【正文】 圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報(bào)警的原因和范疇。系統(tǒng)掃描通過(guò)對(duì)企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的完全的分析，幫助組織管理安全風(fēng)險(xiǎn)。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。 對(duì)于TCP數(shù)據(jù)流，WEB交換機(jī)必須在16秒內(nèi)接受一個(gè)返回的ack，否則它將終止這個(gè)TCP流； 源地址是環(huán)回地址； 幀被分段； 采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS 當(dāng)系統(tǒng)收到來(lái)自奇怪或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection Systems）能夠給系統(tǒng)管理人員發(fā)出報(bào)警信號(hào)，提醒他們及時(shí)采取應(yīng)對(duì)措施，如切斷連接或反向跟蹤等。為了使攻擊力更強(qiáng)，DDOS通常會(huì)利用任何一種通過(guò)發(fā)送單獨(dú)的數(shù)據(jù)包就能探測(cè)到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊。實(shí)際的攻擊并不僅僅是簡(jiǎn)單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過(guò)載而崩潰。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過(guò)程又重復(fù)發(fā)生，直到服務(wù)器因過(guò)載而拒絕提供服務(wù)。通過(guò)AAA的實(shí)施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性，同時(shí)結(jié)合ACL的設(shè)置限制能夠進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、IP地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。在使用AAA的功能后用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過(guò)程如下：用戶執(zhí)行遠(yuǎn)程登錄命令（例如：Telnet），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。授權(quán)：當(dāng)用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)。 線速NAT 線速ACL功能 漏洞檢測(cè)功能 防Dos 黑客攻擊功能 AAA服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能所以我們?cè)贗DC的設(shè)計(jì)中必須充分重視安全問(wèn)題，盡可能的減少安全漏洞。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在使用和管理上的無(wú)政府狀態(tài)，逐漸使Internet自身的安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。在基于網(wǎng)站托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為Internet連接層、核心層、分布層、服務(wù)器接入及后臺(tái)管理平臺(tái)。 WEB Counter計(jì)數(shù)器 JAVA Applet/Class支持 FTP訪問(wèn)及其密碼修改在IDC網(wǎng)絡(luò)建設(shè)初期，虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場(chǎng)機(jī)遇，而且它是實(shí)施其他增值服務(wù)（例如應(yīng)用托管業(yè)務(wù)）的基礎(chǔ)。 網(wǎng)絡(luò)帶寬的限制。 建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用；虛擬主機(jī)依托于一臺(tái)服務(wù)器，多個(gè)網(wǎng)站可以在這臺(tái)服務(wù)器上共享資源（硬盤空間、處理器以及內(nèi)存空間），單獨(dú)的一臺(tái)服務(wù)器上可以同時(shí)運(yùn)行多個(gè)虛擬主機(jī)。 24小時(shí)實(shí)時(shí)的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測(cè) 獨(dú)立IP地址 可靠的供電系統(tǒng)對(duì)中小型網(wǎng)站而言，無(wú)論是從運(yùn)營(yíng)維護(hù)的角度，還是對(duì)整體業(yè)務(wù)收入而言，與場(chǎng)地租用的服務(wù)相比，獨(dú)享主機(jī)服務(wù)更能吸引IDC的經(jīng)營(yíng)者。對(duì)于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中心經(jīng)營(yíng)者，用戶不必?fù)碛杏?jì)算機(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的全套專業(yè)服務(wù)。 提高服務(wù)器及Web應(yīng)用的可訪問(wèn)性，這需要網(wǎng)絡(luò)具有內(nèi)容識(shí)別（Content Aware）的功能用戶采用IDC提供的服務(wù)器來(lái)存放數(shù)據(jù)，運(yùn)行軟件。在提供主機(jī)托管服務(wù)給用戶時(shí)，IDC服務(wù)提供商將負(fù)責(zé)提供Internet連接層、核心層、分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。2米、寬19英寸 電源控制系統(tǒng)對(duì)主機(jī)托管業(yè)務(wù)，IDC可為客戶提供n x 100M或者千兆獨(dú)占帶寬的電信級(jí)專業(yè)機(jī)房租用服務(wù)，包括該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)驗(yàn)并在數(shù)據(jù)中心建立之前已投入人力物力建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。以下分別給出基于兩種不同模式時(shí)的網(wǎng)絡(luò)全貌。本章將從托管服務(wù)，網(wǎng)絡(luò)安全，Internet連接，內(nèi)容交換，內(nèi)容傳送，后臺(tái)連接和網(wǎng)絡(luò)管理等方面具體闡述IDC網(wǎng)絡(luò)解決方案對(duì)IDC業(yè)務(wù)的針對(duì)性設(shè)計(jì)。IDC網(wǎng)絡(luò)架構(gòu)的整體設(shè)計(jì)框架如下圖所示。網(wǎng)絡(luò)架構(gòu)運(yùn)行在布線系統(tǒng)，供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上，同時(shí)為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提供平臺(tái)。而在橫向結(jié)構(gòu)上，IDC的網(wǎng)絡(luò)運(yùn)行離不開(kāi)網(wǎng)絡(luò)管理和運(yùn)營(yíng)維護(hù)。IDC的業(yè)務(wù)將包含接入業(yè)務(wù)，空間出租業(yè)務(wù)，托管業(yè)務(wù)，管理業(yè)務(wù)和增值業(yè)務(wù)。2 托管服務(wù)IDC的基本業(yè)務(wù)包括網(wǎng)站托管（Web hosting）和主機(jī)托管（Colocation）兩大類。 基于主機(jī)托管的IDC網(wǎng)絡(luò)全貌主機(jī)托管是IDC初期為其用戶提供的一種基礎(chǔ)服務(wù)。如著名的Yahoo、eBay、Amazon。 隨時(shí)可擴(kuò)充的獨(dú)占帶寬 保安系統(tǒng) 每臺(tái)機(jī)柜提供獨(dú)立電源控制用戶則需要自己負(fù)責(zé)服務(wù)器以及包含防火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)?？傮w來(lái)講數(shù)據(jù)中心的硬件設(shè)備主要包括：服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。 為方便租用主機(jī)的用戶易于控制及管理其主機(jī)內(nèi)容，提供相應(yīng)的管理平臺(tái)。為了保證服務(wù)質(zhì)量，獲得相應(yīng)的高增值服務(wù)費(fèi)用，IDC服務(wù)經(jīng)營(yíng)者通常與用戶制定SLA（Service Level Agreement）。根據(jù)用戶需求的不同，我們可以定義單機(jī)，雙機(jī)集群或包括數(shù)據(jù)庫(kù)服務(wù)器的獨(dú)享主機(jī)服務(wù)包。 恒溫恒濕控制系統(tǒng) 服務(wù)器配置 詳細(xì)的訪問(wèn)統(tǒng)計(jì)報(bào)告虛擬主機(jī)是一種初級(jí)的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜態(tài)網(wǎng)頁(yè)。 缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗(yàn)的專家；現(xiàn)在Internet上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個(gè)價(jià)廉物美的服務(wù)，內(nèi)容包括： 斷點(diǎn)續(xù)傳支持 防火墻保護(hù) Banner廣告條在提供網(wǎng)站托管業(yè)務(wù)時(shí)，IDC服務(wù)提供商需提供并管理所有各層的設(shè)備，對(duì)于IDC的用戶是完全透明的，從而用戶可以專注于其業(yè)務(wù)而無(wú)需負(fù)責(zé)任何系統(tǒng)的管理。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問(wèn)、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽(tīng)等方面。此外，我們還應(yīng)該根據(jù)IDC的客戶需求提供不同的安全服務(wù)，同時(shí)最大限度的保證IDC 網(wǎng)絡(luò)管理中心（NOC）自身的安全。 防Dos 黑客攻擊功能 線速ACL功能 線速NAT對(duì)于 IDC NOC的安全需求如下： 防火墻及防火墻平滑切換功能 ACL的策略管理記帳：記錄用戶登錄后干了些什么。用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢?cè)撚脩羰欠裼袡?quán)登錄。 防DoS黑客攻擊在拒絕服務(wù)（DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個(gè)認(rèn)證請(qǐng)求，使其滿負(fù)載，并且所有請(qǐng)求的返回地址都是偽造的。分布式拒絕服務(wù)（DDOS）把DoS又向前發(fā)展了一步。DDOS工作的基本概念如圖所示。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。 防范攻擊的措施 1。3。 源地址與目的地址相同； 目的地址是環(huán)回地址； 對(duì)于任意嘗試過(guò)8次以上SYN的數(shù)據(jù)流，WEB交換機(jī)將終止這個(gè)流，并且停止處理同樣SYN，源地址，目的地址及端口號(hào)對(duì)的數(shù)據(jù)流。 安全掃描服務(wù)器可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在實(shí)行過(guò)程中支持基于策略的安全風(fēng)險(xiǎn)管理過(guò)程。系統(tǒng)掃描通過(guò)比較規(guī)定的安全策略和實(shí)際的主機(jī)配置來(lái)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。 入侵檢測(cè)入侵檢測(cè)（Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。Sensor不影響網(wǎng)絡(luò)性能，它分析各個(gè)數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。 入侵檢測(cè)系統(tǒng)通常具有的關(guān)鍵特性包括： 支持廣泛的速度和接口類型，包括10/100 Mbps以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI 一個(gè)保證托管客戶之間安全的通用方法就是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)。 VLAN的限制：LAN交換機(jī)固有的VLAN數(shù)目的限制Cisco在IP地址管理方案中引入了一種新的VLAN機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。與服務(wù)器連接的端口稱作專用端口（private port），一個(gè)專用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量。 專用VLAN的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因?yàn)镮DC的網(wǎng)絡(luò)中，服務(wù)器只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專用VLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了這樣的安全連接。 高速的路由交換能力借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 具備豐富的接口類型 識(shí)別網(wǎng)絡(luò)流量 IDC的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定相應(yīng)的標(biāo)準(zhǔn)來(lái)區(qū)分更多的類型。例如，你可以將SAP/R3通信量根據(jù)一個(gè)特定客戶式特定服務(wù)器隔開(kāi)，使TN3270交互式通信量與打印通信量分開(kāi)，甚至把一個(gè)H。 速率政策（Rate policies）限制或保證每個(gè)單獨(dú)對(duì)話的帶寬，抑制那些貪婪的應(yīng)用通信，或者保護(hù)對(duì)時(shí)延敏感的流量。 測(cè)量、分析和生成報(bào)表 網(wǎng)絡(luò)管理員在制訂一項(xiàng)帶寬管理策略之前及之后必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測(cè)量其是否成功。 流量控制和監(jiān)視控制 IDC的帶寬管理是非常復(fù)雜的業(yè)務(wù)和技術(shù)控制，所以，需要一個(gè)簡(jiǎn)單易用的進(jìn)行操作的管理界面。它不能是一個(gè)網(wǎng)絡(luò)故障點(diǎn)，如果帶寬管理器發(fā)生故障或者被關(guān)掉，它需要會(huì)像一根電纜一樣發(fā)揮作用。對(duì)本地帶寬管理也可以通過(guò)四層交換機(jī)來(lái)實(shí)現(xiàn)。這在本節(jié)將有具體闡述。因此，如果數(shù)據(jù)中心的服務(wù)提供商能夠給客戶提供這種高可用性服務(wù)，就可以像保險(xiǎn)公司的保險(xiǎn)費(fèi)一樣，來(lái)向客戶收取一定的增值服務(wù)費(fèi)用！并且對(duì)數(shù)據(jù)中心的各種類型用戶都帶來(lái)好處：對(duì)主機(jī)租用用戶來(lái)講，他們的服務(wù)器硬件本身都是租用數(shù)據(jù)中心的，因此自然希望數(shù)據(jù)中心能夠?qū)Ψ?wù)器系統(tǒng)的可用性提出更高的保證；對(duì)主機(jī)托管用戶來(lái)講，盡管服務(wù)器是自身攜帶的，但是除了極少部分大的網(wǎng)站有資金、有技術(shù)能力來(lái)自行解決關(guān)鍵服務(wù)器系統(tǒng)的高可用性問(wèn)題外，大多數(shù)的網(wǎng)站并不具備這樣的條件，他們希望數(shù)據(jù)中心服務(wù)提供商能夠作為他們的Virtual IT部門，能夠給他們提供一個(gè)完善的解決方案。它的優(yōu)點(diǎn)是：實(shí)現(xiàn)簡(jiǎn)單、實(shí)施容易、成本低；但是，它的缺點(diǎn)也非常明顯：不是真正意義上的負(fù)載均衡，DNS服務(wù)器將HTTP請(qǐng)求平均地分配到后臺(tái)的WWW服務(wù)器上，而不考慮每個(gè)WWW服務(wù)器當(dāng)前的負(fù)載情況；如果后臺(tái)的WWW服務(wù)器的配置和處理能力不同，最慢的WWW服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強(qiáng)的服務(wù)器不能充分發(fā)揮作用；另外未考慮容錯(cuò)，如果后臺(tái)的某一臺(tái)WWW服務(wù)器出現(xiàn)故障，DNS服務(wù)器仍會(huì)把DNS請(qǐng)求分配到這臺(tái)故障服務(wù)器上，導(dǎo)致對(duì)客戶端的不能響應(yīng)?；閭浞荩ˋctive/Standby）方式下，其中一臺(tái)服務(wù)器缺省處于活動(dòng)狀態(tài)（Active/Primary），而另一臺(tái)處于睡眠狀態(tài)（Standby/Backup），當(dāng)主服務(wù)器系統(tǒng)死機(jī)或應(yīng)用不能正常服務(wù)時(shí)，備份服務(wù)器會(huì)自動(dòng)變成活動(dòng)狀態(tài)，從而接管原主服務(wù)器的任務(wù)，保證應(yīng)用能夠繼續(xù)服務(wù)。當(dāng)然更為重要的一點(diǎn)是，作為數(shù)據(jù)中心的托管用戶，他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！正因?yàn)樯鲜龅慕鉀Q方案存在這樣或那樣的問(wèn)題，因此，隨著Internet技術(shù)的發(fā)展，出現(xiàn)了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說(shuō)的第四層、第七層智能負(fù)載平衡設(shè)備。當(dāng)客戶訪問(wèn)此WWW應(yīng)用時(shí)，客戶端的HTTP請(qǐng)求會(huì)先被第四層負(fù)載平衡設(shè)備接收到，它會(huì)基于第四層交換技術(shù)實(shí)時(shí)檢測(cè)后臺(tái)WWW服務(wù)器的負(fù)載，根據(jù)設(shè)定的算法進(jìn)行快速交換，交給當(dāng)前最可用、負(fù)載最輕的服務(wù)器來(lái)處理。它與第四層負(fù)載平衡設(shè)備比較起來(lái)：第七層負(fù)載平衡設(shè)備不僅能檢查TCP/IP數(shù)據(jù)包的TCP、UDP端口號(hào)（Transportation Layer），從而轉(zhuǎn)發(fā)給后臺(tái)的某一個(gè)服務(wù)器來(lái)處理，而且它能從會(huì)話層（Session Layer）以上來(lái)分析HTTP請(qǐng)求的URL，根據(jù)URL的不同將不同的HTTP請(qǐng)求交給不同的服務(wù)器來(lái)處理（可以具體到某一類文件，甚至某一個(gè)文件），甚至同一個(gè)URL請(qǐng)求可以讓多個(gè)服務(wù)器來(lái)響應(yīng)以分擔(dān)負(fù)載（當(dāng)客戶訪問(wèn)某一個(gè)URL，發(fā)起HTTP請(qǐng)求時(shí)，它實(shí)際上要與服務(wù)器建立多個(gè)會(huì)話連接，得到多個(gè)對(duì)象－Object，例如。 跨地域負(fù)載均衡前面講述的都是關(guān)于如何在本地局域網(wǎng)實(shí)現(xiàn)WWW等應(yīng)用服務(wù)器的負(fù)載平衡，那么如何實(shí)現(xiàn)應(yīng)用服務(wù)器的廣域網(wǎng)上的負(fù)載平衡，從而保證應(yīng)用的冗災(zāi)備份，以及如何有效的根據(jù)客戶的地域分布、廣域網(wǎng)絡(luò)的連通狀態(tài)或延遲時(shí)間來(lái)將客戶定向到他們最適合訪問(wèn)的站點(diǎn)呢？這些都涉及到廣域網(wǎng)的負(fù)載平衡技術(shù)（Global Server Load Balance），常見(jiàn)的廣域網(wǎng)負(fù)載平衡產(chǎn)品都是基于DNS重定向原理來(lái)實(shí)現(xiàn)的，即當(dāng)客戶訪問(wèn)某一個(gè)網(wǎng)站時(shí)，例如。 Cookie和SSL會(huì)話的連接鎖定為了使得一個(gè)電子商務(wù)的事務(wù)成功，客戶必須被鎖定到指定的服務(wù)器上直到事務(wù)完成。一旦Cookie被設(shè)定，用戶的瀏覽器就被透明地刷新。這個(gè)請(qǐng)求就有一個(gè)有優(yōu)先級(jí)設(shè)置的Cookie，這個(gè)優(yōu)先級(jí)會(huì)把用戶定向到合適得服務(wù)器群。在一個(gè)安全的事務(wù)中，Web交換機(jī)維持從用戶Cookie（購(gòu)物）到SSL會(huì)話ID（結(jié)帳）的轉(zhuǎn)化。作為客戶Hello消息的響應(yīng)，服務(wù)器挑選一個(gè)新的會(huì)話ID并把自己的帶有會(huì)話ID的Hello發(fā)回到客戶端。當(dāng)幾分鐘沒(méi)有操作后，服務(wù)器會(huì)做超時(shí)處理，釋放這個(gè)會(huì)話ID。由于建立會(huì)話的握手會(huì)涉及交換