一、方案目录省略
随着互联网技术的不断发展,企业开始更多地使用互联网来交付其关键业务应用企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行尤其是企业数据中心关键业务应用的高可用性,所以企业越来越关注如何在最大节省IT成本的情况下维持关键应用×24小时工作,保证业务的连续性和用户的满意度。 而对于企业而言其业务的完整快速的交付,其关键在于如何在用户和应用之间建立快速的访问通过,为用户提供优质的服务众所周知 随着访问用户数量的增加会给单位的服务器和链路带来越来越大的压力如何有效的保证客户访问速度,实现访问流量在各链路和服务器上均衡分配充分利用各链路和服务器资源,是目前企业网络改造的重要目标。
在链路方面为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的 目前大部分的企业都部署了多条互联网链路来提升网络链路的可靠性; 这样通过每条互联网链路为内网分配一个不同的P地址网段来实现对链路质量的保证。这样的解决方案虽然能够解决一些接入链路的单点故障问题,但是这样不仅没有实现真正上的负载均衡,而且配置管理复杂。
1、路由协议不会知道每一个链路当前的流量负载和活动会话。此时的任何负载均衡都是很不精确的,最多只能叫做“链路共享”。
2、 出站访问有的链路会比另外的链路容易达到。虽然路由协议知道一些就近性和可达性但是他们不可能结合诸如路由器的HOP数和到目的网络延时及链路的负载状况等多变的因素做出精确的路由选择。
、入站流量,有的链路会比另外的链路更好地对外提供服务。没一种路由机制能结合DN,就近性路由器负载等机制做出判断哪一条链路可以对外部用户来提供最优的服务。
所以说,传统的多链路接入依靠复杂的设计解决了一些接入链路存在单点故障的问题。但是它远远没有把多链路接入的巨大优势发挥出来。
在服务器方面 由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器实现动态分配每一个应用请求到后台的服务器并即时按需动态检查各个服务器的状态根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配,使每台服务器的处理能力都能得到充分的发挥,扩展应用系统的整体处理能力,提高应用系统的整体性能,改善应用系统的可用性和可用性,降低T投资。
服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它主要能够带来两方面的价值
1、建立有效的负载均衡机制。传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的,不能根据服务器提供服务的具体情况向其转发有效的访问流量,通过构建新的负载均衡系统,可以采用多种负载均衡机制,根据服务器的负载能力智能确定该服务器所分担的负载。主要能够解决如下两个方面的问题:首先,大量的并发访问或数据流量将会被分担到多台设备上分别处理进而减少用户等待响应的时间再者,单个重负载的运算分担到多台节点设备上做并行处理每个节点设备处理结束后将结果汇总,返回给用户,系统处理能力得到大幅度提高。
2、建立有效的健康检查机制。负载均衡系统应该可以对服务器的运行状况做出准确判断确保提供的服务的正确。全面的健康检查机制不仅可以有效的监控到服务进程的有效性即可以对应用端口提供服务的能力进行健康检查,而且对于其后应用逻辑造成的同样可以提供有效的检查机制,从而避免了客户端可以访问到服务器,但得不到正确的响应情况出现。
二、 需求分析
、服务器的稳定访问。 2、利用安全防护设备预防攻击的发生。 3、在被攻击的过程中,能及时告诫管理员,并记录和阻断骇客行为、特征。 、方案中以被攻击前防御和被攻击时阻断、记录黑客行为的设备为主。
2. 多链路负载均衡 为了提升赵明公司的网站及应用系统的稳定性和可靠性,赵明公司已经部署多条互联网链路以保证网络服务的质量消除单点故障减少停机时间。 目前需要在如下两种情况下实现多条链路的负载均衡:
、 内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为出站流量的负载均衡。
2、互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。
正对上述问题我们推荐使用台湾众至 rt ch的解决方案可以智能的解决上述问题。
2 2服务器负载均衡
随着访问用户数量的增加,给赵明公司的服务器带来越来越大的压力,如有有效的保证客户访问速度,实现访问流量在各服务器上均衡分配充分利用各服务器资源是目前赵明公司网络改造的重要目标。
赵明公司系统中有多台服务器如果采用服务器群,会造成访问地址的复杂化和负载不平衡。对于每台服务器都必须有相应的唯一的IP地址,给用户的访问和网络管理带来不便;这些服务器之间的流量分配是随机的不会考虑服务器当前的负载情况,在某些情形之下反而造成连接失败。
为了解决上述存在的问题,赵明公司希望通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到,并且故障服务器将会被自动隔离直到其恢复正常后自动加入服务器群实现透明的容错保证服务器整体性能得到大幅提升。
.3服务器的安全防护
随着网络黑客行为的愈演愈烈,不时传出有知名网站被黑客攻击的新闻使得企业闻黑色变,想方设法的提升自身网络防骇攻击的能力然而并不是所有的企业都有这样的实力。
黑客通过高明的计算机技术侵入别人的网络系统,大肆破坏受害者计算机系统内的文件,或者窃取各种机密信息以达到不可告人的目的。为了能及时的找出这些隐藏着的破坏者并且能阻止其破坏活动所以需要借助安全设备来保护服务器不受攻击,稳定运行。
2 W服务器防篡改 近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。尤其是我国电子政务、 电子商务的大力开展,网站建设得到了空前发展。然而不幸的是黑客强烈的表现欲望 国内外非法组织的不法企图商业竞争对手的恶意攻击,不满情绪离职员工的发泄等等都将导致网页被“变脸”。 网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、 阅读人群多;复制容易事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。此外,攻击工具简单且向智能化趋势发展据不完全统计,我国 %以上的站点都受到过不同程度的黑客攻击攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。
2 5 内网安全管理
目前的安全措施主要是针对外部网络的访问控制问题对于内部网络的安全,仅仅局限在简单的权限控制和防病毒软件方面。然而根据权威组织的调查报告显示,传统的黑客、木马、病毒等外部威胁仅占20%,而内部泄密、攻击、违章、管理不善等内部威胁竟高达80,真正的威胁来自网络内部。但是目前正在用9%以上的投入解决20%的外部安全威胁问题,而面对高达80%的内部安全威胁,投资几乎微乎其微。 同时如何有效地对内部网络系统进行管理,也是提高办公效率的关键。
三、解决方案 3 1网络拓扑
根据赵明公司网络架构和需求情况,我们推荐使用台湾众至 ree h负载均衡安全网关、北京智恒WebGad网页防篡改系统、长沙锐安信息Niordsec的内网安全平台的综合产品解决方案。本方案设计采用的SaretechAW设备包括服务器负载和多链路负载均衡二合一功能,实现网络中多链路和服务器的智能负载WeGua d的网页防篡改系统保护WE服务器 N d ec内网产品实现整体内网网络的安全管理;具体部署情况示意图如下:
3 2方案描述
2 方案设计总体描述 本方案设计采用台湾众至Sharetc A设备来实现网络中实现多条链路的负载均衡和服务器的负载均衡及服务器安全攻击防护W bua d网页防篡改系统保护web服务器;irsec内网安全产品实现整个内网终端的系统安全。
2 2多链路负载均衡具体实现方式如下: 1、 内部用户需要访问外部服务器,将访问请求发送至Sa etec AW负载平衡网关 Sh rteh W负载平衡网关根据数据包的目的地址判断传输线路。访问电信的数据从电信线路传输,访问网通的数据从网通线路传输;
2、 bCo负载平衡网关将数据发送至目的主机;
3、 目的主机收到数据并作出回应将数据发送给用户。
技术及优势
1、 自动(Autooe):自动选择最佳模式依实际频宽比例);
2、循环分配(Ron oi :W1eW eW3 eW1eWeW …
、联机(Sesion分配:自订W1W2 3…之Ss i n比例;
4、流量分配Taffic :依照Byte数;
、封包(Pac ke )分配:依照Pake数
、埠(P r )依照来源或目的地网际服务指定埠做指定传输的动作(b A ;
7、地址 P):依照来源或目的地IP地址做指定传输的动作(by Ue ;
8、合并带宽节约用费;
9、主动实时线路备援(Auto Bckp)机制。
服务器负载均衡具体实现方式如下:
1、客户发出服务请求到har ec 设备
、 Sha eteh W接收到请求,通过预先设定好的负载均衡算法,将数据包中目的IP地址改为选中的后台服务器I地址,然后将数据包发出到后台选定的服务器
、后台服务器收到后,将应答包按照其路由发回到Saret ch A
、 a eteh AW设备收到应答包后将其中的源地址改回成V 的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。
对于所有应用服务器可以在hareeh A上配置i tual S rver实现负载均衡。
3. 3服务器安全防护具体功能如下
IP 入侵侦测防御)可有效防护威胁攻击并提供『特征数据库』 (S na e Databas ,900个以上预设攻击模式并可主动在线更新。 预设的『特征数据库』可允许用户自行修改它的Ac ion与级数。 具备两种Action的模式:Pss及Dop 。
可另外自行定义『特征数据库』 ,藉以防范新类型攻击。
提供威胁攻击记录及报表查询功能以方便分析。 报表查询可查看以下记录:Souce I or De t na P相关记录、特征分类相关记录、相关事件内容记录。
病毒过滤(n i-irs)可同时使用内建lam 及选购Sophs两种病毒过滤引擎,可准确地找出夹藏在邮件中的病毒或隐藏于HTP(Web)及FP服务内的病毒且能永久免费的自动更新病毒码(Ca 。这可让SV3550的病毒防护功能,能以最少的成本,永远保持在最新的状态。并且可以对HP( 及TP的存取做病毒扫描,让网络达到最严密的防护。
监控稽核及统计记录针对每笔进出网络的封包做不同的记录处理如系统效能评估,被非法入侵时的证明和追查依据提供图表方式记录过去(日/时/分)时间所有封包的统计流量,并以实时图形化流量分析统计MRG)方便分析与追踪网络使用情况。
2. EB服务器防篡改实现方式如下
我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进
行自动监测,对文件夹的所有文件内容包含htm 、 asp、 p、 php、 jpeg、 gif、 bmp、psd、 ng、 fla 等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性使得公众无法看到被篡改页面其运行性能和检测实时性都达到最高水准。
3 2.5内网安全管理实现方式如下 iod 内网安全平台是一个完善的内网安全防御体系与常规的网络监控或行为控制软件不同,它综合考虑了内网数据安全和内网有序管理两个方面结合操作系统内核数据加密、网络智能控制和行为分析等先进技术对组织的内部网络进行综合、高强度的保护。
在系统架构上 o S 内网安全平台由一个基础平台和六个子系统组成,如下图所示其中基础平台对整个内网安全系统提供基础设施支撑,如预警、 日志、管理员管理、报表系统等;另外六个子系统分别从网络认证授权、桌面管理、 网络监控、移动存储介质管理、 网络分域管理以及文档安全管理六个方面,对内网安全各个层面的需求进行满足。
2.易于管理性
Sa eteh AW产品提供https的安全 中英文的界面管理
Sha eech W产品还能够全面统计会话数的运行状况如会话连接数、用户数、应用分布情况、 IP来源等相关情况方便管理员对网络进行优化
四、产品功能介绍 .1 1 Share h 535G负载均衡安全网关介绍硬盘 250G
网络端口N/LA/DMZ 5 1 1
网络端口速度 10/10 00
sl Pr
外观 机架式
电源供应 100-25VA
最大处理速度 1640Mp
P认证+3DE加密 19Mbps
SS VPN认证+DE加密 160Mbps
最大联机数
每天邮件最大处理封数每封
1098byes
HT防病毒速度 5ps(双向
TP防病毒速度 510Mbp (双向)
邮件服务器 最大数量 00支援LDAP S rer ○
垃圾邮件 内送邮件扫描 ○内氏过滤法 ○
检查寄件者 地址是否在URL ○
核对指纹辨识数据库 ○
垃圾邮件外置 删除传送转寄
最大垃圾过滤规则 200
个人化规则 ○
最大白名单数量 51
最大黑名单数据 1
内送邮件扫描 ○
病毒邮件处置 删除/传送/转寄
FT病毒过滤
TT病毒过滤
EB操作 简体繁体/英文 ○TTPS ○
最大次管理员数量 40
Mlt ple Sbnt(NA) Rou ngNAT r=512)
静态路由表数量 00
DNS最大数量 52
频宽管理 最大条例数 00最大管理频宽 1 0
ut ○
Accout ng epor ○
内建最大认证使用群组数量 0 (l icyP)
RDIS ○
POP/DA认证 ○
负载平衡 对内负载平衡功能网域数量 25
对外负载平衡功能 ○
最大排程表数量 00
对映 512
虚拟服务器
MAC Adress过滤
内容过滤 最大RL阻挡数量 8000
P Blocing eDoney BTWinX…
M Blckin MSNYahoo/ICQQ/Syp…
Blaster Blcking
允许建立的最大通道数 IPSec 00/2 0T S rver 400/00
PPPC ent 5240
IDP功能
SSLVP
VTunk
Hg lab l i y
4. .2ebGua rd网页防篡改系统介绍 ) 第三代内核驱动防篡改技术 基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;
? 内核级事件触发技术,大大减少系统额外开支;
? 完全防护技术,支持大规模连续篡改攻击防护;
系统后台自动运行,支持断线状态下阻止篡改;
? 内核出栈校验技术完全杜绝被篡改内容被外界浏览;
?支持单独文件、文件夹及多级文件夹目录内容篡改保护;
2) eb站点安全运行保障
?保护Web服务器的相关重要配置文件不被篡改;
?服务器性能监控阀值报警,预知攻击发生;
?服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作;
?服务器进程黑白名单许可控制,防止挂马攻击或后门程序运行;
? 支持服务器多种远程管理功能,紧急情况下便于管理,如远程接管、远程唤醒、远程关机、远程用户注销等;
?支持监测服务器当前系统防火墙,防病毒的使用情况和版本,提高监测服务器的综合防护能力;
3)部署结构灵活 ? 支持多站点、跨平台分布式部署,统一集中管理功能
?支持大规模虚拟机、双机热备网站系统部署架构;
?支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多 多对多等各类灵活网站架构;
4)安全可靠增量发布 支持网页文件自动上传功能和增量发布,无需人工干涉;
? 支持异地文件快速同步功能和断点续传功能,极大的增加网站可维护性;
?支持网页自动同步新增、修改、删除、下载等功能
5 日志事件报警
? 自动检测文件攻击记录并实时记入日志支持导出e el报表;
?支持服务运行状态记录,并实时记入日志,支持导出exe报表;
支持多种告警方式,日志告警、邮件告警或定制其他告警方式;
? 自身操作审计日志记录,详细记录操作管理员的操作管理行为;
6 操作管理安全、方便 ?支持多用户分权管理功能,方便操作;
? 系统/S结构确保高可靠性;
?支持多个策略管理策略设置支持即时生效无需重启;
?数据传输采用加密传输安全可靠
? 支持网页格式类型分类,便于分类管理;
? 系统全中文界面,操作、配置方便网络管理人员仅需十分钟即可熟练完成系统初始配置大大提高工作效率;
7) 网站动态自适应攻击防护 ?支持L注入攻击防护
?支持跨站脚本攻击防护;
?支持对系统文件的访问防护;
? 支持特殊字符构成的UL利用防护
?支持对危险系统路径的访问防护;
?支持构造危险的ooke攻击防护
?各类攻击的变种防护
?支持自定义检测库;
? 规则库支持在线升级功能;
4.1.3iordec内网安全平台系统介绍 我们把内部网络在逻辑上划分为个主要构成部分,核心服务器区域、可信终端区域以及外部风险区域,如下图所示。 N r ec内网安全平台的架构和最后的应用部署都是基于这样的划分。
内网逻辑示意图
核心服务器区域
保存了企业的核心信息,是需要重点管理和保障的区域,例如业务数据库、文件服务器等。
可信终端区域
企业内部合法可信的终端,包含了企业的生产系统、行政系统和其他系统,是需要管理和控制的区域。
外部风险区域
对内网管理存在安全风险的区域,例如外来主机、外部网络等。
我们认为只有对三个区域进行全面的管理,才能保障内网的安全
1 、系统功能 按照上图的划分,NodSe内网安全平台在这几个区域上分别构架了一个功能模块,来实现对内网信息的安全防护。在可信终端区域包括,双因子身份认证,行为日志审计、外部设备控制、文件安全保护、网络管理控制以及员工行为监控等等我们认为这些模块的作用足以证明安装了NordSec客户端的机器上所有的行为是可以控制和审计的是可信的;在核心服务器区域,包括服务资源操作审计、数据库操作审计以及身份认证模块这些功能模块的叠加能够使所有用户对服务资源的访问都接受控制和审计;对于外部风险区域非法主机接入控制模块能够阻断所有非法或不合法用户的进入,保证内部网络的纯洁性。
系统结构图
按照上面的体系结构,下面我们对每个功能模块进行详细描述。
2、用户计算机管理 iordSec内网安全平台对终端提供两种管理模式:基于终端计算机和基于终端用户的管理,这两种管理模式在部署时进行选择。
( 基于终端计算机的管理。这种管理模式没有改变Winows操作系统登录流程,终端安装NiodSec内网安全平台后会产生一个唯一标识该终端的标识码且该标识码在整个使用周期内不能被修改。 NodSe内网安全平台提供的所有监视、控制和管理功能都是基于这个标识码进行。
2基于终端用户的管理。这种管理模式替代了Win ws操作系统的登录流程终端用户在进入Widw操作系统之前,都必须输入安全管理中心统一分配的平台用户名和密码到Niord c服务器进行认证,如果认证成功,则允许进入操作系统否则,则拒绝进入操作系统。为了避免网络和Niordec服务器的故障所带来的登录风险,NordSe内网安全平台提供了还提供了缓存登录以及本地登录等多种辅助措施。在这种基于终端用户的管理模式下, rdSe内网安全平台提供的所有监视、控制和管理功能是基于用户身份进行的。
两种管理模式的比较:
最近看到群里的不少网友在搭建大数据内容网站,内容量有百万篇幅,包括图片可能有超过50GB,如果一台服务器有需要多个站点的话,那肯定默认的服务器50GB存储空间是不够用的。如果单独在购买数据盘会成本提高不少。这里我们看到腾讯云促销活动中有2款带大数据盘的套餐还是比较实惠的,一台是400GB数据盘,一台是800GB数据盘,适合他们的大数据网站。 直达链接 - 腾讯云 大数据盘套餐服务器这里我们看到当前...
Sharktech又称SK或者鲨鱼机房,是一家主打高防产品的国外商家,成立于2003年,提供的产品包括独立服务器租用、VPS云服务器等,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹等。之前我们经常分享商家提供的独立服务器产品,近期主机商针对云虚拟服务器(CVS)提供优惠码,优惠后XS套餐年付最低仅33.39美元起,支持使用支付宝、PayPal、信用卡等付款方式。下面以XS套餐为例,分享产品配...
今天上午有网友在群里聊到是不是有新注册域名的海外域名商家的优惠活动。如果我们并非一定要在国外注册域名的话,最近年中促销期间,国内的服务商优惠力度还是比较大的,以前我们可能较多选择海外域名商家注册域名在于海外商家便宜,如今这几年国内的商家价格也不贵的。比如在前一段时间有分享到几个商家的年中活动:1、DNSPOD域名欢购活动 - 提供域名抢购活动、DNS解析折扣、SSL证书活动2、难得再次关注新网商家...