利用天網(wǎng)防火墻建立安全高效的ICP節(jié)點

1、利用天網(wǎng)防火墻建立安全高效的ICP節(jié)點_99_12_28精品資料網(wǎng)（）25萬份精華管理資料，2萬多集管理視頻講座利用天網(wǎng)防火墻建立安全高效的ICP節(jié)點1. 前言對于一個ICP（Internet內(nèi)容供應(yīng)商）來說，擁有大量的訪問量和用戶是ICP的目標(biāo)，但這樣，又會帶來系統(tǒng)安全、網(wǎng)絡(luò)帶寬與服務(wù)器處理能力的大量需求。因此，我們可以說，對于一個ICP來說，一臺好的防火墻不但可以給他們帶來網(wǎng)絡(luò)的安全，而且可以不對網(wǎng)絡(luò)造成任何影響，最好還可以提高服務(wù)器的響應(yīng)速度。而一般的軟件防火墻由于是基于通用操作系統(tǒng)的，不僅在安全性上大受操作系統(tǒng)本身的影響，而且網(wǎng)絡(luò)效率大打折扣。而天網(wǎng)防火墻III型，就是面對ICP開發(fā)的

2、一代全新的防火墻產(chǎn)品，它的高安全性令服務(wù)器高枕無憂，可以媲美100M以太網(wǎng)交換機網(wǎng)絡(luò)效率令數(shù)據(jù)暢通無阻，而附加的反向代理模塊與負載分擔(dān)模塊，可以大大提高服務(wù)器的響應(yīng)速度，提高服務(wù)質(zhì)量。2. 天網(wǎng)防火墻III的特點：l 針對ICP的特性，提供高效暢通的網(wǎng)絡(luò)通道：針對為ICP特點：需要保護的主機數(shù)量少，但并發(fā)連數(shù)量大設(shè)計的執(zhí)行執(zhí)照，天網(wǎng)防火墻III型并不象其他產(chǎn)品，只是籠統(tǒng)地按照并發(fā)數(shù)量作為價格依據(jù)，而是采用保護的主機數(shù)量作為防火墻的執(zhí)行執(zhí)照。作為一個ICP節(jié)點，網(wǎng)絡(luò)系統(tǒng)將承受大量的并發(fā)用戶訪問，天網(wǎng)防火墻的網(wǎng)絡(luò)核心可支持32768條并發(fā)連接，遠超任何基于通用操作系統(tǒng)的防火墻。作為一臺防火墻，其最

3、基本功能是保護網(wǎng)絡(luò)不受非法入侵者所破壞的同時，還要保證網(wǎng)絡(luò)的暢通無阻，天網(wǎng)防火墻的網(wǎng)絡(luò)核心專門為TCP/IP及Firewall而設(shè)計，同時還針對CPU的計算核心進行了優(yōu)化處理，能大大提升系統(tǒng)性能。網(wǎng)絡(luò)底層的多個部分由匯編語言編寫，比同類系統(tǒng)性能提高20%-60%。l 三個網(wǎng)絡(luò)端口設(shè)計，為重要的數(shù)據(jù)提供進一步的保護一個大型的ICP節(jié)點中，一般來說數(shù)據(jù)庫服務(wù)器和Web服務(wù)器都是采用不同的服務(wù)主機的，而數(shù)據(jù)庫服務(wù)器通常都不會提供對外的系統(tǒng)服務(wù)。天網(wǎng)防火墻的三個網(wǎng)絡(luò)端口，第一個網(wǎng)絡(luò)端口提供Internet網(wǎng)絡(luò)的接口，第二個網(wǎng)絡(luò)端口連接Web服務(wù)器網(wǎng)段，第三個網(wǎng)絡(luò)端口連接數(shù)據(jù)庫服務(wù)器網(wǎng)段，可以針對不同的

4、網(wǎng)絡(luò)服務(wù)采用不同的防火墻規(guī)則，大大提高了網(wǎng)絡(luò)的安全性，不會因為有公開對外的服務(wù)器存在漏洞而導(dǎo)致系統(tǒng)數(shù)據(jù)被竊取或破壞的可能性。l 軟硬件集成設(shè)計，大大減少防火墻的使用難度一般的軟件防火墻不但需要購買服務(wù)器系統(tǒng)、安裝操作系統(tǒng)、安裝防火墻軟件，同時還要考慮操作系統(tǒng)本身的各種漏洞，這樣的工作，對于一個以提供服務(wù)內(nèi)容為主的ICP來說，絕對是一件頭痛的事情，而且，一個不小心，服務(wù)器的操作系統(tǒng)忘了打最新的補丁，安裝防火墻的服務(wù)器本身就成了網(wǎng)絡(luò)安全的突破口，通常情況下，不法分子就是這樣繞過防火墻的層層阻擋，突破到網(wǎng)絡(luò)內(nèi)部。而就功能與運作方式來說，防火墻實際上更接近于網(wǎng)絡(luò)底層，一旦設(shè)置完成，通常情況下就不需要對

5、系統(tǒng)進行修改，因此天網(wǎng)防火墻采用軟硬件一體化設(shè)計，大大降低了防火墻的使用難度，安裝天網(wǎng)防火墻時只是需要接上網(wǎng)線與電源線，在經(jīng)過大約3分鐘左右的配置，系統(tǒng)就可以投入使用。而且，天網(wǎng)防火墻采用專用的網(wǎng)絡(luò)內(nèi)核設(shè)計，大大提高了防火墻本身的安全性。l 智能的負載分擔(dān)模塊（選件），降低了ICP網(wǎng)站建設(shè)的成本隨著出色的Internet應(yīng)用服務(wù)的使用人數(shù)不斷增加，服務(wù)器變得不勝負荷，如果無法及時處理大量的用戶服務(wù)請求，將出現(xiàn)服務(wù)中斷的情況。以往在解決這些問題的時候，只能采用更強計算能力的服務(wù)器來替換原來的服務(wù)器，舊的服務(wù)器只能淘汰掉。并且，單臺服務(wù)器的負載能力也是有限的，不可能無限擴展，同時，高檔服務(wù)器的價格

6、是隨著服務(wù)器的性能呈現(xiàn)指數(shù)型上升，因此，采用多臺廉價服務(wù)器組成負載分擔(dān)的系統(tǒng)模型日漸成為主流。負載分擔(dān)系統(tǒng)主要是將集中在一臺服務(wù)器上的用戶服務(wù)請求分發(fā)到多臺服務(wù)器上。在負載分擔(dān)方式出現(xiàn)的初期，有不少網(wǎng)絡(luò)的設(shè)計采用域名輪轉(zhuǎn)的方式，即是一個域名對應(yīng)多臺服務(wù)器，作為一種廉價的方案，域名輪轉(zhuǎn)的方式可以在解決一些服務(wù)器的負載問題，但是，由于這種負載分擔(dān)的方式有很大的局限性：無法根據(jù)各臺服務(wù)器的負載情況，將用戶服務(wù)請求發(fā)送到不同的服務(wù)器上；在其中一臺服務(wù)器出現(xiàn)問題無法工作的時候，系統(tǒng)仍然會將用戶訪問請求發(fā)送到出現(xiàn)故障的服務(wù)器上，造成一部分服務(wù)的中斷；由于域名解釋一般在各地的服務(wù)器上都會有Cache存在，因

7、此會造成一個地區(qū)的用戶訪問請求將集中在同一臺服務(wù)器上。因而實際上，采用域名輪轉(zhuǎn)的方式來做系統(tǒng)負載分擔(dān)，其效果并不明顯，而且存在著一定的弊端。使用天網(wǎng)防火墻的分布式方案，可以建造具有快速響應(yīng)時間和高容錯的大容量服務(wù)器集群系統(tǒng)。天網(wǎng)防火墻的負載分布模塊，可以智能地將用戶的服務(wù)請求分布到多臺服務(wù)器上面，同時，提供容錯功能，可以自動隔離出問題的服務(wù)器。系統(tǒng)具體功能如下：1） 動態(tài)負載均衡天網(wǎng)防火墻的負載分布模塊可以根據(jù)服務(wù)器的負載情況，包括CPU 占用量，系統(tǒng)Load等情況，自動選擇負載最小的服務(wù)器，將用戶的服務(wù)請求發(fā)送到該機器上。2） 容錯處理天網(wǎng)防火墻的負載分布模塊可以自動檢測服務(wù)器的可用性，當(dāng)某

8、一臺服務(wù)器出現(xiàn)故障的時候，分布式系統(tǒng)會自動繞開發(fā)生故障的機器，不會將用戶的服務(wù)請求發(fā)送到改機器上，保證了系統(tǒng)的正常運作。在實際應(yīng)用中，由于服務(wù)器端常常存在著CGI程序，這些程序會將用戶的信息保存在服務(wù)器的內(nèi)存中，如果負載分擔(dān)系統(tǒng)不能識別用戶來源，就會將同一個用戶的請求分布到不同的服務(wù)器上，就會導(dǎo)致無法正常運行程序。而天網(wǎng)防火墻的負載負擔(dān)模塊采用獨有的IIDR（智能身份識別）算法，能夠保證同一個用戶的CGI請求可以保留在同一臺服務(wù)器上，保證服務(wù)的正常運作。采用分布式結(jié)構(gòu)建造大規(guī)模的Internet應(yīng)用，可以容納大量的用戶，然而在用戶量增大到一定的情況下，負載分擔(dān)服務(wù)器處于整個網(wǎng)絡(luò)中心的位置，有可

9、能反而成為服務(wù)系統(tǒng)的瓶頸。天網(wǎng)防火墻負載分擔(dān)模塊在設(shè)計時采用的高性能的專用散列算法，保證系統(tǒng)即使在處理巨大的用戶量（每秒同時連接數(shù)大于30000用戶）下，網(wǎng)絡(luò)效率仍然可以達到80%以上。3. 典型天網(wǎng)防火墻III型組網(wǎng)方案典型的天網(wǎng)防火墻應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)圖如下圖所示：采用天網(wǎng)防火墻將Internet網(wǎng)絡(luò)、Web服務(wù)器與數(shù)據(jù)服務(wù)器隔離。所有的Internet用戶對Web服務(wù)器均通過防火墻的檢測，利用負載分擔(dān)方式轉(zhuǎn)發(fā)給多臺Web服務(wù)器。用戶對數(shù)據(jù)庫服務(wù)器的訪問將被防火墻攔截，只有Web服務(wù)器發(fā)出的數(shù)據(jù)查詢請求才允許通過。4. 天網(wǎng)防火墻的ICP用戶目前，采用天網(wǎng)防火墻進行網(wǎng)絡(luò)安全保護的ICP用戶有：中

10、央電視臺：安裝于中央電視臺網(wǎng)絡(luò)兩大出口，提供對外的HTTP、FTP、SMTP、POP3、RealVideo、Netshow等服務(wù)的通道。中央電視臺網(wǎng)站在大陸臺灣兩地黑客沖突時被臺灣黑客指定為必須破壞的網(wǎng)站之一，在此事件中，天網(wǎng)防火墻猶如銅墻鐵壁一樣抵擋了成千上萬次的攻擊。至今為止，中央電視的網(wǎng)絡(luò)系統(tǒng)并未出現(xiàn)任何由于防火墻被攻破的問題。人民日報：為內(nèi)部網(wǎng)絡(luò)、內(nèi)部撥號網(wǎng)與外部網(wǎng)絡(luò)的橋梁，利用NAT技術(shù)節(jié)省上百個撥號服務(wù)端口的網(wǎng)絡(luò)地址，高效的防火墻通道支撐著每日1千萬以上的Hits的巨大訪問量。廣州電信：廣州電信局的個人主頁系統(tǒng)，采用天網(wǎng)防火墻的負載分擔(dān)模塊，成功利用3臺一般PC服務(wù)器組成一套高性能的Web服務(wù)系統(tǒng)，目前系統(tǒng)每天的訪問量超過了1000萬hits/天，峰值的并發(fā)訪問量超過