【文章內(nèi)容簡介】 t2924也同樣支持快速以太通道和千兆的主干連接，可以在需要的時候平滑地從現(xiàn)在的10M/100M/1000M 的交換結(jié)構(gòu)升級到 100M/1000M/n*1000M 的交換結(jié)構(gòu)，成 10倍地提升網(wǎng)絡(luò)速率。 IDC 基礎(chǔ)系統(tǒng)建設(shè) IDC 在前期建設(shè)中，首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)， IDC 的基礎(chǔ)系統(tǒng)主要有 DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。 DNS建設(shè) 在 Inter 上計算機和網(wǎng)絡(luò)設(shè)備使用 IP 地址來表示的，但 IP 地址很難記憶，所以采用和 IP 地址相對應(yīng)的域名 (Domain)來表示主機和網(wǎng)絡(luò)， DNS(Domain Name Service)即域名服務(wù)就是把主機名字和 IP 地址作相互匹配，供 Inter上用戶以主機域名的方式相互查詢。 DNS 是向用戶提供域名查詢或域名登錄服務(wù)，其與 Inter 中的其它域名服務(wù)器形成全球域名服務(wù)體系。通常 DNS 服務(wù)器采用兩臺或多臺的方式來運行，其中一臺主服務(wù)器（ Primary），其它為次服務(wù)器（ Second） ,當主服務(wù)器不能工作時，有任何一臺次服務(wù)器來接管其工作，這樣保證了 DNS系統(tǒng)運行的可靠性，主次服務(wù)器之 間采用自動信息更新方式。 IDC 的 DNS系統(tǒng)除了要為 IDC 自身服務(wù)之外，還要為其客戶提供相應(yīng)的域名定義、為用戶開設(shè)虛擬域名服務(wù)等。所以在 IDC 的 DNS服務(wù)器上可能要定義和管理上百個或更多域名，由于有如此多的域名，其每天接受的查詢量也是相當龐大的。 為了保證 IDC 的 DNS 域名的可靠性和安全性，我們采用 Split DNS 技術(shù)來設(shè)計 IDC 的 DNS系統(tǒng)，即把 IDC 的 DNS系統(tǒng)劃分為內(nèi)部和外部兩部分，其中外部 DNS 系統(tǒng)位于公共服務(wù)區(qū)，負責 IDC 正常對外解析工作，如 IDC 的 Web 服務(wù)器、 IDC 用戶的 Web 服務(wù)器等解析工作全由外部 DNS 服務(wù)器來完成；內(nèi)部DNS系統(tǒng)主要有兩項工作，一是負責解析 IDC 內(nèi)部網(wǎng)絡(luò)的主機，如目錄服務(wù)器、郵件服務(wù)器等，另一工作是負責當內(nèi)部要查詢 Inter上域名時，其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部 DNS服務(wù)器上，然后由外部 DNS服務(wù)器完成查詢?nèi)蝿?wù)，返回結(jié)果。由于把 DNS 系統(tǒng)分內(nèi)外兩部分， Inter 上用戶只能看到外部 DNS 系統(tǒng)中的服務(wù)器，而看不見內(nèi)部的服務(wù)器，而且只有內(nèi)外 DNS服務(wù)器之間交換 DNS查詢信息，從而保證了系統(tǒng)的安全性。 如下圖說明了 DNS解析流程， 我們采用兩臺 Sun E420R服務(wù)器作為外部 DNS服務(wù)器，兩臺 Sun E420R服務(wù)器作為內(nèi)部 DNS服務(wù)器，所有兩臺服務(wù)器之間以主次方式運行， DNS軟件可采用 Solaris系統(tǒng)中的，也可使用 Inter上公開的 Bind。具體的服務(wù)器配置如下表所示。 安全性建設(shè) 系統(tǒng)安全架構(gòu)的設(shè)計將包括兩個方面：防止 IDC 網(wǎng)絡(luò)外部用戶對 IDC 網(wǎng)絡(luò)系統(tǒng)可能的攻擊，以及防止 IDC 網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間可能的攻擊。這兩個方面所采用的技術(shù)和思路是一致的。 系統(tǒng)安全架構(gòu)將從三個層次來考慮： 網(wǎng)絡(luò)層、主機 /服務(wù)器系統(tǒng)及應(yīng)用層。 網(wǎng)絡(luò)層的安全主要是防范對于整個網(wǎng)絡(luò)的非法訪問，一般通過防火墻來實現(xiàn)。通過配置了多級防火墻，以隔離 IDC 網(wǎng)絡(luò)各個組成部分相互之間的非法訪問（合法訪問可以通過）；對于 Inter 用戶來講，如果想非法侵入 IDC 內(nèi)部網(wǎng)絡(luò)，必須突破防火墻的防范。另外，各級防火墻可采用不同的產(chǎn)品，以提高網(wǎng)絡(luò)整體的安全性。 主機 /服務(wù)器系統(tǒng)的安全是針對個別機器的。除了主機 /服務(wù)器的操作系統(tǒng)自身的安全性之外，目前有多種產(chǎn)品可供選擇，包括 SUN 公司的 Security Manager和 CA公司的 Unicenter TNG等產(chǎn)品。 應(yīng)用層的安全將從三個方面來考慮：增強應(yīng)用服務(wù)器系統(tǒng)的安全；采用身份認證機制，以保證應(yīng)用的可靠性；采用數(shù)據(jù)加密技術(shù)和防病毒軟件，以保證應(yīng)用的安全性。 操作系統(tǒng)的安全性建設(shè)應(yīng)是整個系統(tǒng)安全性建設(shè)的基礎(chǔ)。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級用戶的管理、文件系統(tǒng)安全管理、遠程對系統(tǒng)的訪問等。 用戶管理：對用戶的管理主要有用戶的賬號口令管理，設(shè)置用戶賬號的有效期， 用戶賬號口令的存活期限等。如果需要可以規(guī) 定用戶只能在指定的時間內(nèi)才能登錄系統(tǒng)，并對登錄系統(tǒng)的用戶進行審核（ audit）。 超級用戶的管理：嚴格限制有普通用戶變成超級用戶（如使用 su、 rlogin等命令），如果需要可以使用如 CA Unicenter TNG這樣的軟件來控制系統(tǒng)超級用戶的權(quán)限。 文件系統(tǒng)的安全管理：控制用戶對系統(tǒng)內(nèi)特殊文件的訪問權(quán)限，特別是刪除、移動等權(quán)限，對使用 NFS系統(tǒng)可以采用 kerberos方式認證。 遠程對系統(tǒng)的訪問：封閉系統(tǒng)的 tel、 ftp、r訪問（ rsh、 rlogin、 rcp）等功能；但可以對系統(tǒng)管理員開放相應(yīng)的 tel、 ftp功能，以便利于對系統(tǒng)的管理和維護。 2．防病毒 (AntiVirus) 目前病毒在網(wǎng)絡(luò)和 Inter上傳播主要以電子郵件和 Web瀏覽的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。防病毒可以分為集中防病毒和分散防病毒兩種方法。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件，此軟件先對進出此服務(wù)器的數(shù)據(jù)進行檢查，然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶；分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進出客戶端的數(shù)據(jù)是否有病毒感染。 由于 IDC 主要為客戶服務(wù)，數(shù)據(jù)主要集中在服務(wù)器上，所以在 IDC 系統(tǒng)的防病毒體系中主要采用集中防病毒方法，但同時對一些與服務(wù)器相交戶的內(nèi)部客戶段（如管理客戶段）也采用分散的防病毒方法。集中防病毒主要是對進出的郵件和HTTP流數(shù)據(jù)進行防病毒；分散是保護內(nèi)部網(wǎng)的單個終端用戶。 3．防火墻 (Firewall) 防火墻 (Firewall)是保證網(wǎng)絡(luò)安全的重要手段之一，在建設(shè) IDC 基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時，首先是要考慮防火墻的建設(shè)。在 Inter/Intra上，通過防火墻來在兩個或多個網(wǎng)絡(luò)間加強訪問控制，其目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，隔離風險區(qū)域與安 全區(qū)域的連接，但不妨礙人們對風險區(qū)域的訪問。 防火墻要完成如下主要功能： 通過對 IP 包的檢查，過濾對網(wǎng)絡(luò)安全有潛在威脅的 IP 數(shù)據(jù)包。 屏蔽對于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)，如 Tel、 FTP等。 控制從 Inter 上過來的 IP 數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個區(qū)域的 DNS、 WWW等服務(wù)器。 屏蔽對于某些 Inter站點的訪問。 完成系統(tǒng)內(nèi)部 IP地址到 Inter合法 IP 地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問 Inter，隱藏內(nèi)部網(wǎng)絡(luò)和主機的結(jié)構(gòu)。 訪問日記，即 Access Log。 IDC 不僅要建設(shè)自己的防火墻系統(tǒng)，同時也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng)，即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來保護其應(yīng)用的安全（這可根據(jù)用戶的實際需求再進行建設(shè)）。 4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控 網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來實現(xiàn)。此類防入侵軟件有兩個主要功能，一個掃描網(wǎng)絡(luò)和系統(tǒng)上的安全漏洞，以便在網(wǎng)絡(luò)和系統(tǒng)建立初期，就解決好安全問題，此功能也屬于安全保護范圍；另一個功能是在網(wǎng)絡(luò)和系統(tǒng)運行時，監(jiān) 控數(shù)據(jù)流，及時發(fā)現(xiàn)黑客入侵，從而做到防止黑客的入侵。 在 IDC 系統(tǒng)中，在每個重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個探測器，對每個進出此段網(wǎng)絡(luò)的數(shù)據(jù)流進行檢查探測，當其發(fā)現(xiàn)某一個數(shù)據(jù)流不是正常的數(shù)據(jù)流時，探測器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對策。 同時在每個服務(wù)器上安裝有類似的探測器，所以當黑客入侵服務(wù)器系統(tǒng)時，也是采取上述動作。 數(shù)據(jù)存儲系統(tǒng) 1． IDC 存儲系統(tǒng)綜述 在新的以信息為核心的時代，如何更有效的管理、保護和共享企業(yè)信息已為各行 業(yè)的發(fā)展提出了新的挑戰(zhàn)。尤其在電子商務(wù)、互連網(wǎng)絡(luò)等新興信息行業(yè)領(lǐng)域，更是面臨著前所未有的巨大挑戰(zhàn)。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息分布在內(nèi)部各個服務(wù)器上，信息的管理，信息的可用性受到了很大的限制，不能充分發(fā)揮應(yīng)有的作用，而且系統(tǒng)的升級和新業(yè)務(wù)的開發(fā)部署也都不能及時響應(yīng)Inter 快速變化的要求，在這種情形下，以信息為中心的集中處理模式應(yīng)時代的需要再次走上了歷史舞臺，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的重中之重。 對于 Inter 網(wǎng)站來說，幾分鐘的宕機都會帶來巨大的經(jīng)濟損失以及不可估 量的網(wǎng)絡(luò)用戶的流失，如果宕機的時間再長一些則可能危及整個網(wǎng)站的生命。因此整個 IT系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可用性更是重中之重，服務(wù)器的宕機可以通過多臺服務(wù)器冗余帶來保護，但是如果服務(wù)器上的數(shù)據(jù)沒有有效的保護或成為訪問瓶頸，則可能成為致命的缺陷。 另外，分布式的環(huán)境給信息系統(tǒng)管理帶來了巨大的障礙。數(shù)據(jù)分布在眾多的平臺和服務(wù)器之上，備份和管理的工作變的