網(wǎng)站解決方案模板

網(wǎng)站解決方案資料內(nèi)容僅供參考，如有不當(dāng)或者侵權(quán)，請聯(lián)系本人改正或者刪除。使用MicrosoftWindowsDNA平臺構(gòu)建Web站點的藍(lán)圖草圖,.9版MicrosoftCorporation

年1月目錄TOC\t"標(biāo)題4,1,標(biāo)題5,2"HYPERLINK執(zhí)行摘要 2HYPERLINK體系結(jié)構(gòu)概述 2HYPERLINK簡介 2HYPERLINK體系結(jié)構(gòu)目標(biāo) 2HYPERLINK體系結(jié)構(gòu)元素 3HYPERLINK示例站點 7HYPERLINK簡介 7HYPERLINKInternet 9HYPERLINKDMZ 9HYPERLINK安全網(wǎng)絡(luò) 10HYPERLINK摘要 11HYPERLINK可伸縮性 12HYPERLINK簡介 12HYPERLINK擴展客戶和內(nèi)容 12HYPERLINK擴展業(yè)務(wù)復(fù)雜性 15HYPERLINK可用性 18HYPERLINK簡介 18HYPERLINK前端系統(tǒng)的可用性 19HYPERLINK網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的可用性 19HYPERLINK后端系統(tǒng)的可用性 20HYPERLINK安全性 20HYPERLINK簡介 20HYPERLINK網(wǎng)絡(luò)保護 21HYPERLINK平臺保護 23HYPERLINK客戶(成員)訪問控制 24HYPERLINK要點 25HYPERLINK管理與運作 25HYPERLINK簡介 25HYPERLINK管理基礎(chǔ)結(jié)構(gòu) 26HYPERLINK管理系統(tǒng)需求 29HYPERLINK摘要 32

執(zhí)行摘要商務(wù)正迅速發(fā)展為標(biāo)準(zhǔn)的、基于Web的計算模型,其特征為重復(fù)且針對任務(wù)的系統(tǒng)的松散連接層。很大比例的商務(wù)Web站點—提供聯(lián)機服務(wù)的服務(wù)器、應(yīng)用程序和數(shù)據(jù)的集合—都是用當(dāng)今的MicrosoftWindowsDNA平臺構(gòu)建的,成為該計算模型的基礎(chǔ)。本文檔定義了構(gòu)建WindowsDNA站點的體系結(jié)構(gòu)。讀者能夠借用這些信息,設(shè)計和構(gòu)建當(dāng)今基于WindowsDNA的站點。本文檔集中討論如何使用Microsoft技術(shù),特別是WindowsDNA平臺,以盡可能有效利用財力和時間的方法,構(gòu)建可伸縮、可用、安全和可管理的站點的基礎(chǔ)結(jié)構(gòu)。強調(diào)保持Web站點簡便靈活的運作和應(yīng)用程序設(shè)計,以及”.com”如何能夠成功地以必要而有效的可伸縮性、可用性、安全性和可管理性來部署和運作站點。其次強調(diào)當(dāng)前文檔齊全的工具和構(gòu)建Web應(yīng)用程序組件的方法。另外還從宏觀層次檢查MicrosoftWindowsDNA解決方案(使用Microsoft?WindowsNT?4.0和/或Windows)的優(yōu)點,并逐級進(jìn)入,以定義如何使用Microsoft產(chǎn)品建立站點體系結(jié)構(gòu)中的每一層次。最后,將討論使用Microsoft工具和技術(shù)管理Web站點。盡管只是個概述,本文檔還是檢查了一個成功使用部署的體系結(jié)構(gòu)的示例Web站點,它可作為使用WindowsDNA平臺構(gòu)建的站點的模型。本文檔不涉及(除了與可伸縮性、可用性、安全性和可管理性相關(guān)時)諸如應(yīng)用程序設(shè)計、開發(fā)工具或數(shù)據(jù)庫設(shè)計等主題;可是提供涵蓋這些領(lǐng)域的相應(yīng)文檔的指針?！斌w系結(jié)構(gòu)概述”介紹一些對于大型Web站點很重要的體系結(jié)構(gòu)概念。在”示例站點”描述了一個具有代表性的站點并解釋了它使用的基礎(chǔ)結(jié)構(gòu)和各層。其余章節(jié)討論了站點的四個關(guān)鍵屬性—”可伸縮性”、”可用性”、”安全性”和”可管理性”—并使用示例站點來說明這些問題。對相關(guān)文檔的引用貫穿整個文檔。體系結(jié)構(gòu)概述簡介大型商務(wù)站點為動態(tài)變化的模型:它們一般一開始很小,但隨著需求的增長而指數(shù)增長。不但在支持的獨特用戶的數(shù)量上不斷增加,這種增長非常迅速,而且在提供的用戶服務(wù)的復(fù)雜性和集成性方面也不斷增長。經(jīng)投資者的檢查,許多站點啟動的商務(wù)計劃的可伸縮性為10-100倍,這個數(shù)據(jù)是可信的。成功的商務(wù)站點,經(jīng)過不斷增加向客戶機提供邏輯服務(wù)的服務(wù)器數(shù)量(即經(jīng)過服務(wù)器提供其自身的多個實例(克隆)或經(jīng)過在自身之間均衡工作負(fù)荷),以及創(chuàng)立與已有計算機系統(tǒng)相集成的服務(wù)來管理這種增長和變化。這種增長的基礎(chǔ)為支持高度可用性的堅實的體系結(jié)構(gòu)、安全基礎(chǔ)結(jié)構(gòu)和管理基礎(chǔ)結(jié)構(gòu)。體系結(jié)構(gòu)目標(biāo)本文檔描述的體系結(jié)構(gòu)力圖達(dá)到四個目標(biāo):線性可伸縮性—可持續(xù)增長以滿足用戶需求和業(yè)務(wù)復(fù)雜性。持續(xù)的服務(wù)可用性—使用冗余和功能專業(yè)化來提高容錯能力。數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)的安全性—保護數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)免受惡意攻擊或盜用。管理的簡便性和完整性—確保運作能夠滿足增長的需求?？缮炜s性為了能夠擴展,商務(wù)Web站點將其體系結(jié)構(gòu)分為兩部分:前端(客戶機可訪問的)系統(tǒng)和存儲長期永久數(shù)據(jù)的或商務(wù)處理系統(tǒng)所在的后端系統(tǒng)。負(fù)荷平衡系統(tǒng)用于將工作分配到每一層的系統(tǒng)中。前端系統(tǒng)一般不保留長期狀態(tài)。也就是說,前端系統(tǒng)中每次請求的環(huán)境一般是暫時的。這種體系結(jié)構(gòu),經(jīng)過克隆或復(fù)制與無狀態(tài)負(fù)荷平衡系統(tǒng)(使負(fù)荷在可用的克隆體之間分配)相耦合的前端系統(tǒng),擴展其支持的獨特用戶的數(shù)量。我們將克隆體集合中的IIS服務(wù)器集合稱為Web群集。在多個后端系統(tǒng)之間分區(qū)聯(lián)機內(nèi)容同樣能夠擴展。帶狀態(tài)的或內(nèi)容敏感的負(fù)荷平衡系統(tǒng)則將請求路由到正確的后端系統(tǒng)。經(jīng)過功能專業(yè)化,業(yè)務(wù)邏輯復(fù)雜性以可管理的方式增長。專用的服務(wù)器負(fù)責(zé)專門的服務(wù),包括與遺留或脫機系統(tǒng)的集成?？寺∨c分區(qū),和功能專業(yè)化服務(wù)一起,經(jīng)過單獨增長每個服務(wù)而使得這些系統(tǒng)具有極大的可伸縮性?？捎眯越?jīng)過使用多個克隆服務(wù)器(所有服務(wù)器均為其客戶機提供唯一的地址)使得前端系統(tǒng)具有高度可用性和可伸縮性。負(fù)荷平衡用于在克隆體之間分配負(fù)荷。將故障檢測功能置入負(fù)荷平衡系統(tǒng)提高了服務(wù)的可用性。不再提供服務(wù)的克隆體將自動從負(fù)荷平衡集合中刪除,而剩下的克隆體將繼續(xù)提供服務(wù)。使后端系統(tǒng)具有高度可用性更具挑戰(zhàn)性,主要是因為它們維護著數(shù)據(jù)或狀態(tài)。它們經(jīng)過對每個分區(qū)使用故障轉(zhuǎn)移群集(failoverclustering)來實現(xiàn)高度可用。故障轉(zhuǎn)移群集假定應(yīng)用程序能夠在能夠訪問故障系統(tǒng)的磁盤子系統(tǒng)的其它計算機上繼續(xù)運行。分割故障轉(zhuǎn)移發(fā)生在支持分區(qū)請求的主節(jié)點故障時,此時分區(qū)請求自動切換到二級節(jié)點。二級節(jié)點必須有權(quán)訪問與故障節(jié)點同樣的數(shù)據(jù)存儲,該數(shù)據(jù)存儲也應(yīng)該是復(fù)制的。復(fù)制品還可經(jīng)過在遠(yuǎn)程位置上成為可用,來提高站點的可用性?？捎眯栽诤艽蟪潭壬线€取決于企業(yè)級IT規(guī)則,包括更改控制、嚴(yán)格測試和快速升級以及反饋機制。安全性安全性—經(jīng)過為信息的機密性、保密性、完整性和可用性提供充分的保護來管理風(fēng)險—是任何商務(wù)站點成功的基本要素。商務(wù)站點使用多個安全域,其中包括具有不同安全性需求的系統(tǒng),每個域均受到網(wǎng)絡(luò)過濾器或防火墻保護。有三種主要的域,互相用防火墻隔離,它們是:公共網(wǎng)絡(luò);DMZ(由軍事術(shù)語”非軍事區(qū)域”派生而來),是前端和內(nèi)容服務(wù)器所在之處;以及安全網(wǎng)絡(luò),是創(chuàng)立或使用內(nèi)容的地方,也是管理和存儲安全數(shù)據(jù)的地方。管理管理和運作廣泛涉及維護商務(wù)站點及其服務(wù)正常工作所需的基礎(chǔ)結(jié)構(gòu)、工具以及管理員和技術(shù)人員。許多站點均位于常稱作宿主環(huán)境的地方。也就是說,這些系統(tǒng)配置有”Internet服務(wù)提供商(ISP)”或?qū)＜宜拗鞣?wù),這里可提供豐富的Internet連通性。因此,系統(tǒng)的管理和監(jiān)控必須遠(yuǎn)程完成。在這種體系結(jié)構(gòu)中,我們將描述這種管理網(wǎng)絡(luò)和網(wǎng)絡(luò)必須支持的管理功能類型。體系結(jié)構(gòu)元素本節(jié)要突出的商務(wù)Web站點的關(guān)鍵體系結(jié)構(gòu)元素包括:客戶機系統(tǒng);負(fù)荷平衡的、克隆的前端系統(tǒng)(客戶機系統(tǒng)可用訪問的);負(fù)荷平衡的、分區(qū)的后端系統(tǒng)(前端系統(tǒng)可用訪問這里的永久存儲);以及三種拱形體系結(jié)構(gòu)考慮:災(zāi)難承受能力、安全域及管理和運作。大型商務(wù)Web站點的原理圖1展示了商務(wù)Web站點的概念和基本原理,這些內(nèi)容將在本節(jié)的以下部分詳細(xì)說明。圖1.體系結(jié)構(gòu)的原理圖1顯示了前端、后端和負(fù)荷平衡層的劃分,正如本文檔所述。防火墻和網(wǎng)段分區(qū)為安全原理的關(guān)鍵?？蛻魴C在這種站點體系結(jié)構(gòu)中,客戶機向某服務(wù)名稱發(fā)送請求,該服務(wù)名稱代表提供給客戶機的應(yīng)用程序。最終用戶和客戶機軟件不知道提供服務(wù)的系統(tǒng)的內(nèi)部運作方式。一般,最終用戶鍵入第一個URL,例如,,然后單擊超級鏈接或完成Web頁上的表單以便向站點深處導(dǎo)航。對于范圍廣泛的Web站點,一個重要的決定就是是否在瀏覽器中支持功能的最低公共集,或是否為不同的瀏覽器版本提供不同的內(nèi)容。當(dāng)前,盡管還有更舊的瀏覽器在使用,但HTML3.2一般為所支持的最低版本。例如,瀏覽器可如此分類:支持HTML3.2的,如MicrosoftInternetExplorer3.0;支持動態(tài)HTML(DHTML)的,如InternetExplorer4.0;以及支持ExtensibleMarkupLanguage(XML)的,如InternetExplorer5.0。然后為每個類提供不同的內(nèi)容。IIS和工具,能夠創(chuàng)立可動態(tài)呈現(xiàn)給不同瀏覽器的頁面。前端系統(tǒng)前端系統(tǒng)由向Web客戶機提供核心Web服務(wù)(如HTTP/HTTPS、LDAP和FTP)的服務(wù)器組成。開發(fā)人員一般將這些前端系統(tǒng)分為一系列稱作克隆體的相同系統(tǒng)的集。它們運行相同的軟件,并經(jīng)過內(nèi)容復(fù)制或高度可用的文件共享訪問相同的Web內(nèi)容、HTML文件、ASP、腳本等。經(jīng)過克隆體之間的負(fù)荷平衡請求,以及經(jīng)過檢測故障克隆體并將其從工作的克隆體中刪除,可實現(xiàn)高度可伸縮性和可用性?？寺◇w(無狀態(tài)前端)克隆是為Web站點增加處理能力、網(wǎng)絡(luò)帶寬和存儲帶寬的良好手段。由于每個克隆體在本地復(fù)制存儲,因此,所有更新必須應(yīng)用到所有克隆體上?？墒?由于與負(fù)荷平衡、故障檢測和消除客戶機狀態(tài)的耦合,克隆的確是擴展站點和提高可用性的良好方法。無狀態(tài)負(fù)荷平衡負(fù)荷平衡層向用戶提供一個服務(wù)名稱并將客戶機負(fù)荷分配給多個Web服務(wù)器。這將為服務(wù)器集提供可用性、可伸縮性和某種程度的可管理性。負(fù)荷平衡手段有多種,包括”RoundRobin域名服務(wù)器(RRDNS)”及各種基于網(wǎng)絡(luò)的和基于主機的負(fù)荷平衡技術(shù)。維護客戶機狀態(tài)我們不希望在克隆前端系統(tǒng)中維護客戶機狀態(tài),因為這與透明客戶機故障轉(zhuǎn)移和負(fù)荷平衡相抵觸。在會話間維護客戶機狀態(tài)的基本方法有兩種。一種是將客戶機狀態(tài)存儲在分區(qū)的后端服務(wù)器中。(由于客戶機狀態(tài)能夠完全分區(qū),因此也易于擴展?？墒?需要對每個客戶機請求檢索該狀態(tài))。在會話間維護客戶機狀態(tài)的另一種方法是使用cookie和/或URL。Cookie是由客戶機Web瀏覽器管理的小文件。它們無益于減小帶狀態(tài)服務(wù)器的負(fù)荷和增加無狀態(tài)前端系統(tǒng)的實用性。數(shù)據(jù)還能夠存儲在URL中,并在用戶單擊顯示的Web頁上的鏈接時返回。前端可用性當(dāng)在這些前端服務(wù)器上運行應(yīng)用程序代碼時,無論是用MicrosoftVisualBasic(R)或C++等高級語言還是用腳本編寫,從不同的Web應(yīng)用程序隔離編程錯誤是非常重要的。使應(yīng)用程序代碼在Web服務(wù)器的進(jìn)程外運行,是相互隔離編程錯誤和避免Web服務(wù)器故障的最佳方法。后端系統(tǒng)后端系統(tǒng)是維護應(yīng)用程序數(shù)據(jù)的數(shù)據(jù)存儲,也是啟用與其它維護數(shù)據(jù)資源的系統(tǒng)的連通性的數(shù)據(jù)存儲。數(shù)據(jù)能夠存儲在普通文件、數(shù)據(jù)庫系統(tǒng)(如MicrosoftSQLServer(TM))或其它應(yīng)用程序中,如下表所示。表1.數(shù)據(jù)存儲的不同類型文件系統(tǒng)數(shù)據(jù)庫其它應(yīng)用程序示例文件共享SQLAdinsertion、SAP、Siebel數(shù)據(jù)HTML、圖像、可執(zhí)行文件、腳本、COM對象類別、用戶信息、日志、帳單信息、價格表庫存目錄/庫存、標(biāo)語廣告、帳目信息使后端系統(tǒng)擴展和具有高度可用性更具挑戰(zhàn)性,主要因為它們必須維護數(shù)據(jù)和狀態(tài)。一旦單一系統(tǒng)的可伸縮性已經(jīng)達(dá)到,就必須分區(qū)數(shù)據(jù)并使用多臺服務(wù)器。因此,持續(xù)的可伸縮性是經(jīng)過數(shù)據(jù)分區(qū)和將邏輯數(shù)據(jù)映射到正確的物理分區(qū)的數(shù)據(jù)相關(guān)路由層或帶狀態(tài)負(fù)荷平衡系統(tǒng)來實現(xiàn)的。對于提高的可用性,群集—一般由兩個訪問公共的、復(fù)制的或RAID(獨立盤的冗余數(shù)組)保護的存儲器的節(jié)點組成—將支持每個分區(qū)。當(dāng)一個節(jié)點上的服務(wù)失敗時,另一個節(jié)點將接管分區(qū)并提供服務(wù)。分區(qū)(帶狀態(tài)的后端系統(tǒng))經(jīng)過復(fù)制硬件和軟件及在各節(jié)點之間劃分?jǐn)?shù)據(jù),分區(qū)增強了服務(wù)能力。一般,數(shù)據(jù)是按對象分區(qū)的,如郵箱、用戶帳戶或生產(chǎn)線等。在某些應(yīng)用程序中分區(qū)是按時間進(jìn)行的,例如按天或按季度。也可能用隨機分區(qū)的方法分布對象。拆分和合并分區(qū)需要工具,最好是聯(lián)機的(不用中斷服務(wù)),符合系統(tǒng)變化的需要。增加宿主分區(qū)的服務(wù)器數(shù)量,提高了服務(wù)的可伸縮性。不過,分區(qū)的選擇將決定訪問模式及其產(chǎn)生的負(fù)荷。甚至在分布請求時也要避免出現(xiàn)熱點(一個分區(qū)接收的請求數(shù)量不成比例),這對設(shè)計數(shù)據(jù)分區(qū)也很重要。有時這很難避免,而且必須有大型多處理器系統(tǒng)宿主分區(qū)。分區(qū)故障轉(zhuǎn)移,即服務(wù)自動切換到二級節(jié)點(退回未完成的事務(wù)),可提供持續(xù)的分區(qū)可用性。帶狀態(tài)負(fù)荷平衡如果數(shù)據(jù)按多個數(shù)據(jù)服務(wù)器分區(qū),或開發(fā)提供專用功能的服務(wù)器來處理特定類型的Web請求,必須編寫相應(yīng)的軟件將請求路由到相應(yīng)的數(shù)據(jù)分區(qū)或?qū)Ｓ梅?wù)器。一般,該應(yīng)用程序邏輯是由Web服務(wù)器運行的。其編制目的是確定相關(guān)數(shù)據(jù)的位置,而且根據(jù)客戶機請求的內(nèi)容、客戶機ID或客戶機提供的cookie將請求路由到數(shù)據(jù)分區(qū)所在的相應(yīng)服務(wù)器。它還知道提供專用功能的服務(wù)器位置并將請求發(fā)送到那里進(jìn)行處理。該應(yīng)用程序軟件完成帶狀態(tài)負(fù)荷平衡。稱其為帶狀態(tài)的原因是,根據(jù)客戶機狀態(tài)或請求中的狀態(tài)才能決定將請求路由至何方。后端服務(wù)的可用性除了使用故障轉(zhuǎn)移和群集提高可用性外,整個系統(tǒng)體系結(jié)構(gòu)的一個重要因素,就是站點提供某些有限程度服務(wù)的能力,甚至在多種服務(wù)失效的情況下。例如,用戶應(yīng)該總能經(jīng)過用戶憑據(jù)的復(fù)制登錄至聯(lián)機郵件服務(wù),然后使用克隆的”簡單郵件傳輸協(xié)議(SMTP)”路由器發(fā)送郵件,即使用戶的郵件文件是無效的。相類似,在商務(wù)站點中用戶應(yīng)該能夠瀏覽目錄,即使暫時不能處理事務(wù)。這要求系統(tǒng)體系結(jié)構(gòu)設(shè)計者要設(shè)計出”當(dāng)個別部件發(fā)生故障時工作可靠但性能下降”的服務(wù),以避免由于局部故障而使終端用戶感覺為整個站點故障。災(zāi)難承受能力某些商務(wù)Web站點需要持續(xù)的服務(wù)可用性,即使在災(zāi)難發(fā)生時:她們的全球商務(wù)活動依賴于可用的服務(wù)。災(zāi)難可能是自然災(zāi)害(地震、火災(zāi)或洪水),也可能是惡意操作(如恐怖活動或心懷不滿的員工)的結(jié)果。災(zāi)難承受系統(tǒng)要求將站點的副本或部分副本放在離主站點足夠遠(yuǎn)的地方,這樣,在整個災(zāi)難中失去多個站點的概率會小到可承受的程度。在最高級別有兩種復(fù)制的站點類型。主動站點分擔(dān)部分負(fù)荷。被動站點在發(fā)生災(zāi)難后才提供服務(wù)。在需要快速故障轉(zhuǎn)移的場合一般使用主動站點。被動站點可能只是由租用服務(wù)器和遠(yuǎn)程的、位于備份磁帶所在地的連接組成,這些連接可在需要時應(yīng)用于上述服務(wù)器。像這種最小限度的規(guī)劃應(yīng)該為任何商務(wù)考慮之列。更新復(fù)制的站點,使它們的內(nèi)容保持一致是很具挑戰(zhàn)性的。此處的基本方法是:將內(nèi)容從中央升級服務(wù)器復(fù)制到遠(yuǎn)程站點的升級服務(wù)器,更新每個站點的內(nèi)容。對于只讀內(nèi)容該方法已足夠。可是,對于更多的執(zhí)行事務(wù)的高級站點,還需要保持?jǐn)?shù)據(jù)庫為最新。數(shù)據(jù)庫復(fù)制和日志轉(zhuǎn)移一般見于將對數(shù)據(jù)庫的事務(wù)性更新轉(zhuǎn)移到遠(yuǎn)程站點的地方。典型情況下,數(shù)據(jù)庫將出現(xiàn)幾分鐘不同步?？墒?這比站點完全失效要好。安全域安全性機制用于保護敏感信息的保密性和機密性,使其免受未經(jīng)許可的訪問;經(jīng)過防止未經(jīng)許可的修改或破壞,保護系統(tǒng)和數(shù)據(jù)的完整性;并經(jīng)過防止拒絕服務(wù)攻擊和提供意外或災(zāi)難計劃,來幫助確?？捎眯?。安全域是一致的安全性區(qū)域,區(qū)域之間有定義明確的保護接口。這一概念的應(yīng)用程序有助于確保在正確的場合應(yīng)用正確的保護級別。復(fù)雜系統(tǒng)(如大型商務(wù)站點及其環(huán)境)可劃分為多個安全域。區(qū)域表示任何所希望的劃分—例如,按地域、按組織、按物理網(wǎng)絡(luò)或者服務(wù)器或按數(shù)據(jù)類型。對于商務(wù)站點,主要的劃分方式可適當(dāng)按照Internet、站點的DMZ、安全性、企業(yè)和管理網(wǎng)絡(luò)。域還可能相互交叉或重疊。例如數(shù)據(jù)庫中的信用卡號碼可能需要附加保護。附加的安全性控制,如卡號的加密,可提供這種保護。下面的比喻有助于形象說明安全域。Internet好象中世紀(jì)的城堡及其周邊環(huán)境:在其城墻之外,很少有法律約束并有各種不拘一格的個性。根據(jù)這個城堡模型,用于保護Web站點的關(guān)鍵結(jié)構(gòu)元素是在其周圍構(gòu)筑城墻,有重兵把守的主城門禁止閑雜的人進(jìn)入。需要構(gòu)建的城墻及城門等效于維護給定安全級的標(biāo)準(zhǔn)。當(dāng)然,不會有沒有保護的后門!對于大型商務(wù)站點,城墻稱為站點的邊界。在網(wǎng)絡(luò)術(shù)語中,表示站點的內(nèi)部通信設(shè)備是專用的并與Internet隔離,指定的入口除外。站點的主城門稱作防火墻。防火墻將檢測每一通信包,確保只允許希望的信息進(jìn)入。繼續(xù)這個比喻,城堡中的要塞保護著皇冠寶石。附加的圍墻和加鎖的門或墻中墻,提供了附加保護。與此類似,商務(wù)站點經(jīng)過提供附加的防火墻和內(nèi)部網(wǎng)絡(luò),保護著非常敏感的數(shù)據(jù)。圖2.防火墻/DMZ防火墻是一種控制網(wǎng)絡(luò)中處于不同可信級別的兩部分之間的數(shù)據(jù)流的機制。防火墻的范圍能夠從數(shù)據(jù)包過濾器(只允許指定IP端口和/或一系列IP地址之間的數(shù)據(jù)通信)到應(yīng)用程序級防火墻(實際檢查數(shù)據(jù)的內(nèi)容并決定是否讓其經(jīng)過)。站點一般將過濾數(shù)據(jù)包的外向防火墻和過濾協(xié)議和端口層數(shù)據(jù)的內(nèi)向防火墻結(jié)合使用。保護站點的安全性很復(fù)雜,但防火墻/DMZ是關(guān)鍵結(jié)構(gòu)組件(實際上是網(wǎng)段中的子網(wǎng))。對于保證期望的站點保護級別,它是必要但絕不充分的安全性機制。本文檔的”安全性”章節(jié)專門敘述如何保護站點的安全。管理基礎(chǔ)結(jié)構(gòu)站點管理系統(tǒng)一般構(gòu)建在單獨的網(wǎng)絡(luò)上,以確保高度可用。管理系統(tǒng)使用單獨網(wǎng)絡(luò),還能夠減輕管理通信量的后端網(wǎng)絡(luò)的負(fù)荷,從而提高整體性能和響應(yīng)時間。管理和運作有時也使用后端網(wǎng)絡(luò),但對于大型的、高可用度的站點,不建議這樣做。管理系統(tǒng)的核心結(jié)構(gòu)組件為管理控制臺、管理服務(wù)器和管理代理。所有核心組件均可獨立擴展。管理控制臺是管理員訪問和操縱被管理系統(tǒng)的入口。管理服務(wù)器時刻監(jiān)控著所管理的系統(tǒng)、接收報警和通知、記錄事件和性能數(shù)據(jù),并作為響應(yīng)預(yù)定事件的第一防線。管理代理為在其駐留的設(shè)備內(nèi)部執(zhí)行主要管理功能的程序。管理代理與管理服務(wù)器使用標(biāo)準(zhǔn)的或?qū)Ｓ玫膮f(xié)議相互通信。當(dāng)系統(tǒng)達(dá)到一定的規(guī)模和變化率時,Web站點的管理和運作成為關(guān)鍵因素。管理的簡便性、易于配置、持續(xù)的健康監(jiān)控和故障檢測可能比添加應(yīng)用程序功能或新服務(wù)更為重要。因此,應(yīng)用程序工程師必須十分熟悉部署和運行應(yīng)用程序的操作環(huán)境。另外,操作人員還必須十分熟悉克隆和分區(qū)方案、管理工具和安全機制,以維持持續(xù)可用的、基于Internet的服務(wù)。示例站點簡介本示例站點力求通用,以說明核心結(jié)構(gòu)組件和基礎(chǔ)結(jié)構(gòu)?？墒?它是我們曾討論過的許多運行站點的關(guān)鍵結(jié)構(gòu)特性的代表。出于競爭和安全原因,站點所有者一般不愿展示其站點的實際詳細(xì)內(nèi)幕。我們的示例以一個大型站點為例,并展示了拓?fù)浣Y(jié)構(gòu)和組件冗余。它是一個高度可用系統(tǒng):緊急服務(wù)可拯救大部分故障模式,減輕重大災(zāi)難。從ISP1到ISPN的每個分組中的服務(wù)器均支持所有站點緊急處理功能,因此,即使失去一個ISP也不會使站點癱瘓。在大部分災(zāi)難情況下,提供不間斷的服務(wù)需要在多個地理位置(geoplex)上復(fù)制整個站點。Cisco的”分布式控制器”一般見于支持geoplex。遺憾的是,站點復(fù)制的成本將超出構(gòu)建站點的兩倍,而且可能導(dǎo)致Web應(yīng)用程序的數(shù)據(jù)一致性問題。從該示例可派生出較小的和大得多的站點。較小站點可能不需要在每個群集中有如此多的服務(wù)器。不需要很高可用性的站點只要刪除冗余的元素,特別是圖中從InternetISP1開始的整個上半部分。沒有很高數(shù)據(jù)庫安全性的站點能夠在安全網(wǎng)絡(luò)中刪除安全SQL群集。另一方面,非常大的站點能夠添加下列內(nèi)容充分地擴展:每個IISWeb群集的克隆體。Web群集數(shù)量。Internet連接訪問點。前端組件,如防火墻。更進(jìn)一步,隨著網(wǎng)絡(luò)通信量和要管理的設(shè)備數(shù)量的增加,管理網(wǎng)絡(luò)也必須增加規(guī)模和復(fù)雜性。圖3展示了示例站點的體系結(jié)構(gòu)。圖3.大型Web站點網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示例在圖3中,不同的線形、粗細(xì)和注釋顯示了網(wǎng)絡(luò)不同部分的IP地址和連接。特別是:外部(面向Internet)網(wǎng)絡(luò)(細(xì))。DMZ網(wǎng)絡(luò)(中)。安全(內(nèi)部)網(wǎng)絡(luò)(粗)。管理網(wǎng)絡(luò)(細(xì)虛線)。群集核心專用網(wǎng)絡(luò)(細(xì)—每個群集本地專用)。與企業(yè)網(wǎng)的連接(閃電狀)。本節(jié)的其它內(nèi)容將提供示例站點的教程,從Internet開始經(jīng)DMZ直到安全網(wǎng)絡(luò),包括企業(yè)網(wǎng)和管理網(wǎng)絡(luò)。Internet教程從連接一個或多個”Internet服務(wù)提供商(ISP)”開始。我們的示例列舉了多個標(biāo)記為ISP1-ISPN的冗余連接。這些連接應(yīng)該來自不同(物理上獨立)的網(wǎng)絡(luò)。域名服務(wù)器(DNS,圖3中沒有展示)提供了域名與一個或多個TCP/IP地址之間的正向和反向映射。例如,,每組地址均為一個群集。484905037如果有多個IP地址,DNS將瀏覽地址列表來處理對.comIP地址的不斷查詢—因此,得名為”RoundRobinDNS(RRDNS)”。RRDNS的缺點是不能檢測出ISP連接的消失而繼續(xù)為不再工作的IP地址提供服務(wù)?？墒沁@并不非常嚴(yán)重,因為用戶只需請求重載Web頁。第三方解決方案,如Cisco的LocalDirector或F5Networks的BigIP提供了動態(tài)路由連接的更好解決方案。DMZ前端網(wǎng)絡(luò)上的服務(wù)器是面向Internet的。防火墻是基本的安全性組件,經(jīng)過按數(shù)據(jù)包類型、源和目的地址過濾數(shù)據(jù)通信量,來提供網(wǎng)絡(luò)隔離。它們形成了由雙向箭頭描述的DMZ(非軍事區(qū))邊界。防火墻路徑中的第一個組件就是路由器/防火墻,它們的功能是截然不同的或組合在一個設(shè)備中。面向Internet的路由器支持”邊界網(wǎng)關(guān)協(xié)議”()。高速前端交換機支持到前端Web群集中的每臺服務(wù)器的連接。與路由器/防火墻的交叉連接為在ISP連接失效時,或路徑上任何組件失效時,提供了另一條路徑。前端網(wǎng)絡(luò)前端提供核心Web服務(wù),如HTTP/HTTPS,使用MicrosoftInternetInformationServer(IIS)提供HTML和ASP頁面服務(wù),使用LDAP(LightweightDirectoryAccessProtocol)進(jìn)行用戶身份驗證。還能夠?qū)ⅰ闭军c服務(wù)器商業(yè)版”裝載到前端服務(wù)器上,以提供附加的數(shù)據(jù)庫驅(qū)動的服務(wù)。前端服務(wù)器按服務(wù)和功能分組—例如、、SMTP(電子郵件)或FTP(下載)。SSL服務(wù)(HTTPS)同樣是從普通HTTP通信中隔離出來的。這使得經(jīng)過特殊配置的、帶有高成本的硬件安全加速器模塊的服務(wù)器,可支持高速加密功能。更進(jìn)一步,SSL會話繼承了帶狀態(tài)性,并可能需要特殊的故障轉(zhuǎn)移處理。在示例站點中運行Windows的每個Web群集均使用NLBS(網(wǎng)絡(luò)負(fù)荷平衡服務(wù)—在WindowsNT中也稱為Windows負(fù)荷平衡服務(wù))。每個克隆體在每個發(fā)布相同內(nèi)容的NLBSWeb群集中有相同的配置。這將為無狀態(tài)Web應(yīng)用程序提供透明的故障轉(zhuǎn)移,與單個服務(wù)器相比從根本上提高了服務(wù)能力。Web群集經(jīng)過添加克隆體分擔(dān)群集的負(fù)荷來支持廣闊的可伸縮性。客戶機向使用虛擬IP地址的每個Web群集提出請求,該虛擬IP地址是NLBS群集中的所有前端服務(wù)器均能夠響應(yīng)的。前端服務(wù)器則訪問位于后端群集文件共享服務(wù)器和后端群集SQL服務(wù)器上的站點內(nèi)容。提供Web服務(wù)所需的所有COM對象,包括從ASP頁調(diào)用的對象,均安裝并注冊在每個前端服務(wù)器上。該站點的ASP頁能夠裝載在前端服務(wù)器的本地磁盤上,也能夠保持在后端群集文件共享服務(wù)器上。每個前端服務(wù)器均特殊加強了安全性并連接到三個網(wǎng)絡(luò):前端網(wǎng)絡(luò)—Internet訪問。后端網(wǎng)絡(luò)—訪問DMZ服務(wù)器,并經(jīng)過內(nèi)部防火墻訪問安全網(wǎng)絡(luò)。管理網(wǎng)絡(luò)—支持管理和運作功能。這種網(wǎng)絡(luò)隔離,在提高總體可用帶寬和冗余的同時提高了安全性。注意該站點中任何服務(wù)器上唯一可公共訪問的IP地址為NLBS虛擬IP地址,只有前端服務(wù)器才能夠響應(yīng)的這個地址。用于面向Internet的NIC(網(wǎng)絡(luò)接口卡)的IP過濾,可確保只有被支持的功能的正確通信類型和源,才能進(jìn)入前端服務(wù)器。這些網(wǎng)絡(luò)之間的IP轉(zhuǎn)發(fā)也已禁用。后端網(wǎng)絡(luò)后端網(wǎng)絡(luò)經(jīng)過使用高速、私用的10.10.1.xLAN支持所有DMZ服務(wù)器。這種體系結(jié)構(gòu)可防止從Internet直接訪問DMZ服務(wù)器,即使防火墻被突破,因為不允許Internet路由器轉(zhuǎn)發(fā)指定的IP地址范圍(請參閱(專用Internet的地址分配)),包括范圍10.x.x.x。當(dāng)使用前端網(wǎng)絡(luò)時,冗余交換機可提供對所有前端和后端服務(wù)器的訪問。所有后端交換機共享公共網(wǎng)絡(luò),因此后端通信量負(fù)荷將成為主動站點的問題,特別是單獨的管理網(wǎng)絡(luò)不能進(jìn)行記錄而且其它前端管理網(wǎng)絡(luò)還在通信。后端網(wǎng)絡(luò)的主要組件為加強了安全性的服務(wù)器群集,它們提供對Web內(nèi)容和臨時永久狀態(tài),如會話內(nèi)事務(wù)性數(shù)據(jù)(例如購物推車內(nèi)容),的存儲服務(wù)。由于所有永久數(shù)據(jù)隨處可得,因此沒有必要提供備份工具。經(jīng)過添加群集和分區(qū)數(shù)據(jù)庫可實現(xiàn)可伸縮性。這些服務(wù)器使用了Windows上的”Microsoft群集服務(wù)”,實現(xiàn)了帶故障轉(zhuǎn)移能力的高度可用性。一個服務(wù)器失效不會導(dǎo)致數(shù)據(jù)服務(wù)的失效甚至服務(wù)的中斷。當(dāng)失效的服務(wù)器恢復(fù)聯(lián)機時,能夠繼續(xù)數(shù)據(jù)服務(wù)。由于硬盤的確會失效,因此使用RAID驅(qū)動器陣列可提供必要的數(shù)據(jù)冗余保護。群集內(nèi)的文件共享支持文件存儲服務(wù)。群集上運行的MicrosoftSQLServer提供數(shù)據(jù)庫服務(wù)。每個群集服務(wù)器至少使用了四個NIC:一個用于每個交換機、一個用于專用核心LAN(應(yīng)該使用其它專用網(wǎng)絡(luò)地址,如192.168.10.x)、一個用于管理LAN。除服務(wù)器物理地址外,群集還具有多個虛擬IP地址,以支持群集本身和每個群集服務(wù)地址對(用于冗余)。加強DMZ實用程序DC的服務(wù)器支持所有DMZ服務(wù)器的本地域帳戶、本地DHCP和名稱服務(wù)(WINS,或最好為DNS)以及本地實用程序文件服務(wù)。對內(nèi)部企業(yè)域的單向信任關(guān)系,提供了對安全的內(nèi)部系統(tǒng)的身份驗證式訪問。安全網(wǎng)絡(luò)另一道防火墻形成了DMZ的內(nèi)部邊界,并將所謂的安全網(wǎng)絡(luò)與后端網(wǎng)絡(luò)隔離開。防火墻配置成只允許端口與源/目的對之間所要求的通信。安全網(wǎng)絡(luò)又由一個專用網(wǎng)絡(luò)(本例中為)、一對耦合的交換機、各種服務(wù)器和標(biāo)記為VPN/路由器的設(shè)備組成,這個標(biāo)記為VPN/路由器的設(shè)備提供了與內(nèi)部企業(yè)網(wǎng)的連接。安全網(wǎng)絡(luò)在邏輯上為企業(yè)網(wǎng)的一部分。安全網(wǎng)絡(luò)上的服務(wù)器一般也是內(nèi)部企業(yè)域的成員,因此域控制器和地址及名稱服務(wù)器也假定是內(nèi)部的。為了支持其它功能,在本節(jié)中可能還需要其它服務(wù)器。有多種可能的處理方法,然后在安全性數(shù)據(jù)存儲與內(nèi)部系統(tǒng)之間傳輸事務(wù)性數(shù)據(jù)。事務(wù)的范圍是從傳統(tǒng)的同步(MTS—MicrosoftTransactionService)到異步(MSMQ-MicrosoftMessageQueue)乃至基于批處理或基于電子郵件的存儲和轉(zhuǎn)寄。這些內(nèi)容已超出本文檔的范圍。但請注意,對于許多組織來說,Internet是許多通道中唯一提供用戶服務(wù)的傳送通道,這很重要。以書店或銀行為例。大部分業(yè)務(wù)邏輯和處理發(fā)生在內(nèi)部的現(xiàn)有系統(tǒng)內(nèi)。Internet解決方案必須與這些現(xiàn)有系統(tǒng)協(xié)作并為其提供服務(wù)。安全數(shù)據(jù)存儲安全SQL群集是可選的,并只為更復(fù)雜的事務(wù)性站點中所需。它們提供了高度可用性、身份驗證數(shù)據(jù)庫的永久存儲、長期事務(wù)存儲,并保證客戶信息和帳戶數(shù)據(jù)的機密性。與DMZ中的服務(wù)器群集不同,這些服務(wù)器必須備份,既能夠使用直接連接的可移動存儲設(shè)備,也能夠經(jīng)過企業(yè)網(wǎng)進(jìn)行備份。其它功能與DMZ群集類似。為了冗余,每個服務(wù)器將重復(fù)連接到安全網(wǎng)絡(luò)的兩個交換機上。同樣又是經(jīng)過分區(qū)數(shù)據(jù)庫和添加群集,來實現(xiàn)可伸縮性。升級服務(wù)器升級服務(wù)器出現(xiàn)在安全網(wǎng)絡(luò)部分,盡管它們可能位于企業(yè)網(wǎng)或甚至位于DMZ中。它們接受和升級來自企業(yè)網(wǎng)或外部內(nèi)容提供商的內(nèi)容,然后將內(nèi)容部署到Web服務(wù)器,以使站點保持一致狀態(tài)。一般有很多機制可用,包括MicrosoftContentReplication(Microsoft內(nèi)容復(fù)制系統(tǒng))和諸如RoboCopy等工具。企業(yè)網(wǎng)連通性示為VPN/路由器的、將站點與企業(yè)網(wǎng)相連的設(shè)備實際上是個路由器,如果需要,它能夠和VPN安全性功能結(jié)合,來簽署和加密通信。另外,使用Windows內(nèi)置IPSec特性也可添加VPN功能。這將在根據(jù)需求的基礎(chǔ)上支持端對端的安全性,這樣能夠節(jié)約VPN硬件支持的成本。就企業(yè)數(shù)據(jù)中心中宿主的站點而言,連接企業(yè)網(wǎng)易如反掌。在這種情況下,VPN/路由器直接與企業(yè)網(wǎng)相連。大型商務(wù)站點經(jīng)常由遠(yuǎn)程的企業(yè)數(shù)據(jù)中心宿主。專用熱線經(jīng)常見來連接站點與企業(yè)網(wǎng),特別是在需要高性能、低響應(yīng)時間的情況。另外,Internet本身也可能用于傳輸,這種情況下使用VPN技術(shù)確保所有通信的安全非常重要。管理網(wǎng)絡(luò)連通性我們以管理網(wǎng)絡(luò)的討論來結(jié)束我們的教程,管理網(wǎng)絡(luò)提供了監(jiān)控和管理站點的基本功能。為簡單起見,我們只演示用LAN連接單獨管理網(wǎng)絡(luò)的計算機。這些是用單獨的NIC實現(xiàn)的。某些站點沒有使用單獨的管理網(wǎng)絡(luò)。相反,它們瓦解后端網(wǎng)絡(luò)上的管理通信。為安全性、網(wǎng)絡(luò)負(fù)荷和管理起見,我們不建議這樣做。與路由器、交換機和防火墻的管理連接沒有顯示。用于緊急帶外(OOB)訪問的串口撥號連接也沒有顯示。這并不表示不需要它們。當(dāng)管理網(wǎng)絡(luò)(或用于管理的后端網(wǎng)絡(luò))不可用時,依然能夠經(jīng)過這種設(shè)置訪問每個主機。摘要下面章節(jié)使用前例的模型,詳細(xì)討論本文檔所描述的體系結(jié)構(gòu)如何滿足這四個目標(biāo):線性可伸縮性—可持續(xù)增長以滿足用戶需求和業(yè)務(wù)復(fù)雜性。持續(xù)服務(wù)可用性—使用冗余和功能專業(yè)化來提高容錯能力。數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)的安全性—保護數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)免受惡意攻擊或盜用。管理的簡便性和完整性—確保運作能夠滿足增長的需求?？缮炜s性簡介圖4例舉了站點可伸縮性的兩個不同維度。第一個維度,即水平軸,表示在有代表性的一天,訪問站點的獨特客戶機的數(shù)量。隨著獨特客戶數(shù)量的增加,配置用于支持增加的客戶庫的系統(tǒng)數(shù)量也將增加。典型情況下,支持客戶庫所需的站點上的內(nèi)容也必須增加。第二個維度,即垂直軸,表示站點的業(yè)務(wù)復(fù)雜性程度。我們已經(jīng)標(biāo)識了三個主要類別。當(dāng)然,在它們之間還有許多變種。類別之間一般經(jīng)過包含下級分類的功能而互為基礎(chǔ)。最底層分類,和在業(yè)務(wù)邏輯復(fù)雜方面最簡單的,是內(nèi)容提供商類。上一層的分類,除來內(nèi)容外還有事務(wù)處理,但許多業(yè)務(wù)處理是脫機完成的。而最上層的分類既有內(nèi)容還有事務(wù),而且許多業(yè)務(wù)處理邏輯完全集成在聯(lián)機處理中。隨著站點在圖中從左到右、從下向上移動,站點的運行和應(yīng)用程序部署的難度明顯增加。圖4.擴展維度在本節(jié)的其余部分,我們考慮圖4環(huán)境中的可伸縮性。首先,我們關(guān)注擴展獨特客戶和內(nèi)容,然后再看業(yè)務(wù)復(fù)雜性的增加。擴展客戶和內(nèi)容接下來的圖5和圖6兩個圖例,說明了前端系統(tǒng)的數(shù)量如何變化,以滿足客戶不斷增長的需求,以及如何增加分區(qū)的數(shù)據(jù)存儲的數(shù)量來擴展聯(lián)機內(nèi)容。圖5.小型站點上圖表示了具有一個IISWeb服務(wù)器,一個文件或SQLServer和一個在DMZ內(nèi)的實用程序服務(wù)器的基本站點,它連接安全SQLServer或文件服務(wù)器和安全升級服務(wù)器。下圖表示,如圖5所示的小型站點,應(yīng)如何擴大才能支持更多客戶和更多內(nèi)容。圖6.擴大的站點在前端,IISWeb服務(wù)器的數(shù)量和這些服務(wù)器的Web群集的數(shù)量有所增加,并使用NLBS在它們之間平衡了負(fù)荷。在后端,文件服務(wù)器和SQLServer群集的數(shù)量有所增加,因此,邏輯需要包括在前端Web服務(wù)器中,才能將數(shù)據(jù)請求路由到正確的后端數(shù)據(jù)分區(qū)。我們下一步再說明這兩種技術(shù)。.擴展前端系統(tǒng)增加克隆的IISWeb服務(wù)器的數(shù)量、將其分組為Web群集和使用負(fù)荷平衡系統(tǒng),是增加支持的獨特客戶數(shù)量的主要技術(shù)。但請注意,這涉及重要的應(yīng)用程序狀態(tài)考慮,我們將在后面討論。除增加IISWeb服務(wù)器的數(shù)量外,優(yōu)化Web服務(wù)器執(zhí)行的Web應(yīng)用程序代碼也很重要(這超出了本文檔的范圍)。針對可伸縮性的Web前端負(fù)荷平衡負(fù)荷平衡以虛擬IP地址的形式,向客戶機提供了單一的服務(wù)名稱,然后將客戶機分布于提供該服務(wù)的服務(wù)器集上。進(jìn)行負(fù)荷平衡有三種主要技術(shù):RoundRobinDNS(RRDNS)。帶有專用的第三方外掛盒的智能IP負(fù)荷平衡。服務(wù)器內(nèi)部使用Windows的NLBS的智能IP負(fù)荷平衡。RRDNS是配置”域名服務(wù)器(DNS)”的一種方法,以使DNS對主機名的查詢在一系列提供相同服務(wù)的IP地址中順序分布。這是負(fù)荷平衡的基本形式。該方法的優(yōu)點是:無成本、易于實現(xiàn),而且不需要變動服務(wù)器。缺點是:沒有關(guān)于單個服務(wù)器負(fù)荷或可用性的反饋機制,而且由于DNS更改的傳播延遲導(dǎo)致將請求繼續(xù)發(fā)往故障的服務(wù)器,從而沒有辦法從可用的服務(wù)器集中快速刪除故障的服務(wù)器?；诜?wù)器的負(fù)荷平衡將一組服務(wù)器組成NLBS群集,然后令群集中的每個服務(wù)器根據(jù)源的IP地址決定是否處理該請求,來完成負(fù)荷平衡。如果群集中的一個服務(wù)器故障,則群集中的其它成員重新分組并調(diào)整源IP地址范圍的分區(qū)。NLBS的優(yōu)點是低成本(NLBS是Windows操作系統(tǒng)的一部分),不需要特殊硬件或更改網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu),而且沒有單個故障點。當(dāng)前的限制是服務(wù)器不能動態(tài)調(diào)整負(fù)荷,重組是根據(jù)服務(wù)器故障進(jìn)行的而不是根據(jù)應(yīng)用程序失效進(jìn)行的(盡管第三方工具,如NetIQ和Microsoft的HTTPMon,可用于削弱這些限制)。將RRDNS與NLBS組合可產(chǎn)生更好的擴展和可用的配置。NLBS群集中的所有節(jié)點必須在同一LAN子網(wǎng)上,并響應(yīng)同一IP地址。配置不同子網(wǎng)上的多個NLBS群集,并將DNS配置為在多個NBLS群集順序分布請求,是可能的。這增強了NLBS的可伸縮性并避免了RRDNS的缺點,因為有多臺計算機可用于響應(yīng)發(fā)往每個NLBS群集的每個請求。M便以這種方式工作。圖7.RRDNS&NLBS:三個獨立LAN網(wǎng)段,一個域名應(yīng)用程序狀態(tài)考慮T為了向客戶機屏蔽服務(wù)器故障,請不要將應(yīng)用程序客戶機狀態(tài)存儲在IISWeb服務(wù)器上。不能動態(tài)平衡客戶機請求的負(fù)荷。最好是將客戶機狀態(tài)存儲在數(shù)據(jù)存儲器中,并在需要時,根據(jù)URL編碼數(shù)據(jù)或客戶機cookie,對每個客戶機請求檢索客戶機狀態(tài)。帶客戶機高速緩存的cookie也是一種很有效的擴展方法,該方法在每個客戶機系統(tǒng)中存儲各自客戶機的信息,在每個客戶機請求中向Web服務(wù)器發(fā)送該信息,并使用該數(shù)據(jù)將內(nèi)容專用化或采用其它客戶機指定的操作。RFC2109(”HTTPStateManagementMechanism”(HTTP狀態(tài)管理機制),可從.org/rfc/rfc2109.txt中找到)描述了HTTPcookie協(xié)議?？墒?某些應(yīng)用程序和協(xié)議要求長期的從客戶機到服務(wù)器的連接。使用”SecureSocketsLayer(SSL)”發(fā)送加密數(shù)據(jù)并驗證服務(wù)器身份,就是一個主要示例。大部分IP負(fù)荷平衡產(chǎn)品支持允許應(yīng)用程序或協(xié)議維持與同一服務(wù)器的連接機制,以便它們正常工作,盡管沒有故障透明性擴展后端系統(tǒng)增加多處理器系統(tǒng)的內(nèi)存和處理器可擴展后端系統(tǒng)。WindowsAdvancedServer操作系統(tǒng)支持多達(dá)8CPU和8GB內(nèi)存。可是,在某些情況這不再可能,或不希望對單個系統(tǒng)的可用性有如此大的數(shù)據(jù)依賴性?；谶@一點,經(jīng)過對其服務(wù)的數(shù)據(jù)或提供的邏輯服務(wù)進(jìn)行分區(qū),來擴展后端系統(tǒng),是十分必要的。我們將此稱為分區(qū)。與用于擴展前端系統(tǒng)的克隆(復(fù)制硬件、軟件和數(shù)據(jù))不同,分區(qū)只復(fù)制硬件和軟件,而將數(shù)據(jù)分布在各個節(jié)點。對特定數(shù)據(jù)對象的請求則需要路由到存儲相應(yīng)數(shù)據(jù)的正確分區(qū)。這種由數(shù)據(jù)決定的路由,需要運行在Web服務(wù)器上的應(yīng)用程序軟件來完成?？蓪⒂蓴?shù)據(jù)決定的路由層視為:與無狀態(tài)負(fù)荷平衡相正確帶狀態(tài)負(fù)荷平衡,前者用于克隆前端系統(tǒng)的擴展。還需要開發(fā)管理分區(qū)的拆分和合并的軟件,以使負(fù)荷均勻分散在所有分區(qū)之上,這樣可避免任何單個分區(qū)成為熱點?？墒?這種責(zé)任一般落在應(yīng)用程序工程師頭上,她們將數(shù)據(jù)分散在業(yè)務(wù)對象上,而隨著數(shù)據(jù)大小和工作量的不斷增長,業(yè)務(wù)對象也將均勻分布在數(shù)量不斷增加的服務(wù)器上。幸運的是,如前所述,許多站點服務(wù)按對象分區(qū)相對簡單?？墒?分區(qū)對象尺度選擇在站點部署完成后很難更改,這使得升級設(shè)計決斷尤為重要。擴展的另一個方法是將后端系統(tǒng)提供的服務(wù),分區(qū)為向客戶機提供服務(wù)的功能專業(yè)化系統(tǒng)。這一般稱為n層模型。我們將在下面有關(guān)擴展業(yè)務(wù)復(fù)雜性的章節(jié)里詳細(xì)討論它。擴展網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)隨著站點通信量(包括從Internet和DMZ內(nèi)的內(nèi)部通信,到企業(yè)網(wǎng)絡(luò)的)的增加,網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)也必須改進(jìn)。為了支持這種增長的需求,必須增加鏈接帶寬、將集線器升級為交換機以及安裝附加網(wǎng)絡(luò)(例如,增設(shè)專用的管理網(wǎng)絡(luò),以減輕后端網(wǎng)絡(luò)的負(fù)荷)。擴展業(yè)務(wù)復(fù)雜性下圖說明了隨著集成到系統(tǒng)的業(yè)務(wù)過程數(shù)量的增長和業(yè)務(wù)過程聯(lián)機性的增長,對系統(tǒng)安全性和數(shù)量的需求也隨之增長。最大系統(tǒng)容量—系統(tǒng)設(shè)計能否隨著業(yè)務(wù)增長而平穩(wěn)迅速增長—一般是任何站點最為關(guān)注的。站點復(fù)雜性的三種模型是:”內(nèi)容提供商”、”脫機事務(wù)處理”和”聯(lián)機事務(wù)處理”。內(nèi)容提供商。在這個模型中,不需要訪問內(nèi)部網(wǎng)絡(luò)的事務(wù)處理。所有Web服務(wù)和內(nèi)容服務(wù)器都來自DMZ內(nèi)部。所有內(nèi)容先裝配在升級服務(wù)器上,然后再經(jīng)過復(fù)制推入DMZ服務(wù)器。如前一節(jié)所述,經(jīng)過增加Web群集、增加Web群集的克隆、增加后端群集服務(wù)器,可擴展該模型。圖8.”內(nèi)容提供商”模型脫機事務(wù)處理。本模型同”內(nèi)容提供商”模型類似,但附加了對內(nèi)部網(wǎng)絡(luò)上已有業(yè)務(wù)應(yīng)用程序的脫機事務(wù)處理訪問。在”內(nèi)容提供商”模型中,復(fù)制用于從升級服務(wù)器更新DMZ服務(wù)器內(nèi)容。為了支持脫機(非實時)事務(wù)處理,需要將事務(wù)數(shù)據(jù)從DMZ異步傳輸?shù)絻?nèi)部網(wǎng)絡(luò)?！盡icrosoft消息隊列(MSMQ)”服務(wù)可用于可靠傳輸這些脫機事務(wù)。為了支持傳統(tǒng)的交付通道,應(yīng)用程序系統(tǒng)和數(shù)據(jù)庫都要在內(nèi)部網(wǎng)絡(luò)上實現(xiàn)。標(biāo)記為”其它交付通道”的設(shè)備代表傳統(tǒng)的表示設(shè)備,如客戶工作站、交互式語音應(yīng)答單元(IVRU)或?qū)Ｓ幂斎朐O(shè)備,如銷售點終端或ATM。該模型的復(fù)雜性,隨著與內(nèi)部防火墻后面的內(nèi)部網(wǎng)絡(luò)中后端服務(wù)器交互數(shù)量的增加而增加。MSMQ既能支持異步通訊又能保證消息可靠傳遞,因此對這種類型的交互很有用。批量處理請求也是分?jǐn)偨o內(nèi)部網(wǎng)絡(luò)發(fā)送消息的成本的另一個成功技術(shù)。圖9.”脫機事務(wù)處理”模型聯(lián)機事務(wù)處理。在此模型中,Web瀏覽器真正聯(lián)機訪問駐留在內(nèi)部網(wǎng)絡(luò)上的傳統(tǒng)應(yīng)用程序。業(yè)務(wù)應(yīng)用程序的功能是在內(nèi)部網(wǎng)絡(luò)上實現(xiàn)的,它一般支持多個交付通道。從DMZ到內(nèi)部網(wǎng)絡(luò)的事務(wù)通訊是用標(biāo)準(zhǔn)同步通訊機制實現(xiàn)的。在連接客戶機時,與聯(lián)機業(yè)務(wù)應(yīng)用程序集成的需求,大大增加了該模型的復(fù)雜性。本模型最為復(fù)雜而且難于擴展,因為與內(nèi)部系統(tǒng)的交互必須同步操作,或至少在客戶正與聯(lián)機服務(wù)交互時。這些交互類型需要認(rèn)真設(shè)計,而且盡量減少其數(shù)量。例如,購物籃只能用DMZ內(nèi)部的交互來擴大,而且只能在客戶請求之后;實際的購買應(yīng)當(dāng)使用內(nèi)部系統(tǒng)。圖10.”聯(lián)機事務(wù)處理”模型可用性簡介增加站點可用性的主要技術(shù)是增加冗余組件。這些冗余組件可用于創(chuàng)立多個通信路徑、多個提供相同服務(wù)的服務(wù)器、以及在事件中替代故障服務(wù)器的備用服務(wù)器?？紤]下面兩圖。第一幅在前端系統(tǒng)和后端系統(tǒng)中具有某種高度的可用性。而第二幅具有所有組件和網(wǎng)絡(luò)鏈路的冗余。圖11.使用某些冗余的中型站點在圖11中,我們有兩個Web群集,每個都有多個服務(wù)器,而且我們有兩個服務(wù)器群集,每個均配置為使用”Microsoft群集服務(wù)”的故障轉(zhuǎn)移群集。我們在下面的章節(jié)中討論增加服務(wù)可用性的基礎(chǔ)構(gòu)件。圖12.使用完全冗余的大型站點在使用完全冗余的大型站點中,不但有多個Web群集,而且每個服務(wù)器都配置為使用”Microsoft群集服務(wù)”的故障轉(zhuǎn)移群集。另外,還有與多個ISP的連接和獨立的管理網(wǎng)絡(luò)。前端系統(tǒng)的可用性如第四節(jié)中關(guān)于可伸縮性的描述指出的那樣,當(dāng)克隆技術(shù)與NLBS負(fù)載平衡和無狀態(tài)Web服務(wù)器的使用相耦合時,克隆技術(shù)可用于提供高度可用的前端Web服務(wù)。如前所述,如果用RoundRobinDNS配置多個NLBSWeb群集,還可使Web服務(wù)器從網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)故障中恢復(fù)。在”可伸縮性”一節(jié)中已闡明了基本的思想,以及附加的要求,即在克隆失敗或運行于克隆體的Web服務(wù)器停止響應(yīng)時,負(fù)載平衡系統(tǒng)必須從Web群集刪除克隆體直至其修復(fù)。NLBS自動跟蹤Web群集的運作成員并在其中的某個出現(xiàn)故障時重組。當(dāng)Windows上的IISWeb服務(wù)器故障時,將自動重新啟動?？墒钱?dāng)IISWeb服務(wù)器掛起時,則必須經(jīng)過監(jiān)控工具檢測。Microsoft的HTTPMon或第三方工具如NetIQ()都能編寫腳本完成這個工作。網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的可用性網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)和站點與Internet連接的持續(xù)可用至關(guān)重要。如示例站點所示,首要技術(shù)是經(jīng)過多個ISP擁有多個Internet連接。連接應(yīng)該是不同的;即,從提供者到用戶所在地通信工具應(yīng)使用物理上獨立的路徑。這樣就消除了因斷線引起的站點故障—這種情況并不罕見。為獲得最大的可用性,還應(yīng)考慮使用不同的電源和余富的不間斷電源?；A(chǔ)結(jié)構(gòu)中的多樣性常常是宿主站點的一個主要魅力,其便利在于專門提供了配以多家ISP的宿主服務(wù)。在站點內(nèi),交換機和路由器應(yīng)以這樣的方式相互連接,即每個服務(wù)總有多條路徑與之連接。最后,如在”管理與運作”一節(jié)中所述,單獨的管理網(wǎng)絡(luò)和帶外網(wǎng)絡(luò),對于各種網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)故障情況下的管理性能和恢復(fù)功能很重要。后端系統(tǒng)的可用性經(jīng)過”Microsoft群集服務(wù)”可使后端系統(tǒng)高度可用,該服務(wù)是為群集上運行的服務(wù)提供數(shù)據(jù)層冗余和故障轉(zhuǎn)移功能的核心技術(shù)?！盡icrosoft群集服務(wù)”使多個SQL數(shù)據(jù)庫和文件共享可共享RAID設(shè)備,這樣如果主文件或數(shù)據(jù)庫服務(wù)器故障,將有備份服務(wù)器自動在線以替代其地位。如NLBS一樣,利用該系統(tǒng)級服務(wù)不需要專門的編程。數(shù)據(jù)庫和Web內(nèi)容的數(shù)據(jù),都需要存儲在RAID磁盤陣列上進(jìn)一步保護。如果硬盤發(fā)生故障,數(shù)據(jù)將持續(xù)可用,而且運行的硬盤可在不中斷服務(wù)的情況下和磁盤陣列進(jìn)行熱交換。后端服務(wù)器之間將定期發(fā)送稱為心跳的消息,來檢測故障應(yīng)用程序或服務(wù)器。心跳在專用網(wǎng)絡(luò)(如群集心跳網(wǎng)絡(luò)所示)上經(jīng)過專用NIC發(fā)送。如果某一臺服務(wù)器檢測到心跳網(wǎng)絡(luò)通訊故障,它將請求群集狀態(tài)確認(rèn)。如果另一臺服務(wù)器沒有響應(yīng),則自動將故障服務(wù)器的資源(如磁盤設(shè)備和IP地址)的所有權(quán)轉(zhuǎn)移給幸存服務(wù)器。然后,在幸存服務(wù)器上重新啟動故障服務(wù)器的工作。如果個別應(yīng)用程序故障(不是服務(wù)器故障),”Microsoft群集服務(wù)”一般將在同一服務(wù)器上重新啟動該應(yīng)用程序。如果失敗,”Microsoft群集服務(wù)”將轉(zhuǎn)移應(yīng)用程序資源,然后在另一臺服務(wù)器上重新啟動。安全性簡介安全性即經(jīng)過充分保護信息的機密性、秘密性、完整性和可用性來管理風(fēng)險。安全性機制和服務(wù),如加密、身份驗證、授權(quán)、責(zé)任和管理,都支持這個目標(biāo)。由于保護機制永遠(yuǎn)不會是完美的,因此檢測機制(監(jiān)控和審核)將在可能的入侵發(fā)生時產(chǎn)生報警或觸發(fā)響應(yīng)(糾正操作)。安全域概念,如”體系結(jié)構(gòu)概述”中所述,對于保證策略一致性和最經(jīng)濟的安全性控制應(yīng)用程序是無價的。在域中,安全性如同一條鏈子,它的力量與其不牢固的鏈接一樣。在整個域的應(yīng)用一致的控制是必要的,整個域可能包含網(wǎng)絡(luò)、平臺和應(yīng)用程序?qū)右约坝蛑兴泄δ芎徒M件。需要在低安全性的域的邊界補償控制將安全性提高到需要的程度。保護站點的第一步是分析商業(yè)風(fēng)險、被保護系統(tǒng)和數(shù)據(jù)的自然情況以及可用安全性機制的成本,然后確定最優(yōu)商業(yè)方案。一般,商業(yè)站點應(yīng)該比只用于瀏覽的信息站點具有更高的保護。許多商業(yè)站點包括多個有不同安全性需要的功能。沒有必要對整個站點應(yīng)用最高安全性的保護。經(jīng)過把這些復(fù)雜的站點分隔為安全域,能夠有選擇地實現(xiàn)最高安全性保護,這可能是昂貴的。安全性策略和物理的安全性程序是有效的安全性程序的重要方面。另外,盡管大型站點固有的復(fù)雜性或由安全控制附加的復(fù)雜性,實現(xiàn)最簡單的用戶和管理接口是很重要的。復(fù)雜性引起錯誤配置和避免。在可行的場合盡可能實現(xiàn)基于策略的安全管理和配置自動化。由于本文的重點是關(guān)于安全的體系結(jié)構(gòu)和技術(shù),因此我們不會進(jìn)一步講述這個問題?？墒?重要的是注意到有效的安全性不只是一個人和方法問題。如果人們沒有意識到安全性需求或認(rèn)為無關(guān)緊要,那么最好的技術(shù)也是沒有用的。在本節(jié)的其余部分,我們將討論多種保護機制,包括網(wǎng)絡(luò)和平臺保護。(應(yīng)用程序保護超出了本文的范圍。)接下來我們考慮復(fù)雜的Web應(yīng)用程序所需的客戶身份驗證和授權(quán)。網(wǎng)絡(luò)保護DMZ結(jié)構(gòu)示例站點說明了防火墻和DMZ的應(yīng)用。MDZ是在Internet和內(nèi)部系統(tǒng)資源之間提供多層保護的重要體系結(jié)構(gòu)元素。它包含:面向Internet的防火墻,它過濾Internet通信并將其從DMZ中的網(wǎng)絡(luò)通信分離。DMZ中支持所需服務(wù)的特殊功能和高度安全性(加固的)組件,如Web或電子郵件服務(wù)。面向內(nèi)部的防火墻,它從安全的內(nèi)部網(wǎng)絡(luò)中分離出DMZ通信,同時對這些網(wǎng)絡(luò)中有限數(shù)量的加固系統(tǒng)和服務(wù)提供可控制的訪問。面向Internet的防火墻在實際中廣為使用(盡管常以安全性路由器的形式)。允許與公司或其它安全網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)連接的所有Web站點,還應(yīng)該使用內(nèi)部防火墻,將DMZ與內(nèi)部網(wǎng)絡(luò)隔離。對于保護站點DMZ是必要的,但在自身內(nèi)部并不是足夠的。DMZ中的任何組件一旦被突破,均可用于攻擊整個站點。敏感的客戶和帳戶信息以及身份驗證/授權(quán)數(shù)據(jù)庫,不應(yīng)放置在DMZ中,而應(yīng)放在安全的內(nèi)部網(wǎng)絡(luò)加以保護。性能方面的考慮可能增強了將敏感數(shù)據(jù)復(fù)制到DMZ的需要。如”平臺保護”一節(jié)討論的,利用其它機制提高數(shù)據(jù)安全性是必要的。防火墻類型防火墻一般在網(wǎng)絡(luò)協(xié)議層發(fā)揮功能,并將許可的源/目的IP地址和端口(協(xié)議,如HTTP或SMTP)之外的所有網(wǎng)絡(luò)通信排除在外。最簡單的方式是,可從配置了正確的”訪問控制列表(ACL)”的網(wǎng)絡(luò)路由器建立防火墻。這種安全性路由器實際上經(jīng)常見作防火墻。它們能過濾不想要的通信(根據(jù)協(xié)議類型和源及目的地址),并保護DMZ不受部分—而非全部—服務(wù)拒絕的攻擊。某些站點由于性能原因使用路由器,因為非常復(fù)雜的防火墻不能支持所需的吞吐量(有時在每秒上千兆的范圍)。低風(fēng)險站點也可能由于成本原因選擇配置安全性路由器。經(jīng)過維護通訊狀態(tài),數(shù)據(jù)包屏蔽或帶狀態(tài)的防火墻提供完全的網(wǎng)絡(luò)層隔離。它們能檢測已知的服務(wù)拒絕的攻擊,并提供附加的安全功能,如網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,它完全隱藏內(nèi)部設(shè)備)以及FTP(動態(tài)選擇數(shù)據(jù)傳輸端口)。常見的防火墻包括Cisco的PIX或CheckPoint的Firewall-1。這些設(shè)備現(xiàn)在都能支持每秒超過150兆的吞吐量。不過防火墻不是萬能的。由于它們一般都在網(wǎng)絡(luò)層發(fā)揮功能,因此不能防止較高協(xié)議層的攻擊。例如,在不能正確檢查進(jìn)來的字符串的DMZ內(nèi),應(yīng)用程序或Web服務(wù)器很容易受到緩沖區(qū)溢出的攻擊。這會導(dǎo)致服務(wù)的崩潰或惡化,會讓解密高手得以控制組件。遺憾的是,這種本事比想象的更為普遍。防火墻配置面向Internet的防火墻,應(yīng)該只許訪問支持Web站點商業(yè)功能所需的服務(wù),典型的如HTTP和LDAP,以及不常見的FTP和SMTP郵件。支持有限的商業(yè)對商業(yè)或其它遠(yuǎn)程服務(wù)的虛擬專用網(wǎng)絡(luò)(VPN)也可能是需要的。認(rèn)真審查并禁止開放訪問所有的端口,除非有強烈的商業(yè)要求必須如此。用于構(gòu)造防火墻的現(xiàn)用平臺(例如,Windows和Checkpoint的Firewall-1)必須是極其堅固的。根據(jù)支持訪問內(nèi)部數(shù)據(jù)和系統(tǒng)資源,以及支持和管理DMZ組件所需的協(xié)議和服務(wù),面向內(nèi)部的防火墻同樣應(yīng)該對通信進(jìn)行限制。如果解密高手設(shè)法穿過DMZ,內(nèi)部防火墻則是保護內(nèi)部網(wǎng)絡(luò)的關(guān)鍵信息資源的重要手段。穿越內(nèi)部防火墻所需的端口和地址的數(shù)量及種類,往往比外部防火墻的還多,特別是經(jīng)過DMZ后端網(wǎng)絡(luò)來支持管理功能。得以訪問內(nèi)部網(wǎng)絡(luò)是解密高手的首要目標(biāo)。限制為只能訪問極有限的幾組必要端口和目標(biāo)主機非常重要,這樣才能確保DMZ中的泄密系統(tǒng)只有有限的機會攻擊內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)隔離出于安全性,DMZ中的內(nèi)部數(shù)據(jù)網(wǎng)應(yīng)該隔離,同時增加帶寬。一般每臺計算機裝配了兩塊以上網(wǎng)絡(luò)接口卡(NIC)。示例站點一節(jié)說明了網(wǎng)絡(luò)分段并進(jìn)行了一定的討論。關(guān)鍵原則是:將不同Internet通信類型隔離為不同的Web群集—例如,HTTP、HTTPS和FTP。然后,每個群集可配置為拒絕傳輸服務(wù)所需的類型以外的數(shù)據(jù)。將Internet通信與后端通信隔離。這樣防止從Internet直接訪問內(nèi)部網(wǎng)絡(luò),而且允許為每個NIC配置過濾器,從而將通信限制為只適合服務(wù)器所需的類型。如示例站點中所述,為內(nèi)部Web站點網(wǎng)絡(luò)使用非路由的網(wǎng)絡(luò)地址。為了將管理通信與所有其它通信隔離,我們采用了管理網(wǎng)絡(luò)。也可配置NIC過濾器,以限制只適用于NIC的通信。還應(yīng)將強大的管理功能限制為管理網(wǎng)絡(luò)而不能穿越服務(wù)網(wǎng)絡(luò)。它還消除了管理通信穿越防火墻,這大大減少了弱點。管理LAN本身的安全至關(guān)緊要。HTTPS—用于加密的SSL在Internet上發(fā)送數(shù)據(jù)如同經(jīng)過郵政發(fā)送明信片:沿途的任何人都能截取。因此,標(biāo)準(zhǔn)的安全通信通道對于經(jīng)過公共網(wǎng)絡(luò)傳遞敏感客戶信息的Web站點和其它應(yīng)用程序非常重要。SecureSocketsLayer(SSL)與HTTPS協(xié)議和服務(wù)器認(rèn)證相結(jié)合,提供所需的加密功能以及Web服務(wù)器身份驗證。很重要的一點是,了解SSL只能保護傳輸中的通信而不能替代其它站點安全機制。服務(wù)器身份驗證對客戶端是透明的,因為當(dāng)前使用的大部分Web瀏覽器可自動驗證所有主要認(rèn)證權(quán)威機構(gòu)頒發(fā)的認(rèn)證。對用戶來講知道與正確的站點而不是別人偽裝的站點進(jìn)行通信很明顯是重要的。SSL加密為傳輸數(shù)據(jù)提供機密性和完整性,這對保護用戶口令和信用卡信息特別重要。由于美國商業(yè)部(DOC)施加的出口限制,當(dāng)前有兩個加密版本。使用128位密鑰的較強版本,可在美國和國際上指定行業(yè)(如銀行業(yè)和健康衛(wèi)生行業(yè))自由使用。對于其它用戶,出口加密軟件限制在56位。SSL的確存在問題。首先,SSL是帶狀態(tài)的。在安全會話的創(chuàng)立和過程中必須維護狀態(tài),這增加了前端負(fù)載平衡系統(tǒng)的會話相關(guān)性需求。其次,加密/解密對Web服務(wù)器是高強度計算,可能沒有足夠的處理器周期在軟件中支持這個功能。硬件加速器可減輕服務(wù)器負(fù)載,但成本很高,而且只部署在有限的前端服務(wù)器。換句話說,HTTPS一般從HTTP隔離出來,并由特殊的前端服務(wù)器支持。由于這些原因,SSL的使用限制在那些確實需要這一級保護的通信中。入侵檢測入侵檢測系統(tǒng)(IDS),如Cisco的NetRanger或ISS的RealSecure,提供對網(wǎng)絡(luò)通信的實時監(jiān)控。IDS能檢測廣泛的敵對攻擊簽名(模式),能產(chǎn)生報警警告操作人員,并在某些情況下使路由器停止與敵對源的通信。部署某些入侵檢測形式對于高度安全的環(huán)境很重要,這與在”安全性,簡介”一節(jié)討論的經(jīng)過”預(yù)防、檢測和反抗”實現(xiàn)安全的方法一致。IDS傳感器應(yīng)該安裝在每個不同的網(wǎng)絡(luò),甚至在防火墻或邊界路由器之前。這些傳感器與管理控制臺通信,將在本文后面的”管理與運作”一節(jié)講述。遺憾的是,有幾個原因?qū)е翴DS仍未普遍使用:性能—對非常高性能的網(wǎng)絡(luò)進(jìn)行實時監(jiān)控仍不可行。錯誤接受,錯誤拒絕—IDS從正常網(wǎng)絡(luò)通信中區(qū)分攻擊的能力正在提高,但還遠(yuǎn)遠(yuǎn)不夠。IDS管理器由于低信噪比而淹沒在記錄中。成本—IDS的實現(xiàn)和運作的成本很高。還有些其它技術(shù)可用于入侵檢測—例如,將telnet端口通信路由到某一陷阱或?qū)Ｓ玫姆?wù)器。雖然可能來不及防止它們了,但使用第三方服務(wù)器日志分析工具可提供有關(guān)入侵信息。Cisco在其某些可用于檢測網(wǎng)絡(luò)入侵的路由器上提供了NetFlows功能,但當(dāng)前沒有很好的分析工具支持。遺憾的是入侵檢測技巧的狀態(tài)還沒有很好開發(fā)。平臺保護加固組件加固是保護單獨服務(wù)器操作系統(tǒng)的另一個重要方式。所有的DMZ及其與之通信的內(nèi)部系統(tǒng)都需要加固。這包括嚴(yán)密限定和配置所有使用ACL資源(例如,文件和注冊項)的訪問權(quán)限,取消支持業(yè)務(wù)功能及計算機管理不需要的協(xié)議、服務(wù)和實用工具。必須嚴(yán)加注意安全和審查的設(shè)置。.TCP/IP協(xié)議堆棧應(yīng)該在可行的地方使用過濾器。Windows中的IPSec(IP安全)實現(xiàn)有很多成熟完善的過濾策略,即使每有使用其完整性和加密功能。無需重新啟動,按IP地址/子網(wǎng)進(jìn)行有選擇的端口防范是可行的。所有的過濾都在底層進(jìn)行,因此諸如IIS之類的服務(wù)根本看不到信息包。ServicePack4forWindowsNT4.0配發(fā)的”安全配置編輯器”(SCE)是實現(xiàn)一致的、基于策略的控制的重要新工具。Windows增加了”組策略編輯器”(GPE),它將該功能(及更多功能)擴展到域、活動目錄組織單位甚至計算機組?，F(xiàn)在,大多數(shù)操作系統(tǒng)的安全配置設(shè)置可在策略模板集中定義。這些模板可針對各類機器構(gòu)造,并對站點內(nèi)所有的計算機系統(tǒng)地實現(xiàn)。由于這些模板應(yīng)實施產(chǎn)品計算機的緊密防范,因此最好另外構(gòu)建一套模板用于維護和診斷。相關(guān)的分析功能允許對服務(wù)器的當(dāng)前安全配置按策略進(jìn)行分析和驗證,這是驗證持續(xù)符合策略的重要方法。第三方網(wǎng)絡(luò)和系統(tǒng)安全掃描工具,是保證站點服務(wù)器的有效安全配置的另一個重要的輔助內(nèi)容。廠商提供的著名產(chǎn)品如InternetSecuritySystem(ISS—)(英文)和NetworkAssociates()(英文)包括廣泛的攻擊情形,以提供對網(wǎng)絡(luò)和系統(tǒng)弱點的評估。為了得知解密高手的最新本事和緊跟安全防衛(wèi)潮流所需的補丁程序,留心各方面的安全警示,如來自CERT()(英文)的,是必要的。Microsoft為其產(chǎn)品提供電子郵件安全公告。(管理員能夠在(英文)上注冊該服務(wù)。)關(guān)鍵服務(wù)組件,如域控制器、域名服務(wù)、Internet信息服務(wù)器和MicrosoftSQLServer都有特殊的附加需求?？稍?英文)找到一個配置WindowsNT4.0/IIS4.0Server的出眾而完整的安全校驗表。許多WindowsNT配置項同樣可應(yīng)用于Windows和其它DMZ主機。監(jiān)控必須定期監(jiān)控(審查)平臺,以保證配置和策略不會偏離最初的安全配置。許多日志和工具都提供了這一功能,包括Windows事件日志、IIS日志、安全配置和分析以及sysdiff(NT資源工具包)。Windows使用代碼簽名和SystemFileChecker(系統(tǒng)文件檢查器)驗證重要系統(tǒng)模塊的完整性。大量的第三方工具都支持完整性檢查,包括不同來源的防病毒掃描器和Tripwire的tripwire()(英文),其驗證所選的文件和注冊設(shè)置。為保證訪問權(quán)限根據(jù)站點策略只可用于有授權(quán)的人,定期審查管理員、組和服務(wù)帳戶也很重要。對只有相對少量帳戶的站點而言,這不過是個簡單的手動過程。Windows域結(jié)構(gòu)站點區(qū)由多類服務(wù)器組成,每一類都包含大量的設(shè)備。特大型的站點可能包含上千的服務(wù)器。單獨的后端網(wǎng)絡(luò)一般支持DMZ內(nèi)的所有服務(wù)器。由于支持站點所需的管理和服務(wù)帳戶很少,因此單域結(jié)構(gòu)適于管理所有DMZ服務(wù)器帳戶。支持到安全網(wǎng)絡(luò)和內(nèi)部服務(wù)器及其數(shù)據(jù)庫的身份驗證,可能需要與內(nèi)部域的單向信任關(guān)系。Windows經(jīng)過企業(yè)的活動目錄提供靈活站點帳戶集成,同時支持站點的高度安全需要。保護站點數(shù)據(jù)的安全保護數(shù)據(jù)完整性和機密性的安全機制包括,網(wǎng)絡(luò)和系統(tǒng)訪問控制、加密和核查或監(jiān)控工具。首先需要對站點的可用數(shù)據(jù)進(jìn)行分類,如程序和HTML代碼;客戶信息包括口令或其它身份驗證/授權(quán);廣告;產(chǎn)品目錄和其它內(nèi)容。應(yīng)逐個類型理解未授權(quán)訪問(機密性/秘密性)和未授權(quán)破壞或修改(完整性)的影響。例如,大多數(shù)靜態(tài)HTML頁面是公開的而不需要訪問保護。另一方面,這些頁面的破環(huán)行為會嚴(yán)重降低用戶對站點的信心。理解了數(shù)據(jù)特征、評估了相關(guān)風(fēng)險并確定了保護控制的成本后,可靠的商業(yè)判斷應(yīng)確定所需的保護。必須做出的最有代價的和重要的決定之一為,是否在地理上復(fù)制站點系統(tǒng)和數(shù)據(jù)庫,或者采用可供選擇的可能計劃。自然災(zāi)難、火災(zāi)、恐怖分子攻擊和主網(wǎng)絡(luò)中斷不太可能,但總有站點不能運行的潛在可能。經(jīng)過認(rèn)真規(guī)劃、實現(xiàn)和維護的DMZ是相當(dāng)安全的。不過,高度敏感的數(shù)據(jù)一般值得額外的保護。常見的方法有:敏感數(shù)據(jù)應(yīng)存儲在內(nèi)部防火墻之內(nèi)(例如,示例站點的安全網(wǎng)絡(luò))。由于某些訪問路徑必須經(jīng)過防火墻開放才能合法訪問數(shù)據(jù),因此這個解決方案并非萬能的,并可能將性能降低到無法接受的程度。數(shù)據(jù)庫一般主要包含低敏感的數(shù)據(jù),但有一些數(shù)據(jù)必須加以保護,如信用卡號。如果此類數(shù)據(jù)在DMZ內(nèi),應(yīng)在數(shù)據(jù)庫中加密并在需要使用時解密?？诹钪挥薪?jīng)過單向算法轉(zhuǎn)換后才能存儲,從不以明碼存儲。需要特別注意用于客戶身份驗證的目錄,因為該子系統(tǒng)的突破會暴露所有的客戶數(shù)據(jù)。Microsoft的SQLServer7.0關(guān)系型數(shù)據(jù)庫加強了ANSI/ISOSQL標(biāo)準(zhǔn),它指定用戶不能查看或修改數(shù)據(jù),除非數(shù)據(jù)的擁有者授予其許可。為確保嚴(yán)格而安全的身份驗證,在WindowsNT身份驗證模式下運行SQLServer非常重要。(由于系統(tǒng)管理員以明碼傳送的口令定義用戶登錄帳戶,因此不推薦SQLServer的身份驗證模式。)保護SQLServer一般在本文的范圍之外。有關(guān)詳細(xì)信息,請參閱MSDN提供的SQLServer7.0BooksOnline?？蛻?成員)訪問控制客戶訪問控制包括驗證客戶身份的身份驗證機制,以及指定所驗證用戶可訪問的資源的授權(quán)機制。大型站點的身份驗證可與匿名客戶瀏覽器的cookie表示一樣簡單。(客戶的cookie還廣泛用于維護客戶身份驗證和授權(quán)的狀態(tài)。為了防止篡改,Web服務(wù)器應(yīng)使用密鑰來標(biāo)記cookie。還應(yīng)該對cookie中的敏感數(shù)據(jù)加密。)匿名注冊常見于跟蹤廣告和客戶的個人化。對于用戶的網(wǎng)站應(yīng)用程序,使用最廣泛的身份驗證機制是基于窗體的登錄,它將用戶ID和口令組合在加密的SSL會話中。盡管X.509客戶驗證正進(jìn)一步應(yīng)用于商業(yè)應(yīng)用程序,但還不可能在近期內(nèi)面向用戶的站點流行。身份驗證苦于行業(yè)標(biāo)準(zhǔn)的整體匱乏。已有的第三方方法還是專用的。從傳統(tǒng)上看,大多數(shù)身份驗證函數(shù)硬性編寫在商業(yè)邏輯中,因此開發(fā)和維護的成本很高?；贚DAP的目錄服務(wù)器—一般為可伸縮性和可用性而克隆的—位于DMZ中用于支持身份驗證,有時也用于授權(quán)。本身已提供LDAP的”Windows活動目錄”可支持框圍以外的上百萬用戶?！被顒幽夸洝钡目蓴U展構(gòu)架,可組成與Windows文件系統(tǒng)、IIS和其它Microsoft產(chǎn)品良好結(jié)合的安全訪問控制基礎(chǔ)。Microsoft的”站點服務(wù)器3.0”和”站點服務(wù)器3.0商業(yè)版”可擴展為虛擬支持無限的用戶數(shù)量?！闭军c服務(wù)器”可在本機Windows目錄服務(wù)和—對大型站點很重要的—SQLServer數(shù)據(jù)庫上實現(xiàn)LDAP協(xié)議。與IIS結(jié)合的”站點服務(wù)器成員”支持身份驗證和授權(quán),包括用戶、組、憑據(jù)、權(quán)限、角色和首選項?！背蓡T”的可擴展構(gòu)架,在對象、甚至屬性級上支持站點專用的