1、0=表示后续没有数据包1=表示后续还有数据包接收数据:0=表示成功非0=表示出错后的错误码保存1保存未用,填0。协议包的序列号协议包的序列号,每个数据包的序列号要求不能重复。包体长度数据包体的长度md5的校验码16Byteunsigned char16md5校验码,用包体 + MD5 KEY后做MD5运算得到的校验码。保存2unsigned char2协议某某用C语言结构定义如下:struct im_head_tunsigned char cVersion;unsigned int iOperationCode;unsigned short iFunctionCode;unsigned cha
2、r cReserved1;unsigned int iSeqno;unsigned short isLength;unsigned char cMd516;unsigned char cReserved22;2)协议包体协议包体定义为一个最长1024字节的字节数组,包体不定长,其容内容根据某某中的操作码进展解析,每个操作码对应一种具体的包体格式定义参见操作码的定义。3)IM操作码定义操作码名称操作码说明1连接请求2连接响应255连接保持3增加一个IPS服务器4改变一个IPS服务器的配置561用户上线62用户上线应答63用户下线64用户下线应答60006044文件更新策略服务器通知前置机需要更新
3、的文件。6045文件更新响应前置机收到文件更新包后的响应。1.2.文件接口1)文件传送对某些非实时的、数据量比拟大的数据采用文件接口方式进展处理,如黑白地址数据、全局的控制策略数据等。文件通过FTP方式进展传送,由FTP客户端主动登录服务器端获取数据。2)文件的加/解密所有跨子系统进展传送的文件需要进展加密,由文件生成方对文件内容进展加密,文件接收方对文件内容进展解密,加解密方式如下:密钥:文件发送方和接收方拥有一样的公共密钥。加密:对文件中的每行记录进展逐一加密,加密采用逐字节1后和密钥进展异或的简单算法。解密:对文件中的每行记录进展逐一解密,用密文与密钥进展异或后逐字节1的方法进展解密。1
4、.3.Radius协议使用标准的Radius协议进展通讯,主要适用于策略服务器与IP计费系统Radius Server之间的通讯,用于处理用户的上下线信息记帐开始包和记帐完毕包。2.全网策略管理中心与节点策略服务器的策略同步接口全网策略管理中心与节点策略服务器之间的接口用于同步黑名地址数据、域名-IP对应关系数据、过滤关键字、过滤端口、过滤IP等控制策略数据。所有的数据接口采用文件方式,由全网策略管理中心生成策略文件,节点策略服务器主动以FTP方式进展获取。1)通讯方式:通讯协议:FTP发送方:全网策略管理中心接收方:节点策略服务器 节点策略服务器主动与全网策略管理中心建立FTP连接并以GET
5、方式获取文件。2)文件管理全网策略管理中心给每个节点策略服务器开一个FTP某某,策略管理中心生成文件时给每个某某复制一份一样的文件,节点策略服务器以FTP方式登录后,从本某某的主路径下获取文件,文件传送成功后可删除远程文件。2.1.黑白地址基准文件接口1)接口说明:同步全网策略管理中心的全部黑白地址数据给节点策略服务器。2)同步时间:全网策略管理中心每月产生一次基准文件时间间隔可设置,策略服务器自行控制获取基准文件的时间间隔。3)BURL表示地址基准文件YYYYMMDD表示文件产生的日期NNN表示文件序列号,序列号每天重新开始编号,从000开始编号,到999后循环。4)文件规X文件头 定长,总
6、字节数:60Byte 序号名称长度(Byte)备注文件序列号每天从000开始编号。文件版本号00文件类型01:黑白地址基准文件文件产生时间14YYYYMMDDHHMISS文件生成方系统代码001:6文件接收方系统代码002:节点策略服务7总记录数10本文件中的总记录数不包括文件头,左对齐,右填空。8保存22填空9换行n文件体文件体中每行为1条数据记录,由固定顺序的非定长字段组成,字段之间通过逗号分隔。数据记录之间通过换行符n分隔。每个字段的内容不能包含逗号数据类型1 = 地址分类数据2 = 域名-IP对应关系数据操作标志1 增加地址分类地址分类编号第二级编号。主机域名100主机域名,如“.si
7、na.路径200路径,如“/。数据类型为2时该字段无效IP地址20主机IP地址,以INT型表示。数据类型为1时该字段无效说明:文件记录中应按照域名排序。2.2.黑白地址增量文件接口同步全网策略管理中心从上次数据同步后黑白地址的变更数据给节点策略服务器。全网策略管理中心每天产生一次增量文件时间间隔可设置,无数据改动时可生成一个空文件,策略服务器自行控制获取基准文件的时间间隔。GURL表示地址增量文件60Byte02:黑白地址增量文件1 = 增加 2 = 删除2.3.根本控制策略 基准文件接口同步全网策略管理中心的全部过滤关键字、过滤端口、过滤IP数据给节点策略服务器。全网策略管理中心每天产生一次
8、基准文件时间间隔可设置,无数据改动时可不生成文件,策略服务器自行控制获取基准文件的时间间隔。BPCY表示控制策略数据基准文件YYYYMMDD表示文件产生的时间05:控制策略基准文件01 = 过滤关键字数据02 = 过滤端口数据03 = 过滤IP数据分类编号关键字、端口、IP等的二级分类编号。关键字40过滤关键字,对02/03类型该字段填空对关键字过滤数据该字段填空。端口端口号,对关键字和IP过滤数据该字段填空。可填写端口名、IP说明等信息。2.4.根本控制策略 增量 文件接口5)接口说明:同步全网策略管理中心的过滤关键字、过滤端口、过滤IP 增量数据给节点策略服务器。6)同步时间:全网策略管理
9、中心每隔一定的时间产生一次增量文件时间间隔可设置,无数据改动时可不生成文件,策略服务器自行控制获取增量文件的时间间隔。7)GPCY表示控制策略数据基准文件8)文件规X06:控制策略增量文件3.节点策略服务器与前置机的策略同步接口全网策略管理中心将黑白地址数据、域名-IP对应关系数据、过滤关键字、过滤端口、过滤IP等控制策略数据以基准和增量文件方式同步给节点策略服务器,节点策略服务器将这些数据同步给其管辖X围内各个前置机。节点策略服务器可自定义一些本地的控制策略,如过滤关键字、过滤端口、过滤IP等控制策略,这些控制策略仍以文件的形式同步给各个前置机。节点策略服务器产生策略文件时,以IM接口协议方
10、式实时通知前置机有新文件产生,前置机收到通知后主动以FTP方式登录策略服务下载文件。1)文件通知通讯方式IM节点策略服务器前置机2)文件下载通讯方式:节点策略服务器,作为FTP服务器。前置机,作为FTP客户端。3)文件管理节点策略服务器给每个前置机开一个FTP某某,前置机以FTP方式登录后,从本某某的主路径下获取文件,前置机无权限删除远程主机上的文件。3.1.文件更新通知接口接口说明策略服务器产生新文件后,通知前置机哪些文件需要更新,前置机收到通知后根据收到的文件名以FTP方式从策略服务器下载文件。接口协议发送方策略服务器接收方操作码响应码发送包体包体中包括假如干个文件名通知结构ICS_FIL
11、E的数据,参见ICS_FILE结构定义。响应包体无文件名通知结构ICS_FILE定义:1=黑白地址文件2=控制策略文件3=操作类型1=基准文件 2=增量文件文件名32Byteunsigned char32需要处理的文件名,不包括文件路径。3.2.文件下载接口前置机收到节点策略服务器的文件更新通知消息后,以FTP方式登录策略服务器,根据策略服务发送的文件名进展文件下载,需要同步的文件包括:黑白地址基准文件黑白地址增量文件全局控制策略文件本地控制策略文件3.3.节点本地的根本控制策略增量文件接口节点策略服务器可定义本地的过滤关键字、过滤端口、过滤IP等控制策略,这些本地的控制策略数据以FTP方式同
12、步给各个前置机。节点策略服务器每天产生一次策略增量文件时间间隔可设置,如可设置为有数据变动时生成策略文件。无数据改动时不生成文件,文件产生成功后策略服务器通知前置机下载文件进展处理。PCY表示本地控制策略数据增量文件10:节点本地的控制策略文件003:3.4.本地域名-IP对应关系增量文件接口 可选ICS用户通过自定义黑或白会产生一些域名地址,当这些域名在ICS地址库中不存在时需要在本地定时维护域名与IP的对应关系。节点策略服务器每天产生一次增量文件时间间隔可设置,无数据改动时生成一个空文件。JDIP表示节点本地的域名-IP对应关系增量文件11:节点本地的域名-IP对应关系增量文件。文件记录按
13、域名进展排序4.WEB门户与策略服务器接口WEB门户用户自服务门户与系统管理门户与策略服务器之间目前主要有两种形式的数据接口:数据更改通知接口:用户或管理员通过WEB门户更改增、删、改某些数据后,将操作日志存放在表as_op_log中,然后以socket数据包的形式通知策略服务器,策略服务器收到通知消息后,从as_op_log表读取更改数据进展处理。数据更新接口:对于某些特殊的操作,WEB门户不直接操作数据库,而是通过将数据更新信息封装为Socket数据包发给策略服务器,由策略服务器对数据进展处理后更新数据库记录。4.1.通知接口4.1.1.用户数据更改通知7036用户或管理员通过WEB门户更
14、改增、删、改用户相关的数据如自定义或个性化的防鲨网控制策略等,将操作日志存放在表as_op_log中,然后以socket数据包的形式通知策略服务器,策略服务器收到通知消息后,从as_op_log表读取更改数据进展处理。用户自服务门户或系统管理门户703670374.1.2.配置数据更改通知7038管理员通过管理门户更改增、删、改配置数据Radius、NAS、前置机、无条件放行IP、互联特区地址控制,将操作日志存放在表cfg_op_log中,然后以socket数据包的形式通知策略服务器,策略服务器收到通知消息后,从cfg_op_log表读取更改数据进展处理。系统管理门户703870394.1.3
15、.防鲨网控制策略数据更改通知7040管理员通过管理门户更改增、删、改防鲨网业务配置数据关键字、IP过滤、端口过滤、安全模板等,将操作日志存放在对应的操作记录表*_operate中,然后以socket数据包的形式通知策略服务器,策略服务器收到通知消息后,从*_operate表读取更改数据进展处理。70407041unsigned int templetType /* 模板类型 1keyword2ip3port4security */4.2.日志参数修改接口4.2.1.修改日志配置参数224修改日志配置参数log_param表224225结构sys_log_param_t 的连续管理工具在修改了日
16、志参数后,通知策略服务器,策略服务器将其实际应用到日志模块中去4.3.推送策略管理接口struct push_policy_attr_tunsigned char updFlag;/* 标志:0=添加/修改策略和参数 1=修改策略*/unsigned int policyid;/* 策略编号添加时填0*/unsigned char policyName81;/* 策略名*/unsigned char policyType;/* 策略类型*/unsigned char policyFlag;/* 策略归属*/unsigned char globalFlag;/* 策略标志*/unsigned char validFlag; /*
