freebsd

FreeBSD是一个自由的，源自AT&T UNIX的操作系统。目前已经不包含任何AT&T的代码。可以说它是正统的UNIX后代。而Linux是由一个芬兰Helsinki大学的学生Linus Torvalds开发的UNIX的克隆。在Linus上大学的时候，由于AT&T与加州大学伯克莱分校在BSD版权问题上发生了法律纠纷，导致BSD的源代码还不能自由使用，所以Li

安全工具　　虽然只使用FreeBSD基本系统提供的功能，就能将计算机系统设置为具有非常高的安全性的系统。然而网络上也存在各种用于增强或检查系统安全性的软件工具，有些工具是标准程序的更安全替代品，增强了系统安全性，有些是对系统或网络进行监视和检查的工具。使用这些工具，毫无疑问会进一步增强系统的安全性。FreeBSD

CGI和SSI的安全性　　允许根据用户的请求而在服务器上运行程序，本身就是一种安全漏洞，因此只有在必要时，才允许用户使用这些功能。　　对于SSI，安全问题比较简单，可以将其设置为只分析普通标志，不执行外部程序，这必须在配置文件中使用 Options IncludesNOEXEC选项，而非Options Includes选项。就能满足对安全性的一般

安全问题　　当要维护网络安全的时候，需要加以了解的关键问题就是网络漏洞可能存在于位于何处。只有了解攻击者会从何处入手，才能采取相应的措施加强系统的安全。下面部分针对可能存在的安全漏洞进行了简单的概括，这些地方都是网络安全需要注意的方面。　　物理安全性：网络窃听与地址欺骗　　物理安全性的安全性非常重要

数据处理方式　　当浏览器通过各种请求方法，试图从服务器获得数据的时候，服务器就必须将正确的数据返回给浏览器。浏览器并不关心服务器是如何进行处理的，服务器可以返回一个预先编辑好的HTML文档，也能根据请求动态生成返回的数据。而WW W的一大特点就是能用来传送多媒体数据，并且这些数据的传送是完全透明的，通过同样

基于用户的访问控制　　更严格、有效的控制方法还是基于用户和对应的口令对浏览客户进行控制。这使得对这个目录进行强制性的保护，浏览器用户必须输入合法的用户名和正确的口令才能浏览网页。如果要针对用户对访问服务器的客户进行控制，首先就要设置访问控制文件为对用户进行认证，因此要允许目录访问控制文件中具备AuthCo

设置防火墙功能　　通过设置，FreeBSD系统能够具备更高的安全性，防止外界入侵者进入系统，即使入侵者利用人为的问题进入系统，FreeBSD严密的保护也将使他们无所作为，不能对系统造成严重的破坏。然而，除了用于保护系统本身的能力之外，FreeBSD还能用于保护同一个网络内的其他计算机。此时这个FreeBSD系统就必须作为内部网

基于NAT的负载均衡技术　　网络地址转换为Internet网关的一个重要功能，它能将内部地址和外部地址进行转换，以使具备内部地址的计算机能访问外部网络。同样外部网络访问网关拥有的某一外部地址时，地址转换网关能将其转发到该地址映射的内部地址的计算机上。　　因此，可以通过重新修改地址转换程序，使得地址转换网关能将

FreeBSD系统是一种安全性非常好的通用操作系统，在Internet上很少发生FreeBSD系统被攻击的报告，事实上最近一端时间内CERT的安全报告中几乎没有发生在FreeBSD系统上的安全报告。一方面是因为 FreeBSD安全性很好，另一方面也是由于FreeBSD用户对于系统安全比较了解的缘故。　　与其他Unix系统相比，FreeBSD系统的传统味道更

防火墙技术　　将本地网络连接到Internet之后，Internet上的计算机就能自由访问本地网络中的计算机了。显然，由于本地网络属于同一个组织，本地网络中的计算机相互之间都可以信任，而外部Internet上的计算机可能来自任意地方，因此不可信任。如何给可信任的本地网络中的计算机提供资源，而不给其他Internet上的计算机提供访

调整服务器性能　　前面介绍了Apache服务器的基本设置选项，通过调整这些设置，就能使Web服务器达到非常优秀的性能。此外，还可以调整操作系统的设置，包括重新定制整个系统，使之适合高负载的Web服务器。进一步，还可以利用Apache 提供的各种服务器技术，如FastCGI、PHP等，充分发挥Web服务器的作用。　　调整Web服务器的

服务器的安全控制　　Apache提供的各种特性非常丰富，主要是由于其采用的是模块化的结构，这样就很容易进行分布式开发。 Internet上的众多开发者为Apache提供了各种各样的能力，使其能具备其他的Web服务器不能与之相比的能力。在服务器所具备的众多特性中，安全控制的特性最为有用。　　对IP地址和域名的控制　　Apache服务

设置和使用ipfilter　　虽然ipfw/natd已经是相当强大的网络地址转换及防火墙系统，然而它还是有一定的缺点存在。其中最重要的一个缺点是natd是使用守护进程的方法来进行地址转换，因为它没有运行在内核中，而是通过divert socket 来和内核通信，这种方式虽然比较灵活，但效率显然要低一些。　　另外，natd的功能还不能满足

设置和使用DHCP　　在FreeBSD的Packages Collection中，有两个不同的DHCP客户机和服务器软件，一个为ISCDHCP，另一个为WIDEDHCP，两个软件都包括了DHCP客户软件和服务器软件，其中ISCDHCP 更为常用一些，这里就以ISCDHCP为例介绍在FreeBSD上安装和设置DHCP。　　为了支持DHCP，首先要确认系统内核支持伪设备bpfilter，如果

配置Apache服务器(2)　　主服务器设置　　Apache服务器需要各种设置，以定义自己使用各种参数以提供Web服务。对于使用虚拟主机的情况，除了在虚拟主机的定义项中覆盖的设置之外（有的设置必须重新定义），这里的设置也是虚拟主机的缺省设置。　　Port 80　　Port定义了Standalone模式下httpd守护进程使用的端口，标准端口是

第9章 设置WWW服务　　由于能够提供图形、声音等多媒体数据，WWW已经成为Internet使用者最喜爱的访问方式，当前的大部分 Internet流量均是由WWW浏览产生的。由于这种多媒体浏览方式的帮助，Internet不再仅仅是由专业人员使用，对计算机了解不多的普通使用者也能进入Internet的世界，享受Internet带来的新鲜内容。　　虽然WW

安全连接方式SSL　　通常的连接方式中，通信是以非加密的形式在网络上传播的，这就有可能被非法窃听到，尤其是用于认证的口令信息。为了避免这个安全漏洞，就必须对传输过程进行加密。对HTTP传输进行加密的协议为HTTPS，它是通过SSL（安全Socket层）进行HTTP传输的协议，不但通过公用密钥的算法进行加密保证传输的安全性，

反向代理负载均衡　　前面提到了使用代理服务器可以将请求转发给内部的Web服务器，使用这种加速模式显然可以提升静态网页的访问速度。然而，也可以考虑这样一种技术，使用代理服务器将请求均匀转发给多台Web服务器上，从而达到负载均衡的目的。　　Apache开发组的一位成员Ralf S.Engelschall基于Apache的代理模块mod_proxy

构建防火墙　　防火墙的主要目标是控制内部网络和外部Internet之间的连接，有限制的允许内部网络中的计算机访问Internet 上的服务，但限制外部网络访问内部计算机。为了实现这个目的，至少需要一个具有两个（或更多）网络界面的计算机，它的一个网络界面连接外部网络，另一个网络界面连接内部网络。然而如何实现限制网络访

配置Apache服务器(1)　　Apache服务器的设置文件位于/usr/local/etc/apache目录下，传统上使用三个配置文件httpd.conf,access.conf和srm.conf，来配置Apache服务器的行为。httpd. conf提供了最基本的服务器配置，是对守护程序httpd如何运行的技术描述；srm.conf是服务器的资源映射文件，告诉服务器各种文件的MIME类型，以及