FushionServer XH321服务器节点技术白皮书

运维堡垒机产品白皮书启明星辰目录堡垒机•需求分析•产品简介•功能特点•技术优势•典型应用•用户价值需求分析随着企业信息化进程不断深入，企业的IT系统变得日益复杂，不同背景的运维人员违规操作导致的安全问题变得日益突出起来，主要表现在：内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用风险、系统共享账号安全隐患、违规行为无法控制的风险。

运维操作过程是导致安全事件频发的主要环节，所以对运维操作过程的安全管控就显得极为重要。

而防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于运维人员的违规操作却无能为力。

如何转换运维安全管控模式，降低人为安全风险，满足企业要求，是当下所面临的迫切需求。

产品简介产品简介天玥运维安全网关，俗称堡垒机，能够对运维人员维护过程进行全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台。

运维过程三个阶段进行严格管控：事前预防：建立“自然人-资源-资源账号”关系，实现统一认证和授权事中控制：建立“自然人-操作-资源”关系，实现操作审计和控制事后审计：建立“自然人-资源-审计日志”关系，实现事后溯源和责任界定功能特点•部署方式灵活性：天玥运维安全网关支持单机、双机、分布式部署多种部署方式，并支持NAT和网口聚合方式，适应多变业务场景。

•操作使用便捷性：天玥运维安全网关提供多种运维方式、C/S运维客户端、资源批量登录、命令批量执行、设备自动改密等多种功能以保证运维过程的自动和快捷性。

•管控方式严格性：天玥运维安全网关提供命令限制与复核、应用发布防跳转、运维账号IP、MAC限制等。

严格的管控方式以保证运维过程的规范性。

•审计效果精细化：数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。

华为FusionSphere虚拟化套件SSD直通技术白皮书目录1NVMe SSD直通 (1)1.1概述 (1)1.2原理 (1)1.2.1PCI直通 (1)1.2.2NVMe SSD (3)2华为方案 (4)2.1方案简介 (4)2.2方案特点 (4)2.3方案约束 (4)3NVMe SSD直通应用场景 (5)4缩略语表 (6)1N VMe SSD直通1.1概述存储虚拟化让IT管理员可以通过一种便利的方式管理数据中心的存储设备，简化管理。

通过精简卷提高了资源利用率，但虚拟化技术增加了虚拟机IO访问路径长度、主机上用户态与内核态切换次数，同一设备上的资源竞争，导致IO性能有所损失。

设备直通技术为虚拟机提供了一种机制来直接访问物理设备，以减小虚拟化带来的开销，使虚拟机有接近物理设备的性能。

随着计算机能力的不断增强，存储技术也在不断的发生变化，SSD的出现，摆脱了传统HDD的磁头、盘片及电机等机械部件，不会出现任何机械故障，相对于HDD而言，SSD在性能、可靠性、能耗方面都有着绝对的优势，基于NVME协议标准的SSD相比使用SATA接口与AHCI标准的SSD大幅的降低了延迟、提升了IOPS，使得SSD的随机性能得到了极大的提升。

虚拟化环境下在对IO性能有极致需求的场景下面临着极大的挑战，基于普通存储设备提供的存储虚拟化能力根本无法满足诉求，NVMe SSD直通可以完美的解决这一问题，直通技术解决了虚拟化带来的开销，NVMe SSD提供最强的硬件能力。

1.2原理1.2.1PCI直通SSD直通是将SSD设备作为PCI设备通过PCI直通技术完成，当前有两种直通设备实现方式：kvm pci-assign和VFIO。

在虚拟机看来，直通设备是物理上连接在PCI或者PCI-E总线上的，虚拟机对该设备的I/O交互操作和实际的物理设备操作完全一样。

1.2.1.1PCI-ASSIGN使用pci-assign方式时，通过硬件虚拟化技术将宿主机中的物理PCI 设备直接分配给虚拟机，虚拟机以独占方式访问宿主机的PCI/PCI-E 设备，这种方式存在一些缺陷, KVM 是hypervisor并不是设备驱动，资源访问方式与安全启动并不兼容，仅支持PCI设备、X86平台、KVM虚拟化引擎。

深信服服务器虚拟化产品技术白皮书深信服科技声明市深信服电子科技所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明外，其著作权或其它相关权利均属于市深信服电子科技。

未经市深信服电子科技书面同意，任何人不得以任何方式或形式对本文档的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其容如有更改，恕不另行通知。

市深信服电子科技在编写本文档的时候已尽最大努力保证其容准确可靠，但市深信服电子科技不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：省市学苑大道1001号南山智园A1栋邮编：518055电话：09传真：09您也可以访问深信服科技：获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器（和VMM同义）VMM VMM Virtual Machine Manager 虚拟机监视器HA HighAvailability 高可用性vMotion vMotion 实时迁移DRS Distributed Resource Scheduler 分布式资源调度程序FC Fibre Channel 光纤通道HBA Host Bus Adapter 主机总线适配器RAID Redundant Arrays of IndependentDisks磁盘阵列IOPS Input/Output Operations Per Second 每秒读写（I/O）操作的次数VM Virtual Machine 虚拟机LUN Logical Unit Number 逻辑单元号目录第1章服务器虚拟化介绍 (1)第2章深信服服务器虚拟化aSV解决方案 (2)2.1技术原理 (2)2.2解决方案 (4)2.3计算虚拟化 (5)2.4存储虚拟化 (6)2.5网络虚拟化 (8)2.6高可用 (8)2.7管理与运维 (9)2.8备份与恢复 (10)第3章深信服aSV特色技术............................................ 错误!未定义书签。

S A N技术白皮书Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】SAN技术白皮书存储区域网介绍目前的现状及对SAN的需求现在的计算机网络系统，基本都是以服务器为中心的处理模式，存储设备（包括磁盘阵列，磁带库，光盘库等）作为服务器的外设使用，例如我们经常见到这样的典型应用：在一个计算机网络系统中，有三个服务器，其中一个NT服务器（NT指的是计算机操作系统的核心），一个SUN Solaris（SolarisSolaris 是Sun Microsystems研发的计算机操作系统。

它被认为是UNIX操作系统的衍生版本之一。

）服务器，一个HP UX服务器（HP-UX就是HP公司自己开发的适合自己的服务器产品的UNIX。

），分别带有各自的存储设备，其结构如图1-1所示。

SCSISCSI图1-1 以前的服务器/存储器互连结构从图中看到，NT服务器，SUN服务器，HP服务器各带一个磁盘阵列，磁带库安装在HP服务器上，当服务器之间交换数据或向磁带库备份时，都是通过局域网（LAN）进行，特别是当NT服务器和SUN服务器向磁带库备份时，将占用大量的网络开销，严重影响网络的性能。

传统的存储设备一般都是SCSI接口，其带宽在40MB/s左右，传输较慢。

这样，针对目前的网络环境，下列的需求变得越来越迫切：能够共享的大容量、高速度存储设备。

不占用LAN资源的大量数据传输和备份。

通过上面的分析，一个概念呼之欲出：网络存储。

这种网络不同于传统的局域网和广域网，它是将所有的存储设备连接在一起构成存储网络. 目前技术的发展已为我们提供了可能,光纤通道（Fibre Channel）的存储设备(千兆速度的存取),光纤通道的Switch等设备的出现将存储领域推向了网络化的新阶段。

诞生了存储区域网（Storage Area Network）。

SAN以光纤通道（FC）为基础,实现了存储设备的共享; 突破现有的距离限制和容量限制;服务器通过存储网络直接同存储设备交换数据,释放了宝贵的LAN资源。

惠普ProLiant服务器技术白皮书随着关键业务应用对系统资源提出了越来越高的要求，提高系统带宽已经成为一个至关重要的问题。

在分析和评估了现有的系统结构之后，惠普公司确定了一种新的系统结构，它具有更好的性能、较高的处理器、高效的内存技术和I/O 扩展性及更高的带宽，能够满足日益复杂的事务处理、数据库、互联网/企业内部互联网和文件/打印应用的要求。

HP最新的内存保护技术由于互联网在诸如电信、金融等对存储要求非常高的行业上的应用越来越广泛，增大服务器容量已经成为必需满足的要求。

未来，互联网的使用将渗透到各个行业，因此提高数据中心（data center）的计算能力成了生产商和服务商都关心的问题。

目前，服务器厂商在他们生产的服务器上采用了更快的处理器和更大的内存，这带动了相关技术的不断发展变化。

当前有很多企业都通过裁减IT部门职员的办法来缩减开支。

在此情况下，服务器必须具备更高的容错能力，以减少设备检修所需的时间和花费。

要满足大规模应用的要求，服务器的制造商面临的问题就是在扩展内存的密度、增大内存的容量的同时，保证系统内存的可靠性。

惠普也面临同样的问题，解决的办法是利用3种容错内存保护技术（fault-tolerant memory protection technologies）：在线备份内存、热插拔镜像内存和热插拔RAID内存。

以上提到的惠普AMP技术是系统可靠性的保证，用户可以根据自己对内存可靠性的要求自由选择系统配置，这将为其工作取得成功提供必要的基础。

介绍目前运行在工业标准服务器上的重要的商用软件所需的内存空间越来越大。

从趋势上看，新的操作系统可以支持更大的内存，同时服务器内存的容量也在不断扩大。

这些年来系统内存的可靠性越来越高，主要原因是有了更好的制作工艺和更新的内存保护技术例如ECC －它是由惠普首先在工业标准的服务器上采用的一项技术。

然而，随着存储元件密度的增加、服务器容量的加大，内存发生错误的几率也跟着增大了。

捷普安全运维管理系统Jump Gatekeeper白皮书Version 2.0西安交大捷普网络科技有限公司2014年1月目录一、运维管理面临的安全风险 (1)1.运维操作复杂度高 (1)2.运维操作不透明 (1)3.误操作给企业带来严重损失 (2)4.IT运维外包给企业带来管理风险 (2)5.法律法规的要求 (2)6.人员流动性给企业带来未知风险 (2)二、运维审计势在必行 (3)1.设备集中统一管理 (3)2.根据策略实现对操作的控制管理 (3)3.实时的操作告警及审计机制 (3)4.符合法律法规 (3)5.易部署、高可用性 (4)三、安全运维管理方案 (5)1.捷普安全运维管理系统简介 (5)2.应用环境 (6)四、系统功能 (7)1.运维事件事前防范 (7)1）完整的身份管理和认证 (7)2）灵活、细粒度的授权 (7)3）后台资源自动登录 (7)2.运维事件事中控制 (8)1）实时监控 (8)2）违规操作实时告警与阻断 (8)3.运维事件事后审计 (9)1）完整记录网络会话过程 (9)2）详尽的会话审计与回放 (9)3）完备的审计报表功能 (9)五、系统部署 (11)六、系统特点 (13)1.全面的运维审计 (13)2.更严格的审计管理 (13)3.高效的处理能力 (13)4.丰富的报表展现 (14)5.完善的系统安全设计 (14)七、产品规格参数 (15)1.参数规格 (15)2.产品功能 (15)一、运维管理面临的安全风险随着IT建设的不断深入和完善，计算机硬软件系统的运行维护已经成为了各行各业各单位领导和信息服务部门普遍关注和不堪重负的问题。

由于这是随着计算机信息技术的深入应用而产生的，因此如何进行有效的IT 运维管理，这方面的知识积累和应用技术还刚刚起步。

对这一领域的研究和探索，将具有广阔的发展前景和巨大的现实意义。

大中型企业和机构纷纷建立起庞大而复杂的IT系统，IT系统的运营、维护和管理的风险不断加大。

CENTEC以太网交换机ERPS技术白皮书盛科网络（苏州）有限公司声明Copyright ©2006-2007盛科网络（苏州）有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

技术支持用户支持邮箱：support@网址：http:// 目录第1章 ERPS的原理 (4)1.1前言 (4)1.2ERPS基本介绍 (4)1.2.1 ERPS 基本概念 (4)1.3ERPS协议原理 (8)1.3.1 ERPS基本原理 (8)1)ERPS协议基础 (8)2)Polling机制 (8)3)链路状态变化通知机制 (8)第2章协议作用解析 (13)2.1健康状态（C OMPLETE S TATE） (13)2.2链路故障 (14)2.3故障恢复 (15)第3章典型运用和配置 (18)3.1单环组网 (18)3.1.1 组网图 (18)3.1.2 配置 (18)3.2相切环组网 (20)3.2.1 组网图 (20)3.2.2 配置 (20)3.3相交环组网 (23)3.3.1 组网图 (23)3.3.2 配置 (23)第1章 ERPS的原理1.1 前言在二层网络中，对于网络可靠性一般采用STP协议，STP协议是由IEEE开发的一种标准的环网保护协议，并得到广泛应用，但实际应用中受到网络大小的限制，收敛时间受网络拓扑影响。

STP一般收敛时间为秒级，网络直径较大时收敛时间更长，采用RSTP/MSTP虽然可以减少收敛时间，但是对于3G/NGN语音等高服务质量要求的业务仍然不能满足要求。

为了缩短收敛时间，消除网络尺寸的影响，ERPS协议应运而生。

ERPS是一个专门应用于以太网环的链路层协议，它在以太网环中能够防止数据环路引起的广播风暴；当以太网环上一条链路断开时，能迅速启用备份链路以恢复环网上各个节点之间的通信。

和STP协议相比，ERPS协议具有拓扑收敛速度快（低于50ms） 和收敛时间与环网上节点数无关的特点。

FusionStorage 技术白皮书FusionStorage 8.0 技术白皮书目录目录1概述 (1)2产品价值 (2)2.1分布式存储，随需而用 (2)2.2以弹性高效满足关键业务数据存储需求 (3)2.3丰富的企业级特性，助您构建高可用数据中心 (3)2.4开放兼容，下一代云基础设施的理想选择 (3)2.5智能数据服务与系统运维管理 (3)3产品架构 (5)3.1相关概念 (5)3.2软件架构 (6)3.3硬件架构 (7)3.4网络架构 (8)3.4.1以太网组网方案 (8)3.4.1.1部署方式 (8)3.4.1.2计算和存储分离部署 (8)3.4.1.3计算和存储融合部署 (11)3.4.2InfiniBand 组网方案 (13)3.4.2.1部署方式 (13)3.4.2.2计算和存储分离部署 (13)3.4.2.3计算和存储融合部署 (15)3.4.3RoCE 组网方案 (17)3.4.3.1部署方式 (17)3.4.3.2计算和存储分离部署 (17)3.4.3.3计算和存储融合部署 (19)3.5关键服务流程 (21)3.5.1组件描述 (21)3.5.2访问协议 (22)3.5.3数据路由 (23)3.5.4读IO 流程 (24)3.5.5写IO 流程 (24)4块存储特性 (26)4.1精简配置 (26)4.2重删压缩 (26)4.3多资源池 (28)4.4数据加密 (29)4.5QoS (30)4.6 快照 (32)4.7 克隆 (34)4.8异步复制 (34)4.9AA 双活 (35)5弹性扩展 (37)5.1DHT 算法 (37)5.2平滑扩容 (39)5.3性能扩展 (40)6高性能 (42)6.1分布式存储优化算法 (42)6.1.1动态智能分区和静态选盘算法 (42)6.1.2快速编码快速重构的弹性EC 算法 (43)6.2分布式SSD Cache 加速 (45)6.2.1Write Cache (46)6.2.2Read Cache (47)6.2.3大IO Pass Through (48)6.2.4动态Cache 调整 (49)7安全性 (50)7.1安全框架 (50)7.2设备安全 (51)7.3网络安全 (51)7.4业务安全 (52)7.5管理安全 (52)8可靠性 (53)8.1硬件可靠性 (53)8.2软件可靠性 (54)8.2.1节点冗余设计 (54)8.2.2网络链路聚合 (54)8.2.3亚健康管理 (55)8.2.3.1硬盘亚健康管理 (55)8.2.3.2网络亚健康管理 (56)8.2.3.3服务亚健康管理 (56)8.2.3.4快速换路重试 (56)8.3数据可靠性 (56)8.3.1数据保护 (56)8.3.1.1多副本 (57)8.3.1.2纠删码 (57)8.3.1.3多故障域 (58)8.3.1.4掉电保护 (59)8.3.1.5快速数据重建 (59)8.3.2数据一致性 (60)8.3.2.1强一致性复制协议 (60)8.3.2.2读修复技术 (60)8.3.2.3数据完整性保护 (60)8.4解决方案可靠性 (61)8.4.1本地数据保护 (61)8.4.2业务连续性保护 (62)8.4.2.1AA 双活 (62)8.4.2.2异步复制 (62)9开放兼容性 (64)9.1存储协议兼容性 (64)9.2虚拟化平台兼容性 (64)9.3云管平台兼容性 (65)9.3.1OpenStack 云管平台 (65)9.3.2非OpenStack 云管平台 (65)9.4综合网管平台兼容性 (65)9.5软件兼容性 (66)9.5.1操作系统兼容性 (66)9.5.2数据库软件兼容性 (66)9.5.3大数据应用兼容性 (66)9.6硬件兼容性 (66)9.6.1服务器硬件 (66)9.6.2存储介质兼容性 (67)9.6.3IO 板卡兼容性 (67)10存储永新 (68)10.1存储服务更新 (68)10.2系统滚动升级 (69)10.3新硬件替换 (69)10.3.1老平台纳管 (69)10.3.2新硬件加入 (70)11存储管理 (71)11.1块存储服务 (71)11.2块存储集群管理 (72)11.3eSight 数据中心级管理 (72)11.4eService 云化管理 (73)11.5SmartKit 智能巡检 (73)12缩略语 (74)1 概述随着数据不断增长以及互联网业务的兴起，新兴应用对存储需求的快速变化以及不确定性成为主要挑战，在金融行业，银行要抓住互联网、特别是移动互联网金融崛起带来的机遇，同时也不得不迎接由此带来的挑战：新业务天级甚至小时级上线；更精准的用户需求分析等。

Secure Boot for Linux on HPE ServersEnhanced security for your Linux environmentContentsWhat is Secure Boot? (2)Chain of trust (2)HPE Server support for Secure Boot (3)Limitations of Secure Boot (3)Secure Boot on HPE Servers (3)Enabling/Disabling Secure Boot (3)Signing a kernel module and loading the associated key in the MOK (4)Building and Booting a Custom Kernel (6)Resources (8)Technical white paperSecure Boot for high performance computing software, as defined inthe UEFI specification, provides an industry standard defense against potential malware attacks. Without Secure Boot, malware can attack systems during pre-boot by targeting the system-embedded firmware during the interval between BIOS initiation and operating system load. Malware inserted at this point compromises the security of the operating system, no matter how secure. Secure Boot protects the system by preventing the insertion of malware during the pre-boot process.This technical white paper introduces Secure Boot technology and explains what it is, how it works and how to use it on UEFI-basedHPE servers running Linux®.What is Secure Boot?Secure Boot, a high performance computing software solution, is a method to restrict which binaries can be executed to boot the system. With Secure Boot, the system BIOS will only allow the execution of boot loaders that carry the cryptographic signature of trusted entities. In other words, anything run in the BIOS must be “signed” with a key that the system knows is trustworthy. With each reboot of the server, every executed component is verified. This prevents malware from hiding embedded code in the boot chain.Secure Boot is:•Intended to prevent boot-sector malware or kernel code injection.•Hardware-based code signing.•Extension of the UEFI BIOS architecture.•Optional with the ability to enable or disable it through the BIOS.For a more detailed description of what Secure Boot is and how it works, see the Resources section.Chain of trustSLES, RHEL 7.0, and greater distributions support a chain of trust which goes down to the kernel module level. Loadable kernel modules must be signed with a trusted key or they cannot be loaded into the kernel.The following trusted keys are stored in UEFI NVRAM variables:•Database (DB)—Signature database that contains well know keys. Only binaries that can be verified against the DB are executed by the BIOS.•Forbidden Signature Database (DBX)—Keys that are blacklisted. Attempting to load an object with a key that matches an entry in the DBX will be denied.•Machine Owner Key (MOK)—User added keys for kernel modules they want to install.•Platform Key (PK)—The key installed by the hardware vendor.•Key Exchange Key (KEK)—The key required to update the signature database.The user must have physical access to the system console to add/modify keys or enable/disable Secure Boot through the UEFI configuration menu.The default boot loader on most UEFI enabled servers running Linux is grub2 or elilo. With Secure Boot enabled, an additional “shim” boot loader is needed. When booting in Secure Boot mode, the shim loader is called first since it contains a trusted signature. The shim will then load grub2 or elilo which loads the OS kernel which is also signed.HPE Server support for Secure BootHPE Gen9 servers and greater with UEFI enabled will support Secure Boot. To determine whether Secure Boot is supported on a specific platform and enabled or disabled by default, please check the system specifications.Some Linux distributions extend the chain of trust to the kernel module. Consult the distribution’s documentation for what level of Secure Boot support is provided.Limitations of Secure BootWith Secure Boot enabled, some actions on a Linux system are either limited or restricted.•Hybrid ISO images are not recognized as bootable on UEFI systems. Thus, UEFI booting from USB devices is not supported.•Boot loader, kernel, and kernel modules must be signed.•kexec and kdump are disabled.•Hibernation (suspend on disk) is disabled.•Read and Write access to /dev/kmem and /dev/mem is not possible, not even as root user.•Access to I/O port is not possible, even as root user. All X11 graphical drivers must use a kernel driver.•PCI BAR access through sysfs is not possible.•custom_method in ACPI is not available.•acpi_rsdp parameter does not have any effect on the kernel.Secure Boot on HPE ServersTo determine if Secure Boot is enabled, run the following command in Linux:mokutil --sb-stateEnabling/Disabling Secure BootTo enable or disable Secure Boot do the following:1.During system boot, press F9 to run the System Utilities.2.Select “System Configuration”.3.Select “BIOS/Platform Configuration (RBSU)”.4.Select “Server Security”.5.Select “Secure Boot Configuration”.6.Select “Enable Secure Boot” to toggle the state on or off (see Figure 1).7.Exit the all RBSU menu screens using the Esc key.For more information, see the HPE UEFI System Utilities User Guide.Figure 1. Enabling Secure Boot through the HPE Server BIOSNote for SLES installationsIf you want to use Secure Boot with SLES, it is advisable to make sure that Secure Boot is enabled prior to installing the operating system. If it is not enabled prior to the installation of SLES, the system may not include all the components needed for Secure Boot. RHEL installations do not have these limitations.Signing a kernel module and loading the associated key in the MOKA Machine Owner Key (MOK) is a type of user generated key that is used to “sign”, or authenticate as trustworthy, an Extensible Firmware Interface (EFI) binary. MOK gives you ownership of the boot process by allowing you to run locally-compiled kernels or boot loaders not delivered with the Linux distribution. This means that you can install custom kernel or kernel modules that are compatible with UEFI Secure Boot. For more information, see the Administration Guide for your Linux distribution.To authenticate a kernel module and load the associated key in the MOK, complete the following steps:1.Generate a certificate/key pair with the following command:# openssl req –new –x509 –newkey rsa:2048 –sha256 –keyout key.asc –out cert.der –outform der –nodes –days 4745 –subj “/CN=$USER/”2.If necessary, sign the kernel module with a private key:# /usr/src/linux/scripts/sign-file sha256 key.asc cert.der e1000e.ko3.Move cert.der to the EFI partition4.To load the public certificate into the MOK, run the following as the root user on the operating system:# mokutil --import cert.derNoteSome certificates require a password to allow them to be loaded, if so:Input password:Input password again:5.Select “y” and the process is complete with the certificate loaded.Figure 2. Loading a public certificate into the MOKBuilding and Booting a Custom KernelTo boot a custom compiled kernel with Secure Boot enabled, it must be signed with a certificate known to the BIOS. The following SLES example illustrates how this is done.1.Enable Secure Boot on the system (see earlier section).2.Go to the kernel source directory:$ cd /usr/src/linux3.Get a copy of the current configuration file:$ RELEASE=`uname -r`$ cp /boot/config-${RELEASE} .config4.Add automatic module signing to the configuration file:Reference: /wiki/Signed_kernel_module_supportEither edit the .config file manually and add the following: CONFIG_MODULE_SIG_ALL=yOr use “make menuconfig” and check the “Automatically sign all modules”:--- Enable loadable module support[*] Forced module loading[*] Module unloading[*] Forced module unloading[*] Module versioning support[*] Source checksum for all modules[*] Module signature support[ ] Check module signatures by default[ ] Require modules to be validly signed[*] Automatically sign all modules[*] Support for blacklisting module signature certificates[*] Allow modules signed with certs stored in UEFI5.Create your own personal key:Reference: /openSUSE:UEFI see “Booting a Custom Kernel”$ cd /usr/src/linuxNoteYou only need to create and register a key once. Multiple kernels can be signed with the same key.6.Create a custom X.509 key and certificate used for signing:$ openssl req -new -x509 -newkey rsa:2048 -sha256 -keyout key.asc -out cert.der -outform der -nodes -days 4745 -subj “/CN=$USER/"7.Package the key and certificate as PKCS#12 structure:$ openssl pkcs12 -export -inkey key.asc -in cert.pem -name kernel_cert -out cert.p128.Generate the NSS database for use by pesign:$ certutil -d . -N9.Import the key and certificate contained in PKCS#12 into the NSS database:$ pk12util -d . -i cert.p1210.To allow unsupported modules to load, edit the /etc/modprobe.d/unsupported-modules file and add “allow_unsupported_modules 1”:$ vi /etc/modprobe.d/unsupported-modules11.It is advisable to modify the “Makefile” and add something to “EXTRAVERSION =” so your new kernel is installed beside the existingkernel instead of overwriting it.$ vi Makefile12.Build the kernel/modules and install them:$ make$ make modules_install$ make install13.Get the version of your new kernel:$ RELEASE=`cd /usr/src/linux ; make kernelrelease` ; echo $RELEASE14.Create initramfs for the new kernel:$ /sbin/mkinitrd -k /boot/vmlinuz-${RELEASE} -i initrd-${RELEASE}15.Setup bootloader configuration file:$ /sbin/update-bootloader --name ${RELEASE} --image /boot/vmlinuz-${RELEASE} --initrd/boot/initrd-${RELEASE} --add --force16.Manually sign the kernel:$ pesign -n . -c kernel_cert -i arch/x86/boot/bzImage -o vmlinuz.signed –s$ mv vmlinuz.signed /boot/vmlinuz-${RELEASE}17.List the signatures for the kernel image:$ pesign -n . -S -i /boot/vmlinuz-${RELEASE}18.Convert the certificate to DER format for import into the UEFI BIOS or MOK:$ openssl x509 -in cert.pem -outform der -out cert.der19.Copy the certificate to the EFI partition so you can import it:$ cp cert.der /boot/efi/cert.derNoteThe SLES “mokutil” utility can also be used to queue up the inclusion of a new key. It will cause “MokManager.efi” to be run automatically.20.Reboot the system to the UEFI shell.Sign up for updates© Copyright 2014, 2017–2018 Hewlett Packard Enterprise Development LP. The information contained herein is subject tochange without notice. The only warranties for Hewlett Packard Enterprise products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Hewlett Packard Enterprise shall not be liable for technical or editorial errors or omissions contained herein.Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. Linux is the registered trademark of21. Add the new key to MOK database:a. Run the “MokManager.efi” utility;b. Scroll down to “Enroll key from disk” and hit RETURN;c. Navigate to the “cert.der” file you copied to disk earlier, select it and hit RETURN;d. Follow the directions to enroll the key; ande. Choose “Continue boot” to exit.22. Run “grub.efi” and boot your new kernel as normal.Resources• Using MOK and UEFI Secure Boot with SUSE Linux• UEFI home page where you can find the current UEFI specifications• Blog posts by Olaf Kirch and Vojtěch Pavlík (the chapter above is heavily based on these posts): – /blogs/uefi-secure-boot-plan/– /blogs/uefi-secure-boot-overview/– /blogs/uefi-secure-boot-details/• UEFI with openSUSE• SUSE Linux Enterprise Server 11 SP4 Administrator Guide• UEFI Secure Boot with Red Hat®• Fedora UEFI Secure Boot GuideLearn more at HPE Secure Compute Lifecycle。

天融信云安全监控服务销售白皮书北京天融信公司2012年8月目录1 服务背景 (4)1.1各类网络安全产品的大量使用带来新的工作挑战 (4)1.2WEB的广泛应用导致针对WEB服务器的攻击日益盛行 (5)1.3天融信云安全监控服务 (6)2服务说明 (7)2.1天融信安全设备远程监控服务 (7)2.1.1目标客户 (7)2.1.2产品功能 (7)2.1.2.1多方位可用性监控 (7)2.1.2.2策略评估 (8)2.1.2.3策略监控 (9)2.1.2.4策略备份 (9)2.1.2.5智能风险防御 (10)2.1.2.6设备更新管理 (10)2.1.2.7备件响应服务 (10)2.1.2.8内网事件分析 (10)2.1.2.9外网事件分析 (11)2.1.2.10日志云存储服务 (11)2.1.3典型应用 (11)2.2天融信网站监控防护服务 (11)2.2.1目标客户 (12)2.2.2产品功能 (12)2.2.2.1可用性状态监控 (12)2.2.2.2敏感字监控 (12)2.2.2.3网站页面防篡改监控和网页恢复 (12)2.2.2.4网站遭受攻击后并可能产生影响时，是否被风险隔离122.2.2.5实时阻断对WEB服务的各种攻击行为 (13)2.2.2.6WEB漏洞检测 (13)2.2.2.7防拒绝服务攻击 (13)2.2.2.8异常外联事件分析 (13)2.2.2.9日志云存储服务 (13)2.2.2.10安全信息通报服务 (14)2.2.3典型应用 (14)3服务特点 (14)3.1更彻底的网站防护及页面防篡改、页面恢复 (14)3.2强大的WEB网站防护能力 (14)3.3符合国家信息安全评测的标准和结果 (14)3.4提供专业的网站防护巡检、评测、加固、应急等持续性服务 (14)3.5有效提升网络安全设备的防护价值和风险控制能力 (15)3.6云安全在线监测服务提供全天侯监控和即时预警 (15)3.7提供安全设备和网站防护的日志存储服务 (15)3.8以结果为导向的“托管式全方位服务” (15)3.9丰富经验和专业技术的保障 (16)3.10解决实际问题的专家级报告 (16)4客户收益 (16)1服务背景1.1各类网络安全产品的大量使用带来新的工作挑战过去的十多年来，网络安全形势一直十分严峻，重大网络安全事故频频发生。

FusionStor 产品白皮书V1.0.32 2016年9月目录1 前言 (3)1.1 存储行业的挑战 (3)1.2 FusionStor简介 (3)2 主要功能特性 (4)2.1 无中心架构 (4)2.2 裸金属性能 (4)2.3 保护域 (4)2.4 故障域 (5)2.5 服务质量保证(QoS) (5)2.6 即时快照 (6)2.7 持续数据保护 (6)2.8 一致性快照组 (6)2.9 存储分层 (6)2.10 冗余链路保障 (7)2.11 自动精简配置 (7)2.12 全局的监控展示 (7)2.13 统一管理平台 (8)3 客户价值 (8)3.1 广泛的硬件支持 (8)3.2 更稳定的连续服务能力 (8)3.3 更低的总拥有成本（TCO） (8)3.4 更灵活的弹性扩展 (9)3.5 超融合完美支持 (9)4 产品规格 (10)1 前言1.1 存储行业的挑战我们目前处在一个信息爆炸的时代，随着各种社交媒体兴起，影音文件品质越来越高，数据量呈指数级增长，对存储设备的需求与日俱增。

在云计算概念的深入人心，虚拟化技术的不断发展前提下，越来越多的企业在选择自己的基础平台时，会考虑建设一个基于云架构的IT平台。

而传统的存储架构和存储设施当前已无法能满足上层应用越来越多样化的软件定义需求，同时性能也无法跟上大数据分析或数据库分析等密集计算型业务对IO性能的高要求。

随着数据量地不断增长，传统存储设施的扩展能力的限制及运维人员精力的限制都逐渐成为影响企业发展的障碍。

1.2 FusionStor简介华云网际在多年的存储市场的实践中积极发现用户痛点，紧跟先进的技术潮流，推出针对解决上述问题的FusionStor 产品。

FusionStor (当前V4.0) 是一款完全自主知识产权的存储系统软件。

能够将分布在不同服务器中的不同介质磁盘通过以太网或Infiniband网络组成一个可通过上层应用定义语义的分布式、高可用、易管理、易扩展、高性能的整个存储资源，可提供iSCSI协议、NBD协议、QEMU driver、Sheepdog、Cinder等接口划分存储资源给上层应用。

KILL防火墙KFW V2.0产品技术白皮书北京冠群金辰软件有限公司目录一概述 (3)二产品特性 (3)三产品功能 (4)四产品性能指标 (7)4.1百兆防火墙系列 (7)4.2千兆防火墙系列 (7)一概述KILL防火墙V2.0是北京冠群金辰公司最新推出的高安全性硬件防火墙产品，它采用高性能硬件平台，加固了操作系统内核、优化了网络协议分析和处理性能。

此外，还提供状态检测包过滤、应用代理、动态路由、入侵检测防护、IPSec VPN、SSL VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等功能。

KILL防火墙系列产品广泛应用于政府、公安、军队、企业、电信、金融等行业的网络环境。

KILL防火墙系统有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷，综合了防火墙、VPN和IDS等多种功能，具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能，同时具备广泛的适应能力。

二产品特性高安全性KILL防火墙具备强大的抗攻击能力，例如：防Syn Flood、Ack Flood、UDP Flood、TCP 连接耗尽攻击、Land攻击、Ping of Death、TearDrop、Smurf、Ping Flood、Jolt2等攻击。

KILL防火墙采用专用的安全系统内核，消除了采用通用操作系统造成的防火墙自身的安全隐患，保障了防火墙自身的安全性。

高稳定性KILL防火墙采用高质量的硬件平台和经过严格检验的软件质量检验，使KILL防火墙在保障安全性的同时，稳定性有了很大的提高。

高性能KILL防火墙型号涵盖高中低端各种性能的产品，可满足不同规模用户的需要，最高级别的设备可达到接近万兆处理性能。

KILL防火墙产品方面具备先进成熟的技术，同等硬件平台上其性能高于同类产品。

灵活的部署方式KILL防火墙可部署在企业网络边界和内部网段。

提供强大的NAT/反向NAT、PAT等功能，可配置为路由模式、混合模式、透明模式等多种方式，适应大多数网络结构与应用需求。

企业云盘技术白皮书(总49页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除技术白皮书2015年9月目录1产品介绍........................ 错误!未指定书签。

1.1产品简介..................... 错误!未指定书签。

1.2系统组件介绍................. 错误!未指定书签。

1.2.1客户端................. 错误!未指定书签。

1.2.2xServer ................ 错误!未指定书签。

1.2.3MySQL .................. 错误!未指定书签。

1.2.4UFA .................... 错误!未指定书签。

1.2.5WebDocServer ........... 错误!未指定书签。

1.3云盘功能简介................. 错误!未指定书签。

1.4产品特性..................... 错误!未指定书签。

1.4.1二次开发环境........... 错误!未指定书签。

1.4.2驱动盘客户端........... 错误!未指定书签。

1.4.3数据分块存储机制....... 错误!未指定书签。

1.4.4数据排重............... 错误!未指定书签。

1.4.5多中心部署............. 错误!未指定书签。

1.4.6异地备份............... 错误!未指定书签。

1.5安全机制概述................. 错误!未指定书签。

1.5.1登录................... 错误!未指定书签。

1.5.2文件权限控制........... 错误!未指定书签。

1.5.3访问审计............... 错误!未指定书签。

1.5.4链路信道安全........... 错误!未指定书签。

TongWeb技术白皮书东方通科技公司2004.05目录1.概述 (3)2.应用服务器概念及TONGWEB 的起源 (3)2.1三层/多层应用模式和应用服务器 (3)2.2J2EE体系结构 (4)3.TONGWEB 体系结构 (4)3.1概述 (4)3.2T ONG W EB主要构件和功能 (5)（1）易于扩展服务的TongWeb内核 (5)（2）TongWeb Web容器 (6)（3）TongWeb EJB容器 (6)（4）会话管理器 (7)（5）数据库管理功能 (8)（6）名字目录服务 (8)（7）JCA支持 (8)（8）Java消息管理 (9)（9）交易服务与交易API (10)（10）安全服务 (10)（11）集群与均衡负载 (11)（12）Web Service支持 (11)（13）通过IIOP与CORBA对象的交互 (11)（14）开发和管理工具支持 (12)4.与传统应用的集成 (12)4.1支持J AVA连接器体系统结构（JCA） (12)4.2与T ONG EASY、T ONG LINK/Q的的集成 (12)1.概述本技术白皮书是为想深入了解TongWeb 的技术人员编写，内容包括三层/多层应用模式介绍、应用服务器和J2EE介绍、TongWeb体系结构、功能特性、与传统应用的集成等几个部分。

2.应用服务器2.1三层/多层应用模式和应用服务器传统的应用系统模式是“主机/终端”或“客户机/服务器”。

随着Internet 的发展壮大，新的开发模式也应运而生，即所谓的“浏览器/服务器”结构、“瘦客户机”模式。

但是以Internet 为基础的企业级应用，不仅要求在分布式环境下实现信息的采集、管理、发布、交换、处理等，还要求能解决好以下问题：∙快速开发和构建∙处理大量并发事务∙交易完整性∙易扩展∙互操作性∙可靠性∙信息安全要很好地解决以上问题，仅靠简单的Web技术是不够的，需要引入三层/多层应用模式。