【文章內容簡介】 共享對于部門工作很重要, 因此,在設計PowerEdge4300時加入了正常運行時間、易維護性和可管理性等功能。 了解了數據的重要性。PowerEdge4300采用標準ECC(檢錯與 糾錯)內存和多種RAID(廉價磁盤冗余 陣列)選項保護數據。此系統(tǒng)可根據網絡需要進行擴展,容納高達lGB 的RAM和多達2個Intel Pentium II 處理器。它甚至可升級為一個具有巨大處理器功能的基于四處理器Pentium II Xeon處理器系統(tǒng)。機箱的設計體現(xiàn)了快捷、無需工具的升級和維護,以及機架便捷安裝的特色。一個工業(yè)標準42U 機架可安裝6個PowerEdge4300系統(tǒng)。 PowerEdge4300服務器裝有工業(yè)標準系統(tǒng)管理軟件,便于監(jiān)控和管理。 與工作的需求共同擴展 僅提供具有長正常運行時間和高水平數據可用性的強大、經濟有效且具業(yè)界標準的系統(tǒng)還不夠。服務器必須與用戶的需求一起成長。隨著需要的增加,可方便地在PowerEdge4300中增加處理能力、RAM、外設和硬盤容量。6個I/0槽給附加的NICs、磁盤控制器或其它外部設備帶來大量的空間?？稍黾拥?個Intel Pentium II處理器和高達1GB的RAM達到最高性能以滿足工作發(fā)展的需要。2個集成式SCSI控制器和2個多用途媒體托架給 PowerEdge4300一系列儲存選擇。在可拆裝媒體托架內的硬盤內裝入操作系統(tǒng),和從RAID配置中 的6個熱插拔硬盤運行數據庫。通過提供多個硬盤和 硬驅控制器增加操作系統(tǒng)和應用軟件的運行可靠性。還提供巨大的內部存儲容量一一高達126GB?？墒褂秒p重驅動器以清除單點故障,保證操作系統(tǒng)或應用軟件的正常運行。還可利用多種Dell外部存儲設備以及DDS—3，DLT和Auto Loader磁帶備份設備。而這只是PowerEdge4300系統(tǒng)升級的開始。它使用與4處理器PowerEdge6300系統(tǒng)相同的機箱。由于系統(tǒng)板設計成容易滑出,這使得其可天衣無縫地升級為4個 Intel Pentium II Xeon處理器系統(tǒng)。這些處理器是特別為工作站和高端服務器設計的。它們提供更大容量的內部高速緩存,使多處理器應用的總體性能更佳。 保護數據,提高生產率 PowerEdge4300能夠持續(xù)不斷地運轉并保護用戶數據。它提供RAID配置的多種選項,實際上熱插拔或冗余熱插拔元件是每個主要子系統(tǒng)的特色。假如主要元件發(fā)生故障,備用元件立即投入使用,采用冗余元件因而可以清除單點故障。熱插拔元件可迅速被在線更換而不會中斷您的系統(tǒng)運行。 PowerEdge4300服務器的特點是采用冗余熱插拔風扇、電源和熱插拔硬盤。采用RAID選項后,一個硬盤故障并不意味著數據丟失。RAID選項確保任何一 個硬盤的數據都可從其他硬盤中得到。PowerEdge4300支持。級、l級、5級、10級和 50級RAID,并提供2個RAID選項:PERC2和 PERC2/SC。單通道32位PERC2SCUltra一 2/LVD系統(tǒng)提供一個快速、經濟有效的RAID解決方案。 完善的系統(tǒng)管理,更長的正常運行時間管理軟件通過顯示網絡和元件運行的報知信息來幫助減少停機時間。每臺Dell PowerEdge服務器均裝有適用于Windows NT的HP OpenView Network Node Manager Special Edition管理 軟件。這種業(yè)界標準軟件能在一個混合網絡環(huán)境中管理多達250個網絡設備。圖形接口使您的系 統(tǒng)管理員能夠監(jiān)視和評價網絡運行的報警信息, 幫助防止停機、預知增長或其它變化。集成式熱、電壓和風扇監(jiān)視系統(tǒng)都是PowerEdge 4300服務器的標準配置。這些系統(tǒng)傳送信息給 HP OpenView Network Node Manager Special Editio口使服務器本身得到嚴密的監(jiān)視。在網絡管 理員不在的遠程地點,自動服務器恢復功能很有 用,如果操作系統(tǒng)中止運行,則該恢復功能可使 服務器自動啟動。 對于遠程及故障系統(tǒng)管理,PowerEdge4300系 統(tǒng)支持可選Dell Remote Assistant Card (DRAC2)。借助該軟件,即使是另一地點的服務 器發(fā)生故障,網管員也能對該服務器進行控制。 通過集成PCMCIA調制解調器和以太網適配器進 行遠程管理。假如服務器發(fā)生故障,內置電池可 提供電源。 Dell系統(tǒng)管理和遠程能力是Dell OpenManage 策略的一部分,是工具、技術和聯(lián)盟的結合,目的是提高經濟有效的系統(tǒng)管理水平。Dell OpenManage服務器輔助C DROM是每個 PowerEdge系統(tǒng)的標準配置。除了裝有所有的系統(tǒng)實用程序、驅動程序和診斷程序之外,服務器還裝有一套完整的電子版系統(tǒng)文檔。 快速升級,無需工具 精心設計的PowerEdge4300服務器機箱無需任何工具即可更方便、更快速地對系統(tǒng)進行維護和升級,從而減少停機時間。在一個鎖定擋板后面即可接近所有驅動器。擰動一個指旋螺釘即可移去蓋子。無需工具就可以方便地 安裝或卸下I/O卡。輕按控制桿系統(tǒng)板即滑出,使升級或 維護易如反掌。PowerEdge4300系統(tǒng)機箱的總體設計與 Power Edge6300相同,采用與所有新一代Dell PowerEdge服務器相同的、方便的鎖扣一一啟動式驅動 器托架。 使用簡單工具即可方便地把PowerEdge4300機箱從塔式 改變?yōu)闄C架式。服務器僅占7U的機架空間,允許在一個 工業(yè)標準42U機架外殼內安裝6個系統(tǒng)。Dell具有的按單制造能力和PowerEdge Rack Program,使PowerEdge 4300可按照您的規(guī)格預先配置,且與您選擇的Dell RAID 和存儲系統(tǒng)一起方便地安裝在Dell的業(yè)界標準機架中。 高端性能,負載平衡PowerEdge4300采用Intel443BX芯片以提高I/0速度和減少數據存取時間。該芯片提供100MHz的總線速度, 而前一代Pentium II處理器芯片組提供66MHz的總線速度。需要更多處理器能力的應用方面,比如數據庫應用, 采用更快的總線速度就顯得特別重要。 l個集成式高速Ultra2/LVD SCSI控制器和1個附加集成式Ultra/Narrow SCSI一3控制器提供重要的負載平衡能力。更快速的Ultra2/LVD SCSI控制器提供80MB/s 的最大數據傳輸速率是Ultra/Wide SCSI3速度的 2倍。它很適合新一代高速硬盤。同時,其它外設如CD ROM驅動器可安裝在Ultra/Narrow SCSI一3控制器上, 以避免它們對快速Ultra2/LVD控制器的影響。PowerEdge4300還 具有可擴展I/O子 系統(tǒng)。4個PCI插槽 和2個共享P C I/ ISA槽,提供類似于 2個硬盤控制器能力的負載分擔能力。 系統(tǒng)平臺當前主流的應用平臺主要是SUN（Solaris），PC（NT）或PC（Linux）的結構：l SUN（Solaris）是一種比較安全和穩(wěn)健的網絡服務器結構，但價格較為昂貴，對管理人員的技術要求比較高。l PC（NT）：NT是在PC上發(fā)展起來的32位操作系統(tǒng)?；贑lient/Server體系結構的多線程的操作系統(tǒng)，支持虛擬內存。管理簡單方便，價格適中，具有C2級安全性。系統(tǒng)開銷合理，運行效率較高。l PC（Linux）：價格最為便宜，但安全性沒有經過認證，另外無生產廠家提供可靠的技術支持，出現(xiàn)問題時沒有保障。 從近期的發(fā)展方向來看，Microsoft公司正在提供源源不斷的產品支持保證一個Intranet方案，在這個方案中，從操作系統(tǒng)層次就具備支持Internet/Intranet的基本特性，以Microsoft BackOffice產品族表現(xiàn)了極強的整合能力。Microsoft的解決方案更具有靈活性、系列性和可持續(xù)性，各種組件之間的聯(lián)系非常緊密，效率也自然提高。因此選擇Microsoft的從操作系統(tǒng)開始的Intranet解決方案具備可比的優(yōu)勢。在xx市委市政府辦公網的方案中，我們將主要采用Microsoft公司在PC（NT）上的解決方案，在一些涉及應用安全性和伸縮性敏感的部件上，可以選擇更有效的產品作為Microsoft產品的替代。6. 技術重點與難點6．1 配置的幾點考慮、子網劃分與地址規(guī)劃在一個平面網絡中存在大量廣播信息，將一個大的網絡劃分為小的子網，是為了縮小廣播域，防止廣播風暴，將廣播信息限制在必須廣播的范圍內，而過濾掉不必要的廣播信息。子網劃分的工作一般由路由器來完成。子網之間的通信也需要路由尋址。、虛擬局域網的劃分局域網設備工作在OSI七層模型的第二層，傳統(tǒng)的局域網設備連接的網絡是單個廣播域。局域網交換機雖然能根據MAC地址進行數據包的交換，但它會將任何廣播信息廣播到全部網絡。新的局域網交換機可以將網絡劃分為多個廣播域，即VLAN。但它不能在兩個VLAN 之間傳送信息。VLAN之間的通信仍然需要路由尋址，也就是仍然需要路由器。有時也將路由尋址的功能做到交換機內，即所謂三層交換。、增強IP組播(IP Multicast)能力組播也稱多點播放，是一種有選擇的將信息播送到需要它的其它節(jié)點的點對多點的通信方式。與另一種點到多點的廣播方式相比，采用組播技術可以節(jié)約寶貴的網絡資源，大大降低廣播風暴。各級網絡設備必須具備對IP組播的支持，我們?yōu)楦骷壨扑]的交換機設備均具備這一能力。7安全性安全是在網絡建設中需要認真分析、綜合考慮的關鍵問題。下面我們將從5個方面來討論保障網絡安全的若干措施。 網絡設計在內部網絡設計中主要考慮的是網絡的可靠性和性能，而如何確保網絡安全也是一個不容忽視的問題。采用網段分離技術，把網絡上相互間沒有直接關系的系統(tǒng)分布在不同的網段，由于各網段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機會。以前，網段分離是物理概念，組網單位要為各網段單獨購置集線器等網絡設備?，F(xiàn)在有了虛擬網技術，網段分離成為邏輯概念，網絡管理員可以在網絡控制臺上對網段做任意劃分。另外，在安全方面有一個最基本的原則：系統(tǒng)的安全性與它被暴露的程度成反比。因此，建議將對外信息發(fā)布的服務器與內部應用服務器隔離，由于將數據庫和內部應用系統(tǒng)封閉在系統(tǒng)內部，增加了系統(tǒng)的安全性。另外，由xx大學網絡與信息工程中心開發(fā)成功的網絡安全與審計系統(tǒng)，經過大量的應用與實踐效果良好，目前我們xx大學網絡與信息工程中心國家安全部與公安部正在全國范圍內聯(lián)合推廣。 應用軟件在網上運行的網絡軟件需要通過網絡收發(fā)數據，要確保安全就必須采用一些安全保障方式。 用戶口令加密存儲和傳輸：目前，絕大多數應用仍采用口令來確保安全，口令需要通過網絡傳輸，并且作為數據存儲在計算機硬盤中。如果用戶口令仍以原碼的形式存儲和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進行非法操作，絕大多數的安全防范措施將會失效。 分設操作員分設操作員的方式在許多單機系統(tǒng)中早已使用。在網絡系統(tǒng)中，應增加管理員、一般使用員等多種操作員類型，以便對用戶的網絡行為進行限制。 日志記錄和分析完整的日志不僅要包括用戶的各項操作，而且還要包括網絡中數據接收的正確性、有效性及合法性的檢查結果，為日后網絡安全分析提供依據。對日志的分析還可用于預防入侵，提高網絡安全。例如，如果分析結果表明某用戶某日失敗注冊次數高達20次，就可能是入侵者正在嘗試該用戶的口令。 網絡配置網段分離等安全措施要想起作用，還需要由網絡配置來具體實施和保證，如用于實現(xiàn)網段分離的虛網配置。為進一步保證系統(tǒng)安全，還要在網絡配置中對防火墻和路由等方面做特殊考慮。為了避免入侵者侵入內部資源，應仔細進行路由配置。路由技術雖然能阻止對內部網段的訪問，但不能約束外界公開網段的訪問。為了確保信息發(fā)布服務器的安全運轉，避免讓入侵者借助公開網段對內部網構成威脅，我們有必要使用防火墻技術對此進行限定。BAY、CISCO等公司的路由器通常都具有過濾型防火墻功能。這一功能通俗地說就是由路由器過濾掉非正常IP包，把大量的非法訪問隔離在路由器之外。過濾的主要依據在源、目的IP地址和網絡訪問所使用的TCP或UDP端口號。幾乎所有的應用都有其固定的TCP或UDP端口號，通過對端口號的限制，可以限定網絡中運行的應用。這里的系統(tǒng)配置是主機的安全配置和數據庫的安全配置。據調查表明，85％的計算機犯罪是內部作案，因此這兩方面的安全配置也相當重要。在主機的安全配置方面，應主要考慮普通用戶的安全管理、系統(tǒng)管理員的安全管理及通信與網絡的安全管理。任何非法的入侵最終都需要通過被入侵主機上的服務程序來實現(xiàn)，如果關閉被入侵主機上的這些程序，入侵必然無效。因此，這也是保證主機安全的一個相當徹底的措施。當然，我們不能關閉所有的服務程序，可以只關閉其中沒有必要運行的部分。在數據庫安全配置方面，應主要注意以下幾點：l 選擇口令加密傳輸的數據庫。l 避免直接使用超級用戶，超級用戶的行為不受數據庫管理系統(tǒng)的任何約束，一旦它的口令泄露，數據庫就毫無安全可言。l 一般情況下，不要直接對外界暴露數據庫，數據收發(fā)最好以存儲過程的方式提供，并以最低的權限運行。應用程序要發(fā)送數據時，先發(fā)往本地通信服務器，再由它發(fā)往目的通信服務器，最后由目的應用主動向目的通信服務器查詢、接收。通信服務器上的通信軟件除了能在業(yè)務中不重、不錯、不漏地轉發(fā)業(yè)務數據外，還應在安全方面具有以下特點：l 在本地應用與本地通信服務器間提供口令保護。應用向本地通信服務器發(fā)送數據或查詢、接收數據時要提供口令，由通信服務器判別IP地址及其對應口令的有效性。l 在通信服務器之間傳輸密文時，可以采用SSL加密方式。如果在此基礎上更再增加簽名技術，則更能提高通信的安全性。l 在通信服務器之間也提供了口令保護。接收方在接收數據時，要驗證發(fā)送方的IP地址和口令，當出現(xiàn)IP地址無效或口令錯時，拒絕進行數據接收。l 提供完整的日志記錄和分析。日志對通信服務器的所有行為進行記錄，日志分析將對其中各種行為和錯誤的頻度進行統(tǒng)計。綜上所述，網絡安全問題是一個系