急求,网络安全大作业:关于某公司的一个网络安全解决方案(给出部署图示,并作出解释)
说明:
1在服务器区前端部署防火墙和IPS,采用严格的访问权限
2在核心层交换机或者路由器上写ACL禁止外部用户访问除web以外的服务器,在内网做地址转换,也可有效防止外部对内部的访问。
3专网服务器更新补丁,安全网络防火墙(如web服务器安装安全狗、D盾等),同时采取安全的密钥策略。
4在外事机构的出口防火墙上实施详细的ACL策略,保证业务子网的安全。
5在外事机构和总部之间使用IPsec ***实现安全的访问。
6在公司总部出口路由器或者防火墙上部署SSL ***,保证差旅用户对内网的安全访问。
7在服务器区部署AAA服务器,对远程SSL ***访问用户进行认证、授权和审计;同时对数据库服务器访问进行AAA。
在所有企业、政府机关、军队、医疗等单位,以及许多业界通信实体,正在越来越多地依赖于服务器,以不断拓宽服务种类。
然而,我们在享受这些先进技术带给我们实惠的同时,又不得不面对这样一个事实:电子设备出现故障是不可避免的,服务器也不例外。现在,很多单位已经使用OA、CRM、ERP等 系统。无论使用哪种系统,服务器在整个网络系统的重要性是不言而喻,服务器作为整个网络的心脏,要为网络上所有的用户提供数据共享和应用服务,如果不能保 障服务器的正常运行,网络系统的可用性就无从谈起。所以,要确保视频网络中的关键业务应用运行平稳,具有可靠的适时性和连续性,通过服务器的群集技术来提 高系统的可用性和可扩展性是目前备受推崇的方案。
群 集系统是一种由一组互连的整机构成的并行或分布系统,可作为统一的计算资源使用。服务器群集技术使用多台服务器组成服务器集合,可以提供相当高性能的不停 机服务。在这个结构中,每台服务器都分担着一部分计算任务,由于集合了多台服务器的性能,整体的计算实力被增加了。与此同时,每台服务器还承担一些容错任 务,当其中一台服务器出现故障时,系统会在软件的支持下将这台服务器从系统中隔离出去,通过各服务器之间的负载转嫁机制完成新的负载分担,同时向系统管理 人员发出警报。再者,在某个应用软件的峰值处理期间内,对该应用的需求会变得过高,那么使用简单的操作命令就可以把同一节点的应用包转移到其他节点从而减 轻该节点的工作负荷,来满足已增加的需求。群集系统就是通过功能整合和故障过渡实现了系统的高可用性和可靠性。
服务器群集技术提供了高度的可用性、伸缩性与易管理性:
·高度的可用性:群集被设计具有避免单点故障发生的能力。应用程序能够跨计算机进行分配,以实现并行运算与故障恢复,并提供更高的可用性。
·可伸缩性:加入更多的处理器或计算机提高群集的计算能力。当现有服务器能力有限时,可以通过增加CPU、内存、甚至一台或几台服务器来扩展系统的能力。在服务器群集技术出现之前,用户通过增加CPU、内存来进行扩展,但是CPU、内存的扩展只能在一台服务器上进行,因此扩展是有极限的。而服务器群集技术可以通过在现有系统上增加服务器来进行扩展,增加的服务器将与原有的服务器紧密地集成在一起,为客户端提供高性能的应用服务。
·易管理性:群集以单一系统映射的形式来面向最终用户、应用程序及网络,同时,也为管理员提供单一的控制点,而这种单一控制点则可能是远程的。
服务器群集技术的实现可以有几种不同的方式,考虑到用户的需求,大体可以分为以高可用性为主要目的的高可用性方案,和以提高性能为主要目的、同时亦可以提供高可用性的方案。这种划分同时也反映出群集技术在PC Server上发展的两个阶段,既高可用性的两节点群集和提高性能的多节点群集。在今后 PC Server群集发展的计划中将要实现更多节点的具有更高扩展能力的群集方案,这样在提供高可用性和高性能的同时,还可以通过节点数目的扩展,更加有效的保护客户的投资。
在目前如果是单独的服务器提供使用,那么不应对大量客户端访问的情况下,原有的多对一和多对池的服务器资源配给是完全足够的,但现在假设遇到了一个问题,我们在全球各地都架设了服务器,因为这样可以让在全球不同地方的人们都可以快速连接到最近的服务器,这就譬如我们使用DNS对每台请求的客户端都返回距离他们最近的网站IP一样;
同理,我们要在自己架设类似的分配服务器,然后通过不同地方的客户请求来平均分配服务器资源和距离最近选择就可以做如下设计:
在此方案中,首先我们在服务器集群中要注意各服务器之间的通信确保,并且如果资源充足,每个服务器都可以做一个单独的备份,这样的话,在正常使用当中,如果有一个或多个服务器挂掉,那么重新分配访问其他的服务器后,可以做到完全不变;
对于分配服务器的资源嘛。。鉴于每次访问仅提供一次很短分配处理任务,所以分配服务器在对接每个客户的时间非常短,但也免不了遭受大量访问而宕机的情况,此时可以准备多个分配服务器,在客户端当中对分配服务器采取分区处理,假设我们在北极有服务器群,那么此时我们在不同的区域要规划不同的分配服务器,来指向服务器群中资源分配最低的一个,以此来解决分配服务器的问题,还有一种就是准备多个分配服务器,在客户端采取随机访问的方式,而在确认一个分配服务器暂时访问不了后,要将这个分配服务器从分配服务器池中移除一段时间,等到其恢复服务后重新加入服务器;
简单来说这样的分配方式类似于BS的处理模式,例如:我们在北京,访问百度的网站可以看到IP指向的是北京的百度服务器,在上海又可以看到指向的是上海的百度服务器,其中起主要作用的就是DNS(在本解决方案中被叫做分配服务器)。
0条评论