HAProxy 的 ACLs 详解

编译自：

using ACLs and pattern extraction

文档版本：HAProxy version 1427

目录：

使用 ACLs，可以基于请求和响应的任何部分，进行服务内容的切换。总的原则如下：

acl 关键字用于定义一条新的测试准则，或者对一条已经存在的测试准则进行重新定义：

<criterion>：

指定对请求或者响应的某个部分进行测试

[flags]：

对测试进行调整

[operator]：

<value>：

注，ACL名称只能使用大写字母、小写字母、数字、-(中线)、_(下划线)、(点号)和:(冒号)。此外，ACL名称会区分字母大小写。my_acl 和 My_Acl 是两个不同的 ACLs。

对 ACLs 的数量没有限制，它们只占用少量内存。

整数匹配的规则：

1 允许范围匹配

例如：

1024:65535

1024:

0:1023

:1023

这是指准确的字符串匹配，有一些规则如下：

基本规则同上

匹配某个IP地址：

1921680110

wwwgulicom （支持使用主机名，但不推荐这样做，因为对配置来讲，会造成阅读和调试上的困难）

如果使用主机名，需确保 /etc/hosts 中有对应的解析条目，不要依赖 DNS 解析。

匹配某个网络：

19216800/24

这是第一部分的测试区域，不需要对请求或响应的内容进行分析。其中包含 TCP/IP 地址和端口，以及一些与流量无关的内部信息。

always_false

这个永远不会匹配。所有的 values 和 flags 被忽略。可在调整配置时使用。

always_true

这个永远匹配。所有的 values 和 flags 被忽略。可在调整配置时使用。

avg_queue <integer>

avg_queue(backend) <integer>

某个指定 backend 的等待队列长度的平均数，如果在指定范围内，返回 ture。

返回值为：某个 backend 的等待连接总数 / 该 backend 活动的后端服务器总数。

根据该值，可大致判断一个新的连接需要等待多久才会被处理。

其主要使用场景是，当某个新的用户确定只能得到降级的服务，返回一个 sorry page 给该用户。

应注意的是，当 backend 中没有活动的服务器了，我们会把等待队列的连接数x2，作为测量值。这是一个公平的预测，因为我们期望有一台服务器能快速归位。但这种情况下，更好的方法是将流量转发给另一个后端。

be_conn <integer>

be_conn(backend) <integer>

返回指定 backend 中当前已建立的连接数（possibly including the connection being evaluated），如果在指定范围内，返回 ture。

如果没有特别指定是那个 backend，则表示使用当前的 backend。

可用于这样的场景，如果被测试的 backend 中连接数已经满负荷，将其流量转发给另一个 backend。

be_id <integer>

返回 backend 的 id。可在 frontend 中使用，用于检测是被哪一个 backend 所调用。

be_sess_rate <integer>

be_sess_rate(backend) <integer>

返回“会话创建速率”：new sessions/s，如果在指定范围内，返回 true。

使用场景：

示例：

connslots <integer>

connslots(backend) <integer>

connslots = backend 服务器剩余的可容纳的连接数 + backend 的等待队列中剩余的可容纳的连接数，在指定范围内时返回 true。

简单来说，就是衡量一个 backend 当前还能接收多少新建连接。基于这个值，可以做更好的负载均衡。一般配合 fe_conn（frontend 当前已经接收的连接数） 一起做判断。

dst <ip_address>

返回当前客户端所连接的本地的 IPv4 地址。It can be used to

switch to a different backend for some alternative addresses

dst_conn <integer>

返回一个socket 上已经建立的连接数（including the one being evaluated）。如果当前接收的连接数已经到达满负荷，可用于在 hard-blocking 之前返回 sorry 页面；或者，使用某个指定的 backend 接收新的请求。

我们可以使用它对不同的监听地址设置不同的限制。

dst_port <integer>

返回当前客户端所连接的本地的端口地址。It can be used to switch

to a different backend for some alternative ports

fe_conn <integer>

fe_conn(frontend) <integer>

返回某个 frontend 中已经建立的连接数（possibly including the connection being evaluated），如果在指定范围内，返回 true。

如果未指定是哪个 frontend，使用当前的 frontend。

如果所关联的 backend 接收的连接数被认为已经到达满负荷，可用于在 hard-blocking 之前返回 sorry 页面；或者，使用某个指定的 backend 接收新的请求。

fe_id <integer>

返回 frontend 的 id。在 backend 中可使用它判断自己是被哪个 frontend 所调用。

fe_sess_rate <integer>

fe_sess_rate(frontend) <integer>

返回 frontend 的 “新建会话速率”。单位为：新建会话数/秒。如果在指定范围内，返回 true。

一般使用场景：限制新建连接的速率为一个可接受的范围内。在第一时间防止服务滥用。防止 ddos 攻击等。

结合 4层 ACLs，可强制让一个客户端等待少许时间，等待新建会话率降至合理范围内。

示例：

nbsrv <integer>

nbsrv(backend) <integer>

返回当前 backend 或某个指定的 backend 的可用服务器数。当可用服务器数过低时，可切换到其他 backend。

一般和 monitor fail 配合使用。

queue <integer>

queue(backend) <integer>

返回当前 backend 或某个指定的 backend 的等待队列中的连接数。

当队列长度超过警戒值，一般意味着遇到访问高峰，或者大量的服务器失效。一种可行的措施是拒绝新的用户，并且维持旧的连接。

so_id <integer>

返回 socket 的 id。

用于 frontend，当有多个 bind 关键字时，也就是监听了多个地址时，是有用的。

src <ip_address>

返回客户端的 IPv4 地址。

一般用于对某些资源进行访问限制，比如统计数据资源。

src_port <integer>

返回客户端的 TCP source port。用处较少。

srv_id <integer>

返回 server 的 id。

可用于 frontend 和 backend

srv_is_up(<server>)

srv_is_up(<backend>/<server>)

当指定 backend 或当前 backend 中的 server 正在运行，返回 true，否则返回 false。

不接受参数。

当健康检查报告了一个外部状态时（eg: a geographical site's availability），采取一定的动作。

第二部分的测试区域，基于缓存中找到的数据，它们在分析的过程可能就会发生变化。

要求有数据被缓存，常用于 “TCP 请求内容检查”：

req_len <integer>

如果在 request buffer 中的数据长度匹配了指定的范围，返回 true。

如果 buffer is changing，那么就不会返回 false。在一个会话刚开始的时候，req_len eq 0 是肯定匹配的。

对于 req_len ge 大于0的整数，会等待数据进入 buffer，如果 haproxy 确定没有数据进来时，才会返回 false。

用于 “TCP 请求内容检查”

req_proto_http

如果在 请求buffer 中的数据看起来像是 HTTP 或者能被当做 HTTP 进行正确解析，返回 true。

通过 “TCP 请求内容检查” 的规则，可用于调度 HTTP 流量和 HTTPS 流量到不同的端口地址。

req_rdp_cookie <string>

req_rdp_cookie(name) <string>

远程桌面协议相关

req_rdp_cookie_cnt <integer>

req_rdp_cookie_cnt(name) <integer>

远程桌面协议相关

req_ssl_ver <decimal>

如果在请求缓存中的数据，看起来像 SSL 协议数据，而且协议版本在指定的范围内，返回 ture。

支持 SSLv2 hello messages 和 SSLv3 messages。

此测试意在进行严格限制，尽量避免被轻易地欺骗。

In particular, it waits for as many bytes as announced in the

message header if this header looks valid (bound to the buffer size)

注意，TLSv1 协议将被称为 SSL version 31。

用于 “TCP 请求内容检查”

wait_end

等待分析周期结束，返回 true。

一般与内容分析联合使用，避免过早返回一个错误的结论。

也可用于延迟某些动作，比如拒绝某些指定的IP地址的动作。

因为它要么停止规则检查，要么立即返回 true，所以建议在一条规则的最后使用这个 acl。

注意，默认的 ACL "WAIT_END" 总是可用的，不需要预先声明。

本测试用于 “TCP 请求内容检查”

示例：

第三部分的测试区域，是七层测试。要求对 HTTP 请求进行完全的解析之后进行。

因为请求和响应都被建立了索引，所以虽然相比四层匹配要求更多的 CPU 资源，但也不会太多。

hdr <string>

hdr(header) <string>

hdr 匹配所有 headers，hdr(header) 匹配指定的 header，注意括号里面不能有空格。

指定首部时，其名称不区分大小写；

The header matching complies with RFC2616, and treats all values delimited by commas as separate headers

对于响应首部，使用 shdr()；

示例，检查是否设置了 "connection: close" ：

hdr_beg <string>

hdr_beg(header) <string>

任何一个 header 的值是以 string 起始的，返回 true

对于响应首部，使用 shdr_beg()；

hdr_cnt <integer>

hdr_cnt(header) <integer>

如果指定的 header 出现的次数在指定范围内，或匹配指定的值，返回 true；

一行 header 语句如果包含多个值，将被多次计数；

用于检查指定 header 的是否存在，是否被滥用；

通过拒绝含有多个指定 header 的请求，可阻挡 request smuggling attacks；

对于响应首部，使用 shdr_cnt()；

hdr_dir <string>

hdr_dir(header) <string>

用于文件名或目录名匹配，当某个 header 包含被 / 分隔的 string，返回 true；

可与 Referer 联合使用；

对于响应首部，使用 shdr_dir()；

hdr_dom <string>

hdr_dom(header) <string>

用于域名匹配，可与 Host header 一起使用；当某个 header 包含被 分隔的 string，返回 true；

对于响应首部，使用 shdr_dom()；

hdr_end <string>

hdr_end(header) <string>

当任何一个 header 的值是以 string 结束的，返回 true

对于响应首部，使用 shdr_end()；

hdr_ip <ip_address>

hdr_ip(header) <ip_address>

当某个 header 的值包含匹配 <ip_address> 的值，返回 true；

通常与 X-Forwarded-For or X-Client-IP 一起使用；

对于响应首部，使用 shdr_ip()；

hdr_len <integer>

hdr_len(<header>) <integer>

至少有一个 header 的 length 与指定的值或者范围匹配时，返回 true；

对于响应首部，使用 shdr_len()；

hdr_reg <regex>

hdr_reg(header) <regex>

有一个 header 与正则表达式匹配时，返回 true，可在任何时候使用；

注意，正则匹配比其他匹配更慢；

对于响应首部，使用 shdr_reg()；

hdr_sub <string>

hdr_sub(header) <string>

有一个 header 包含其中一个 string 时，返回 true；

对于响应首部，使用 shdr_sub()；

hdr_val <integer>

hdr_val(header) <integer>

有一个 header 起始的数字，与指定值或范围匹配；可用于限制 content-length，只接受合理长度的请求；

对于响应首部，使用 shdr_val()；

http_auth(userlist)

http_auth_group(userlist) <group> [<group>]

从客户端收到的认证信息与 userlist 中记录的匹配时，返回 true；

目前只支持 http basic auth；

http_first_req

如果处理的请求是连接的第一个请求，返回 true；

method <string>

用于检查 HTTP 请求的方法，匹配时，返回 true；

path <string>

请求中的 path 部分（以 / 起始，到 为止的部分），与某个 string 相等时，返回 true；

可用于匹配某个文件，比如：/faviconico

path_beg <string>

当 path 以某个 string 为起始，返回 true；可用于发送某些目录名到 alternative backend；

path_dir <string>

当 path 中包含以 / 分隔的 string 时，返回 true；可用于匹配文件名或目录名；

path_dom <string>

当 path 中包含以 分隔的 string 时，返回 true；可用于域名匹配；

path_end <string>

当 path 以某个 string 为结束时，返回 true；可用于控制文件扩展名；

path_len <integer>

当 path 的长度与指定值或范围匹配时，返回 true；可用于检测 abusive requests；

path_reg <regex>

当 path 与正则表达式匹配时，返回 true；

path_sub <string>

当 path 包含某个 string 时，返回 true；可用于检测 path 中的指定模式，比如 “/”；

req_ver <string>

用于检查 HTTP 请求的版本，比如 10；

status <integer>

用于检查 HTTP response 的状态码，比如 302；

可根据状态码做一定的动作，比如，如果 response 的状态码不是 3xx，则删除 Location header；

url <string>

应用于请求中的整个 URL；真正的用处是匹配 ，已有一个预定义的 ACL： HTTP_URL_STAR；

url_beg <string>

当 URL 以某个 string 起始时，返回 true；可用于检查是否以 / 或者某个协议的 scheme 起始；

url_dir <string>

如果 URL 中包含以 / 分隔的 string，返回 true；用于文件名和目录名匹配；

url_dom <string>

如果 URL 中包含以 分隔的 string，返回 true；用于域名匹配；

url_end <string>

当 URL 以某个 string 结束时，返回 true；用处很少；

url_ip <ip_address>

用于检查 HTTP 请求中，绝对 URI 中所指定的 IP 地址；可用于根据 IP 地址做资源的访问限制；

跟 http_proxy 一起用时可发挥作用；

url_len <integer>

当 URL 的长度与指定值或范围匹配时，返回 true；可用于检测 abusive requests；

url_port <integer>

用于检查 HTTP 请求中，绝对 URI 中所指定的 PORT 地址；可用于根据 PORT 地址做资源的访问限制；

跟 http_proxy 一起用时可发挥作用；

注意，如果请求中没有指定端口，则表示端口为 80；

url_reg <regex>

当 URL 与正则表达式匹配时，返回 true；

url_sub <string>

当 URL 包含某个 string 时，返回 true；可用于检查 query string 中的某些 pattern；

预定义的 ACLs 不需要声明，可以直接使用。它们的命名都是大写字母。

有些 actions 只在满足了有效的条件时才能执行；条件是 ACLs 的逻辑组合；

有三个可用的逻辑运算符：

一个条件的构成：

actions 配合条件：

例如，构造一个条件，希望阻挡满足条件 HTTP 请求，满足如下条件之一时，拒绝该请求：

规则是：

例2

建立 url_static 测试，当 path 以 /static、/images、/img、/css 起始，或者以 gif、png、jpg、css、js 结尾，返回 true；

建立 host_www 测试，当请求的 Host 首部字段以 www 起始，返回 true，忽略大小写；

建立 host_static 测试，当请求的 Host 首部字段以 img video download ftp 之一为起始，返回 true，忽略大小写；

满足 host_static 测试，或者 host_www AND url_static 测试的请求，转发给 static backend；

只满足 host_www 测试的请求，转发 www backend；

HAProxy 支持使用匿名的 ACLs；不需要事先声明；它们必须被 { ACLs } 括起来，注意空格；例如：

一般而言，不建议使用匿名的 ACL，因为更容易出现错误；

只有对于简单 ACLs，比如匹配一个 src IP地址，这时使用匿名更容易阅读：

The stickiness features relies on pattern extraction in the request and

response Sometimes the data needs to be converted first before being stored,

for instance converted from ASCII to IP or upper case to lower case

All these operations of data extraction and conversion are defined as

"pattern extraction rules" A pattern rule always has the same format It

begins with a single pattern fetch word, potentially followed by a list of

arguments within parenthesis then an optional list of transformations As

much as possible, the pattern fetch functions use the same name as their

equivalent used in ACLs

The list of currently supported pattern fetch functions is the following :

src This is the source IPv4 address of the client of the session

It is of type IP and only works with such tables

dst This is the destination IPv4 address of the session on the

client side, which is the address the client connected to

It can be useful when running in transparent mode It is of

type IP and only works with such tables

dst_port This is the destination TCP port of the session on the client

side, which is the port the client connected to This might be

used when running in transparent mode or when assigning dynamic

ports to some clients for a whole application session It is of

type integer and only works with such tables

hdr(name) This extracts the last occurrence of header <name> in an HTTP

request and converts it to an IP address This IP address is

then used to match the table A typical use is with the

x-forwarded-for header

The currently available list of transformations include :

lower Convert a string pattern to lower case This can only be placed

after a string pattern fetch function or after a conversion

function returning a string type The result is of type string

upper Convert a string pattern to upper case This can only be placed

after a string pattern fetch function or after a conversion

function returning a string type The result is of type string

ipmask(mask) Apply a mask to an IPv4 address, and use the result for lookups

and storage This can be used to make all hosts within a

certain mask to share the same table entries and as such use

the same server The mask can be passed in dotted form (eg:

2552552550) or in CIDR form (eg: 24)

两种设备产生和存在的背景不同

1、两种设备产生的根源不同

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同

路由器的根本目的是:保持网络和数据的“通”。

防火墙根本的的目的是:保证任何非允许的数据包“不通”。

二、核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，NetEye防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性，在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口，其他拒绝。

针对现在的配置，存在的安全脆弱性如下:

1、IP地址欺骗(使连接非正常复位)

2、TCP欺骗(会话重放和劫持)

存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙，由于NetEye防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的脆弱性。同时，NetEye 防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。

虽然，路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用使也需要先Telnet到路由器上，使用起来不很方便，同时也不够安全(开放的端口为黑客创造了机会)。

三、安全策略制定的复杂程度不同

路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。

NetEye 防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。

四、对性能的影响不同

路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。

NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片，性能高且成本低)，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。

由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而NetEye防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。

五、审计功能的强弱差异巨大

路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器(如syslog，trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。

NetEye防火墙的日志存储介质有两种，包括本身的硬盘存储，和单独的日志服务器;针对这两种存储，NetEye 防火墙都提供了强大的审计分析工具，使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性，还体现在他的多种报警方式上，包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能，可以在线监控通过防火墙的连接，同时还可以捕捉数据包进行分析，非分析网络运行情况，排除网络故障提供了方便。

六、防范攻击的能力不同

对于像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。可以得出:

·具有防火墙特性的路由器成本 > 防火墙 + 路由器

·具有防火墙特性的路由器功能 < 防火墙 + 路由器

·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器

综上所述，可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准，决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!

即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。

不太明白你问题中“其他服务不受影响”是什么意思。

如果我理解为：行政楼可以访问FTP，行政楼不能访问其他服务器（但要求行政楼可以上网和访问其他单位），而其他地方可以访问所有服务器也能上网也能访问其他单位。

如果是这样，解法如下：

在R1上（2811路由器）

acc 101 permit tcp 19216800 000255 host 19216815 eq 21

acc 101 deny ip 19216800 000255 any

acc 101 permit ip any any

inter f0/1（2811路由器的右边接口）

ip access-group 101 out

不知这样能否帮到你

假设有两个VLAN 分别是 Vlan 10和Vlan 20，服务器的IP为101020100。

Vlan 10 网段为1010100/24，Vlan 20 网段为1010200/24

设定VLAN 10 是办公网段，VLAN 20 是服务器集群网段，我们需要在Cisco 三层交换机上的ACL设定为：

方法1：

access 10 permit 1010100 000255 1010200 000255

access 10 deny any any

解释：这样的方法可以让Vlan 10 去访问Vlan 20 的所有主机，而且是只能访问服务器集群。

方法2：

access 10 permit 1010100 000255 101020100 0000

access 10 deny any any

解释：Vlan 10 办公区主机仅仅只能访问服务器这一台机器，而不是整个网段

选中这些流量后我们需要应用到我们的网段中

route-map <name>

mach ip 10

int vlan 10

ip policy route-map <name>

这样策略路由就调取完毕，vlan10 工作区域只能访问vlan 20 （或者一台服务主机）

当然方法有很多种，目前只是演示了其中最简单的方法。

你好!

配置一个简单点的吧！

假设：

核心交换机有两个VLAN ，分别是vlan 10：192168100/24和VLAN 20:192168200/24，核心交换机下面的接入层交换机的PC都是VLAN 20，分别是1921682010,和1921682020，服务器属于VLAN 10，IP：1921681010。

实现：

PC0能访问服务器，PC1不能访问服务器，并且允许其他机器访问。

核心交换机的配置：

enable

vlan database

vlan 10

vlan 20

exit

configure terminal

ip routing

int vlan 10

ip address 192168101 2552552550

int vlan 20

ip address 192168201 2552552550

int fa0/1

switchport mode access

switchport access vlan 10

int fa0/2

switchport mode access

switchport access vlan 20

exit

ip access-list st acl

permit host 1921682010

deny host 1921682020

permit any

int vlan 20

ip access-group acl out

自己验证。

Web服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以向浏览器等Web客户端提供文档，[1] 也可以放置网站文件，让全世界浏览；可以放置数据文件，让全世界下载。目前最主流的三个Web服务器是Apache Nginx IIS。

Web服务器是可以向发出请求的浏览器提供文档的程序。

1、服务器是一种被动程序：只有当Internet上运行其他计算机中的浏览器发出的请求时，服务器才会响应

。

2 、最常用的Web服务器是Apache和Microsoft的Internet信息服务器（Internet Information Services，IIS）。

3、Internet上的服务器也称为Web服务器，是一台在Internet上具有独立IP地址的计算机，可以向Internet上的客户机提供WWW、Email和FTP等各种Internet服务。

4、Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件反馈到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型）。服务器使用HTTP（超文本传输协议）与客户机浏览器进行信息交流，这就是人们常把它们称为HTTP服务器的原因。

Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。

文件服务器是一种器件，它的功能就是向服务器提供文件。它加强了存储器的功能，简化了网络数据的管理。它一则改善了系统的性能，提高了数据的可用性，二则减少了管理的复杂程度，降低了运营费用。

在客机与服务器模式下，文件服务器（file server）是一台对中央存储和数据文件管理负责的计算机，这样在同一网络中的其他计算机就可以访问这些文件。文件服务器允许用户在网络上共享信息，而不用通过软磁盘或一些其它外部存储设备来物理地移动文件。任何计算机都能被设置为主机，并作为文件服务器（file server）运行。最简单的形式是，文件服务器可以是一台普通的个人计算机，它处理文件要求并在网络中发送它们。在更复杂的网络中，文件服务器也可以是一台专门的网络附加存储（NAS）设备，它也可以作为其他计算机的远程硬盘驱动器来运行，并允许网络中的人像在他们自己的硬盘中一样在服务器中存储文件

文件服务器（fs服务器），具有分时系统文件管理的全部功能,提供网络用户访问文件、目录的并发控制和安全保密措施的局域网（LAN）服务器。

在计算机局域网中，以文件数据共享为目标，需要将供多台计算机共享的文件存放于一台计算机中。这台计算机就被称为文件服务器。

文件服务器具有分时系统管理的全部功能，能够对全网统一管理，能够提供网络用户访问文件、目录的并发控制和安全保密措施。

“文件服务器“英文是File server语境文件系统

一台特殊功能的计算机，其主要目的是向客户机提供文件服务。文件服务器可以是一台能够运行其他应用的通用计算机，也可以是一台专门提供文件服务的专用计算机。

通力电梯代码故障名称原因状态操作0001驱动时间长位置信号30/B30经过一段运行时间后没有变化立即停止关电0004连续三次同步运行失败连续三次同步运行系统均无法正确接收减速平层信号三次失败后停在端站关电0007门区开关308030卡死启动一段时间后没有检测到30/B30信号的下降缘，门区开关30/B30一直有效运行至目的楼层，门开不走车关电或打检修0008nvram损坏或容量不够送电时检测nvram的容量不够更换nvram0014门区检查电路没有释放486443；1443：2任一个连续2次没有经过（aco/acl）运行至目的楼层，脱离服务关电0015门区检查电路没有吸合486443；1443：2任一个连续2次没有经过（aco/acl）运行至目的楼层，脱离服务关电0021安全回路不通安全回路输入1无电压立即停止安全回路接通0022厅门锁不通安全回路输入3无电压立即停止厅门锁接通0023轿门锁不通安全回路输入2无电压立即停止轿门锁接通0025启动系统故障电梯停止时主接触器没有释放不启动主接触器排故障0026驱动系统故障驱动系统检测到故障（v3FCK灯不亮）不启动关电或打检修0039短路77按扭卡死LCEBOPU板上的短路77按扭卡死不启动直至该按扭松开0042轿厢照明监视轿厢照明没电运行至目的楼层，脱离服务直至该信号消失0044关门障碍尝试多次关门但门锁不通5次失败后，门开不走关电或打检修0048反向开门装置持续有效反向开门信号持续超过一分钟保持开门直至信号消失关电0051启动无效5次启动不成功，可能比如厅门没关好开门然后再试五次自动恢复0052上下同步开关同时有效77U和77N同时有效立即停止，只有rdf能开动在端站自动恢复0058准备运行超时有运行要求但电梯没启动超过100秒立即停止，十秒后尝试运行关电或打检修0060V3F16的加速信号丢失没有收到驱动系统的加速信号运行至端站关电或打检修0071门区信号丢失经过数层61U/N时找不到30/B30信号的上升沿运行至目的楼层，不开门关电或打检修007261U信号卡死61U信号在离开门区一段时间后仍不释放运行至目的楼层，然后开至最低楼层，如仍然卡死，则脱离服务关电或打检修007361N信号卡死经过数层门区时，找不到61N信号的上升沿同上关电或打检修007461N信号卡死61N信号在离开门区一段时间后仍不释放同上关电或打检修007561U信号卡死经过数层门区时，找不到61U信号的上升沿同上关电或打检修0076门区监视第一次不释放486443：1443：2任一运行时没有释放（ADO/acl）（允许）运行至目的楼层15秒后自动恢复0077开门限位故障（一直无效）开门但收不到开门信号0078轿内按扭卡死任意轿内按扭卡死超过60秒取消该扭服务，直至……按扭恢复正常0079外呼按扭卡死任意外呼按扭卡死超过60秒取消该扭服务，直至……按扭恢复正常0082门区监视第一次不吸合486443：1443：2任一运行时没有吸合（ADO/acl）（允许）运行至目的楼层15秒后自动恢复0083位置丢失计算与井道信号不符运行至端站0084开门限位故障（一直有效）门关好但仍收到开门信号自动恢复0089厅门锁回路监视厅门打开（非轿厢位置）运行至目的楼层，脱离服务关电或打检修0145ebd设备损坏ebd设备0146ebd电池损坏ebd电池驱动故障0101驱动停止驱动系统检测到故障使电梯停止检查井道驱动故障0102马达过电流0103制动电阻制动电阻损坏检查制动电阻0104马达过热马达热敏0105交流供电中间直流电压过低0106V3F不好0107承重装置故障承重信号电压小于06V调节承重装置0108马达/测速出错测速极性接反/轿厢平衡不良/承重不准/制动器没打开/驱动参数不对/超速0109位置丢失驱动系统位置丢失查下减速、平层开关0110散热器过热驱动模块的散热器过热控制过程中的驱动故障控制过程中的驱动故障0111桥板61：N在61：U之下61：U/N调换查平层开关顺序011261：U/N重叠太少查平层开关位置0113同步开关错误同步开关错误同步开关故障查同步开关0114楼层距离太短查磁铁位置0115比例错误0116测楼计数错误学习运行不成功重做楼层学习网络故障原因状态操作A门侧/3门侧1101输入板坏电路板损坏，接线错误或没电无法联系正常减速停层，关门不动直到再次联系上1202/2201第一块板故障电路板损坏，接线错误或没电无法联系单梯继续正常服务直到再次联系上1202/2202第二块板故障电路板损坏，接线错误或没电无法联系单梯继续正常服务直到再次联系上1203/2203第三块板故障电路板损坏，接线错误或没电无法联系单梯继续正常服务直到再次联系上1301/2301输出板坏电路板损坏，接线错误或没电无法联系到达目的层，开门不动直到再次联系上1401/2401第一块板故障电路板损坏，接线错误或没电无法联系继续正常服务运行信号检测通过14xx/24xx第xx块板故障电路板损坏，接线错误或没电无法联系继续正常服务运行信号检测通过1501/2501第一块板故障电路板损坏，接线错误或没电无法联系继续正常服务运行信号检测通过15xx/25xx第xx块板故障电路板损坏，接线错误或没电无法联系继续正常服务运行信号检测通过1601扩展板坏电路板损坏，接线错误或没电无法联系单梯继续正常服务直到再次联系上1701/2701第一块板故障电路板损坏，接线错误或没电无法联系直到再次联系上17xx/27xx第xx块板故障电路板损坏，接线错误或没电无法联系直到再次联系上代码故障名称原因状态操作0001驱动时间长位置信号30/B30经过一段运行时间后没有变化立即停止关电0004连续三次同步运行失败连续三次同步运行系统均无法正确接收减速平层信号三次失败后停在端站关电0007门区开关308030卡死启动一段时间后没有检测到30/B30信号的下降缘，门区开关30/B30一直有效运行至目的楼层，门开不走车关电或打检修0008nvram损坏或容量不够送电时检测nvram的容量不够更换nvram0014门区检查电路没有释放486443；1443：2任一个连续2次没有经过（aco/acl）运行至目的楼层，脱离服务关电0015门区检查电路没有吸合486443；1443：2任一个连续2次没有经过（aco/acl）运行至目的楼层，脱离服务关电0021安全回路不通安全回路输入1无电压立即停止安全回路接通0022厅门锁不通安全回路输入3无电压立即停止厅门锁接通0023轿门锁不通安全回路输入2无电压立即停止轿门锁接通0025启动系统故障电梯停止时主接触器没有释放不启动主接触器排故障0026驱动系统故障驱动系统检测到故障（v3FCK灯不亮）不启动关电或打检修0039短路77按扭卡死LCEBOPU板上的短路77按扭卡死不启动直至该按扭松开0042轿厢照明监视轿厢照明没电运行至目的楼层，脱离服务直至该信号消失0044关门障碍尝试多次关门但门锁不通5次失败后，门开不走关电或打检修0048反向开门装置持续有效反向开门信号持续超过一分钟保持开门直至信号消失关电0051启动无效5次启动不成功，可能比如厅门没关好开门然后再试五次自动恢复0052上下同步开关同时有效77U和77N同时有效立即停止，只有rdf能开动在端站自动恢复