2001年 4月 1日，南海的碧波被撕裂。

    美军 ep-3侦察机的金属翼尖撞上王伟驾驶的歼- 82战机，33岁的飞行员化作海天之间的永恒坐标。

    这个消息像病毒般穿透互联网的光纤，在 48小时后点燃了另一场没有硝烟的战争。

    4月 4日清晨，网益机房的警报声刺破了广州天河软件园的宁静。

    网工小张盯着屏幕上跳动的红色攻击日志，手指在键盘上慌乱地敲击：“poizonbox的人来了！他们的数据包像潮水一样涌进来！”

    我冲进机房时，技术总监 jackson正把西装外套甩在椅子上，领带扯到一半：“dns服务器负载率 98，再这样下去撑不过半小时。”

    中午十二点，客服中心的玻璃隔断上贴满了红色便签。

    sherry把第三杯冷掉的咖啡推到一边，耳机里传来用户愤怒的嘶吼：“我的邮件全没了！你们到底能不能搞定？”

    新来的实习生安妮抱着厚厚的投诉记录。

    手指被纸张边缘割出细小的伤口，血珠滴在“网益邮箱用户服务协议”的复印件上，晕开一小片暗红。

    “系统日志显示有三千个来自美国的 ip在发起 syn泛洪攻击。”

    我把打印出来的攻击路径图拍在会议桌上，咖啡渍顺着纸张褶皱蔓延，“他们用傀儡机伪装成正常访问，实际在耗尽我们的连接资源。”

    老谭猛地扯开衬衫领口，指着白板上的网络拓扑图：“必须立刻启用备用 dns，把解析请求分流到上海和北京的镜像节点。”

    夜幕降临时，机房的地板上铺满了速食面包装袋。

    jackson蹲在服务器机柜前，额头上的汗珠滴进机箱风扇，发出滋滋的轻响。

    他手里捏着 crossover防火墙的配置手册，声音沙哑得像砂纸摩擦：“把 tcp连接超时时间从默认的 60秒降到 15秒，启用半连接队列保护。”

    小张的手指在 cis路由器的控制台键盘上飞舞，输入 aess-list命令时，指甲缝里还嵌着早上拆机时沾上的硅脂。

    5月 1日凌晨

    当中国黑客组织的反击指令通过 irc频道传遍网络时，网益的服务器正在经历新一轮洗礼。

    我盯着监控屏幕上的新闻弹窗---白宫官网被替换成五星红旗

    耳边却传来数据库服务器的报警声——存储邮箱用户数据的 oracle数据库出现了索引损坏。

    “用热备份恢复！”

    老谭把备用磁带塞进 ib磁带机。

    磁带转动的嗡鸣声中，他突然想起今天是女儿的三岁生日。

    抢修进行到第 30小时，安妮突然尖叫起来。

    她发现客服系统的后台日志里，有黑客留下的英文留言：“这只是开始。”

    sherry抢过鼠标点开原始数据包，里面混杂着南海撞机事件的新闻片段。

    那一刻，机房里所有人的动作都停顿了半秒。

    只有服务器的散热风扇还在不知疲倦地转动，像在为某个远去的生命默哀。

    加固工程在 5月的梅雨季节里展开。

    5月 4日

    红客联盟让白宫官网飘起五星红旗时，我们正在给服务器更换新的 scsi硬盘。

    小张蹲在地上给机柜接地铜排刷防锈漆，嘴里哼着《我的中国心》；

    安妮抱着 dows nt网络操作系统的安装盘，在机房角落搭建测试环境；

    sherry把用户投诉记录整理成厚厚的分析报告，在“最常见问题”一栏里，“邮箱无法发送带附件的邮件”被红笔圈了三次。

    加固工程进入第三周。

    老谭在全员大会上拿出一份泛黄的业务清单：“光堵漏洞不够，得给所有系统穿上铠甲。“

    清单上的红笔圈出了六个核心业务，墨迹透过纸背，在投影幕布上投下淡淡的影子。

    “我们得重构所有系统。”我说道。

    邮箱系统的重构从 oracle数据库开始。

    jackson带着我在机房搭建了双机热备集群，用 veritas vo anager将数据同步到杭州和北京的存储阵列。

    “把用户邮件分成冷热数据，”

    他指着新部署的 ec cx200存储柜，“三个月前的邮件自动迁移到磁带库，在线数据用 raid5+1做冗余。”

    小张则在 cis pix防火墙后加了层 ailarshal邮件网关，每封进出邮件都要经过病毒扫描和关键词过滤。

    后台日志里，“敏感词拦截”的条目在第一周就突破了五千条。

    游戏业务的防护方案引发了最激烈的争论。

    当时网益刚代理《精灵》不久，老谭坚持要在游戏服务器前部署 iss realsecure入侵检测系统：“玩家的账号数据存在 sql server里，一旦被注入攻击，装备被盗的玩家能把客服电话打爆。”

    这章没有结束，请点击下一页继续阅读！

    我却更担心分布式拒绝服务攻击。

    最终说服团队采购了 f5 big-ip负载均衡器，能在 10秒内识别异常流量并切换到备用节点。

    安妮被派去整理游戏日志。

    在满屏的代码里挑出可疑登录记录，铅笔尖在“凌晨三点从美国 ip登录的中国账号”上画了无数个圈。

    新闻网站的防护带着鲜明的时代印记。

    我们给 apache服务器加装了 odsecurity模块，用正则表达式过滤掉包含恶意脚本的 url请求。

    老谭盯着实时访问量曲线：“得把静态页面缓存到 squid服务器上，不然国庆阅兵时的流量能冲垮数据库。”

    最棘手的是评论区。

    jackson写了段 perl脚本，能自动替换掉骂人的话，却总在“皿煮”这类谐音词前失效。

    最后只好让编辑轮班人工审核，后台系统的刷新键被按得掉了漆。

    bbs的安全加固堪称 2001年网络技术的集大成者。

    小张在 freebsd系统里编译了最新的 openssh补丁，杜绝远程登录漏洞；

    我则给用户密码加了 d5哈希加盐处理，即使用户数据库泄露，黑客也解不出原始密码。

    最绝的是老谭想出的招：给频繁发广告的账号设置“发言冷却时间”，这个用 php写的小程序后来被国内多家论坛借鉴。

    安妮把它记在笔记本上，标题栏写着“网安小发明”。

    短信增值业务的防护要跨越多重网络。

    当时网益和移动的网关对接用的是 spp协议。

    我们在中间加了台 hp alpha服务器做消息转发，所有短信内容先经过 sybase数据库的关键词过滤。

    jackson拿着电信局给的安全规范：“这里写着必须用 vpn加密传输，华为的防火墙正好支持 ipsec隧道。”

    调试那天，广州的短信网关突然断连。

    我们对着 wireshark抓包工具看了整夜，才发现是 tu值设置不当导致的分片丢失。

    内部 oa系统的加固带着点“自己人防自己人”的意味。

    lot doo服务器被限制只能在局域网访问，远程办公必须通过 radi认证的 vpn。

    我给每个部门设置了权限矩阵，市场部看不到技术部的服务器密码，管理层的报销单需要双人审批。

    最细枝末节的是打印机。

    老谭坚持要给每台 hp激光打印机设置 ip绑定，防止有人偷偷接入打印内部文件。

    这个现在看来多余的举动，在当时却让审计部门大加赞赏。

    6月初的某个傍晚。

    我看着新部署的 check pot防火墙日志，里面记录着被拦截的攻击尝试——平均每秒 17次。

    jackson把一杯冰镇可乐放在我面前，罐子上的水珠滴在刚打印出来的网络安全评估报告上，晕染了“防御体系升级完成”几个字。

    远处的客服中心传来键盘敲击声。

    安妮抱着整理好的技术文档进来。

    在“2001年安全加固清单”最后一页，她用红笔写了行字：“没有绝对的安全，只有不断升级的防线。”

    窗外的梧桐叶落在机房的空调外机上，发出沙沙的声响，像在为这场持续了半年的网络防御战轻轻鼓掌。

    我想起王伟的歼- 82战机坠入南海时，黑匣子最后传回的信号。

    此刻机房里服务器的蜂鸣声，或许是另一种形式的守护——在代码构筑的阵地上，我们同样在用生命扞卫着什么。

    喜欢人生何处是归途：花城网事三十年请大家收藏：()人生何处是归途：花城网事三十年小说网更新速度全网最快。