商业源码 防火墙到底是什么呢?
防火墙简介
防火墙简介
防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点
由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方:
1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
防火墙的特点
一般防火墙具备以下特点:
1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等;
2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏;
3、客户端认证只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;
4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;
5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。
实现防火墙的技术
防火墙的实现从层次上大体上可以分两种:报文过滤和应用层网关。
报文过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。
报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。
报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。
1、应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。
应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
2、回路级代理服务器
即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。
套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
3、代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
5、网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
6、隔离域名服务器(Split Domain Name Server )
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
7、邮件技术(Mail Forwarding)
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。
防火墙的体系结构及组合形式
1、屏蔽路由器(Screening Router)
这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
2、双穴主机网关(Dual Homed Gateway)
这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
3、被屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
4、被屏蔽子网 (Screened Subnet)
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。
建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:
1、使用多堡垒主机;
2、合并内部路由器与外部路由器;
3、合并堡垒主机与外部路由器;
4、合并堡垒主机与内部路由器;
5、使用多台内部路由器;
6、使用多台外部路由器;
7、使用多个周边网络;
8、使用双重宿主主机与屏蔽子网。
刀片服务器专题分享
认识刀片服务器
刀片服务器是一种HAHD(High AvaiMabiMity High Density,高可用高密度)的低成本服务器平台,是为特殊应用行业和高密度计算机环境专门设计的。刀片服务器是将传统的架式服务器的所有功能集中在一块高度压缩的电路板中,然后再插入到机箱中。
从根本上来说,刀片服务器就是一个卡上的服务器:一个单独的主板上包含一个完整的计算机系统,包括处理器、内存、网络连接和相关的电子器件。如果将多个刀片服务器插入一个机架或机柜的平面中,那么该机架或机柜的基础设施就能够共用,同时具有冗余特性。
每一块“刀片”实际上就是一块系统主板,每块主板通过本地硬盘运行自己的操作系统,类似一个个独立的服务器。使用管理软件,可以将这些主板集合成一个服务器集群。在集群模式下,所有的主板可以连接起来提供高速的网络环境,可以共享资源,为不同的用户群服务。刀片服务器公认的优点有两个,一是克服了芯片服务器集群的缺点,另一个是实现了机柜优化。
根据所需要承担的服务器功能,刀片服务器被分成服务器刀片、网络刀片、存储刀片、管理刀片、光纤通道SAN刀片、扩展I/O刀片等等不同功能的相应刀片服务器。下面举几个类型刀片来说明:
网络刀片
网络刀片的功能相当于局域网交换机。普遍提供10/100Mbps端口,以双绞线的方式连接服务器刀片,对外提供高速上连通道(千兆端口)。采用NAS存储方式的刀片服务器经常会配备2个网络刀片,其中一个专门用于连接NAS设备。每个刀片支持10/100/1000M以太网连接,并且可以在背板上安装10/100/1000M的2-4层交换机,这样就可以把系统中每个槽位上安装的刀片与交换机连接起来,提供一个基于IP的交换网络。
存储刀片
存储刀片可以被视为一个硬盘模块,通过背板总线或者硬盘接口线向服务器刀片提供存储功能。存储刀片上一般配备2块性能较高90mm(35英寸)硬盘,接口类型有IDE、SCSI和光纤通道(Fiber Channel)接口。
管理刀片
第一代刀片服务器的KVM(Keyboard、VGA、Mouse)刀片可以说是功能最为简单的管理刀片,提供对所有服务器刀片的管理控制。 KVM刀片,提供键盘、鼠标、显示器接口,KVM刀片经常还包括软驱和光驱,便于使用者直接操作服务器刀片。KVM刀片上提供切换开关,用于在机柜上的不同刀片之间或者不同机柜之间进行切换。第二代刀片服务器具备更加强大的管理功能,但是各家产品各不相同。
刀片服务器的发展趋势必然是从单纯的“服务器整合”发展到可以集成企业的存储、网络以及交换设备的核心构件。同时,由于多台分散服务器的管理将集中到一台刀片服务器的管理,因此也会大大降低IT管理的人员成本。通过进行基础设施简化,计算系统的多个层次(服务器、存储、网络等)可以被压缩为更高效、更简单的基础设施,这一过程当然需要大型机、刀片服务器和网格技术的突破。
刀片产品目前采用的已经是冗余的矢量式冷却系统,而在未来将有采用更为先进的室状蒸汽散热水槽、弯曲叶轮散热风扇(配有百叶窗回流挡片)、温度传感器和管理模块的散热系统等先进技术。
在未来的几年,随着刀片服务器的标准统一后,刀片服务器的任意刀片选件应当都可以安装到同一个机箱中,而不论它是基于Intel平台运行 Linux的刀片,或者是基于PA-RISC平台运行HP-UX的刀片,还是基于PowerPC平台运行AIX的刀片,以及其他的刀片产品。
刀片服务器的前世今生(一)
CNET科技资讯网12月28日台北报道(文/ 颜国伟)刀片服务器(blade server)这几年成为IT界的的热门话题,对服务器市场而言,刀片服务器还只是一个新兴次市场,或许许多读者们还不熟悉,或许读完本篇后知道发展沿革,也有助于为贵公司明年IT采购下决定。
任何一项IT技术都不会是凭空冒出来;而是一个演化的成果,而每个演化的成果,都有历史脉络贯穿其中。刀片服务器也不例外。我把这段演变历史粗分成三大时期,并分阶段分别阐述之。
史前期:从Host(主机)到Server(服务器)
Server一词的出现,是在Client/Server 架构出现时才有,而这又需LAN 出现的时代背景下诞生。LAN 约在80年代中期开始,美国80年代末开始热兴,台湾约到90年代初或中才开始。而Server也约在90年代初开始,更早的机房电脑称为Host(主机),如60年代的Mainframe 大型主机、70年代的Minicomputer迷你电脑等。
90年代的主流Server主要有三:UNIX Server 、NT Server 、NetWare Server,之后NetWare 逐渐淡出,成为今日常见的二者。
单功能Server Appliance奠定基础
而Server初期必然昂贵,因此企业购买了Server后,都尽可能地压榨其性能,一部Server因此经常肩负多种工作,既是File Server ,也是Print Server,或加上Mail Server 、Web Server,以及其他小功能性的DHCP Server 、DNS Server等。
不过,到了90年代后期,Pentium CPU 价格性能比高,以及Linux 逐渐成熟,使企业开始思考:Server还需要一机多用吗?
事实上一机多用也有许多副作用,过去经常发生:Server当机了,但不知是执行哪套软件所产生的问题,抓错除错相当困难。其次是:某一服务负荷加重,也影响了其他服务的效率,例如今天Mail收发多一点,Print 就变慢了,或者Web 也变慢了,各服务共挤一机,导致服务效率无法保证。
因此Cobalt Networks 公司于1998年提出了Qube及RaQ ,以低廉的x86 架构搭配高效的Linux 操作系统,开始了简化、单一化、限定用途的服务器设计,一部服务器只负责单一种工作,或少量的工作,或限定范畴且经过稳定测试、性能测试的工作,不允许更多的额外变化安装,同时将过去被人认为Server难安装、难设定、难管理等事务将以简化,类似将专业相机转化成傻瓜相机,大幅降低资管人员的工作负担,此即称为Server Appliance(精简服务器、或伺服应用机)。
进一步说明RaQ ,RaQ 是一部1U机架高度的Server Appliance,专门只执行Web Hosting (网站代管)的工作,一部RaQ 可设定与执行200 个以上的Web Hosting这些其实都是刀片服务器概念诞生前的初期启发效用。
第一阶段:Web Hosting
达康时代,促使Web hosting 的业务大幅增长,进而带动容易安装,体积小的服务器的需求。而也在这个时代,诞生了第一台刀片服务器。
2000年,由于全球(尤其美国)Web Hosting 业务持续增长,客户也逐渐无法满足于Web Hosting 的简单网站功用,因此ISP/IDC 企业只好提出Dedicated Web Hosting (简称DHS )服务,过去是200 个客户的网站共用一部Server,之后变成一个客户网站一部,而机房空间有限,如何让每个客户都有一部独立的Web Server,只好将Server的外型体积尽可能缩小,使的过去至少6U、7U高度的Server,纷纷降至 1U、2U的水准。这时,Web Hosting 的用途更进一步向Dedicated Web Hosting 演变。
不过1U、2U依然不够,ISP/ICP 面对持续暴增的DHS 申请,需要在原有机房与机柜上能装入更多的Server,如此2001年由COMPAQ转投资的 RLX 公司提出了Server Blade,将每个Server的体积更加缩小,约等同于一张界面卡大小,然后将Server Card 插置到符合机架尺寸的机座(Chassis )中运作,这样的模组设计其实已经在电信机房的设备或工控自动化的电脑(称为单板电脑,Single Board Computer )等领域中采用,刀片服务器只是将相同概念移植到ISP/IDC 的机房中。
以最早发布的RLX Server Blade而言,一个刀片机座为3U高度,可以插置24片刀片服务器,每一片就是一部独立Server,一片Server就是一个公司机构的Web Server,如此ISP/IDC 便能提供比1U、2U更高密度的DHS以3U为例,置放1U Server (称为超薄服务器,Ultra Slim Server)只能放3 部,但换成刀片服务器便可放24部,多出7 倍数目,同样的机房空间可以多承接7 倍的客户业务。
降低硬件规范无碍于整体服务效果
当然!从1U降至1/24U 也不是没有牺牲的,1U Server 可以装置1 ~2 颗CPU 、2 ~3 颗35 寸硬盘、及1 ~2 张界面卡,但1/24U 的刀片服务器只能装1 颗CPU 、1 颗25 寸硬盘、0 张界面卡。硬件规范与扩充接大为降低,然而这却对整体服务无有阻碍,因为Web 服务的性能症结几乎都在公众的互联网上,即便Server硬件规范大减依然不会有太大影响,这是刀片服务器之所以能牺牲硬件规范而换取更高容纳密度的主要原因。
经济、开放,好管理的精神
所以,刀片服务器在执行理念上取自Server Appliance,在构型(Form Factor)取向上取自Single Board Computer ,并在初期专注于 Web Hosting 服务,而刀片服务器的提出正是为了省空间、省成本,因此几乎都是使用开放授权的操作系统,如BSD 、Linux 等,而非授权费较高的商用操作系统,此就是刀片服务器最初的面貌组合
网络时代为服务器的应用提供了广阔的空间。服务器因此进入了技术、应用和市场互动并迅速发展的新阶段。服务器在网络中承担传输和处理大量数据的任务,要具备高可伸缩性、高可靠性、高可用性和高可管理性。对于企业和网络信息提供商来说,无限增长的数据必须集中存储和处理,于是未来的网络发展呈现出集中计算的趋势。集中管理模式对服务器提出了新的要求:节约空间、便于集中管理、易于扩展和提供不间断的服务,成为对下一代服务器的新要求。刀片服务器(Blade Server )由此应运而生。
刀片服务器是将传统的架式服务器的所有功能集中在一块高度压缩的电路板中,然后再插入到机箱中。从根本上来说,刀片服务器就是一个卡上的服务器:一个单独的主板上包含一个完整的计算机系统,包括处理器、内存、网络连接和相关的电子器件。如果将多个刀片服务器插入一个机架或机柜的平面中,那么该机架或机柜的基础设施就能够共用,同时具有冗余特性。刀片服务器公认的优点有两个,一是克服了芯片服务器集群的缺点,另一个是实现了机柜优化。
那么企业选择刀片服务器主要考虑下面几个理由:
1、降低硬件成本
与传统的服务器不同的是,每个刀片服务器不需要单独的机架和基础设施,因此刀片服务器相对廉价。通过多个系统共用电源、冷却设备、管理硬件和布线系统,可以极大地降低每个服务器的成本。
2、简化部署和维修
部署多个服务器是一个耗时和资源密集的过程。管理员需要将每个服务器安装在机架中,进行电源和网络布线,并为其安装软件。在高密度的环境下,布线尤其是部署中令人头疼的难题之一。利用刀片服务器,管理员只需要对机架进行安装和布线,单独的刀片服务器无需布线。增加新的计算机资源只需插入一个或多个新刀片服务器,就像现在加入一个硬盘驱动器一样简单。由于多个刀片服务器可以共用冗余电源,因此最大限度地减少了机架布线。此外,内置的转换器将以太网数据和管理网络、甚至KVM连接集成在一起。
利用自动软件供应工具,管理员只需通过一个网络操作,就能够方便、快捷地将软件安装到一个或多个刀片服务器中。在完成刀片服务器的软件安装之后,管理员就能够利用远程管理工具进行全面的管理。
3、最大限度地利用数据中心的空间
对于寸土寸金的数据中心来说,根据设计和供应商的不同,刀片服务器能够使服务器的密度比目前1U的机架优化的系统增加100%到800%。
4、减少功率消耗
为了减少刀片服务器的功率消耗,大多数供应商将在有些刀片服务器中采用低功率的处理器。即便刀片服务器不使用低功率的处理器,其功耗也少于“综合”服务器,因为刀片服务器的功耗部件较少。此外,供应商也能够承担得起使用高效率电源的费用,因为电源将由多个服务器共用。另外,由于刀片服务器的功耗较低,也就产生较少的热量,因而也就减少了冷却系统的耗电量。
目前,作为服务器领域的新星,这种高密度的刀片服务器所带来的市场前景已经被国外IBM、HP、SUN和DELL等厂商所看重,他们纷纷宣布推出自己的刀片服务器。国内曙光、联想、浪潮等公司也推出他们相应的产品,由于刀片服务器的整体表现性能更强,因此在2004年中,刀片服务器将受到更多企业用户的青睐。下面还是让我们来看一看国产的刀片服务器产品。
网络时代为服务器的应用提供了广阔的空间。服务器因此进入了技术、应用和市场互动并迅速发展的新阶段。服务器在网络中承担传输和处理大量数据的任务,要具备高可伸缩性、高可靠性、高可用性和高可管理性。对于企业和网络信息提供商来说,无限增长的数据必须集中存储和处理,于是未来的网络发展呈现出集中计算的趋势。集中管理模式对服务器提出了新的要求:节约空间、便于集中管理、易于扩展和提供不间断的服务,成为对下一代服务器的新要求。刀片服务器(Blade Server )由此应运而生。
刀片服务器是将传统的架式服务器的所有功能集中在一块高度压缩的电路板中,然后再插入到机箱中。从根本上来说,刀片服务器就是一个卡上的服务器:一个单独的主板上包含一个完整的计算机系统,包括处理器、内存、网络连接和相关的电子器件。如果将多个刀片服务器插入一个机架或机柜的平面中,那么该机架或机柜的基础设施就能够共用,同时具有冗余特性。刀片服务器公认的优点有两个,一是克服了芯片服务器集群的缺点,另一个是实现了机柜优化。
那么企业选择刀片服务器主要考虑下面几个理由:
1、降低硬件成本
与传统的服务器不同的是,每个刀片服务器不需要单独的机架和基础设施,因此刀片服务器相对廉价。通过多个系统共用电源、冷却设备、管理硬件和布线系统,可以极大地降低每个服务器的成本。
2、简化部署和维修
部署多个服务器是一个耗时和资源密集的过程。管理员需要将每个服务器安装在机架中,进行电源和网络布线,并为其安装软件。在高密度的环境下,布线尤其是部署中令人头疼的难题之一。利用刀片服务器,管理员只需要对机架进行安装和布线,单独的刀片服务器无需布线。增加新的计算机资源只需插入一个或多个新刀片服务器,就像现在加入一个硬盘驱动器一样简单。由于多个刀片服务器可以共用冗余电源,因此最大限度地减少了机架布线。此外,内置的转换器将以太网数据和管理网络、甚至KVM连接集成在一起。
利用自动软件供应工具,管理员只需通过一个网络操作,就能够方便、快捷地将软件安装到一个或多个刀片服务器中。在完成刀片服务器的软件安装之后,管理员就能够利用远程管理工具进行全面的管理。
3、最大限度地利用数据中心的空间
对于寸土寸金的数据中心来说,根据设计和供应商的不同,刀片服务器能够使服务器的密度比目前1U的机架优化的系统增加100%到800%。
4、减少功率消耗
为了减少刀片服务器的功率消耗,大多数供应商将在有些刀片服务器中采用低功率的处理器。即便刀片服务器不使用低功率的处理器,其功耗也少于“综合”服务器,因为刀片服务器的功耗部件较少。此外,供应商也能够承担得起使用高效率电源的费用,因为电源将由多个服务器共用。另外,由于刀片服务器的功耗较低,也就产生较少的热量,因而也就减少了冷却系统的耗电量。
目前,作为服务器领域的新星,这种高密度的刀片服务器所带来的市场前景已经被国外IBM、HP、SUN和DELL等厂商所看重,他们纷纷宣布推出自己的刀片服务器。国内曙光、联想、浪潮等公司也推出他们相应的产品,由于刀片服务器的整体表现性能更强,因此在2004年中,刀片服务器将受到更多企业用户的青睐。下面还是让我们来看一看国产的刀片服务器产品。
网络时代为服务器的应用提供了广阔的空间。服务器因此进入了技术、应用和市场互动并迅速发展的新阶段。服务器在网络中承担传输和处理大量数据的任务,要具备高可伸缩性、高可靠性、高可用性和高可管理性。对于企业和网络信息提供商来说,无限增长的数据必须集中存储和处理,于是未来的网络发展呈现出集中计算的趋势。集中管理模式对服务器提出了新的要求:节约空间、便于集中管理、易于扩展和提供不间断的服务,成为对下一代服务器的新要求。刀片服务器(Blade Server )由此应运而生。
刀片服务器是将传统的架式服务器的所有功能集中在一块高度压缩的电路板中,然后再插入到机箱中。从根本上来说,刀片服务器就是一个卡上的服务器:一个单独的主板上包含一个完整的计算机系统,包括处理器、内存、网络连接和相关的电子器件。如果将多个刀片服务器插入一个机架或机柜的平面中,那么该机架或机柜的基础设施就能够共用,同时具有冗余特性。刀片服务器公认的优点有两个,一是克服了芯片服务器集群的缺点,另一个是实现了机柜优化。
那么企业选择刀片服务器主要考虑下面几个理由:
1、降低硬件成本
与传统的服务器不同的是,每个刀片服务器不需要单独的机架和基础设施,因此刀片服务器相对廉价。通过多个系统共用电源、冷却设备、管理硬件和布线系统,可以极大地降低每个服务器的成本。
2、简化部署和维修
部署多个服务器是一个耗时和资源密集的过程。管理员需要将每个服务器安装在机架中,进行电源和网络布线,并为其安装软件。在高密度的环境下,布线尤其是部署中令人头疼的难题之一。利用刀片服务器,管理员只需要对机架进行安装和布线,单独的刀片服务器无需布线。增加新的计算机资源只需插入一个或多个新刀片服务器,就像现在加入一个硬盘驱动器一样简单。由于多个刀片服务器可以共用冗余电源,因此最大限度地减少了机架布线。此外,内置的转换器将以太网数据和管理网络、甚至KVM连接集成在一起。
利用自动软件供应工具,管理员只需通过一个网络操作,就能够方便、快捷地将软件安装到一个或多个刀片服务器中。在完成刀片服务器的软件安装之后,管理员就能够利用远程管理工具进行全面的管理。
3、最大限度地利用数据中心的空间
对于寸土寸金的数据中心来说,根据设计和供应商的不同,刀片服务器能够使服务器的密度比目前1U的机架优化的系统增加100%到800%。
4、减少功率消耗
为了减少刀片服务器的功率消耗,大多数供应商将在有些刀片服务器中采用低功率的处理器。即便刀片服务器不使用低功率的处理器,其功耗也少于“综合”服务器,因为刀片服务器的功耗部件较少。此外,供应商也能够承担得起使用高效率电源的费用,因为电源将由多个服务器共用。另外,由于刀片服务器的功耗较低,也就产生较少的热量,因而也就减少了冷却系统的耗电量。
目前,作为服务器领域的新星,这种高密度的刀片服务器所带来的市场前景已经被国外IBM、HP、SUN和DELL等厂商所看重,他们纷纷宣布推出自己的刀片服务器。国内曙光、联想、浪潮等公司也推出他们相应的产品,由于刀片服务器的整体表现性能更强,因此在2004年中,刀片服务器将受到更多企业用户的青睐。下面还是让我们来看一看国产的刀片服务器产品。
http://www75pccom/viewthreadphptid=4149&extra=&page=1
先用自己的经验告诉一下你——
网络托管业务分为两种
一种是实物性质的:主要就是服务器的托管、运行和维护
一种就是虚拟的:主要包括网络产品的推广,网站的优化、推广、营销等;
而服务器托管
就是你自己购买的服务器,然后找个idc机房(一般要找防护能力强,能够提供24小时技术维护的,另外还有很多的标准),将你的服务器放在机房的柜子里,交由机房的专业技术人员代为保管和维护。
================================================================
下面是官方的解释:
网络托管
是指受用户委托,代管用户自有或租用的国内的网络、网络元素或设备,包括为用户提供设备的放置、网络的管理、运行和维护等服务,以及为用户提供互联互通和其它网络应用的管理和维护服务。
服务器托管
是指将属于甲方的所有的服务器置于乙方网络环境,从而为Internet 上的用户提供信息服务。甲方自己负责其服务器的硬件配置和软件安装、升级、服务器管理和故障的排除,并购买相关软件使用权。
首先业务范围不同;首先是idc;idc是跟机房相关的业务统称;只要是利用机房盈利的都需要办理idc许可证;需要进行系统评测;
isp:isp简单来说就是网络或者网站接入,网络接入就是简单来说就是写字楼或者小区宽带业务,简单来说有这个资质就可以找基础运营商谈代理赚差价;等同于转售网络,用户也可以直接去基础运营商去办,但手续很多也很麻烦,所以isp业务还是比较热门的,isp的网站接入就是可以帮客户提交备案,可以给网站备案上线,这个一般是阿里云或者新网互联这样帮注册域名和服务器需要办理isp网站接入许可证;
网络托管业务是指受用户委托,代管用户自有或租用的国内网络、网络元素或设备,包括为用户提供设备放置、网络管理、运行和维护服务,以及为用户提供互联互通和其他网络应用的管理和维护服务。注:网络托管业务比照增值电信业务管理。开展这些义务则需要办理网络托管许可证;
希望上述内容可以帮到你,还有其他互联网增值电信业务相关得业务不清楚可以问三川咨询;
找三川咨询代办IDC(云计算)许可证,您只需准备以下申请材料!就这么简单!
(1)公司企业法人营业执照副本、法定代表人身份证;
(2)工商档案查询章程;
(3)一级股东证件证明材料(自然人股东身份证、企业法人股东公司营业执照副本和工商档案查询章程);
(4)公司联系人、网络与信息安全负责人、客服负责人3个人的身份证和社保证明;
首先业务范围不同;首先是idc;idc是跟机房相关的业务统称;只要是利用机房盈利的都需要办理
idc许可证需要进行系统评测;
isp:isp简单来说就是网络或者网站接入,网络接入就是简单来说就是写字楼或者
小区宽带
业务,简单来说有这个资质就可以找基础运营商谈代理赚差价;等同于转售网络,用户也可以直接去基础运营商去办,但手续很多也很麻烦,所以isp业务还是比较热门的,isp的网站接入就是可以帮客户提交备案,可以给网站备案上线,这个一般是阿里云或者新网互联这样帮册域名和服务器需要办理isp网站接入许可证;
网络托管业务是指受用户委托,代管用户自有或租用的国内网络、网络元素或设备,包括为用户提供设备放置、网络管理、运行和维护服务,以及为用户提供互联互通和其他网络应用的管理和维护服务。注:网络托管业务比照
附带增值电信业务分类图如下
管理。开展这些义务则需要办理网络托管许可证;
希望上述内容可以帮到你,还有其他互联网增值电信业务相关得业务不清楚可以问
龙翊信安咨询;
找龙翊信安代办IDC(云计算)许可证,您只需准备以下申请材料!就这么简单!
(1)公司企业法人
营业执照副本
、法定代表人身份证;
(2)工商档案查询章程;
(3)一级股东证件证明材料(
自然人股东
身份证、企业法人股东公司营业执照副本和工商档案查询章程);
(4)公司联系人、网络与信息安全负责人、客服负责人3个人的身份证和
社保证明
更多不明白的地方可以继续百度提问
您好!关于您的问题回答如下:防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点
由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方:
1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
防火墙的特点
一般防火墙具备以下特点:
1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等;
2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏;
3、客户端认证只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;
4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;
5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。
实现防火墙的技术
防火墙的实现从层次上大体上可以分两种:报文过滤和应用层网关。
报文过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。
报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。
报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。
1、应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。
应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
2、回路级代理服务器
即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。
套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
3、代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
5、网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如 Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
6、隔离域名服务器(Split Domain Name Server )
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
7、邮件技术(Mail Forwarding)
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。
防火墙的体系结构及组合形式
1、屏蔽路由器(Screening Router)
这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
2、双穴主机网关(Dual Homed Gateway)
这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
3、被屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
4、被屏蔽子网 (Screened Subnet)
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。
建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:
1、使用多堡垒主机;
2、合并内部路由器与外部路由器;
3、合并堡垒主机与外部路由器;
4、合并堡垒主机与内部路由器;
5、使用多台内部路由器;
6、使用多台外部路由器;
7、使用多个周边网络;
8、使用双重宿主主机与屏蔽子网。
内部防火墙
建立防火墙的目的在于保护内部网免受外部网的侵扰。有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。
防火墙的未来发展趋势
目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。
越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如,许多WWW 客户服务软件包就具有代理能力,而许多象SOCKS 这样的软件在运行编译时也支持类代理服务。
包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统,在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure Connect router 中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP 创立一个临时的包过滤规则,允许其对应的UDP 包进入内部网。
被称为“ 第三代”产品的第一批系统已开始进入市场。如Border 网络技术公司的Border 产品和Truest 信息系统公司的Gauntlet 30 产品从外部向内看起来像是代理服务(任何外部服务请求都来自于同一主机),而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。Karl Bridge/Karl Brouter 产品拓展了包过滤的范围,它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。
目前,人们正在设计新的IP 协议(也被称为IP version 6)。IP 协议的变化将对防火墙的建立与运行产生深刻的影响。同时,目前大多数网络上的机器的信息流都有可能被偷看到,但更新式的网络技术如帧中继,异步传输模式(ATM)可将数据包源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。
互联网数据中心(Internet Data Center)简称IDC,就是电信部门利用已有的互联网通信线路、带宽资源,建立标准化的电信专业级机房环境,为企业、政府提供服务器托管、租用以及相关增值等方面的全方位服务。
IDC的业务简介:
业务包括:主机、服务器、托管、虚拟主机、域名注册、企业邮局、邮件系统。
增值服务:主机托管、idc、大型知识库、会员管理、系统集成、虚拟主机、sql数据库、***虚拟专网、web 应用程序、电子支付、国际域名、国内域名、商业网站、网页设计公司、web 服务、后台管理、邮件服务器、网页设计模板。
扩展资料
IDC定义了大数据的四大特征——海量的数据规模(volume)、快速的数据流转和动态的数据体系(velocity)、多样的数据类型(variety)和巨大的数据价值(value)。
大数据推动基础架构向Scale-out发展。因为从比较传统的数据处理方式和大数据的处理方式来讲,我们发现在处理结构化和非结构化数据方面,在对数据进行处理的时候,因为大数据的类型比较复杂,数据量比较大,可以通过分布式的处理方式把应用复杂分散到分布式系统的各个节点上,
而传统的数据处理将是运算能力非常强、CPU主频非常高的一台机器来处理,而不是大数据这种多个节点、多个CPU核数来处理,这代表了大数据时代发展方向从Scale-up转向Scale-out。”周震刚说。
中国成为全球最重要的大数据市场之一,中国人口数是全球第一,也就造就了全球第一互联网用户数和全球第一的移动互联网用户数,创造数据的规模远远超过全球其他各个国家。
大数据给市场带来的将是更广泛的机会,对于中国来说这个市场是非常有前景的。另外各行业的客户和各行业的开发商也应该在大数据市场抓住机会,借助自己的优势创造更多的价值。
-IDC业务
0条评论