信息中心
香港臺灣服務器告別黑客攻擊
黑客一詞,源于英文Hacker,原指熱心于計算機技術、水平高超的電腦專家,尤其是程序設計人員。如今黑客一詞已被用于泛指那些專門利用電腦搞惡作劇的家伙。這些人的正確英文叫法是Cracker(駭客)。黑客和駭客之間最主要的不同是:黑客們創造新東西,駭客們破壞東西。在信息發達的今天,互聯網安全成為一個令人寢食難安的話題。
網絡安全專家表示,安全措施和技術儲備要平時重視,否則一旦黑客攻擊肯定會出現問題,這時再求救,損失將很難彌補。可從以下五個方面防范黑客入侵:
1.采用防火墻防護,屏蔽無用端口;
2使用安全掃描工具發現黑客;
3.使用有效的監控手段抓住入侵者;
4.用專家系統修復被攻擊的系統;
5.采用防范軟件防止攻擊。
廈門海盟科技有限公司(網站品牌“新世紀數據中心”,網址http://www.21idc.com.cn) 是大中華地區最大的海外IDC運營商,已開通的海外IDC機房主要有:香港服務器、臺灣服務器、韓國服務器、新加坡服務器、馬來西亞服務器、美國服務器、英國服務器等,其中在香港和臺灣均有自己的技術維護工程師,保證以最快的響應速度服務來滿足對網絡品質要求比較高的大客戶。針對近日來,海外機房頻繁遭受黑客攻擊,導致服務器無法正常訪問的問題,海盟公司技術研發部門經過分析原理和網絡路由結構,開發了目前業界獨有的“海外服務器防攻擊的網絡集群綜合解決方案”,此案分為四層架構,即“防火墻--轉發服務器(多臺)—WEB服務器<->數據庫服務器”。其中第二層和第三層可是多臺服務器,即采用集群轉發服務器組,可隨時增減網絡節點。
第一部分 集群
該負載均衡器的配置實例說明:
所有的內容主機(Server1、Server2、Server3…)存儲相同的內容。
只有一臺機器既運行負載均衡器又作為內容主機(Server1)。
內容主機被定義用來組成負載均衡集群(load-balanced cluster),給負載均衡器機器中的一個網絡接口分配主機名稱和 IP 地址,供集群使用。
用戶使用客戶端瀏覽器請求一個文件,從 Internet 發送請求,經由企業的 Internet 網關(防火墻)進入企業的內部網。
請求被轉發到集群主機,該集群主機名稱映射到負載均衡器。
負載均衡器將請求路由到基于分派器的負載均衡標準所選中的內容主機。
內容主機將用戶請求的文件發送到負載均衡器,負載均衡器路由文件通過企業網關,經由 Internet 返回到客戶端瀏覽器。
備注:負載均衡集群系統由多臺服務器通過互聯系統協同工作,為一類或幾類應用服務,所以,根據集群系統完成的工作任務類型的不同,它所采用的工作機制也不一樣,在這里我們采用WEB負載均衡集群解決方案。負載均衡器與服務器集群,所有服務器之間的通信都采用Socket通信接口技術來實現,按照TCP/IP協議(包含UDP協議)的標準進行所有的信息交換。TCP/IP協議組是互聯網絡、尤其是異構平臺之間的互聯網絡通信的基礎和核心,通過一套規則或協議來保證各種不同類型的主機平臺實現相互通信。
采用服務器集群平臺的優勢:
√ 高度的可用性:集群具有避免單點故障發生的能力。負載均衡功能實時檢測節點或服務進程故障,并能正確地重置系統。如果監測到問題結點,新的服務請求就不會被調度到壞的結點,把任務派發給良好的結點,同時調度系統進行故障恢復,為系統提供了更高的可用性。
√ 可伸縮性:可隨時加入更多的服務器可提高集群的整體性能。
√ 易管理性:集群以單一系統映射的形式來面向最終用戶、應用程序及網絡,同時,也為管理員提供單一的控制點,單一控制點也可以是遠程的。
√ 集群服務:這種服務可以針對數據庫、消息系統和文件/打印服務等應用提供故障應急支持,也可以針對基于Web的各類廣泛的通用級應用。
√ 網絡負載均衡:該項功能可在多個節點的集群內均衡引入IP通信量。負載均衡功能增強了Web服務、數據庫服務、多媒體服務和終端服務等各類服務器程序的可用性和可伸縮性。通過負載均衡基礎結構上的管理界面提供控制信息,負載均衡技術能夠與現存的Web服務器區基礎結構天衣無縫地統一起來。負載均衡技術還將充當一個理想的流量均衡分配體系,根據監測情況,計算各結點流量,合理分配流量負荷,對網絡擁塞提供應用級QoS保證,在分布式的Web 環境下與各種應用服務器共同使用。
網絡初步規劃:
第一層:廣東汕頭4G/茂名16G硬件防火墻集群
第二層:轉發設置(防攻擊)
第三層:WEB服務器
第四層:數據庫服務器 (高性能服務器硬盤存取使用RAID5+陣列)
可選:為保證網絡鏈路拓樸穩定,可選備用一臺臺灣服務器或香港服務器做為轉發服務器以保證國際路由出現問題時可做備用轉發服務器。
實現效果:
1.數據分流,可以使訪客提高訪問速度。
2.數據備案,可以使數據得到保障,不會丟失。
第二部分 轉發
技術實現原理:
信息數據集群轉發服務器用于處理解決兩個(多個)物理網絡之間的信息交換問題。信息轉發服務器由硬件和軟件兩部分組成。專用的轉發系統與一臺服務器組成一臺信息轉發服務器。
技術實現目的:
信息數據轉發服務器可實現國內外網絡數據的自動交換,從而實現數據保密及安全的作用。
信息數據轉發服務器可用于網絡數據負載均衡、防止網絡攻擊,保護數據安全及穩定等。
如圖所示,客戶端訪問的多個WEB信息數據轉發服務器。實際訪問的目標為香港機房服務器內的數據。此例保證目標數據服務器進行負載均衡等功能。
技術技術應用示例三網絡拓樸結構:
實現要求:
準備工作:
1.靜態IP地址(每臺服務器1個或多個);
2.WINDOWS及LINUX系統服務器設備兩臺(多臺);
硬件實施:
1.軟件/硬件防火墻設備;
2.由兩(多)臺服務器構成數據通信轉發系統。要求兩臺或多臺標配及以上的服務器;
3.獨享帶寬機柜;
軟件實施:
1.操作系統:WINDOWS 2000 / 2003 / LINUX / UNIX;
2.WEB服務:IIS / Apache / Tomcat;
3.WEB腳本語言:ASP / PHP / JSP;
4. 數據庫:MYSQL / MSSQL / Oracle;
網絡環境:
訪問服務器與數據服務器之間用要求公網固定IP地址;
服務器通過單(多)層的分步及數據協議的限制、有條件轉發,從而達到多層過濾和信息安全的目的;
具體實施步驟:
1. 安裝調試好服務器,使其能正常提供服務,并做其他一些相關安全設置工作;
2. 協調訪問服務器及數據服務器之間的網絡,以靜態路由的方式進行數據轉發方案;
3. 在服務器上做到訪問上的信任,無條件的進行數據發送和接受。開放信任服務器上所需端口。實現內部的主機信任和源地址的信任;
第三部分 配置
此案使用服務器周邊配置如下:
獨享帶寬機柜(臺灣)
臺灣速博IDC獨享機柜
防火墻轉發服務器2臺(國內)
處理器: P4 3.0GHz HT
內 存: 1G DDR
硬 盤: 120G SATA
規 格: 1U
主WEB服務器(臺灣)
處理器: 2*Xeon 2.8G
內 存: 1G ECC
硬 盤: 160G SATA
規 格: 1U
其 他: 雙1000M網卡
主數據庫服務器(臺灣)
處理器: Intel Xeon 5350ES CPU * 2(8核心)
內 存: HY FB DIMM 2GB
硬 盤: 4硬盤做 RAID51(串接)熱拔插 SAS 174G硬盤
規 格: 2U
其 他: 雙1000M網卡及支持SAS RAID陣列
*主WEB服務器和主數據庫服務器之間可做內網互聯,可以解決讀取數據庫及備份數據庫時出現的帶寬傳輸問題。
備用海外轉發服務器(可選)
轉發服務器1臺(臺灣/香港)
處理器: P4 3.0GHz HT
內 存: 1G DDR
硬 盤: 120G SATA
規 格: 1U
*此臺服務器為可選服務器,原因如果是在國內和臺灣機房之間突然出現國際路由問題時可把域名轉到此地的服務器上做為中轉到臺灣服務器上。可解決突然出現的問題。
文章作者:張培林
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄