【正文】 的負(fù)荷，從而提高整體性能和響應(yīng)時(shí)間。它是一個(gè)高度可用系統(tǒng)：緊急服務(wù)可拯救大部分故障模式，減輕重大災(zāi)難。 前端組件，如防火墻。本節(jié)的其他內(nèi)容將提供示例站點(diǎn)的教程，從 Internet 開始經(jīng) DMZ 直到安全網(wǎng)絡(luò)，包括企業(yè)網(wǎng)和管理網(wǎng)絡(luò)。與路由器/防火墻的交叉連接為在 ISP 連接失效時(shí)，或路徑上任何組件失效時(shí)，提供了另一條路徑。 前端網(wǎng)絡(luò) — Internet 訪問。這些服務(wù)器使用了 Windows 2000 上的“Microsoft 群集服務(wù)”，實(shí)現(xiàn)了帶故障轉(zhuǎn)移能力的高度可用性。有多種可能的處理方法，然后在安全性數(shù)據(jù)存儲(chǔ)與內(nèi)部系統(tǒng)之間傳輸事務(wù)性數(shù)據(jù)。企業(yè)網(wǎng)連通性示為 VPN/路由器的、將站點(diǎn)與企業(yè)網(wǎng)相連的設(shè)備實(shí)際上是個(gè)路由器，如果需要，它可以和 VPN 安全性功能結(jié)合，來簽署和加密通信。這并不表示不需要它們。當(dāng)然，在它們之間還有許多變種。除增加 IIS Web 服務(wù)器的數(shù)量外，優(yōu)化 Web 服務(wù)器執(zhí)行的 Web 應(yīng)用程序代碼也很重要（這超出了本文檔的范圍）。將 RRDNS 與 NLBS 組合可產(chǎn)生更好的擴(kuò)展和可用的配置。基于這一點(diǎn)，通過對(duì)其服務(wù)的數(shù)據(jù)或提供的邏輯服務(wù)進(jìn)行分區(qū)，來擴(kuò)展后端系統(tǒng)，是十分必要的。最大系統(tǒng)容量 — 系統(tǒng)設(shè)計(jì)能否隨著業(yè)務(wù)增長(zhǎng)而平穩(wěn)迅速增長(zhǎng) — 通常是任何站點(diǎn)最為關(guān)注的。批量處理請(qǐng)求也是分?jǐn)偨o內(nèi)部網(wǎng)絡(luò)發(fā)送消息的成本的另一個(gè)成功技術(shù)。圖 12. 使用完全冗余的大型站點(diǎn)在使用完全冗余的大型站點(diǎn)中，不僅有多個(gè) Web 群集，而且每個(gè)服務(wù)器都配置為使用“Microsoft 群集服務(wù)”的故障轉(zhuǎn)移群集。最后，如在“管理與運(yùn)作”一節(jié)中所述，單獨(dú)的管理網(wǎng)絡(luò)和帶外網(wǎng)絡(luò)，對(duì)于各種網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)故障情況下的管理性能和恢復(fù)功能很重要。安全域概念，如“體系結(jié)構(gòu)概述”中所述，對(duì)于保證策略一致性和最經(jīng)濟(jì)的安全性控制應(yīng)用程序是無價(jià)的。在本節(jié)的其余部分，我們將討論多種保護(hù)機(jī)制，包括網(wǎng)絡(luò)和平臺(tái)保護(hù)。性能方面的考慮也許增強(qiáng)了將敏感數(shù)據(jù)復(fù)制到 DMZ 的需要。遺憾的是，這種本事比想象的更為普遍。對(duì)用戶來講知道與正確的站點(diǎn)而不是別人偽裝的站點(diǎn)進(jìn)行通信很明顯是重要的。這些傳感器與管理控制臺(tái)通信，將在本文后面的“管理與運(yùn)作”一節(jié)講述。.TCP/IP 協(xié)議堆棧應(yīng)該在可行的地方使用過濾器。可在 （英文） 找到一個(gè)配置 Windows NT / IIS Server 的出色而完整的安全校驗(yàn)表。應(yīng)逐個(gè)類型理解未授權(quán)訪問（機(jī)密性/秘密性）和未授權(quán)破壞或修改（完整性）的影響。已有的第三方方法還是專用的?！白o(hù)照”使用廣泛應(yīng)用瀏覽器 cookie 的 Kerberos 樣式的身份驗(yàn)證。為了減少上外地工作的出差成本，管理網(wǎng)絡(luò)必須提供遠(yuǎn)程部署、供給、監(jiān)控和為地域上十分分散的站點(diǎn)排除故障的能力。 消除單個(gè)故障點(diǎn)。 管理服務(wù)器管理服務(wù)器是管理系統(tǒng)的主力。 提供配置和調(diào)整被管理節(jié)點(diǎn)資源的工具。單個(gè)中央管理實(shí)體控制著全部管理系統(tǒng)，這就是集中管理系統(tǒng)的特征。 管理系統(tǒng)示例我們的示例站點(diǎn)使用在單獨(dú) LAN 上實(shí)現(xiàn)的分布式管理系統(tǒng)。分布管理服務(wù)器并將它們分區(qū)、使它們只管理有限數(shù)量的節(jié)點(diǎn)，將允許人們：沒有必要用單獨(dú)的計(jì)算機(jī)存儲(chǔ)管理數(shù)據(jù)。它們通常安裝了許多應(yīng)用程序：“系統(tǒng)管理服務(wù)器管理員控制臺(tái)”、“終端服務(wù) (TS) 客戶機(jī)”、Telnet、Internet Explorer 和 SNMP MIB 瀏覽器。要擴(kuò)展這樣的管理系統(tǒng)，開發(fā)人員必須將其分布開來。為了接受管理，每個(gè)設(shè)備 — 不論是 Windows NT 服務(wù)器還是簡(jiǎn)單的網(wǎng)絡(luò)集線器 — 都必須有一個(gè)管理代理。使用后端網(wǎng)絡(luò)的管理（有時(shí)稱為帶內(nèi)管理）成本較低并易于運(yùn)作。良好的部署工具可使 Web 站點(diǎn)平穩(wěn)加速地成長(zhǎng)。對(duì)客戶的便利在于：通過 Microsoft 的伙伴 Wallet 服務(wù)，簡(jiǎn)化了對(duì)合作伙伴的站點(diǎn)的登錄訪問，并能進(jìn)行安全的、單擊方式的購(gòu)物。）匿名注冊(cè)常用于跟蹤廣告和客戶的個(gè)人化。 數(shù)據(jù)庫(kù)通常主要包含低敏感的數(shù)據(jù)，但有一些數(shù)據(jù)必須加以保護(hù)，如信用卡號(hào)。支持到安全網(wǎng)絡(luò)和內(nèi)部服務(wù)器及其數(shù)據(jù)庫(kù)的身份驗(yàn)證，可能需要與內(nèi)部域的單向信任關(guān)系。為了得知解密高手的最新本事和緊跟安全防衛(wèi)潮流所需的補(bǔ)丁程序，留心各方面的安全警示，如來自 CERT ()（英文）的，是必要的。平臺(tái)保護(hù)加固組件加固是保護(hù)單獨(dú)服務(wù)器操作系統(tǒng)的另一個(gè)重要方式。入侵檢測(cè)入侵檢測(cè)系統(tǒng) (IDS)，如 Cisco 的 NetRanger 或 ISS 的 RealSecure，提供對(duì)網(wǎng)絡(luò)通信的實(shí)時(shí)監(jiān)控。因此，標(biāo)準(zhǔn)的安全通信通道對(duì)于通過公共網(wǎng)絡(luò)傳遞敏感客戶信息的 Web 站點(diǎn)和其他應(yīng)用程序非常重要。示例站點(diǎn)一節(jié)說明了網(wǎng)絡(luò)分段并進(jìn)行了一定的討論。不過防火墻不是萬(wàn)能的。允許與公司或其他安全網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)連接的所有 Web 站點(diǎn)，還應(yīng)該使用內(nèi)部防火墻，將 DMZ 與內(nèi)部網(wǎng)絡(luò)隔離。在可行的場(chǎng)合盡可能實(shí)現(xiàn)基于策略的安全管理和配置自動(dòng)化。如果失敗，“Microsoft 群集服務(wù)”將轉(zhuǎn)移應(yīng)用程序資源，然后在另一臺(tái)服務(wù)器上重新啟動(dòng)。這樣就消除了因斷線引起的站點(diǎn)故障 — 這種情況并不罕見。第一幅在前端系統(tǒng)和后端系統(tǒng)中具有某種高度的可用性。為了支持傳統(tǒng)的交付通道，應(yīng)用程序系統(tǒng)和數(shù)據(jù)庫(kù)都要在內(nèi)部網(wǎng)絡(luò)上實(shí)現(xiàn)。我們將在下面有關(guān)擴(kuò)展業(yè)務(wù)復(fù)雜性的章節(jié)里詳細(xì)討論它。使用“Secure Sockets Layer (SSL)”發(fā)送加密數(shù)據(jù)并驗(yàn)證服務(wù)器身份，就是一個(gè)主要示例?；诜?wù)器的負(fù)荷平衡將一組服務(wù)器組成 NLBS 群集，然后令群集中的每個(gè)服務(wù)器根據(jù)源的 IP 地址決定是否處理該請(qǐng)求，來完成負(fù)荷平衡。在后端，文件服務(wù)器和 SQL Server 群集的數(shù)量有所增加，因此，邏輯需要包括在前端 Web 服務(wù)器中，才能將數(shù)據(jù)請(qǐng)求路由到正確的后端數(shù)據(jù)分區(qū)。隨著獨(dú)特客戶數(shù)量的增加，配置用于支持增加的客戶庫(kù)的系統(tǒng)數(shù)量也將增加。相反，它們瓦解后端網(wǎng)絡(luò)上的管理通信。同樣又是通過分區(qū)數(shù)據(jù)庫(kù)和添加群集，來實(shí)現(xiàn)可伸縮性。安全網(wǎng)絡(luò)又由一個(gè)專用網(wǎng)絡(luò)（本例中為 ）、一對(duì)耦合的交換機(jī)、各種服務(wù)器和標(biāo)記為 VPN/路由器的設(shè)備組成，這個(gè)標(biāo)記為 VPN/路由器的設(shè)備提供了與內(nèi)部企業(yè)網(wǎng)的連接。所有后端交換機(jī)共享公共網(wǎng)絡(luò)，因此后端通信量負(fù)荷將成為主動(dòng)站點(diǎn)的問題，特別是單獨(dú)的管理網(wǎng)絡(luò)不能進(jìn)行記錄并且其他前端管理網(wǎng)絡(luò)還在通信。前端服務(wù)器則訪問位于后端群集文件共享服務(wù)器和后端群集 SQL 服務(wù)器上的站點(diǎn)內(nèi)容。它們形成了由雙向箭頭描述的 DMZ（非軍事區(qū)）邊界。 Web 群集數(shù)量。示例站點(diǎn)簡(jiǎn)介本示例站點(diǎn)力求通用，以說明核心結(jié)構(gòu)組件和基礎(chǔ)結(jié)構(gòu)。 保護(hù)站點(diǎn)的安全性很復(fù)雜，但防火墻/DMZ 是關(guān)鍵結(jié)構(gòu)組件（實(shí)際上是網(wǎng)段中的子網(wǎng)）。例如數(shù)據(jù)庫(kù)中的信用卡號(hào)碼可能需要附加保護(hù)。被動(dòng)站點(diǎn)可能只是由租用服務(wù)器和遠(yuǎn)程的、位于備份磁帶所在地的連接組成，這些連接可在需要時(shí)應(yīng)用于上述服務(wù)器。通常，該應(yīng)用程序邏輯是由 Web 服務(wù)器運(yùn)行的。表 1. 數(shù)據(jù)存儲(chǔ)的不同類型文件系統(tǒng)數(shù)據(jù)庫(kù)其他應(yīng)用程序示例文件共享SQLAd insertion、SAP、Siebel數(shù)據(jù)HTML、圖像、可執(zhí)行文件、腳本、COM 對(duì)象類別、用戶信息、日志、帳單信息、價(jià)格表庫(kù)存目錄/庫(kù)存、標(biāo)語(yǔ)廣告、帳目信息使后端系統(tǒng)擴(kuò)展和具有高度可用性更具挑戰(zhàn)性，主要因?yàn)樗鼈儽仨毦S護(hù)數(shù)據(jù)和狀態(tài)。無狀態(tài)負(fù)荷平衡負(fù)荷平衡層向用戶提供一個(gè)服務(wù)名稱并將客戶機(jī)負(fù)荷分配給多個(gè) Web 服務(wù)器。防火墻和網(wǎng)段分區(qū)為安全原理的關(guān)鍵。故障轉(zhuǎn)移群集假定應(yīng)用程序能夠在可以訪問故障系統(tǒng)的磁盤子系統(tǒng)的其他計(jì)算機(jī)上繼續(xù)運(yùn)行。負(fù)荷平衡系統(tǒng)用于將工作分配到每一層的系統(tǒng)中。其余章節(jié)討論了站點(diǎn)的四個(gè)關(guān)鍵屬性 — “可伸縮性”、“可用性”、“安全性”和“可管理性” — 并使用示例站點(diǎn)來說明這些問題。使用 Microsoft Windows DNA 平臺(tái)構(gòu)建 Web 站點(diǎn)的藍(lán)圖草圖，.9 版Microsoft Corporation2000 年 1 月目錄執(zhí)行摘要 2體系結(jié)構(gòu)概述 2簡(jiǎn)介 2體系結(jié)構(gòu)目標(biāo) 2體系結(jié)構(gòu)元素 3示例站點(diǎn) 7簡(jiǎn)介 7Internet 9DMZ 9安全網(wǎng)絡(luò) 10摘要 11可伸縮性 12簡(jiǎn)介 12擴(kuò)展客戶和內(nèi)容 12擴(kuò)展業(yè)務(wù)復(fù)雜性 15可用性 18簡(jiǎn)介 18前端系統(tǒng)的可用性 19網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的可用性 19后端系統(tǒng)的可用性 20安全性 20簡(jiǎn)介 20網(wǎng)絡(luò)保護(hù) 21平臺(tái)保護(hù) 23客戶（成員）訪問控制 24要點(diǎn) 25管理與運(yùn)作 25簡(jiǎn)介 25管理基礎(chǔ)結(jié)構(gòu) 26管理系統(tǒng)需求 29摘要 32執(zhí)行摘要商務(wù)正迅速發(fā)展為標(biāo)準(zhǔn)的、基于 Web 的計(jì)算模型，其特征為重復(fù)且針對(duì)任務(wù)的系統(tǒng)的松散連接層。對(duì)相關(guān)文檔的引用貫穿整個(gè)文檔。前端系統(tǒng)通常不保留長(zhǎng)期狀態(tài)。分割故障轉(zhuǎn)移發(fā)生在支持分區(qū)請(qǐng)求的主節(jié)點(diǎn)故障時(shí)，此時(shí)分區(qū)請(qǐng)求自動(dòng)切換到二級(jí)節(jié)點(diǎn)?？蛻魴C(jī)在這種站點(diǎn)體系結(jié)構(gòu)中，客戶機(jī)向某服務(wù)名稱發(fā)送請(qǐng)求，該服務(wù)名稱代表提供給客戶機(jī)的應(yīng)用程序。這將為服務(wù)器集提供可用性、可伸縮性和某種程度的可管理性。一旦單一系統(tǒng)的可伸縮性已經(jīng)達(dá)到，就必須分區(qū)數(shù)據(jù)并使用多臺(tái)服務(wù)器。其編制目的是確定相關(guān)數(shù)據(jù)的位置，并且根據(jù)客戶機(jī)請(qǐng)求的內(nèi)容、客戶機(jī) ID 或客戶機(jī)提供的 cookie 將請(qǐng)求路由到數(shù)據(jù)分區(qū)所在的相應(yīng)服務(wù)器。像這種最小限度的規(guī)劃應(yīng)該為任何商務(wù)考慮之列。附加的安全性控制，如卡號(hào)的加密，可提供這種保護(hù)。對(duì)于保證期望的站點(diǎn)保護(hù)級(jí)別，它是必要但絕不充分的安全性機(jī)制。但是，它是我們?cè)懻撨^的許多運(yùn)行站點(diǎn)的關(guān)鍵結(jié)構(gòu)特性的代表。 群集核心專用網(wǎng)絡(luò)（細(xì) — 每個(gè)群集本地專用）。防火墻路徑中的第一個(gè)組件就是路由器/防火墻，它們的功能是截然不同的或組合在一個(gè)設(shè)備中。提供 Web 服務(wù)所需的所有 COM 對(duì)象，包括從 ASP 頁(yè)調(diào)用的對(duì)象，均安裝并注冊(cè)在每個(gè)前端服務(wù)器上。后端網(wǎng)絡(luò)的主要組件為加強(qiáng)了安全性的服務(wù)器群集，它們提供對(duì) Web 內(nèi)容和臨時(shí)永久狀態(tài)，如會(huì)話內(nèi)事務(wù)性數(shù)據(jù)（例如購(gòu)物推車內(nèi)容），的存儲(chǔ)服務(wù)。安全網(wǎng)絡(luò)在邏輯上為企業(yè)網(wǎng)的一部分。升級(jí)服務(wù)器升級(jí)服務(wù)器出現(xiàn)在安全網(wǎng)絡(luò)部分，盡管它們可能位于企業(yè)網(wǎng)或甚至位于 DMZ 中。為安全性、網(wǎng)絡(luò)負(fù)荷和管理起見，我們不建議這樣做。典型情況下，支持客戶庫(kù)所需的站點(diǎn)上的內(nèi)容也必須增加。我們下一步再說明這兩種技術(shù)。如果群集中的一個(gè)服務(wù)器故障，則群集中的其他成員重新分組并調(diào)整源 IP 地址范圍的分區(qū)。大部分 IP 負(fù)荷平衡產(chǎn)品支持允許應(yīng)用程序或協(xié)議維持與同一服務(wù)器的連接機(jī)制，以便它們正常工作，盡管沒有故障透明性擴(kuò)展后端系統(tǒng)增加多處理器系統(tǒng)的內(nèi)存和處理器可擴(kuò)展后端系統(tǒng)。擴(kuò)展網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)隨著站點(diǎn)通信量（包括從 Internet 和 DMZ 內(nèi)的內(nèi)部通信，到企業(yè)網(wǎng)絡(luò)的）的增加，網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)也必須改進(jìn)。標(biāo)記為“其他交付通道”的設(shè)備代表傳統(tǒng)的表達(dá)設(shè)備，如客戶工作站、交互式語(yǔ)音應(yīng)答單元 (IVRU) 或?qū)Ｓ幂斎朐O(shè)備，如銷售點(diǎn)終端或 ATM。而第二幅具有所有組件和網(wǎng)絡(luò)鏈路的冗余。為獲得最大的可用性，還應(yīng)考慮使用不同的電源和余富的不間斷電源。安全性簡(jiǎn)介安全性即通過充分保護(hù)信息的機(jī)密性、秘密性、完整性和可用性來管理風(fēng)險(xiǎn)。由于本文的重點(diǎn)是關(guān)于安全的體系結(jié)構(gòu)和技術(shù)，因此我們不會(huì)進(jìn)一步講述這個(gè)問題。 對(duì)于保護(hù)站點(diǎn) DMZ 是必要的，但在自身內(nèi)部并不是足夠的。由于它們一般都在網(wǎng)絡(luò)層發(fā)揮功能，因此不能防止較高協(xié)議層的攻擊。關(guān)鍵原則是：Secure Sockets Layer (SSL) 與 HTTPS 協(xié)議和服務(wù)器認(rèn)證相結(jié)合，提供所需的加密功能以及 Web 服務(wù)器身份驗(yàn)證。IDS 能檢測(cè)廣泛的敵對(duì)攻擊簽名（模式），能產(chǎn)生報(bào)警警告操作人員，并在某些情況下使路由器停止與敵對(duì)源的通信。所有的 DMZ 及其與之通信的內(nèi)部系統(tǒng)都需要加固。Microsoft 為其產(chǎn)品提供電子郵件安全公告。Windows 2000 通過企業(yè)的活動(dòng)目錄提供靈活站點(diǎn)帳戶集成，同時(shí)支持站點(diǎn)的高度安全需要。如果此類數(shù)據(jù)在 DMZ 內(nèi)，應(yīng)在數(shù)據(jù)庫(kù)中加密并在需要使用時(shí)解密。對(duì)于用戶的網(wǎng)站應(yīng)用程序，使用最廣泛的身份驗(yàn)證機(jī)制是基于窗體的登錄，它將用戶 ID 和口令組合在加密的 SSL 會(huì)話中。由于身份驗(yàn)證功能下放給了“護(hù)照”，因此減輕了合作伙伴站點(diǎn)上開發(fā)和支持這種功能的負(fù)擔(dān)。良好的監(jiān)控和疑難解答工具可使操作人員在業(yè)務(wù)受到影響之前，迅速解決組件和服務(wù)出現(xiàn)的問題。 分布管理網(wǎng)絡(luò)組件來：但是由于下面的原因，這種方式可能不適合管理全天候服務(wù)： 提供對(duì)用戶發(fā)布的命令的響應(yīng)。管理代理主要執(zhí)行以下功能：接著，我們要介紹分布式管理系統(tǒng)所需的步驟。 添加更多的控制臺(tái)，允許訪問更多的管理員和技術(shù)員。這些工具全都提供遠(yuǎn)程管理功能，因此能被旅行中的技術(shù)人員用于漫游的環(huán)境中。但是，最大的商務(wù)站點(diǎn)每天要記錄數(shù)以千兆計(jì)的數(shù)據(jù)（為了日后的數(shù)據(jù)采集。例如，本地的管理服務(wù)器可以運(yùn)行在歐洲和北美的每個(gè)辦公室中，管理著本地的事件和網(wǎng)絡(luò)。 在服務(wù)器之間，按地域或管理功能劃分工作量。集中管理系統(tǒng)管理系統(tǒng)既可以集中也可以分布。但有時(shí)因?yàn)榭捎眯?、可伸縮性和被管理的網(wǎng)絡(luò)遠(yuǎn)離操作中心等原因，希望或需要解除這兩層之間的耦合。與管理相關(guān)的通知，如 SNMP 陷阱，可能會(huì)布滿網(wǎng)絡(luò)，產(chǎn)生并/或擴(kuò)大性能瓶頸的影響。許多大型站點(diǎn)在地理上與操作人員相隔甚遠(yuǎn)，而且常駐在接近高容量 Internet 帶寬的被管理的數(shù)據(jù)中心之中。合作伙伴必須在其站點(diǎn)上安裝“護(hù)照”管理器來代理“護(hù)照”登錄、管理 cookie 和轉(zhuǎn)換 wallet 數(shù)據(jù)。身份驗(yàn)證苦于行業(yè)標(biāo)準(zhǔn)的整體匱乏。 口令只有經(jīng)過單向算法轉(zhuǎn)換后才能存儲(chǔ)，從不以明碼存儲(chǔ)。首先需要對(duì)站點(diǎn)的可用數(shù)據(jù)進(jìn)行分類，如程序和 HTML 代碼；客戶信息包括口令或其他身份驗(yàn)證/授權(quán)；廣告；產(chǎn)品目錄和其他內(nèi)容。）關(guān)鍵服務(wù)組件，如域控制器、域名服務(wù)、Internet 信息服務(wù)器和 Microsoft SQL Server 都有特殊的附加需求。必須嚴(yán)加注意安全和審查的設(shè)置。IDS 傳感器應(yīng)該安裝在每個(gè)不同的網(wǎng)絡(luò)，甚至在防火墻或邊界路由器