隨著互聯(lián)網(wǎng)及其應用的快速發(fā)展,客戶對網(wǎng)站系統(tǒng)訪問的響應時間、網(wǎng)站內(nèi)容以及所提供服務的可靠性、即時性等要求也越來越高,使得以單臺服務器來支撐整個網(wǎng)站的系統(tǒng)已無法滿足客戶需求。取而代之的是一組服務器群。同時,黑客、病毒對網(wǎng)站的惡意侵入也越來越多,如何保證客戶訪問網(wǎng)站快速、高效是網(wǎng)站管理人員重點考慮的問題。
阿姆瑞特UTM產(chǎn)品可以根據(jù)服務器實際的響應時間,平衡服務器群中所有服務器之間的通信負載,從而提高整個網(wǎng)站的性能和響應能力。通過強悍的防火墻和IPS系統(tǒng)保證網(wǎng)站的安全性,從而提高服務器群的效率,達到安全和效率的統(tǒng)一。
一、大型網(wǎng)站網(wǎng)絡特點
![*]("file:///C:/DOCUME~1/master/LOCALS~1/Temp/msohtml1/01/clip_image002.gif"){kind=small}
用戶訪問量大,吞吐量、并發(fā)要求高;
對于大型網(wǎng)站,服務器數(shù)量可能不是很多,但用戶訪問量大,因此在網(wǎng)絡安全產(chǎn)品選型的時候,要求該產(chǎn)品具有海量的吞吐量和并發(fā)連接數(shù)。
具有多臺服務器、要求接入設備具備負載均衡
大型網(wǎng)站擁有多臺服務器,這些服務器以對稱方式組成一個服務器群集,每臺服務器都具有同等地位,均能單獨對外提供服務。通過特定的負載均衡技術,將外部客戶請求視服務器群集中各服務器上的負載狀況合理分配到某臺服務器上,籍此大幅提高獲取數(shù)據(jù)的速度,解決海量并發(fā)訪問問題。此種群集技術可以用最少的投資獲得接近于大型主機的性能。
經(jīng)常面臨黑客和病毒入侵
由于大型網(wǎng)站對外提供服務,因為這些服務器是面向Internet提供服務的,而這些服務器的操作系統(tǒng)為windows或者Linux,會有很多漏洞,因此經(jīng)常受到黑客攻擊和病毒侵擾,如果保證這些服務器的安全性,是網(wǎng)管比較頭痛的問題。
多個ISP接入
由于訪問大型網(wǎng)站的用戶來源于世界各地,為了使各個地方用戶訪問該網(wǎng)站都快速,因此大型網(wǎng)站都申請多個不同的ISP接入,例如:中國網(wǎng)通、中國電信、中國鐵通等。這樣方便不同用戶訪問不同的服務器地址,達到快速的目的。
某網(wǎng)站使用二十臺服務器對外提供Web服務,使用四臺服務器作為Smtp服務器,兩臺服務器作為POP3服務器,對外進行服務。為了保證服務器的安全性同時滿足使每臺服務器的負載相差不大,使用阿姆瑞特UTM作安全防護的同時,開啟UTM設備的負載均衡功能。
該方案技術特定如下:
![]("/uploadfile/200708/20070816101821305.jpg")
![*]("file:///C:/DOCUME~1/master/LOCALS~1/Temp/msohtml1/01/clip_image001.gif"){kind=small}
不同接入的用戶通過不同鏈路訪問服務器
阿姆瑞特UTM可以基于不同的策略定義不同的路由,因此可以根據(jù)源地址、服務等定義不同的路由。從而達到不需要其他設備可以連接多個ISP,應用在多個出口的環(huán)境。 通過策略路由功能,網(wǎng)通用戶通過網(wǎng)通地址訪問服務器;聯(lián)通用戶通過聯(lián)通地址訪問服務器;鐵通用戶通過鐵通的地址訪問服務器。
多個ISP互相備份
阿姆瑞特UTM可以提供對服務器的鏈路備份功能,當網(wǎng)通鏈路中斷時候,所有用戶通過聯(lián)通或者鐵通地址訪問服務器;當聯(lián)通鏈路中斷時候,所有用戶通過網(wǎng)通或者鐵通地址訪問服務器;當鐵通鏈路中斷時候,所有用戶通過網(wǎng)通或者電信地址訪問服務器。
服務器容錯處理
阿姆瑞特UTM的“服務器狀態(tài)檢測功能”,對每臺服務器的工作狀態(tài)進行檢測,如果某臺服務器宕機,或者響應速度較低時及時把流量向其它服務器進行分配,確保用戶訪問服務器在任何時候都不會中斷。
服務器負載均衡
阿姆瑞特UTM智能地根據(jù)客戶源IP地址、連接率等因素把所有來自Internet的訪問數(shù)據(jù)流均衡地分配到每臺服務器上去,既保證了每臺服務器都工作在一個合適的壓力之下,又保證了客戶不論被連接到哪臺服務器,得到的響應速度都是相同的。
在實際應用中,由于服務器端常常存在著CGI程序,這些程序會將用戶的信息保存在服務器的內(nèi)存中,如果負載分擔系統(tǒng)不能識別用戶來源,就會將同一個用戶的請求分布到不同的服務器上,就會導致無法正常運行程序。阿姆瑞特UTM在對服務器進行負載均衡的時候,可以基于源IP、源網(wǎng)絡、連接狀態(tài)分配等機制,能夠保證同一個用戶的CGI請求可以保留在同一臺服務器上,保證服務的正常運作。
IPS與IDS有效統(tǒng)一
在該應用中,阿姆瑞特UTM可以針對服務器同時開啟IPS規(guī)則和IDS規(guī)則。IPS與IDS對應不同的特征庫,當數(shù)據(jù)包進入UTM設備,首先經(jīng)過IPS檢查,可以確定100%的攻擊,UTM可以對該攻擊進行阻斷;如果數(shù)據(jù)包疑是攻擊,進行IDS檢查,UTM對該數(shù)據(jù)進行審計,從而達到IPS和IDS的統(tǒng)一,保證服務器的同時不會產(chǎn)生因為誤報而將正常數(shù)據(jù)包阻斷現(xiàn)象。同時通過硬件加速保證系統(tǒng)的性能。
動態(tài)IPS/IDS配置界面
阿姆瑞特UTM的IPS/IDS的配置界面來源于IDP特征庫的索引,當IDP特征庫升級后,由UTM設備內(nèi)核PUSH(下推)到管理器中,從而實現(xiàn)時時更新的IPS/IDS的專業(yè)分組配置界面,將用戶需要做的IPS/IDS分組工作轉(zhuǎn)化為由專業(yè)的廠商來做。將IPS/IDS在配置上最大的難題徹底解決,最大程度的減少管理員的工作壓力,使得配置界面更加人性化、專業(yè)化、合理化。
實時的反病毒網(wǎng)關:
依托卡巴斯基強大的病毒特征庫和基于特征和啟發(fā)式的掃描阿姆瑞特UTM可以在進出網(wǎng)站的數(shù)據(jù)包進行檢測,過濾各種已知和未知病毒,提供針對未知病毒、蠕蟲、特洛伊木馬和其它惡意內(nèi)容的高性能保護。
