【正文】 ”模型聯(lián)機(jī)事務(wù)處理。在連接客戶機(jī)時(shí)，與聯(lián)機(jī)業(yè)務(wù)應(yīng)用程序集成的需求，大大增加了該模型的復(fù)雜性。圖 10. “聯(lián)機(jī)事務(wù)處理”模型可用性簡(jiǎn)介增加站點(diǎn)可用性的主要技術(shù)是增加冗余組件。而第二幅具有所有組件和網(wǎng)絡(luò)鏈路的冗余。另外，還有與多個(gè) ISP 的連接和獨(dú)立的管理網(wǎng)絡(luò)。NLBS 自動(dòng)跟蹤 Web 群集的運(yùn)作成員并在其中的某個(gè)出現(xiàn)故障時(shí)重組。網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的可用性網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)和站點(diǎn)與 Internet 連接的持續(xù)可用至關(guān)重要。為獲得最大的可用性，還應(yīng)考慮使用不同的電源和余富的不間斷電源。后端系統(tǒng)的可用性通過(guò) “Microsoft 群集服務(wù)”可使后端系統(tǒng)高度可用，該服務(wù)是為群集上運(yùn)行的服務(wù)提供數(shù)據(jù)層冗余和故障轉(zhuǎn)移功能的核心技術(shù)。如果硬盤(pán)發(fā)生故障，數(shù)據(jù)將持續(xù)可用，并且運(yùn)行的硬盤(pán)可在不中斷服務(wù)的情況下和磁盤(pán)陣列進(jìn)行熱交換。如果另一臺(tái)服務(wù)器沒(méi)有響應(yīng)，則自動(dòng)將故障服務(wù)器的資源（如磁盤(pán)設(shè)備和 IP 地址）的所有權(quán)轉(zhuǎn)移給幸存服務(wù)器。安全性簡(jiǎn)介安全性即通過(guò)充分保護(hù)信息的機(jī)密性、秘密性、完整性和可用性來(lái)管理風(fēng)險(xiǎn)。在域中，安全性如同一條鏈子，它的力量與其不牢固的鏈接一樣。通常，商業(yè)站點(diǎn)應(yīng)該比只用于瀏覽的信息站點(diǎn)具有更高的保護(hù)。安全性策略和物理的安全性程序是有效的安全性程序的重要方面。由于本文的重點(diǎn)是關(guān)于安全的體系結(jié)構(gòu)和技術(shù)，因此我們不會(huì)進(jìn)一步講述這個(gè)問(wèn)題。（應(yīng)用程序保護(hù)超出了本文的范圍。它包含： 對(duì)于保護(hù)站點(diǎn) DMZ 是必要的，但在自身內(nèi)部并不是足夠的。如“平臺(tái)保護(hù)”一節(jié)討論的，利用其他機(jī)制提高數(shù)據(jù)安全性是必要的。它們能過(guò)濾不想要的通信（根據(jù)協(xié)議類(lèi)型和源及目的地址），并保護(hù) DMZ 不受部分 — 而非全部 — 服務(wù)拒絕的攻擊。它們能檢測(cè)已知的服務(wù)拒絕的攻擊，并提供附加的安全功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，它完全隱藏內(nèi)部設(shè)備）以及 FTP（動(dòng)態(tài)選擇數(shù)據(jù)傳輸端口）。由于它們一般都在網(wǎng)絡(luò)層發(fā)揮功能，因此不能防止較高協(xié)議層的攻擊。防火墻配置面向 Internet 的防火墻，應(yīng)該只許訪問(wèn)支持 Web 站點(diǎn)商業(yè)功能所需的服務(wù)，典型的如 HTTP 和 LDAP，以及不常用的 FTP 和 SMTP 郵件。根據(jù)支持訪問(wèn)內(nèi)部數(shù)據(jù)和系統(tǒng)資源，以及支持和管理 DMZ 組件所需的協(xié)議和服務(wù)，面向內(nèi)部的防火墻同樣應(yīng)該對(duì)通信進(jìn)行限制。限制為只能訪問(wèn)極有限的幾組必要端口和目標(biāo)主機(jī)非常重要，這樣才能確保 DMZ 中的泄密系統(tǒng)只有有限的機(jī)會(huì)攻擊內(nèi)部網(wǎng)絡(luò)。關(guān)鍵原則是： 將 Internet 通信與后端通信隔離。它還消除了管理通信穿越防火墻，這大大減少了弱點(diǎn)。Secure Sockets Layer (SSL) 與 HTTPS 協(xié)議和服務(wù)器認(rèn)證相結(jié)合，提供所需的加密功能以及 Web 服務(wù)器身份驗(yàn)證。SSL 加密為傳輸數(shù)據(jù)提供機(jī)密性和完整性，這對(duì)保護(hù)用戶口令和信用卡信息尤其重要。SSL 的確存在問(wèn)題。硬件加速器可減輕服務(wù)器負(fù)載，但成本很高，而且只部署在有限的前端服務(wù)器。IDS 能檢測(cè)廣泛的敵對(duì)攻擊簽名（模式），能產(chǎn)生報(bào)警警告操作人員，并在某些情況下使路由器停止與敵對(duì)源的通信。遺憾的是，有幾個(gè)原因?qū)е?IDS 仍未普遍使用：IDS 管理器由于低信噪比而淹沒(méi)在記錄中。雖然可能來(lái)不及防止它們了，但使用第三方服務(wù)器日志分析工具可提供有關(guān)入侵信息。所有的 DMZ 及其與之通信的內(nèi)部系統(tǒng)都需要加固。Windows 2000 中的 IPSec（IP 安全）實(shí)現(xiàn)有很多成熟完善的過(guò)濾策略，即使每有使用其完整性和加密功能。Windows 2000 增加了“組策略編輯器”(GPE)，它將該功能（及更多功能）擴(kuò)展到域、活動(dòng)目錄組織單位甚至計(jì)算機(jī)組。相關(guān)的分析功能允許對(duì)服務(wù)器的當(dāng)前安全配置按策略進(jìn)行分析和驗(yàn)證，這是驗(yàn)證持續(xù)符合策略的重要方法。Microsoft 為其產(chǎn)品提供電子郵件安全公告。許多 Windows NT 配置項(xiàng)同樣可應(yīng)用于 Windows 2000 和其他 DMZ 主機(jī)。大量的第三方工具都支持完整性檢查，包括不同來(lái)源的防病毒掃描器和 Tripwire 的 tripwire ()（英文），其驗(yàn)證所選的文件和注冊(cè)設(shè)置。特大型的站點(diǎn)可能包含上千的服務(wù)器。Windows 2000 通過(guò)企業(yè)的活動(dòng)目錄提供靈活站點(diǎn)帳戶集成，同時(shí)支持站點(diǎn)的高度安全需要。例如，大多數(shù)靜態(tài) HTML 頁(yè)面是公開(kāi)的而不需要訪問(wèn)保護(hù)。自然災(zāi)難、火災(zāi)、恐怖分子攻擊和主網(wǎng)絡(luò)中斷不太可能，但總有站點(diǎn)不能運(yùn)行的潛在可能。 敏感數(shù)據(jù)應(yīng)存儲(chǔ)在內(nèi)部防火墻之內(nèi)（例如，示例站點(diǎn)的安全網(wǎng)絡(luò)）。如果此類(lèi)數(shù)據(jù)在 DMZ 內(nèi)，應(yīng)在數(shù)據(jù)庫(kù)中加密并在需要使用時(shí)解密。 需要特別注意用于客戶身份驗(yàn)證的目錄，因?yàn)樵撟酉到y(tǒng)的突破會(huì)暴露所有的客戶數(shù)據(jù)。）保護(hù) SQL Server 一般在本文的范圍之外。（客戶的 cookie 還廣泛用于維護(hù)客戶身份驗(yàn)證和授權(quán)的狀態(tài)。對(duì)于用戶的網(wǎng)站應(yīng)用程序，使用最廣泛的身份驗(yàn)證機(jī)制是基于窗體的登錄，它將用戶 ID 和口令組合在加密的 SSL 會(huì)話中。從傳統(tǒng)上看，大多數(shù)身份驗(yàn)證函數(shù)硬性編寫(xiě)在商業(yè)邏輯中，因此開(kāi)發(fā)和維護(hù)的成本很高。Microsoft 的“站點(diǎn)服務(wù)器 ”和“站點(diǎn)服務(wù)器 商業(yè)版”可擴(kuò)展為虛擬支持無(wú)限的用戶數(shù)量。“站點(diǎn)服務(wù)器成員”可大大減輕與客戶訪問(wèn)功能相關(guān)的負(fù)擔(dān)，同時(shí)提供強(qiáng)大而完全集成的內(nèi)置功能。由于身份驗(yàn)證功能下放給了“護(hù)照”，因此減輕了合作伙伴站點(diǎn)上開(kāi)發(fā)和支持這種功能的負(fù)擔(dān)。要點(diǎn)站點(diǎn)安全并非附加的特性。網(wǎng)絡(luò)安全的關(guān)鍵元素是防火墻/DMZ、網(wǎng)絡(luò)分段和 SSL 加密。保密的顧客信息，特別是口令和帳戶信息，應(yīng)該存放在內(nèi)部防火墻之中。良好的監(jiān)控和疑難解答工具可使操作人員在業(yè)務(wù)受到影響之前，迅速解決組件和服務(wù)出現(xiàn)的問(wèn)題。站點(diǎn)系統(tǒng)的管理和運(yùn)作系統(tǒng)是非常復(fù)雜和困難的。站點(diǎn)的管理應(yīng)結(jié)合系統(tǒng)和網(wǎng)絡(luò)管理。本節(jié)專(zhuān)門(mén)討論系統(tǒng)和運(yùn)行管理，而將網(wǎng)絡(luò)管理留給 Web 宿主提供商，并說(shuō)明如何使用 Microsoft 的產(chǎn)品和技術(shù)建立可靠而強(qiáng)大的管理系統(tǒng)。 分布管理網(wǎng)絡(luò)組件來(lái)：但是由于下面的原因，這種方式可能不適合管理全天候服務(wù)： 服務(wù)網(wǎng)絡(luò)癱瘓時(shí)，不可能產(chǎn)生故障通知。管理系統(tǒng)組件通常，管理系統(tǒng)是由管理控制臺(tái)、管理服務(wù)器和管理代理組成的。 用戶登錄和身份驗(yàn)證（網(wǎng)絡(luò)操作員、管理員）。 提供對(duì)用戶發(fā)布的命令的響應(yīng)。管理服務(wù)器通過(guò)專(zhuān)用的或標(biāo)準(zhǔn)的協(xié)議，與被管理的節(jié)點(diǎn)（Windows NT 服務(wù)器、Cisco 路由器和其他網(wǎng)絡(luò)裝置）通信。 收集、存儲(chǔ)和分析性能信息。 更新被管理節(jié)點(diǎn)上的配置參數(shù)。管理代理主要執(zhí)行以下功能：代理和服務(wù)器使用標(biāo)準(zhǔn)的和專(zhuān)用的協(xié)議通信。最簡(jiǎn)單的管理系統(tǒng)是集中系統(tǒng)：少量裝有管理服務(wù)器和控制臺(tái)軟件的計(jì)算機(jī)。接著，我們要介紹分布式管理系統(tǒng)所需的步驟。集中管理是由一臺(tái)（或多臺(tái)）強(qiáng)大的計(jì)算機(jī)實(shí)現(xiàn)的，這（些）計(jì)算機(jī)允許訪問(wèn)該站點(diǎn)系統(tǒng)的所有組件，監(jiān)控所有設(shè)備并接受來(lái)自所有被管理元素的報(bào)警和通知。第三方廠商還提供了其他應(yīng)用程序和工具分布式管理系統(tǒng)隨著 Web 站點(diǎn)的快速增長(zhǎng)，集中管理系統(tǒng)被證明是低效率的。 將管理控制臺(tái)從管理服務(wù)器分離。 添加更多的控制臺(tái)，允許訪問(wèn)更多的管理員和技術(shù)員。圖 14 描繪了示例站點(diǎn)所用的管理系統(tǒng)。主要有：管理控制臺(tái)在本示例管理網(wǎng)絡(luò)中，管理控制臺(tái)是與管理服務(wù)器分離的，這樣可將其集中在（高度安全的）“網(wǎng)絡(luò)操作中心”。這些工具全都提供遠(yuǎn)程管理功能，因此能被旅行中的技術(shù)人員用于漫游的環(huán)境中。 將管理服務(wù)器鎖在保險(xiǎn)柜中。 消除單個(gè)故障點(diǎn)。Microsoft 提供的服務(wù)和應(yīng)用程序應(yīng)安裝在管理服務(wù)器上（“性能監(jiān)視器”、“系統(tǒng)管理服務(wù) (SMS)”和“事件日志”）。但是，最大的商務(wù)站點(diǎn)每天要記錄數(shù)以千兆計(jì)的數(shù)據(jù)（為了日后的數(shù)據(jù)采集。后端服務(wù)器 (BES)后端服務(wù)器是具有大容量硬盤(pán)的計(jì)算機(jī)，用于長(zhǎng)期存放管理服務(wù)器收集的信息。我們建議管理服務(wù)器運(yùn)行 Windows NT 服務(wù)器版或 Windows 2000 服務(wù)器版，以保證更好的系統(tǒng)穩(wěn)定性，并提供僅在服務(wù)器版本中可用的附加服務(wù)。 減少或消除網(wǎng)絡(luò)擁堵（就是說(shuō)，亞洲的 Windows NT 服務(wù)器由東京的管理服務(wù)器升級(jí)，而用不著新澤西的服務(wù)器）。例如，本地的管理服務(wù)器可以運(yùn)行在歐洲和北美的每個(gè)辦公室中，管理著本地的事件和網(wǎng)絡(luò)。管理控制臺(tái)可以運(yùn)行 Windows NT 服務(wù)器，工作站或?qū)I(yè)版。有關(guān)示例站點(diǎn)體系結(jié)構(gòu)的詳細(xì)內(nèi)容，請(qǐng)參閱圖 3。 在服務(wù)器之間，按地域或管理功能劃分工作量。 添加更多的服務(wù)器，使每一個(gè)服務(wù)器管理較少的節(jié)點(diǎn)。這些問(wèn)題使集中管理系統(tǒng)不適用于管理非常大的、迅速擴(kuò)展的和高度可用的站點(diǎn)。由于集中管理系統(tǒng)簡(jiǎn)單、低成本和容易管理，所以它在小型環(huán)境（如只有幾個(gè)服務(wù)器的啟動(dòng)站點(diǎn)）中很受歡迎。集中管理系統(tǒng)管理系統(tǒng)既可以集中也可以分布。下面介紹集中管理系統(tǒng)。當(dāng)某個(gè)站點(diǎn)擴(kuò)展并新添了設(shè)備和服務(wù)后，管理系統(tǒng)必須充分?jǐn)U展。某些節(jié)點(diǎn)可能只有一個(gè)代理，如 SNMP 管理的網(wǎng)絡(luò)路由器。管理代理管理代理是駐留在被管理節(jié)點(diǎn)上的程序。 在被管理節(jié)點(diǎn)上分布和安裝軟件。 在其權(quán)限內(nèi)接受、過(guò)濾和關(guān)聯(lián)來(lái)自被管理節(jié)點(diǎn)的事件。但有時(shí)因?yàn)榭捎眯?、可伸縮性和被管理的網(wǎng)絡(luò)遠(yuǎn)離操作中心等原因，希望或需要解除這兩層之間的耦合。 提供對(duì)所有管理服務(wù)器的訪問(wèn)：一旦訪問(wèn)了某個(gè)管理服務(wù)器，用戶可根據(jù)該服務(wù)器的權(quán)限，查看所有被管理節(jié)點(diǎn)的狀態(tài)、發(fā)布在這些節(jié)點(diǎn)上更新軟件和配置的命令。管理控制臺(tái)管理系統(tǒng)是通過(guò)管理控制臺(tái)與用戶的接口。 安全的含義。與管理相關(guān)的通知，如 SNMP 陷阱，可能會(huì)布滿網(wǎng)絡(luò)，產(chǎn)生并/或擴(kuò)大性能瓶頸的影響。 管理基礎(chǔ)結(jié)構(gòu)管理網(wǎng)絡(luò)管理和運(yùn)作可以共享后端網(wǎng)絡(luò)，也可以存在于單獨(dú)的 LAN 之上。 為提高可用性和增強(qiáng)安全性，而將管理網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)分開(kāi)。Microsoft 的工具和服務(wù)包，如“性能監(jiān)視器”、“SNMP 服務(wù)”、WMI、事件日志和備份工具，可用于事件管理、性能管理和存儲(chǔ)管理（操作管理）。Microsoft 和許多第三方廠商提供了大量 Windows NT 系統(tǒng)的管理產(chǎn)品。許多大型站點(diǎn)在地理上與操作人員相隔甚遠(yuǎn)，而且常駐在接近高容量 Internet 帶寬的被管理的數(shù)據(jù)中心之中。設(shè)計(jì)精良的管理系統(tǒng)，是成功管理和運(yùn)作大型商務(wù)站點(diǎn)的關(guān)鍵。電子商務(wù)和顧客個(gè)人化支持需要客戶身份驗(yàn)證和授權(quán)。安全域模型是保證在站點(diǎn)上實(shí)現(xiàn)充分的、節(jié)省成本的安全性的重要工具。合作伙伴必須在其站點(diǎn)上安裝“護(hù)照”管理器來(lái)代理“護(hù)照”登錄、管理 cookie 和轉(zhuǎn)換 wallet 數(shù)據(jù)?！白o(hù)照”是通用的登錄服務(wù)，合作伙伴可以將其集成在自己站點(diǎn)內(nèi)。與 IIS 結(jié)合的“站點(diǎn)服務(wù)器成員”支持身份驗(yàn)證和授權(quán)，包括用戶、組、憑據(jù)、權(quán)限、角色和首選項(xiàng)。本身已提供 LDAP 的“Windows 2000 活動(dòng)目錄”可支持框圍以外的上百萬(wàn)用戶。身份驗(yàn)證苦于行業(yè)標(biāo)準(zhǔn)的整體匱乏。還應(yīng)該對(duì) cookie 中的敏感數(shù)據(jù)加密。客戶（成員）訪問(wèn)控制客戶訪問(wèn)控制包括驗(yàn)證客戶身份的身份驗(yàn)證機(jī)制，以及指定所驗(yàn)證用戶可訪問(wèn)的資源的授權(quán)機(jī)制。為確保嚴(yán)格而安全的身份驗(yàn)證，在 Windows NT 身份驗(yàn)證模式下運(yùn)行 SQL Server 非常重要。 口令只有經(jīng)過(guò)單向算法轉(zhuǎn)換后才能存儲(chǔ)，從不以明碼存儲(chǔ)。不過(guò)，高度敏感的數(shù)據(jù)通常值得額外的保護(hù)。理解了數(shù)據(jù)特征、評(píng)估了相關(guān)風(fēng)險(xiǎn)并確定了保護(hù)控制的成本后，可靠的商業(yè)判斷應(yīng)確定所需的保護(hù)。首先需要對(duì)站點(diǎn)的可用數(shù)據(jù)進(jìn)行分類(lèi)，如程序和 HTML 代碼；客戶信息包括口令或其他身份驗(yàn)證/授權(quán)；廣告；產(chǎn)品目錄和其他內(nèi)容。由于支持站點(diǎn)所需的管理和服務(wù)帳戶很少，所以單域結(jié)構(gòu)適于管理所有 DMZ 服務(wù)器帳戶。對(duì)只有相對(duì)少量帳戶的站點(diǎn)而言，這不過(guò)是個(gè)簡(jiǎn)單的手動(dòng)過(guò)程。許多日志和工具都提供了這一功能，包括 Windows 2000 事件日志、IIS 日志、安全配置和分析以及 sysdiff（NT 資源工具包）。）關(guān)鍵服務(wù)組件，如域控制器、域名服務(wù)、Internet 信息服務(wù)器和 Microsoft SQL Server 都有特殊的附加需求。廠商提供的著名產(chǎn)品如 Internet Security System (ISS — )（英文）和 Network Associates ()（英文）包括廣泛的攻擊情形，以提供對(duì)網(wǎng)絡(luò)和系統(tǒng)弱點(diǎn)的評(píng)估。這些模板可針對(duì)各類(lèi)機(jī)器構(gòu)造，并對(duì)站點(diǎn)內(nèi)所有的計(jì)算機(jī)系統(tǒng)地實(shí)現(xiàn)。所有的過(guò)濾都在底層進(jìn)行，所以諸如 IIS 之類(lèi)的服務(wù)根本看不到信息包。必須嚴(yán)加注意安全和審查的設(shè)置。遺憾的是入侵檢測(cè)技巧的狀態(tài)還沒(méi)有很好開(kāi)發(fā)。 成本 — IDS 的實(shí)現(xiàn)和運(yùn)作的成本很高。IDS 傳感器應(yīng)該安裝在每個(gè)不同的網(wǎng)絡(luò)，甚至在防火墻或邊界路由器之前。由于這些原因，SSL 的使用限制在那些確實(shí)需要這一級(jí)保護(hù)的通信中。在安全會(huì)話的創(chuàng)建和過(guò)程中必須維護(hù)狀態(tài)，這增加了前端負(fù)載平衡系統(tǒng)的會(huì)話相關(guān)性需求。使用 128 位密鑰的較強(qiáng)版本，可在美國(guó)和國(guó)際上指定行業(yè)（如銀行業(yè)和健康衛(wèi)生行業(yè)）自由使用。服務(wù)器身份驗(yàn)證對(duì)客戶端是透明的，因?yàn)槟壳笆褂玫拇蟛糠?Web 瀏覽器可自動(dòng)驗(yàn)證所有主要認(rèn)證權(quán)威機(jī)構(gòu)頒發(fā)的認(rèn)證。HTTPS — 用于加密的 SSL在 Internet 上發(fā)送數(shù)據(jù)如同通過(guò)郵政發(fā)送明信片：沿途的任何人都能截取。也可配置 NIC 過(guò)濾器，以限制只適用于 NIC 的通信。然后，每個(gè)群集可配置為拒絕傳輸服務(wù)所需的類(lèi)型以外的數(shù)據(jù)。通常每臺(tái)計(jì)算機(jī)裝配了兩塊以上網(wǎng)絡(luò)接口卡 (NIC)。穿越內(nèi)部防火墻所需的端口和地址的數(shù)量及種類(lèi)，往往比外部防火墻的還多，尤其是通過(guò) DMZ 后端網(wǎng)絡(luò)來(lái)支持管理功能。認(rèn)真審查并禁止開(kāi)放訪問(wèn)所有的端口，除非有強(qiáng)烈的商業(yè)要求必須如此。這會(huì)導(dǎo)致服務(wù)的崩潰或惡化，會(huì)讓解密高手得以控制組件。這些設(shè)備現(xiàn)在都能支持每秒超過(guò) 150 兆的吞吐量。低風(fēng)險(xiǎn)站點(diǎn)也可能由于成本原因選擇配置安全性路由器。最簡(jiǎn)單的方式是，可從配置了正確的“訪問(wèn)控制列表 (ACL)”的網(wǎng)絡(luò)路由器建立防火墻。敏感的客戶和帳戶信息以及身份驗(yàn)證/授權(quán)數(shù)據(jù)庫(kù)，不應(yīng)放置在 DMZ 中，而應(yīng)放在安全的內(nèi)部網(wǎng)絡(luò)加以保護(hù)。面向 Internet 的防火墻在實(shí)際中廣為使用（盡管常以安全性路由器的形式）。網(wǎng)絡(luò)保護(hù)DMZ 結(jié)構(gòu)示例站點(diǎn)說(shuō)明了防火墻和 DM