * 表述正确,匿名用户不可,但其他用户允许使用命令。错误用法:* !A,此表达将赋予所有用户(包括匿名用户)使用这些命令的权限。
———————————————————————–

重要!
你不可用site change 旗标命令组用户赋予或清除”M”权限。
你必须手工编辑..\users目录下的文件。

——————————————————————————–

定制旗标

一个自定义的flag标记可以用来设置特别的权限。例如可以给用户通过script来nuke(ioFTPD本身并不包含这个命令)的权限,就可以使用自定义flags标记。我们来定义标记 N 给与nuker,这样拥有 N 标记的用户就可以使用nuke和unnuke命令,操作如下:

? 首先在ioFTPD.ini文件的[Ftp-SITE-Permissions]下为nuke命令设置标记 N:

[Ftp-SITE-Permissions]
..
nuke = 1MN
unnuke = 1MN

? 然后更改用户帐号设置(为nukers用户添加标记N:
site change flags +N

使用自定义旗标的另一种方法是在ioFTPD.ini中使用”T”和”H”旗标。注意,这些旗标没有硬代码功能,完全是自定义,仅用来指定一些用户在此服务器上的权限。

[Telnet_Service]
Type = Telnet
Device_Name = Any
Port = 10001
Description = My Telnet Service
User_Limit = 10
Allowed_Users = T !*

这表示所有具“T”旗标的用户允许登陆Telnet服务。

同样,HTTP服务:
[HTTP_Service]
Type = HTTP
Device_Name = Any
Port = 10000
Description = My HTTP Service
User_Limit = 50
Allowed_Users = H !*

:: ioFTPD Navigation
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

8. SECTIONS

可设置不同的积分区来计算单独的积分与实现各别的状态统计
积分区可实现在不同的目录下有不同的上传:下载比例。

[Sections]
##最大可定义10个不同的积分区
#
# = <积分区 #> <路径>
# = <积分区 #> <统计区 #> <路径>
#

Home = 0 1 /home/*
Default = 0 *

路径须如此设置
Pre = 1 /pre/* <– 正确!
Pre = 1 /pre <– 不正确

记住,在本区最底一行写缺省积分区!与旗标规则相同:优先前面规则。若第一行即设置缺省积分区,且设其为所有(*),则别的积分区将被忽略。
[Sections]
..
Pre = 1 /pre/*
Default = 0 *

如下例,设好积分区后,你可将一用户在积分区1的比例更改为leech(无限制)
site change <用户> ratio 0 1

在浏览/pre目录时,会看到:
[PWD: /pre/ ]-[积分区: Pre]-[积分: 0.0M]-[比例: 无限制]-…

在ioFTPD 4.9.0+中,你也可分开设置积分与统计。若想某用户在上传文件到/Request目录时如常得到积分,但同时在此Request积分区不计算统计数据等,这将非常实用:

Requests = 0 1 /Requests/*
Default = 0 *

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

9. 计划调度

计划调度用来在指定时间激活脚本(插件),在ioFTPD.ini中设置如下:

[Scheduler]
###
# 计划调度
#
# Event = <分> <时> <月第某天> <周第某天> 命令
#
# 内部命令
#
# &Reset : 重置上传/下载计数
# &Service_Update : 若服务绑定的IP已更改,重载设备及重启服务
Reset = 0 0 * * &Reset
Service_Update = 10,30,50 * * * &Service_Update

若想设置每15分钟运行一次某命令:
0,15,30,45 * * * ..\scripts\every15mins.exe

..在1~12时间,每15分钟运行一次某命令,则写成:
0,15,30,45 0-11 * * ..\scripts\every15mins-hours0-12.exe

记住在计划调度中使用UTC(全球中心),即格林威治时间(GMT),而不是欧洲时间(CET)。
UTC是没有实行省时制的GMT时间

若你位于CET时区,想在每午夜激活命令,使用:EveryDay = 0 22 * * ..\scripts\everyday.exe,因CET和UTC间相差-2小时。

每月的第某天数字在1~31间。

每周的第某天为0~6,0为周日。

:: ioFTPD 文档
:: index – 1 – 2 – 3 – 4 – 5 – 6 – 7 – 8 – 9 – 10 ::

10. 用户文件和组文件

ioFTPD用户文件保存在\users\下
组文件保存在\groups目录下

用户文件

每个用户文件用用户ID命令,用户ID在\etc\UserIdTable文件中定义。可查看此文件,找到某用户的ID。

用户文件中的每一行都定义了用户的某些专有设置/值等。

dayup/daydn, wkup/wkdn, monthup/monthdn, allup/alldn: 所有这些行都为此用户的统计数据。在此行中有10×3个数字,每3个数字一组代表不同的积分区。
如:allup x x x y y y z z z …
此处,x x x 为积分区0的统计数据,y y y为积分区1的统计数据, z z z为积分区2的统计数据等。

这3个数字分别代表:文件传输数,字节传输数,传输文件所有时间(以秒计)。

用此3值,脚本可计算平均速度:第2个数字/第3个数字(kb/s)

tagline: 用户的标注行。用SITE TAGLINE <标注行内容> 可更改内容。

ratio: 10个积分区的比例,表示比例为1:x

password: 经SHA-1加密的用户密码。若想重设密码,你可将你知道密码的某用户的用户文件中此行拷贝/复制到这一行,再改密码即可。

limits:<下载速度> <上传速度>

前2个数字用于速度限制,更改使用:SITE CHANGE … SPEEDLIMIT
后3个数字表示此用户在不同服务下允许同时登录的次数。

ips: 以空格分开的ident@ip 列表,表示此用户仅可从这些IP登录。详见SITE ADDIP and SITE DELIP

groups: 此用户所属的所有组ID列表,用空格分开。

注意,组ID1保留给NoGroup组,不可删除/更改此组!

flags: 用用户的所有旗标列表,详见,旗标与权限.

credits: 10个积分区的积分(以KB计)列表。

home: 用户登录后见到的虚拟目录(根目录)

vfsfile: 此用户的VFS文件,若未指定,将使用组VFS文件,或缺省VFS文件(此在ioFTPD.ini文件中定义)

admingroups: 此用户为此列表内组的组管理员,详见:SITE CHANGE admingroup .

——————————————————————————–

default.user

你可在adduser和gadduser中使用default.user,指定新增用户的缺省设置。
添加新用户或组时,仅简单使用标准的用户文件行。

注意:缺省设置优先于groupadmin(组管理员组)。若在default.user中指定一组..行,所有用 SITE ADDUSER 新加用户将加到此组,即使他的组管理员想将此用户添加到他的组。

——————————————————————————–

组文件

description: 该组的简单描述

users: 此组内当前用户数。若此值大于0,则不能删除此组。

slots: 此组管理员可使用的用户数及leech数。这些值在每个slot使用后,或给出leech后会改变。注意:若此组管理员将一leech用户重置比例后,leech数也不会退还,此设计是阻止leech用户轮流(rotation)。

vfsfile: 此组内所有用户使用的VFS文件。用户文件的VFS文件设置优先此文件。若未指定此文件,则使用缺省VFS文件(在ioFTPD.ini文件中设置)

——————————————————————————–

Default.group

指定新添加组的缺省设置

ISA 2004出来好几天了,转几个关于isa的帖子吧,当然,肯定是老版本的,新版本的一些教程,等论坛的老大来写吧。

这篇常见问题解答(FAQ)文档为在规划、安装和部署Microsoft? Internet Security and Acceleration (ISA) Server过程中经常遇到的问题提供了答案。

ISA Server是否需要Active Directory?

ISA Server Standard Edition并不使用或需要Active Directory?目录服务。作为ISA Server Enterprise Edition安装过程的一部分,运行Enterprise Initialization工具时需要Active Directory连通性,这个工具将使用ISA Server信息来更新Active Directory架构(在您安装的ISA Server所处域中的域控制器上)。Active Directory被用来存储企业策略设置和阵列信息,实现阵列的轻松管理,并使用多阵列模式来提供负载平衡和容错能力。为了减少对Active Directory的影响以及出于安全考虑,您可以选择在它自己的域中创建一个ISA Server阵列,然后再与现有域建立信任关系。通过这种方法,您将不必去更改现有域的架构。请注意,其他域不一定必须是Windows? 2000域。

是否存在一个清单,其中包括所有ISA Server Enterprise Initialization工具对Active Directory架构做出的修改?

在您首次将ISA Server安装为域中阵列的一个成员时,您必须运行ISA Server Enterprise Initialization工具来使用ISA Server对象修改Active Directory构架。cdroot\isa目录中的Scheme.ldif 文件也将提供一个摘要式清单,指出ISA Server对Active Directory所做的更改。

在我运行Enterprise Initialization安装了ISA Server架构后,我可以在Active Directory将它删除吗?

不可以。ISA Server架构无法从Active Directory中删除,而且ISA Server Enterprise Initialization工具在每个域中只能运行一次。要删除ISA Server架构,您必须从运行ISA Server Enterprise Initialization工具前的备份上恢复您的Active Directory配置。

如果我卸载了ISA Server,这个架构是否也从Active Directory中卸载了?

在Windows 2000 Active Directory中,这个架构是不会被删除的,它只是被解除激活状态了。在Windows Server? 2003中,这个架构将从Active Directory中删除。

我可以在域控制器上安装ISA Server吗?

我们不建议在域控制器上安装ISA Server。

在安装ISA Server时我需要什么样的权限?

ISA Server安装需要下列权限:

? 要安装一个单机 ISA Server,您必须时安装ISA Server的计算机中管理员组(Administrators)的一个成员。

? 要将ISA Server安装为企业内的一个阵列成员,您必须是安装ISA Server的计算机中域管理员组(Domain Administrators)的一个成员。

? 要在多个域中安装ISA Server,您必须是企业管理员组(Enterprise Admins)的一个成员。

? 要运行Enterprise Initialization工具来修改Active Directory架构,除了必须是本地计算机的管理员以外,您还需要是架构管理员组(Schema Admins)和企业管理员组(Enterprise Admins)的成员。

如何将Windows配置中的Proxy Server 2.0 迁移到 ISA Server?

通常,如果您从 Proxy Server 2.0 迁移到一个单机服务器,大部分为Proxy Server 2.0 创建的规则和配置元素也将随之迁移。如果您迁移到一个新的阵列,则由企业策略的默认设置来确定 Proxy Server 2.0 规则如何进行迁移。

我有评估版的ISA Server。在我购买了完全许可证版本时,是否需要重新安装并重新配置呢?

您需要重新安装这个完全版本,但是您已有的配置设置将在您重新安装时得以保存。

我怎样才能完全删除一个ISA Server安装?

要卸载ISA Server

1.
点击开始,指向设置,点击控制面板,然后双击添加或删除程序。

2.
在‘当前安装的程序’中,点击Microsoft ISA Server,然后点击删除。

注意:当您卸载Windows中的企业版ISA Server时,ISA Server架构将不会从Active Directory中删除。如果您无法使用这种方法进行卸载,请运行Rmisa.exe工具,这个工具在ISA Server目录\setupbin\I386中。

ISA Server Feature Pack 1增加了哪些功能?

ISA Server Feature Pack 1为 Microsoft Exchange Server 和 Microsoft Internet Information Services (IIS) 发布功能增加了显著的安全性。这个特性包含有多种工具和附加特性,能够帮助您更好的保护您的发布服务器。Feature Pack 1中的主要特性包括:

? Enhanced Exchange RPC过滤器

? 改进的SMTP过滤器,能够根据多种参数对电子邮件进行筛选,这些参数包括附件的名称、扩展名或大小,也包括发送者、域、关键词、或所有SMTP命令和长度

? 针对ISA Server的URLScan 2.5

? 针对RSA SecurID的Web身份验证

? OWA (Outlook Web Access)向导

? RPC过滤器配置向导

? 链接转换器(Link Translator)

………………………………

ISA Server Service Pack 1和ISA Server Feature Pack 1有什么不同?

ISA Server Service Pack 1是用来解决在ISA Server发布后发现的特定问题的。而ISA Server Feature Pack 1则为您提供了新的ISA Server特性,它只能安装在运行了具有ISA Server Service Pack 1的ISA Server的计算机上。

安装了ISA Server后,默认的配置设置是什么?

用户权限:

单机服务器:本地计算机上的管理员组成员可以配置ISA Server策略。

阵列:域管理员和企业管理员组的成员可以配置这些策略。

本地地址表:

在安装过程中,您可以使用IP地址手动地配置LAT(本地地址表),也可以根据Windows路由表进行自动的配置。

企业策略设置:

ISA Server Enterprise Edition中,当创建一个新的阵列时,该阵列将采用默认的企业策略设置。

访问控制:

站点和内容规则:除非企业策略设置被配置为禁止阵列级allow规则,否则默认的站点和内容规则——Allow Rule将允许所有的客户端在任何时刻访问任何站点上的所有内容。但是,由于没有定义协议规则,因此所有流量都被禁止通过。

包筛选:

在防火墙模式和集成模式中为 Enabled(启用)。

在缓存模式中为 Disabled(禁用)。

发布:

所有内部服务器都无法访问外部客户端。默认的 Web 发布规则忽略所有的请求。

路由:

所有Web Proxy客户端请求都直接从 Internet 中获得。

缓存:

缓存的大小被设置为安装时所指定的大小。启用超文本传输协议(HTTP)和文件传输协议(FTP)缓存。禁用活动缓存。

警告:

除了下面列出的,其他警告都是活动的:

? 所有端口扫描工具

? 丢失的包

? 协议违反

? 用户数据报协议 (UDP) 炸弹攻击

客户端配置:

在安装或配置过程中,防火墙和 Web Proxy 服务器自动启用。防火墙客户端上的 Web 浏览器应用程序在安装防火墙客户端时进行配置。

企业策略和阵列策略如何协同工作?

当您将 ISA Server Enterprise Edition 安装为阵列的一部分时,您可以实施存储在 Active Directory 中的企业范围策略,将它们应用到所有阵列成员上。由于所有阵列计算机都能够访问 Active Directory,因此您可以从任何一个阵列成员上对单个企业范围的策略进行设置和修改。企业管理员可以通过阵列级的策略设置来加强企业策略。但这些阵 列级策略设置只能进一步限制企业级设置;它们不能提供更多的权限。

为了使 ISA Server 正常运行,安装了 ISA Server 的 Windows 2000 服务器是否必须是本地域的成员?

不需要。ISA Server 不需要与它所保护的客户端计算机共处于同一个域中。但是,如果您需要为 Internet 访问实现用户身份验证,那么将 ISA Server 放置在同一个域中将使得身份验证管理更为方便。当然,您也可以在另一个信任域中管理用户身份验证。

ISA Server 和 Internet Connection Firewall (ICF)有什么不同?

Microsoft Windows XP 和 Windows Server 2003(Standard 和 Enterprise Editions)都具有内建的 Internet Connection Firewall (ICF),用于保护个人工作站或膝上型计算机,防止黑客和病毒攻击。ISA Server 2000 是一个企业级防火墙,从一开始就是被 Microsoft 用来保护整个网络的。ISA Server 是一个多层防火墙,为应用程序层的筛选进行了优化,并能够保护各种规模的公司 。ICF 为家庭用户和小型公司用户(少于五人)提供了阻止攻击的基本保护。

我可以在 ISA Server 上使用 DCOM 吗?

一般情况下,您无法将 DCOM 和 ISA Server 一起使用。这是因为 DCOM 服务器将它的 IP 地址嵌入到一个接口编组包中,外部客户端将使用这个数据包来连接到 DCOM 服务器。

当在内部网络或外围网络的 DCOM 服务器与 Internet 之间使用网络地址转换(NAT)时,外部客户端将无法使用真正的 IP 地址来到达发布的 DCOM 服务器,连接尝试将会失败。

但是,您可以在DCOM对的其中一个节点上配置路由和远程访问(Routing and Remote Access),在另一个节点上配置 PPTP 客户端连接,从而在 DCOM 对之间启用点对点隧道协议(PPTP)。

我可以在 ISA Serve r计算机上运行 ICS 吗?

网络地址转换(NAT)功能集成于运行 Windows 2000 的计算机中,它是 Windows 2000 路由和远程访问的标准特性之一,Internet 连接共享(ICS)是 Windows 2000 Professional 的一部分。ISA Server SecureNAT功能替代了 Windows 2000 NAT 和 ICS 提供的功能,您应该在安装 ISA Server 前删除这些特性。

我在 ISA Server 计算机上增加了一块网络适配器,但是当我试图设置新的发布规则时,外部 IP 列表是空的。当我试图手动输入 IP 地址时,出现了错误。这是为什么?

请检查网络适配器是否正确安装。检查这个网络适配器的 IP 地址是否包含在本地地址表(LAT)中。

我可以将我的 ISA Server 计算机连接到多个 Internet 连接吗?

ISA Server 无法直接这样做,但是您可以使用其他 ISA Server 合作伙伴软件来实现这个目的。

我可以只用一块网络适配器来配置 ISA Server 吗?

可以。您可以使用一块网络适配器将 ISA Server 配置为仅限缓存模式。在仅限缓存模式中,只支持 Web Proxy 客户端。如果您只使用一块网络适配器将ISA Server安装为集成模式,那么可能会出现问题。

为什么在安装了 ISA Server 我无法访问 Internet?

在安装后,ISA Server 将采用“阻止所有”这个最安全的方法。这意味着所有的流量都是被阻止的,除非您明确地创建访问策略规则或 IP 数据包过滤器来允许传入和传出的流量。

要访问 Internet,您需要一个允许访问特定站点的站点和内容规则,还需要一个允许访问特定协议的协议规则。

在安装了 ISA Server 后,会自动地创建一个默认的站点和内容规则。这个站点和内容规则允许所有用户在任何时刻访问所有的目标。您可以使用这个默认规则;或者禁用这个规则,创建自己的站点和内容规则,从而允许或禁止到 Internet 位置的访问。

在您创建了站点和内容规则后,您还需要一个协议规则,用于您所允许的协议。要创建一个协议规则,请按照下列步骤操作:

? 使用‘为Internet访问创建协议规则’向导。在默认情况下,这个向导为您提供了下列协议:

? HTTP

? HTTPS

? FTP

? FTP Download

? Gopher

您可以选择始终应用这个规则,或仅在特定时段应用这个规则;也可以对所有请求应用这个规则,或仅限于特定用户的请求。

? 要打开这个向导

1.
请在 “ISA 管理” 的节点树中点击Internet Security and Acceleration Server。

2.
在显式窗格的欢迎页面中,点击启动向导。

3.
点击配置协议规则,然后点击为 Internet 访问创建协议规则来打开这个向导。

? 您可以创建一个允许协议规则来:

? 启用所有IP流量协议或指定您所允许的协议。

? 在任何时刻都启用协议使用,或仅限您指定的特定时间段。

? 为所有请求启用协议,或仅限来自特定用户的请求。

在您创建了站点和内容规则以及协议规则后,允许使用指定协议对指定目标进行访问,此时 ISA Server 将允许您在规则中指定的所有客户端进行访问。

(献给没接触过ISA的朋友)什么是ISA Server2000
ISA Server概述

ISA Server是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且,通过本地而不是Internet为对象提供服务,其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA Server时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二者兼备。
ISA Server提供直观而强大的管理工具,包括Microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具,ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。

ISA Server提供一个企业级Internet连接解决方案,它不仅包括特性丰富且功能强大的防火墙,还包括用于加速Internet连接的可伸缩的Web缓存。根据组织网络的设计和需要,ISA Server的防火墙和Web缓存组件可以分开配置,也可以一起安装。
ISA Server有两个版本,以满足您对业务和网络的不同需求。ISA Server标准版可以为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存能力。ISA Server企业版是为大型组织设计的,支持多服务器阵列和多层策略,提供更易伸缩的防火墙和Web缓存服务器。
利用Windows 2000安全数据库,ISA Server允许您根据特定的通信类型,为Windows 2000内定义的用户、计算机和组设置安全规则,具有先进的安全特性。
利用ISA Management控制台,ISA Server使防火墙和缓存管理变得很容易。ISA Management采用MMC,并且广泛使用任务板和向导,大大简化了最常见的管理程序,从而集中统一了服务器的管理。ISA Server也提供强大的基于策略的安全管理。这样,管理员就能将访问和带宽控制应用于他们所设置的任何策略单元,如用户、计算机、协议、内容类型、时间表和站点。总之,ISA Server是一个拥有自己的软件开发工具包和脚本示例的高扩展性平台,利用它您可以根据自身业务需要量身定制Internet安全解决方案。

ISA Server的作用

不管是什么规模的组织,只要它关心自己网络的安全、性能、管理和运营成本,对其IT管理者、网络管理员和信息安全专业人员来说,ISA Server都具备使用价值。ISA Server有3种不同的安装模式:防火墙(Firewall)模式、缓存(Cache)模式和集成(Integrated)模式。集成模式能够在同一台计算机上实现前两种模式。组织可以有多种联网方案来部署ISA Server,包括以下所述的几种方法。

1. Internet防火墙
ISA Server可以安装成专用防火墙,作为内部用户接入Internet的安全网关。在信道里ISA Server计算机对其他方来说是透明的。除非是违反了访问或安全规则,那么任何用户或应用程序通过防火墙时都看不到ISA Server。
作为防火墙,ISA Server允许设置一组广泛的规则,以指定能够通过ISA Server的站点、协议和内容,由此实现您的商业Internet安全策略。通过监视内部客户机和Internet之间的请求和响应,ISA Server可以控制哪些人能够访问公司网络里的哪台计算机。ISA Server还能控制内部客户端能够访问Internet上的哪台计算机。

2.安全服务器发布
使用ISA Server您能够向Internet发布服务,而且不会损害内部网络的安全。要实现这一点,只需让ISA Server计算机代表内部发布服务器来处理外部客户端的请求即可。

3. 正向Web缓存服务器
作为正向Web缓存服务器,ISA Server保存集中缓存内经常受到请求的Internet内容,专用网络内的任何Web浏览器都可以访问这些内容。这样可以改善客户端浏览器的性能,缩短响应时间,并且减少Internet连接的带宽消耗。

4. 反向Web缓存服务器
ISA Server可以作为Web服务器。它用缓存中的Web内容来满足传入的客户端请求。只有缓存中的内容不能满足请求时,它才会把请求转发给Web服务器。

5. 防火墙和Web缓存集成服务器
组织可以将ISA Server配置成单独的防火墙和缓存组件。不过,有些管理员会选择单一的防火墙和Web缓存集成服务器,以提供安全快速的Internet连接。不管组织如何配置ISA Server,都能从集中化、集成的基于策略的管理中受益。

2004年09月02日

因为你有更多的事情要做

2004年08月31日

人生的一半是倒霉,另一办是如何处理倒霉