Tomcat在使用的过程中会遇到很多报错，有些是程序的报错，但还有一部分是tomcat本身的报错，我们可以通过优化tomcat的初始配置来提高tomcat的性能。Tomcat的优化主要体现在两方面：内存、并发连接数。

　　1、内存优化：

　　优化内存，主要是在bin/catalina.bat/sh 配置文件中进行。linux上，在catalina.sh中添加：

　　JAVA_OPTS="-server -Xms1G -Xmx2G -Xss256K -Djava.awt.headless=true -Dfile.encoding=utf-8 -XX:MaxPermSize=256m -XX:PermSize=128M -XX:MaxPermSize=256M" 。

　　其中：

　　? -server：启用jdk的server版本。? -Xms：虚拟机初始化时的最小堆内存。? -Xmx：虚拟机可使用的最大堆内存。 #-Xms与-Xmx设成一样的值，避免JVM因为频繁的GC导致性能大起大落? -XX:PermSize：设置非堆内存初始值,默认是物理内存的1/64。? -XX:MaxNewSize：新生代占整个堆内存的最大值。? -XX:MaxPermSize：Perm(俗称方法区)占整个堆内存的最大值，也称内存最大永久保留区域。

　　1)错误提示：java.lang.OutOfMemoryError:Java heap space

　　Tomcat默认可以使用的内存为128MB，在较大型的应用项目中，这点内存是不够的，有可能导致系统无法运行。常见的问题是报Tomcat内存溢出错误，Outof Memory(系统内存不足)的异常，从而导致客户端显示500错误，一般调整Tomcat的-Xms和-Xmx即可解决问题，通常将-Xms和-Xmx设置成一样，堆的最大值设置为物理可用内存的最大值的80%。

　　set JAVA_OPTS=-Xms512m-Xmx512m

　　2)错误提示：java.lang.OutOfMemoryError: PermGenspace

　　PermGenspace的全称是Permanent Generationspace,是指内存的永久保存区域，这块内存主要是被JVM存放Class和Meta信息的,Class在被Loader时就会被放到PermGenspace中，它和存放类实例(Instance)的Heap区域不同,GC(Garbage Collection)不会在主程序运行期对PermGenspace进行清理，所以如果你的应用中有很CLASS的话,就很可能出现PermGen space错误，这种错误常见在web服务器对JSP进行precompile的时候。如果你的WEB APP下都用了大量的第三方jar, 其大小超过了jvm默认的大小(4M)那么就会产生此错误信息了。解决方法：

　　setJAVA_OPTS=-XX:PermSize=128M

　　3)在使用-Xms和-Xmx调整tomcat的堆大小时，还需要考虑垃圾回收机制。如果系统花费很多的时间收集垃圾，请减小堆大小。一次完全的垃圾收集应该不超过3-5 秒。如果垃圾收集成为瓶颈，那么需要指定代的大小，检查垃圾收集的详细输出，研究垃圾收集参数对性能的影响。一般说来，你应该使用物理内存的 80% 作为堆大小。当增加处理器时，记得增加内存，因为分配可以并行进行，而垃圾收集不是并行的。

　　2、连接数优化：

　　#优化连接数，主要是在conf/server.xml配置文件中进行修改。

　　2.1、优化线程数

　　找到Connectorport="8080" protocol="HTTP/1.1"，增加maxThreads和acceptCount属性(使acceptCount大于等于maxThreads)，如下：

　　其中：

　　? maxThreads：tomcat可用于请求处理的最大线程数，默认是200? minSpareThreads：tomcat初始线程数，即最小空闲线程数? maxSpareThreads：tomcat最大空闲线程数，超过的会被关闭? acceptCount：当所有可以使用的处理请求的线程数都被使用时，可以放到处理队列中的请求数，超过这个数的请求将不予处理.默认100。

　　在server.xml中增加executor节点，然后配置connector的executor属性，如下：

　　其中：

　　? namePrefix：线程池中线程的命名前缀? maxThreads：线程池的最大线程数? minSpareThreads：线程池的最小空闲线程数? maxIdleTime：超过最小空闲线程数时，多的线程会等待这个时间长度，然后关闭? threadPriority：线程优先级。

　　注：当tomcat并发用户量大的时候，单个jvm进程确实可能打开过多的文件句柄，这时会报java.net.SocketException:Too many open files错误。可使用下面步骤检查：

　　? ps -ef |grep tomcat 查看tomcat的进程ID，记录ID号，假设进程ID为10001? lsof -p 10001|wc -l 查看当前进程id为10001的 文件操作数? 使用命令：ulimit -a 查看每个用户允许打开的最大文件数。

　　3、Tomcat Connector三种运行模式(BIO, NIO, APR)3.1、三种模式比较：

　　1)BIO：一个线程处理一个请求。缺点：并发量高时，线程数较多，浪费资源。Tomcat7或以下在Linux系统中默认使用这种方式。

　　2)NIO：利用Java的异步IO处理，可以通过少量的线程处理大量的请求。Tomcat8在Linux系统中默认使用这种方式。Tomcat7必须修改Connector配置来启动(conf/server.xml配置文件)：

　　3)APR(Apache Portable Runtime)：从操作系统层面解决io阻塞问题。Linux如果安装了apr和native，Tomcat直接启动就支持apr。

　　3.2、apr模式

　　安装apr以及tomcat-native

　　yum -y install apr apr-devel

　　进入tomcat/bin目录，比如：

　　cd /opt/local/tomcat/bin/tar xzfv tomcat-native.tar.gzcd tomcat-native-1.1.32-src/jni/native./configure --with-apr=/usr/bin/apr-1-configmake && make install

　　#注意最新版本的tomcat自带tomcat-native.war.gz，不过其版本相对于yum安装的apr过高，configure的时候会报错。

　　解决：yum remove apr apr-devel –y,卸载yum安装的apr和apr-devel,下载最新版本的apr源码包，编译安装;或者下载低版本的tomcat-native编译安装。

　　安装成功后还需要对tomcat设置环境变量，方法是在catalina.sh文件中增加1行：

　　CATALINA_OPTS="-Djava.library.path=/usr/local/apr/lib"

　　修改8080端对应的conf/server.xml

　　protocol="org.apache.coyote.http11.Http11AprProtocol"

　　PS:启动以后查看日志 显示如下表示开启 apr 模式

　　Sep 19, 2016 3:46:21 PM org.apache.coyote.AbstractProtocol startINFO: Starting ProtocolHandler ["http-apr-8081"]。

　　对于任何一种数据库来说，安全问题都是非常重要的。如果数据库出现安全漏洞，轻则数据被窃取，重则数据被破坏，这些后果对于一些重要的数据库都是非常严重的。下面来从操作系统和数据库两个层对MySQL的安全问题进行讨论。

　　操作系统相关的安全问题

　　常见的操作系统安全问题主要出现在MySQL的安装和启动过程中。

　　1.严格控制操作系统账号和权限。

　　在数据库服务器上要严格控制操作系统的账号和权限，比如：锁定mysql用户。

　　其他任何用户都采取独立的账号登录，管理员通过mysql专有用户管理MySQL，或者通过root su到mysql用户下进行管理。

　　mysql用户目录下，除了数据文件目录，其他文件和目录属主都改为root。

　　2.尽量避免以root权限运行MySQL。

　　MySQL安装完毕后，一般会将数据目录属主设置为mysql用户，而将MySQL软件目录的属主设置为root，这样做的目的是当使用mysql启动数据库时，可以防止任何具有FILE权限的用户能够用root创建文件。而如果使用root用户启动数据库，则任何具有FILE权限的用户都可以读写root用户的文件，这样会给系统造成严重的安全隐患。

　　3.防止DNS欺骗。

　　创建用户时，host可以指定域名或者IP地址。但是，如果指定域名，就可能带来如下安全隐患： 如果域名对应的IP地址被恶意修改，则数据库就会被恶意的IP地址进行访问，导致安全隐患。

　　数据库相关的安全问题

　　常见的数据库问题大多数是由于账号的管理不当造成的。应该加强对账号管理的安全意识。

　　1.删除匿名账号。

　　在某些版本的中，安装完毕MySQL后，会自动安装一个空账号，此账号具有对test数据库的全部权限，普通用户只需要执行mysql命令即可登录MySQL数据库，这个时候默认使用了空用户，可以在test数据库里面做各种操作，比如可以创建一个大表，占用大量磁盘空间，这样给系统造成了安全隐患。

　　2.给root账号设置口令。

　　MySQL安装完毕后，root默认口令为空，需要马上修改口令。

　　3.设置安全密码。

　　密码的安全体现在以下两个方面：

　　设置安全的密码，建议使用6位以上字母、数字、下划线和一些特殊字符组合的而成的字符串；使用上的安全，使用密码期间尽量保证使用过程安全，不会被别人窃取。

　　第一点就不用说了，越长越复杂越没有规律的密码越安全。对于第二点，可以总结一下，在日常工作中，使用密码一般是采用以下几种方式。

　　（1）直接将密码写在命令行中。

　　（2）交互式方式输入密码。

　　（3）将用户名和密码写在配置文件里面，连接的时候自动读取，比如应用连接数据库或者执行一些批处理脚本。对于这种方式，MySQL供了一种方法，在my.cnf里面写入连接信息，然后对配置文件进行严格的权限限制。

　　 4.只授予账号必须的权限。

　　用户权限的时候越具体，则对数据库越安全。

　　5.除root外，任何用户不应有mysql库user表的存取权限。

　　由于MySQL中可以通过更改mysql数据库的user表进行权限的增加、删除、变更等操作，因此，除了root以外，任何用户都不应该拥有对user表的存取权限（SELECT、UPDATE、INSERT、DELETE等），造成系统的安全隐患。

　　6.不要把FILE、PROCESS或SUPER权限授予管理员以外的账号。

　　FILE权限主要以下作用：

　　将数据库的信息通过SELECT ...INTO OUTFILE...写到服务器上有写权限的目录下，作为文本格式存放。具有权限的目录也就是启动MySQL时的用户权限目录。

　　可以将有读权限的文本文件通过LOAD DATA INFILE...命令写入数据表，如果这些表中存放了很重要的信息，将对系统造成很大的安全隐患。

　　PROCESS权限能被用来执行“show processlist”命令，查看当前所有用户执行的查询的明文文本，包括设定或改变密码的查询。在默认情况下，每个用户都可以执行“show processlist”命令，但是只能查询本用户的进程。因此，对PROCESS权限管理不当，有可能会使得普通用户能够看到管理员执行的命令。

　　SUPER权限能够执行kill命令，终止其他用户进程。下面例子中，普通用户拥有了SUPER权限后，便可以任意kill任何用户的进程。

　　7.LOAD DATA LOCAL带来的安全问题。

　　LOAD DATA默认读的是服务器上的文件，但是加上LOCAL参数后，就可以将本地具有访问权限的文件加载到数据库中。这在在带来方便的同时，可带来了以下安全问题。

　　可以任意加载本地文件到数据库。

　　在Web环境中，客户从Web服务器连接，用户可以使用LOAD DATA LOCAL语句来读取Web服务器进程在读访问权限的任何文件（假定用户可以运行SQL服务器的任何命令）。在这种环境中，MySQL服务器的客户实际上的是Web服务器，而不是连接Web服务器的用户运行的程序。

　　解决的方法是，可以用--local-infile=0选项启动mysqld从服务器禁用所有LOAD DATA LOCAL命令。

　　对于mysql命令行客户端，可以通过指定--local-infile[=1]选项启用LOAD DATA LOCAL，或通过--local-infile=0选项禁用。类似地，对于mysqlimport，--local or -L选项启用本地文件装载。在任何情况下，成功进行本地装载需要服务器启用相关选项。

　　8.DROP TABLE命令并不收回以前的相关访问权限。

　　DROP表的时候，其他用户对此表的权限并没有被收回，这样导致重新创建同名的表时，以前其他用户对此表的权限会自动自动赋予，进而产生权限外流。因此，在删除表时，要同时取消其他用户在此表上的相应权限。

　　9.使用SSL。

　　SSL（Secure Socket Layer，安全套接字层）是一种安全传输的协议，最初Netscape公司所开发，用以保障在Internet上数据传输之安全，利用 数据加密（Encryption）技术，可确保数据在网络上传输过程中不会被截取及窃听。

　　SSL协议提供的服务主要有：

　　（1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

　　（2）加密数据以防止数据中途被窃取；

　　（3）维护数据的完整性，确保数据在传输过程中不被改变。

　　在MySQL中，要想使用SSL进行安全传输，需要在命令行中或选项文件中设置“--ssl”选项。

　　对于服务器，“ssl”选项规定该服务器允许SSL连接。对于客户端端程序，它允许客户使用SSL连接。对于客户端程序，它允许客户端用SSL连接服务器。单单该选项不足以使用SSL连接。还必须指定--ssl-ca、--ssl-cert和--ssl-key选项。如果不想启用SSL，可以将选项指定为--skip-ssl或--ssl=0。

　　请注意，如果编译的服务器或客户端不支持SSL，则使用普通的示加密的连接。

　　确保使用SSL连接的安全方式是，使用含REQUIRE SSL子句的GRANT语句在服务器上创建一账户，然后使用该账户来连接服务器，服务器和客户端均应启用SSL支持。

　　10.如果可能，给所有用户加上访问IP限制。

　　对数据库来说，我们希望客户端过来的连接都是安全的，因此，就很有必要在创建用户的时候指定可以进行连接的服务器IP或者HOSTNAME，只有符合授权的IP或者HOSTNAME才可以进行数据库的访问。

　　11.REVOKE命令的漏洞。

　　当用户多次赋予权限后，由于各种原因，需要将此用户的权限全部取消，此时，REVOKE命令可能并不会按照我们的意愿执行。

　　这个是MySQL权限机制造成的隐患，在一个数据库上多次赋予权限，权限会自动合并；但是在多个数据库上多次赋予权限，每个数据库上都会认为是单独的一组权限，必须在此数据库上用REVOKE命令来单进行权限收回，而 REVOKE ALL PRIVILEGES ON *.* 并不会替用户自动完成这个情况。

　　在PLANX项目的BAA中描述了概念性的网络作战空间，整个项目以该定义为基础来打造网络战平台网络空间已经成为继陆地海洋天空太空之外的第五维战场，受到了越来越多的关注，各国纷纷建立自己的网络作战部队，为网络战争进行准备。

　　进行网络战争离不开网络作战空间，对于网络作战空间如何描述、网络战场应该如何构建，美国国防部先进研究项局(DARPA)PLAN X项目提供了一个很好的参考。关于整个项目的系统细节我们不得而知，在本文中主要通过PLAN X项目的 BAA中关于网络作战空间的定义和项目范围来窥测网络作战空间应如何描述。

　　PLANX项目

　　PLAN X是DARPA在2012年公布的一个项目，主要目标是开发革命性的技术在实时、大规模和动态的网络环境中理解、规划和管理网络战。基于一个建立的通用地图，帮助军方网络操作人员可视化战场以及在战场中执行任务。

　　项目背景

　　现代战争要求军队在冲突过程中快速计划、执行和评估作业和行动。然而现有的技术使得军队在网络领域的一些认识面临挑战，比如对于一场军事行动军方的平台应该部署在网络的什么位置，在网络中哪些路由可以用来优化连接或者鲁棒性等等，现在解决这些问题主要依赖计算机安全和网络领域的专家人工操作。人工的方式存在一些问题，首先是需要培养大量的专家;其次人工方式的操作速度跟不上网络空间的快速变化;最后指挥官缺少可用的工具帮助他们评估一场行动的影响，这样就不知道是否该支持一场行动。现在人工的方式使得网络行动的构思和进行是异步的，不能够根据网络作战空间情况变化实时评估和调整行动。该项目主要就是解决这一问题。

　　项目目标

　　在2012年8月份发布的该项目特别公告中描述了该项目的目标：PLAN X 想要为在实时、大规模、动态的网络环境中理解、计划和管理网络战争开发革命性的技术;也将对网络战的本质进行创新研究并支持主导网络作战空间的基础战略和战术开发。但是该项目不支持漏洞分析和网络武器开发，主要寻求在四个关键领域的创新研究。

　　a、理解网络作战空间：开发自动分析工具帮助人类操作人员规划网络操作，尤其是分析节点(如边的数量、动态静态连接)和边(如延时、带宽、周期)的大规模逻辑网络拓扑特征;

　　b、自动化构建可核查可量化的网络操作：开发高层次的任务计划并自动合成到一个任务脚本，脚本通过有人工接口执行(类似于现代飞机的自动驾驶功能);

　　c、开发在动态、存在争夺以及敌对的网络环境中进行操作的操作系统或者平台：构建“作战单位”，能够实现网络战功能，比如说战场损伤监测、通信中继、武器部署和自适应防御;

　　d、大型网络作战空间的可视化与交互：开发直观的视图和整体用户体验，网络作战空间的协同交互能够提供计划、操作、态势感知和战争博弈功能。

　　预计2017年交付给美国国防部和网军司令部。这项计划要让普通士兵也能在直观的界面上利用技术与敌方发起的计算机攻击进行对抗，第一次尝试创建一个实际的对战空间，将从根本上转变军事虚拟战场上的运作方式。

　　PLANX中关于网络作战空间(Cyber Battlespace)的定义

　　在PLANX项目的BAA中描述了概念性的网络作战空间，整个项目以该定义为基础来打造网络战平台。

　　网络作战空间由网络地图、作战单元、能力集三个概念组成。网络地图是节点和边的集合，显示了计算机是如何连接的，包含两种不同层次的信息：逻辑拓扑，元数据。逻辑拓扑代表网络中的计算机之间的直接连接，并标识哪些计算机主动路由数据包到一个目标地址。该定义略去了无声的网络基础设施，像交换机、集线器和网桥，但是包括像加密隧道、多协议标签交换和专用对等互联等。网络地图绘制并不是要反映出绝对精确的网络状况，而是在一定的置信水平上表示出近似的逻辑拓扑。元数据表示逻辑拓扑中每个元素的细节。逻辑拓扑由节点和边这两种元素组成，元数据将属性附加到逻辑拓扑中的节点和边，通过使用各种网络和主机侦察技术来创建一个属性图。边的元数据的包括链路带宽、延迟、和持久性。节点元数据可能包括链接的数量、操作系统、补丁级别、协议、端口、和使用一般的计算机安全工具主被动扫描识别的当前确定的其他信息。通过分析边的元数据可以推断出防火墙、代理和入侵检测 \防御系统这样的安全基础设施，在这种情况下，更新逻辑拓扑结构以反映无声但可推知的活动组件。

　　网络地图被创建后，就成为了军事规划人员和行动人员交互的环境。在这一环境中，军队规划人员构建计划并部署平台，平台就是作战单元，作战单元使用技术来完成任务。作战单元分为入口节点和支持平台。支持平台部署在网络作战空间来控制一次行动的不同方面，包括部署能力、测量附带损害和进行战损评估、部署防御，以及维护进入节点和支持平台之间的通信。支持平台通过三种方式部署：

　　1 )修改一台存在的电脑成为支持平台，

　　2)使用预先部署的已经存在的支持平台，

　　3)通过扩展或者修改现有的逻辑网络拓扑实例化一个支持平台。

　　支持平台和一个进入节点最大的不同是是不是有人使用它作为进入网络作战空间的接口。如果有人直接使用，那么就是一个进入节点。

　　能力集是军队能够用来影响或者控制网络作战空间的技术的集合。这些技术可以大致定义为三类：访问、功能、通信。访问技术允许一个规划人员在一台电脑上执行任意指令。一般而言，这是能用于执行程序或者载荷的漏洞利用。功能技术代表所有影响计算机和网络的其他类型的技术。比如，rootkits、 keyloggers、网络扫描器、拒绝服务、防御回避、网络\主机侦查、操作系统控制、以及效应测度。军事规划人员能够应用的功能技术集合越大，通过功能组件的组合开发的计划就越多。通信技术为进入节点、支持平台和系统能力提供了交互信息的方法，包括恶意软件命令和控制命令，比如 DNS、P2P、以及HTTP SSL连接。

　　通过整合网络地图、作战单元、能力集这些概念，PLAN X计划形成了网络作战空间的概念。在这一概念的基础上通过五个技术领域的研究，将网络作战空间展示给军事人员，让普通士兵也能在直观的界面上利用技术与敌方发起的计算机攻击进行对抗，简化了作战流程，让士兵们不需要使用键盘就能作战。

　　项目内容

　　该计划寻求构建一个端到端的系统来使得军队能够在一个实时、大规模、和动态的网络环境中理解、规划和管理网络战争。寻求整合网络地图、行动单位、和能力集这些网络作战空间的概念到军队网络行动的计划、执行和测量阶段。PLAN X计划支持五个技术领域(TA )的研究来建立一个原型系统。

　　TA1系统架构

　　TA2网络作战空间分析

　　TA3任务构建

　　TA4任务执行

　　TA5直观接口

　　构建整个目的系统基础设施并支持各个系统的设计和开发。负责购买系统硬件和维护整个架构。

　　开发自动化技术帮助人理解网络作战空间、支持网络战战略开发、测量和模拟战损评估。

　　开发技术来建立任务计划并自动合成计划到可执行的任务脚本;开发技术验证计划以及量化预期效果和成果。

　　发任务脚本运行时环境和支撑平台。

　　设计整个项目的用户体验，包括工作流程、直观视觉、动作研究和集成的可视应用程序。

　　TA1 系统架构

　　——系统架构部分设计和实现网络作战空间图形化引擎并设计和集成端到端的PLAN X系统。

　　网络作战空间图形化引擎是PLAN X系统和核心。图形化引擎主要任务是接收、存储、模型化、检索和发送网络作战空间的信息给其他的PLAN X系统组件。图形化引擎从各种网络测绘组件和业务覆盖源接受实时信息。网络测绘模块发送数据给绘图引擎，这些数据使得绘图引擎能够转换和构建实时逻辑网络拓扑，这些信息包括路由跟踪数据、链路延迟、 BGP路由、IP生存时间头分析、节点路由表、和其他构建逻辑网络拓扑需要的信息，PLAN X系统必须能够在互联网层级水平构建网络拓扑。业务覆盖源信息在逻辑网络拓扑中作为每个元素的元数据存储，这些信息包括操作系统识别、网络服务配置、防御与进攻能力、敌我识别。其他的技术领域会提供包括潜在的进入节点、支持平台位置、通信路径、目标集合、进入节点的状态、支持平台、战损评估、效果测量、能力状态等信息。 PLAN X系统会显示一副全球热力图，显示行动计划和执行情况，这一能力使得规划人员对正在进行的活动有一个更加全面的视角。

　　TA2 网络作战空间分析

　　这一技术领域的重点帮助军事规划人员建立战略上健全战术上可行的网络作战行动。主要分为两个部分：开发自动化技术来帮助军事规划人员构建网络战方案;支持兵棋推演应用，如模拟对手进攻和防守，来优化方案。

　　开发自动化技术来帮助军事规划人员构建网络战方案内容包括：

　　节点选择：帮助规划人员在网络战场选择最佳的节点。

　　拓扑降低：给定进入节点集和目标节点集，通过使用普通的路径选择算法，比如最短路径、最小直径，从整体拓扑推理到一个任务拓扑子集。

　　支持平台位置：给定一个降低后的网络拓扑，包括一个进入节点集合和目标节点集合，这部分解决实现一个任务目标需要的支持平台的最佳位置和数量。

　　通信路径选择：确定组件之间的网络路径，路径将可能构成对现有网络拓扑结构的物理链路的覆盖。开发自动化技术，可以基于属性集合建立组件之间的主和备用路由，包括：需要建立路由的通信节点的数量;两个组件之间的延迟;不包括指定节点集的路径;最大链路带宽。

　　网络兵棋推演技术用来分析潜在的对抗和模拟及评估行动方案。

　　这一技术领域的第一个主题是帮助规划人员开发取得任务目标的方案，第二个主题的目标是创建体现网络作战空间动态本质上稳健的方案以及面对反抗时有能力来衡量和实现任务目标。

　　TA3：任务构建

　　这一技术领域的目标是开发自动化的技术来使得任务规划人员能够图形化构建详细和鲁棒的计划，计划能够自动化的合成为一个可执行的任务脚本。

　　在构建任务方案时需要包括：

　　行动检查点：允许规划人员在任务执行过程中建立“检查点”，以进行实时的操作交互。

　　实时故障恢复：需要支持人工实时操作控制，使得操作人员能够快速直接的控制正在进行的任务的所有方面。

　　自动操作水平：应该解决如果通信丢失或者退化后如何以及什么程度的任务程序逻辑能够自动的运行。规划人员必须明确标注可以无需操作员监视自动执行的指令和行动。

　　形式化分析：通过将任务计划转换为程序CFG结构，这一领域的研究能够利用很多现有的程序分析和形式化方法。此外这些技术讲用来加强附带损害的测量和行动。

　　强制交战规则(ROE)：方案应构建为根据指挥官指明的ROEs通过编程方式限制和强制操作者的选择和行动。这能够限制操作人员对任务的消极影响和未授权行为。

　　网络作战“剧本”：网络规划人员开发具体和独特的“剧本”来辅助计划未来的任务。这类似于足球战术，包含有针对不同场景的不同战术。

　　网络战任务构架后会编译或合成计划到一个完全封装的可执行程序或脚本，括需要的能力集和生成与部署支支持平台。输出是编译一个全面的作战任务包，发送给任务执行技术领域(TA4)。

　　TA4 任务执行

　　这一技术领域关注两个研究领域：任务脚本运行时环境;支持平台。

　　任务脚本运行时环境控制整个任务的执行，支持实时的操作员交互。运行时环境能够执行TA3任务程序，包括拼装需要的能力技术、部署支持平台、上传TA3任务程序指令块给支持平台以及执行 ROE访问控制列表。

　　支撑平台关注操作系统和虚拟机及开发，这些操作系统和虚拟机用于在高动态和充满第一的网络作战空间中执行网络战任务。就像军方有不同的交通工具执行不同的作战功能，像坦克、无人驾驶车辆、轰炸机、战斗机、航空母舰等，军方也需要不同的平台支持不同的网络作战功能。概念上的支持平台包括但不限于：。

　　发射平台：这些平台支持主动能力部署、前线位置、多任务并发执行和入侵遏制这些操作功能。

　　战斗效果监测：该平台支持的操作功能，如被动和主动的任务效果测量、部署的支持平台的状态、任务通信的完整性以确定篡改、和其他分析功能。

　　通信中继：这一平台支持在给定网络拓扑中人任务相关路由的建立。平台支撑多种类型的通信协议、延迟、和带宽需求。

　　自适应防御：这些平台支持防御功能，如包和连接过滤、通知其他支持平台检测到的攻击者、部署能力解毒剂以减轻以前部署的能力和检测到的对手的能力。

　　TA5 直观界面

　　直观的界面技术领域(TA5)的目标是为指挥官、策划者和操作人员管理网络战活动提供一个完全集成的可视化的用户体验。所有其他的技术领域将会直接支持TA5以开发和提供最好的用户体验。

　　实时网络作战空间视图：这一部分关注大规模网络作战空间活动。这是所有正在进行的活动、在开发的计划和网络拓扑实时架构的热力地图。作战空间视图支持数据过滤功能，所以指挥官可以快速放大和查看一个特定的正在进行的操作或在发展的计划。这一部分也应该包括一个不包含任何操作信息、计划和其他PLAN X叠加的未分配的网络作战空间视图。

　　策划处理：这部分应该解决策划处理的工作流程，同时要解决策划如何拼装。拼装过程可能包括网络拓扑的降低、节点选择、与操作区域相关联的元数据的呈现、目标测量和替代操作。制定的计划必须包括备用应急预案，确保任务目标一定会实现。在一个以微秒计算的环境中，任务失败后重新制定计划很可能会导致失利的环境。

　　能力建设：整个策划处理应该解决将会在任务过程中用到的能力的构建。

　　操作员控制：这部分关注两点。第一点是操作包的执行和提供任务脚本的操作员接口。第二个是支持来不及制定计划的实时交战。图形接口允许操作人员使用多种输入和输出设备。触摸屏技术、平板电脑和增强现实显示器都应该考虑进去，传统的键盘鼠标接口应该减少。